Sitzung: Jeden Freitag in der Vorlesungszeit ab 16 Uhr c. t. im MAR 0.005. In der vorlesungsfreien Zeit unregelmäßig (Jemensch da?). Macht mit!

WLAN: Unterschied zwischen den Versionen

(wicd/wpa_supplicant)
 
(5 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
 
An der TU-Berlin gibt es mehrere unterschiedliche '''WLAN-Netze''', die Zugang zum Internet vermitteln. Diese Netze werden derzeit durch das campusweit verfügbare '''eduroam'''-Netzwerk abgelöst, das den Zugang auch an anderen europäischen Hochschulen mit dem Account der TU ermöglicht.
 
An der TU-Berlin gibt es mehrere unterschiedliche '''WLAN-Netze''', die Zugang zum Internet vermitteln. Diese Netze werden derzeit durch das campusweit verfügbare '''eduroam'''-Netzwerk abgelöst, das den Zugang auch an anderen europäischen Hochschulen mit dem Account der TU ermöglicht.
  
= eduroam (und BOWL) =
+
= eduroam =
  
Mit eduroam ist es zum ersten Mal möglich europaweit an fast jeder Uni deren Wlan zu nutzen. Die Netzwerkname der Wlan-APs lauten eduroam oder eduroam.bowl.tu-berlin.de.
+
Mit eduroam ist es zum ersten Mal möglich europaweit an fast jeder Uni deren Wlan zu nutzen. Die Netzwerkname der Wlan-APs lautet eduroam.
Hier die [http://www.tubit.tu-berlin.de/wlan/zugang_und_anleitungen/?tx_jppageteaser_pi1%5BbackId%5D=33918 Tubit-Anleitung] für Windows, Mac und diverse Mobilgeräte. Neuerdings auch für [http://www.tubit.tu-berlin.de/wlan/zugang_und_anleitungen/eduroam_mit_linux_gnome/ Linux mit Gnome].
+
Hier die [https://www.campusmanagement.tu-berlin.de/wlan/ Anleitung der ZECM] für Windows, Linux, Mac und diverse Mobilgeräte. Sie erfordert das herunterladen und starten eines Windows/Mac-Programms bzw. eines Python-Skripts, welche die Konfiguration vornimmt. Alternativ kann die Einrichtung auch manuell erfolgen:
  
 
Speziell für Linux zu beachten:
 
Speziell für Linux zu beachten:
# Die TU Berlin verwendet ein von der Telekom CA 2 unterschriebenes Zertifikat, welches noch nicht im SecureW2 integriert ist.
+
# Die TU Berlin verwendet ein von der Telekom CA 2 unterschriebenes Zertifikat, das zugehörige Root-Zertifikat ist bei den meisten Linux-Distributionen im Paket "ca-certificates" vorhanden.
# Einige Einstellungen sind folgende:  
+
# Allgemeine Einstellungen sind folgende:  
#* Identity: "tubIT-Nutzerkonto"@win.tu-berlin.de
+
#* Identity: ''ZECM-Nutzerkonto''@tu-berlin.de
 +
#* Anonymous Identity: wlan@tu-berlin.de
 
#* Password: das zum Account gehörige Passwort
 
#* Password: das zum Account gehörige Passwort
#* Anonymous Identity: *leer*
+
#* Phase 1: PEAP
 +
#* Phase 2: MSCHAPv2
 +
#* ca_certificate: T-TeleSec GlobalRoot Class 2
  
 
== Network Manager (Gnome) ==
 
== Network Manager (Gnome) ==
  
Siehe: [http://www.tubit.tu-berlin.de/fileadmin/a40000000/msch4000/Screenshot/802.1X/802.1x_unter_GNOME__linux_.png Anleitung] von tubIT.
+
Siehe: [http://www.tubit.tu-berlin.de/fileadmin/a40000000/msch4000/Screenshot/802.1X/802.1x_unter_GNOME__linux_.png Anleitung] von ZECM.
  
== wicd/wpa_supplicant ==
+
== wpa_supplicant ==
  
wicd hat diese Verschlüsselung nicht standardmäßig, aber es ist möglich sie hinzuzufügen, dank templates.
+
Editiere/erstelle ''/etc/wpa_supplicant/wpa_supplicant.conf'' und füge hinzu: 
  
Editiere/erstelle ''/etc/wicd/encryption/templates/eduroam'' und füge: 
+
  network={
 
 
name = eduroam
 
author = weall
 
version = 1
 
require identity *Identity password *Password
 
protected password *Password
 
-----
 
ctrl_interface=/var/run/wpa_supplicant
 
update_config=0
 
network={
 
 
         ssid="eduroam"
 
         ssid="eduroam"
         key_mgmt=WPA-EAP IEEE8021X
+
         key_mgmt=WPA-EAP
eap=PEAP
+
         # Phase1
phase2="auth=MSCHAPV2"
+
         eap=PEAP
         identity="$_IDENTITY"
+
         anonymous_identity="wlan@tu-berlin.de"
         password="$_PASSWORD"
+
        ca_cert="/usr/share/ca-certificates/mozilla/T-TeleSec_GlobalRoot_Class_2.crt"
         ca_cert="/usr/share/ca-certificates/tu-berlin.de
+
        # Phase2
}
+
        identity="*ZECM-Nutzerkonto*@tu-berlin.de"
 
+
        phase2="auth=MSCHAPV2"
ein. Das "IEEE8021X" ist neuerdings notwendig (Stand 13.05.2013).
+
        password="*ZECM-Passwort*"
[Update: 2016 geht es auch ohne "IEEE8021X", im eduroam am Leibnitz-Institut musste es sogar weggelassen werden.]
+
}
 
 
Die letze Zeile kann man auskommentieren wenn man die Zertifikatskette der TU Berlin installiert hat. Das ginge so:
 
 
 
sudo mkdir -p /usr/share/ca-certificates/tu-berlin.de
 
sudo wget -O /usr/share/ca-certificates/tu-berlin.de/tub.pem http://www.tubit.tu-berlin.de/fileadmin/a40000000/tubIT/Trustcenter/TU-Berlin_Zertifikatkette.pem
 
 
 
Nun ist man auch sicher vor ''Rogue Access Points''.
 
 
 
Das template muss aktiv werden
 
 
 
echo "eduroam" | sudo tee -a /etc/wicd/encryption/templates/active
 
 
 
wicd neu starten
 
 
 
sudo /etc/init.d/wicd restart
 
bzw.
 
sudo service wicd restart
 
 
 
Jetzt nur noch die Verschlüsselung aus der Liste des GUI wählen und Identity/Password füllen
 
 
 
Hinweis: Bei gentoo-Nutzern kann es zu Problemen kommen, wenn der wpa_supplicant mit gnutls gelinkt wird, da die Primzahlen
 
der Authentifizierung zu klein sind...
 
 
 
== Eduroam und Android ==
 
allgemeine tubIT Anleitung für Android [http://www.tubit.tu-berlin.de/wlan/zugang_und_anleitungen/eduroam_mit_android/]
 
 
 
tubIT Anleitung für HTC Legend mit Android 2.2: [http://www.tubit.tu-berlin.de/wlan/zugang_und_anleitungen/eduroam_mit_htc_legend/]
 
 
 
(nicht empfohlen) Alternativ mit Root-Rechten und Console (auf einem Samsung Galaxy getestet)
 
 
 
 
 
=== Voraussetzung ===
 
 
 
 
 
Zwingende Voraussetzung um das Eduroamnetz in der Uni mit seinem Android Handy nutzen zu können ist, dass man Root-Zugriff auf dem Telefon hat. Um diesen zu bekommen gibt es diverse Anleitungen, je nach Handymodell. Eine für das Samsung Galaxy findet man zum Beispiel hier [http://www.receptorblog.com/wordpress/german-howto-root-fur-das-samsung-galaxy/] .
 
 
 
Aber Achtung, dabei kann das Gerät beschädigt werden.
 
 
 
 
 
=== Wifihelper ===
 
  
 +
== Android ==
  
Samsung Galaxy Nutzer springen bitte direkt zur wpa_supplicant Variante.
+
=== Variante 1 (kein root-Zugriff erforderlich) ===
  
Wenn der Root-Zugriff möglich ist, kann man sich aus dem Android Market die Wifihelper App herunterladen. Diese gibt es in einer kostenlosen und in einer kostenpflichtigen Version. Die kostenlose reicht für diesen Zweck.
+
Unter Einstellungen/WLAN ein Netzwerk hinzufügen:
Innerhalb dieser könnt ihr ganz bequem die Einstellungen vornehmen.
 
  
 
   SSID: eduroam
 
   SSID: eduroam
   Connection Mode: Infrastructure
+
   Sicherheit: WPA Enterprise bzw. 802.1x EAP
  Wifi Security: WPA Enterprise
+
   Authentifizierung: PEAP
   Authentication: PEAP
+
   Phase 2 Authentifizierung: MSCHAPv2
   Phase 2 Authentication: MSCHAPv2
+
   CA-Zertifikat: Systemzertifikate verwenden
   Anonymous ID:
+
   Domain: tu-berlin.de
   Identity: tubIT-Benutzerkennung@win.tu-berlin.de
+
  Identität: *ZECM-Nutzerkonto*@tu-berlin.de
   Password: selbsterklärend
+
  Anonyme Identität: wlan@tu-berlin.de
 +
   Passwort: *ZECM-Passwort*
  
 
Das Ganze wird in die wpa_supplicant.conf geschrieben. Wenn man dann Wlan aktiviert und in der Nähe des eduroam ist, wird automatisch eine Verbindung hergestellt.
 
Das Ganze wird in die wpa_supplicant.conf geschrieben. Wenn man dann Wlan aktiviert und in der Nähe des eduroam ist, wird automatisch eine Verbindung hergestellt.
  
 +
Bei manchen Android-Versionen funktioniert die Zertifikatsprüfung nicht richtig und die Verbindung schlägt fehl, in dem Fall kann man die [https://www.campusmanagement.tu-berlin.de/trustcenter/allgemeine_informationen/ Zertifikatkette der ZECM] herunterladen und installieren. Die Abschaltung der Zertifikatprüfung ist nicht empfehlenswert; dann funktioniert es zwar, aber es gibt keinen Schutz mehr gegen bösartige Access-Points.
  
 +
=== Variante 2: wpa_supplicant.conf (root erforderlich) ===
  
=== wpa_supplicant ===
+
Falls Variante 1 nicht funktioniert oder man ein altes Samsung Galaxy hat das die notwendigen Einstellmöglichkeiten nicht hat, muss nach folgendem Schema vorgegangen werden. Das Mobiltelefon wird mit dem Rechner per USB verbunden und USB-Debugging aktiviert.
 
 
 
 
Falls Variante 1 nicht funktioniert oder man ein Samsung Galaxy hat, muss nach folgendem Schema vorgegangen werden. Das Mobiltelefon wird mit dem Rechner per Usb verbunden.
 
Zunächst braucht man die Config fürs Wlannetz:
 
 
 
  network={
 
        ssid="eduroam"
 
        scan_ssid=1
 
        proto=WPA
 
        key_mgmt=WPA-EAP
 
        pairwise=AES
 
        group=AES
 
        eap=PEAP
 
        anonymous_identity=""
 
        identity="tubIT-benutzername@win.tu-berlin.de"
 
        password="passwort"
 
        phase2="auth=MSCHAPv2"
 
  }
 
 
 
  
Diese muss in die wpa_supplicant.conf im Verzeichnis /data/misc/wifi/ auf eurem Telefon eingfügt werden.
+
Zunächst erstellt man unter Linux die wpa_supplicant.conf wie oben beschrieben. Diese muss in die wpa_supplicant.conf im Verzeichnis /data/misc/wifi/ auf eurem Telefon eingefügt werden. Zusätzlich ändert ihr den Pfad des CA-Zertifikats nach /system/etc/security/cacerts (falls dieses Verzeichnis nicht T-TeleSec_GlobalRoot_Class_2.crt enthält, muss diese Datei dorthin kopiert werden).
  
 
Das geht folgendermaßen:
 
Das geht folgendermaßen:
  
Ihr müsst nun oben genannte Config in die wpa_supplicant.conf eintragen. Dazu öffnet ihr ein Terminal. Wechselt in das Verzeichnis „tools“ im Android SDK und führt dann folgende Kommandos aus:
+
Ihr müsst nun oben genannte Config in die wpa_supplicant.conf eintragen. Dazu öffnet ihr ein Terminal. Installiert adb aus dem Android-SDK (das Paket heißt oft adb oder android-tools) und
 
 
  sudo ./adb shell
 
  su
 
  echo 'hier fügt ihr die Config ein' > /data/misc/wifi/wpa_supplicant.conf (Wichtig, es müssen ' sein und nicht „“)
 
 
 
 
 
=== Samsung Galaxy ===
 
 
 
Ihr müsst nun oben genannte Config in die bcm_supp.conf eintragen. Dazu öffnet ihr ein Terminal. Wechselt in das Verzeichnis „tools“ im Android SDK und führt dann folgende Kommandos aus:
 
  
   sudo ./adb shell
+
   adb shell
 
   su
 
   su
   echo 'hier fügt ihr die Config ein' > /data/misc/wifi/bcm_supp.conf (Wichtig, es müssen ' sein und nicht „“)
+
   echo 'hier fügt ihr die Config ein' >> /data/misc/wifi/wpa_supplicant.conf
 
+
  # (Wichtig, es müssen ' sein und nicht „“)
Danach 2 mal Strg+D drücken und das Mobiltelefon kann wieder vom Rechner entfernt werden.
 
 
 
Sicherheitshalber das Gerät neustarten und wenn man in die Nähe des eduroam kommt, sollte sich eine Verbindung aufbauen.
 
 
 
=== Android 4.1 — Jelly Bean ===
 
 
 
Eduroam kann mindestens ab Android 4.1 out-of-the-box genutzt werden. In den WLAN Einstellungen wird das ''eduroam — Secured with 802.1x''-Netzwerk ausgewählt. Im Einstellungsdialog werden dann folgende Daten eingegeben:
 
 
 
* EAP-Methode: <tt>PEAP</tt>
 
* Phase 2: <tt>MSCHAPV2</tt>
 
* CA Zertifikat: ''keins''
 
* Benutzerzertifikat: ''keins''
 
* Identität: ''tubIT-benutzername''<tt>@win.tu-berlin.de</tt>
 
* Anonymous: ''tubIT-Benutzername''
 
* Passwort: ''tubIT-Passwort''
 
* Proxy: ''keiner''
 
* IP Einstellungen: <tt>DHCP</tt>
 
 
 
= alte Wlan- Netze =
 
 
 
Die alten Netze zeichnen sich dadurch aus, dass sie zunächst ein unverschlüsseltes WLAN mit privaten Adressen zur Verfügung stellen.
 
Man startet dann einen VPN-Client und erhält darüber Zugang zum Internet.
 
 
 
 
 
== Das IRB im FR ==
 
VPN Server: prima.cs.tu-berlin.de . Um mit diesem ein VPN aufzubauen braucht ihr einen Zugang zum [[IRB VPN]].
 
 
 
 
 
 
 
== TU-Berlin_VPN und VPN/WEB (und oft Kabelnetzwerk) ==
 
 
 
Dieses WLAN der tubIT war in den Gebäuden H, MA, HFT, EN stark ausgebaut und war auf den gesamten Campus geplant.
 
Es nutzte das [[ZRZ VPN|VPN der tubIT]]. '''Das WLAN-Netz und der support sind mittlerweile jedoch eingestellt.''' Zum Einsatz kam Anfangs der
 
Cisco VPN-Client, später wurde parallel ein Zugang via openvpn ermöglicht. Das Wlan selbst ist nicht verschlüsselt, die Daten
 
laufen aber durch das verschlüsselte VPN.
 
 
 
Anleitungen: [http://www.tubit.tu-berlin.de/wlan/zugang_und_anleitungen/?tx_jppageteaser_pi1%5BbackId%5D=33918 Tubit-Anleitung]
 
 
 
Der Zugang via openvpn kann auch aus beliebigen anderen Netzen genutzt werden, um einen verschlüsselten Tunnel in das Uninetz aufzubauen
 
und so in einem anderen öffentlichen Wlan (bei einem Hotspot, in einem Hotel, etc) eine gesicherte Verbindung zu erhalten oder von aussen
 
auf Angebote innerhalb der Uni zuzugreifen, die nur aus dem Uninetz freigegeben sind.
 
 
 
 
 
=== openvpn deamon ===
 
 
 
Openvpn installieren (aptitude oder apt-get):
 
sudo aptitude install openvpn
 
 
 
Konfiguration runterladen:
 
sudo wget http://www.tubit.tu-berlin.de/fileadmin/a40000000/msch4000/Software/OpenVPN/tubit.ovpn -vO /etc/openvpn/tubit.conf
 
sudo wget http://www.tubit.tu-berlin.de/fileadmin/a40000000/msch4000/Software/OpenVPN/tubITChain.crt -vO /etc/openvpn/tubITChain.crt
 
 
 
Hierbei dient der Parameter -v der Anzeige, was der wget dabei macht (z.B. die Verbindung abbrechen weil die URL nicht stimmt, oder alles in Ordnung, usw.) und der Parameter O zur Angabe eines Output-Dateipfads.
 
 
 
Daemon starten:
 
sudo /etc/init.d/openvpn start
 
 
 
und Daten eingeben (Username ohne den @tu-berlin.de)
 
 
 
''Anmerkung: Wer openvpn auch für andere Netzwerke nutzt, kann statt des obigen Aufrufs auch
 
sudo /etc/init.d/openvpn start <vpnname>
 
eingeben um nur das VPN für das mit vpnname benannte Netzwerk aufzubauen.''
 
 
 
Um zu sehen ob die Verbinden erfolgreich gebaut wurde, einfach prüfen ob das Netzwerk Interface tap0 existiert:
 
ifconfig
 
 
 
Um openvpn am Ende zu schließen:
 
sudo /etc/init.d/openvpn stop
 
''Anmerkung: bzw. alternativ
 
sudo /etc/init.d/openvpn stop <vpnname>
 
 
 
=== openvpn client ===
 
 
 
Der daemon ist nicht sehr gesprächig. Der Klient ist, um Probleme zu finden, besser geeignet (die Konfiguration ist die gleiche)
 
sudo openvpn --config /etc/openvpn/tubit.conf --ca /etc/openvpn/tubITChain.crt
 
  
=== Network Manager (Gnome) ===
+
== Windows 10 ==
Erst müssen das Paket openvpn und ein Plugin für den Network Manager (unter Ubuntu: network-manager-openvpn) installiert werden.
 
Anschließend fügt man im Network Manager eine neue VPN-Verbindung vom Typ: Openvpn.
 
Folgende Einstellungen müssen gesetzt werden:
 
* Gateway: openvpn1.tubit.tu-berlin.de
 
* Type(Authentifizierungsart): Passwort
 
* User Name: benutzer@tu-berlin.de
 
* Password: Tubit-PW
 
* CA Certificate: wie oben tubITChain.crt unter /etc/openvpn speichern und hier auswählen.
 
* Advanced: LZO und Tap_device aktivieren
 
  
 +
Im Netzwerk- und Freigabecenter eine neue Verbindung einrichten, dann "Manuell mit einem Funknetzwerk verbinden" auswählen.
  
+
Netzwerkname ist "eduroam", Sicherheitstyp ist WPA2-Enterprise, Verschlüsselung ist AES.
=== DNS (für VPN/WEB) ===
 
  
Die Konfiguration des DNS ist ein wenig gewöhnungsbedürftig und hat sicherlich noch Potential verbessert zu werden.
+
Im folgenden Fenster "Verbindungseinstellungen ändern" wählen, und unter Netzwerkauthentifizierung "Microsoft Geschütztes EAP (PEAP)", und auf die Schaltfläche "Einstellungen" klicken.
  
Das eigentliche Problem besteht hier darin, dass im WLAN der Uni, also noch vor Aufbau der VPN-Verbindung, ein anderer DNS-Server genutzt wird, als später im VPN. Da die Adressvergabe im WLAN per DHCP erfolgt, dass regelmässig erneuert werden muss, kann es dann zu dem unschönen Effekt kommen, dass die DNS-Konfiguratin des VPN-Tunnels durch die eigentlich falsche Konfiguration der Wlan-Schnittstelle überschrieben wird.
+
"Identität des Servers prüfen" aktivieren und in der Liste "T-TeleSec Global Root Class 2" als vertrauenswürdig markieren. Als Authentifizierungsmethode "Gesichertes Kennwort (EAP-MSCHAP-v2)" wählen, "Identitätsschutz aktivieren" aktivieren, und in das zugehörige Textfeld "wlan" eintragen.
  
Würde schon vor Aufbau der VPN-Verbindung ein offener DNS-Server genutzt werden, würde dies zu zwei unschönen Effekten führen. Erstens würde man wahnsinnig, weil man denkt, man sei im Internet, aber kann keine Seite erreichen, und zweitens kann die Hinweisseite mit den Anleitungen nicht angezeigt werden.
+
Das Dialogfenster mit OK schließen und dann auf "Erweiterte Einstellungen" klicken. Dort den Authentifizierungsmodus angeben: "Benutzerauthentifizierung", und "Anmeldeinformationen Speichern" anklicken.
  
 +
In dem sich öffnenden Fenster als Benutzernamen ''ZECM-Nutzerkonto''@tu-berlin.de eingeben, und als Passwort das ''ZECM-Passwort''. Die offenen Dialogfenster mit "OK" schließen.
  
* Wenn man mit dem Wlan TU-Berlin_VPN oder VPN/WEB verbunden ist ohne einen VPN-Tunnel aufgebaut zu haben, wird man immer auf die  [http://www.tubit.tu-berlin.de/wlan/zugang_und_anleitungen/?tx_jppageteaser_pi1%5BbackId%5D=33918 Tubit-Anleitung] Seite geleitet.
+
Anschließend kann über das WLAN-Symbol in der Taskleiste eine Verbindung zum WLAN-Netzwerk eduroam aufgebaut werden.
* Ist der DNS-Server des Tunnels falsch konfiguriert, wir man auch nachdem die VPN Verbindung errichtet ist zu [http://130.149.4.173/ dieser] Seite weitergeleitet.
 
* Bricht der Tunnel zusammen, wird man auch entsprechend weitergeleitet.
 
  
Man kann versuchen, nach dem Aufbau der VPN-Verbindung die DNS-Server manuell fest vorzugeben, indem man an erster Stelle den für externe Adressen zuständigen Server setzt und an die zweite Stelle den Server, der die vpn-server adresse auflösen kann. Der erste Server ist hier der von der TU-Berlin - er ist auf jeden Fall der am schnellsten erreichbare.
+
= TUB-Guest =
  
* DNS1 : 130.149.4.20
+
Das TUB-Guest Netzwerk zeichnet sich dadurch aus, dass sie zunächst ein unverschlüsseltes WLAN mit privaten Adressen zur Verfügung stellen.
* DNS2 : 172.23.0.36 (zweite Position, sonst wird nur [http://130.149.4.173/ das] erscheinen)
 
  
 +
Im Browser öffnet sich dann eine Portal-Seite und man erhält darüber Zugang zum Internet.
  
 
[[Kategorie:Uni-ABC]]
 
[[Kategorie:Uni-ABC]]
 
[[Kategorie:Fakultäts-ABC]]
 
[[Kategorie:Fakultäts-ABC]]
 
[[Kategorie:Fachbegriffe der Informatik]]
 
[[Kategorie:Fachbegriffe der Informatik]]

Aktuelle Version vom 27. August 2021, 16:33 Uhr

An der TU-Berlin gibt es mehrere unterschiedliche WLAN-Netze, die Zugang zum Internet vermitteln. Diese Netze werden derzeit durch das campusweit verfügbare eduroam-Netzwerk abgelöst, das den Zugang auch an anderen europäischen Hochschulen mit dem Account der TU ermöglicht.

eduroam

Mit eduroam ist es zum ersten Mal möglich europaweit an fast jeder Uni deren Wlan zu nutzen. Die Netzwerkname der Wlan-APs lautet eduroam. Hier die Anleitung der ZECM für Windows, Linux, Mac und diverse Mobilgeräte. Sie erfordert das herunterladen und starten eines Windows/Mac-Programms bzw. eines Python-Skripts, welche die Konfiguration vornimmt. Alternativ kann die Einrichtung auch manuell erfolgen:

Speziell für Linux zu beachten:

  1. Die TU Berlin verwendet ein von der Telekom CA 2 unterschriebenes Zertifikat, das zugehörige Root-Zertifikat ist bei den meisten Linux-Distributionen im Paket "ca-certificates" vorhanden.
  2. Allgemeine Einstellungen sind folgende:
    • Identity: ZECM-Nutzerkonto@tu-berlin.de
    • Anonymous Identity: wlan@tu-berlin.de
    • Password: das zum Account gehörige Passwort
    • Phase 1: PEAP
    • Phase 2: MSCHAPv2
    • ca_certificate: T-TeleSec GlobalRoot Class 2

Network Manager (Gnome)

Siehe: Anleitung von ZECM.

wpa_supplicant

Editiere/erstelle /etc/wpa_supplicant/wpa_supplicant.conf und füge hinzu:

 network={
       ssid="eduroam"
       key_mgmt=WPA-EAP
       # Phase1
       eap=PEAP
       anonymous_identity="wlan@tu-berlin.de"
       ca_cert="/usr/share/ca-certificates/mozilla/T-TeleSec_GlobalRoot_Class_2.crt"
       # Phase2
       identity="*ZECM-Nutzerkonto*@tu-berlin.de"
       phase2="auth=MSCHAPV2"
       password="*ZECM-Passwort*"
}

Android

Variante 1 (kein root-Zugriff erforderlich)

Unter Einstellungen/WLAN ein Netzwerk hinzufügen:

 SSID: eduroam
 Sicherheit: WPA Enterprise bzw. 802.1x EAP
 Authentifizierung: PEAP
 Phase 2 Authentifizierung: MSCHAPv2
 CA-Zertifikat: Systemzertifikate verwenden
 Domain: tu-berlin.de
 Identität: *ZECM-Nutzerkonto*@tu-berlin.de
 Anonyme Identität: wlan@tu-berlin.de
 Passwort: *ZECM-Passwort*

Das Ganze wird in die wpa_supplicant.conf geschrieben. Wenn man dann Wlan aktiviert und in der Nähe des eduroam ist, wird automatisch eine Verbindung hergestellt.

Bei manchen Android-Versionen funktioniert die Zertifikatsprüfung nicht richtig und die Verbindung schlägt fehl, in dem Fall kann man die Zertifikatkette der ZECM herunterladen und installieren. Die Abschaltung der Zertifikatprüfung ist nicht empfehlenswert; dann funktioniert es zwar, aber es gibt keinen Schutz mehr gegen bösartige Access-Points.

Variante 2: wpa_supplicant.conf (root erforderlich)

Falls Variante 1 nicht funktioniert oder man ein altes Samsung Galaxy hat das die notwendigen Einstellmöglichkeiten nicht hat, muss nach folgendem Schema vorgegangen werden. Das Mobiltelefon wird mit dem Rechner per USB verbunden und USB-Debugging aktiviert.

Zunächst erstellt man unter Linux die wpa_supplicant.conf wie oben beschrieben. Diese muss in die wpa_supplicant.conf im Verzeichnis /data/misc/wifi/ auf eurem Telefon eingefügt werden. Zusätzlich ändert ihr den Pfad des CA-Zertifikats nach /system/etc/security/cacerts (falls dieses Verzeichnis nicht T-TeleSec_GlobalRoot_Class_2.crt enthält, muss diese Datei dorthin kopiert werden).

Das geht folgendermaßen:

Ihr müsst nun oben genannte Config in die wpa_supplicant.conf eintragen. Dazu öffnet ihr ein Terminal. Installiert adb aus dem Android-SDK (das Paket heißt oft adb oder android-tools) und

 adb shell
 su
 echo 'hier fügt ihr die Config ein' >> /data/misc/wifi/wpa_supplicant.conf
 # (Wichtig, es müssen ' sein und nicht „“)

Windows 10

Im Netzwerk- und Freigabecenter eine neue Verbindung einrichten, dann "Manuell mit einem Funknetzwerk verbinden" auswählen.

Netzwerkname ist "eduroam", Sicherheitstyp ist WPA2-Enterprise, Verschlüsselung ist AES.

Im folgenden Fenster "Verbindungseinstellungen ändern" wählen, und unter Netzwerkauthentifizierung "Microsoft Geschütztes EAP (PEAP)", und auf die Schaltfläche "Einstellungen" klicken.

"Identität des Servers prüfen" aktivieren und in der Liste "T-TeleSec Global Root Class 2" als vertrauenswürdig markieren. Als Authentifizierungsmethode "Gesichertes Kennwort (EAP-MSCHAP-v2)" wählen, "Identitätsschutz aktivieren" aktivieren, und in das zugehörige Textfeld "wlan" eintragen.

Das Dialogfenster mit OK schließen und dann auf "Erweiterte Einstellungen" klicken. Dort den Authentifizierungsmodus angeben: "Benutzerauthentifizierung", und "Anmeldeinformationen Speichern" anklicken.

In dem sich öffnenden Fenster als Benutzernamen ZECM-Nutzerkonto@tu-berlin.de eingeben, und als Passwort das ZECM-Passwort. Die offenen Dialogfenster mit "OK" schließen.

Anschließend kann über das WLAN-Symbol in der Taskleiste eine Verbindung zum WLAN-Netzwerk eduroam aufgebaut werden.

TUB-Guest

Das TUB-Guest Netzwerk zeichnet sich dadurch aus, dass sie zunächst ein unverschlüsseltes WLAN mit privaten Adressen zur Verfügung stellen.

Im Browser öffnet sich dann eine Portal-Seite und man erhält darüber Zugang zum Internet.