WLAN h_da

Aus Hochschule Darmstadt - Fachschaft Informatik Wiki
Wechseln zu: Navigation, Suche

Inhaltsverzeichnis

[Bearbeiten] hochschulweites WLAN

Seit Wintersemester 2008/2009 gibt es das neue hochschulweite WLAN mit der SSID h_da. Dort kann man sich mit dem hochschulweiten Account einloggen.

[Bearbeiten] W-LAN Einstellungen

  • WPA-Enterprise und WPA2-Enterprise (empfohlen)
  • TKIP und AES (empfohlen)
  • PEAPv0/EAP-MSCHAPv2 als Authentifizierung

[Bearbeiten] Zertifikat

  • Servername (CN): wlan.h-da.de
  • Signiert von der h_da CA

[Bearbeiten] Anleitungen

Für Windows XP, Vista sowie Mac OS X und das iPhone gibt es Anleitungen bei IT Dienste und Anwendungen:


Ubuntu 8.10, KDE 4.2, KNetworkManager
- WLAN KNetworkManager

[Bearbeiten] Linux mit NetworkManager und nm-applet

  • Auswählen der SSID h_da:
Liste der SSIDs
  • Warten auf Dialog und Eingabe folgender Daten:
Networkmanager - wlan login.png

Bislang funktioniert das Validieren des CA Certificate nicht korrekt. Der Networkmanager warnt vor möglichen Man-In-The-Middle Attacken. Lösung ist noch nicht vorhanden.


[Bearbeiten] Linux mit WICD

(* Da ich keine Ahnung habe, wie man hier Bilder hochläd, muss ich das ganze wörtlich umschreiben; wird später noch erweitert. *)

Damit man sich mittels WICD an das h_da-Netz anbinden kann, bedarf es noch ein wenig Vorbereitung, welche auf folgender Seite sehr gut beschrieben ist. Dies ist Notwendig, da die Momentanen Pakete dieses Template noch nicht haben und es auch keine einfache Möglichkeit gibt, die Prüfung des Zertifikates abzuschalten, ohne welche im Normalfall keine Verbindung zustande kommt.

Vorbereitung für WICD unter Linux

(in manchen Distributionen ist diese Datei nicht unter /opt/wicd/..., sondern unter /etc/wicd/... zu finden)


Nachdem alles vorbereitet wurde, kann man normal WICD starten und wie folgt einstellen:

  • als SSID nimmt man "h_da"
  • das Häkchen "Verschlüsselung verwenden" wird aktiviert
  • als Verschlüsselungsmodus wird "Peap over TKIP" aktiviert
  • in die bedien Felder werden die Account-Daten eingetragen (ein Häkchen in die Kästchen macht das Geschriebene Sichtbar. Aber vorsicht--> Sicherheitsrisiko)
  • mit OK bestätigen.


Wenn man jetzt auf "Verbinden" klickt, sollte eine funktionierende Verbindung hergestellt werden.

Getestet unter:

  • Ubuntu 8.10 mit wicd 1.5.8.
  • Debian (testing) mit wicd 1.5.8, wpasupplicant 0.6.6


[Bearbeiten] Linux (wpa_supplicant)

Hier ein Beispiel eines möglichen wpa_supplicant.conf Eintrags des h_da Netzwerks.

 network={
       ssid="h_da"
       scan_ssid=1
       key_mgmt=WPA-EAP IEEE8021X
       auth_alg=OPEN
       eap=TTLS
       phase1="peaplabel=0"
       phase2="auth=MSCHAPV2"
       pairwise=CCMP
       identity="stVoNach"
       password="PASSWORT"
       eap=PEAP
 }

[Bearbeiten] Mac OS X 10.5+

Lade dir die Zertifikate (http://stud.h-da.de/ in der rechten Spalte) auf deinen PC herunter. Importiere die Zertifikate mit jeweils einem Doppelklick.

Zertifikat Import

Vertrauensstellungen

Nun erscheinen die 3 Zertifikate im Schlüsselbund "Anmeldung" Mit einem Doppelklick auf das Telekom Zertifikat erscheint die Eigenschaftsseite. Mit einem Klick auf den Pfeil bei Vertrauen werden die Einstellungen aufgedeckt. Wählt hier bei EAP (Extensible Authentication) "Immer Vertrauen" aus und schlißt die eigenschaftsseite. Gebt euer Passwort zur Bestätigung der änderungen ein und wiederholt diesen Schritt für die beiden anderen Zertifikate.

Nun sollte die Authentifizierung im WLAN problemlos für die SSID's h_da und eduroam funktionieren.


[Bearbeiten] WIndows Mobile PPC

Lade dir die Zertifikate (http://stud.h-da.de/ in der rechten Spalte) auf deinen PC herunter. Benenne die Dateiendung von .der in .cer. Eventuell müssen dafür die Dateiendungen sichtbar gemacht werden.

Anschließend kopierst Du die drei Dateien auf deinen PocketPC. Dort klickst du im Dateimanager (Fileexplorer) auf die Dateien. (doppelklick). Das Gerät gibt nun die Meldung zurück, dass mind. ein Zertifikat erfolgreich installiert wurde.

Nun aktivierst du WLAN und versuchst dich mit dem h_da Wlan zu verbinden. Authentifizierung muss auf PEAP stehen.

Nach kurzer Zeit, nachdem der "Verbinden" Dialog beendet wurde, erscheint eine Abfrage nach Benutzername, Passwort und Domain. Dort gibst Du dein Hochschulaccountnamen (st....) und dein Passwort ein. Die Domain kann frei bleiben. Das Passwort kann gespeichert werden.

Nun sollte der PPC erfolgreich mit dem Internet verbunden sein.

[Bearbeiten] Handy (Symbian OS v9.2)

Die Anleitung bezieht sich auf das N95 8GB, es wird aber sehr wahrscheinlich auch bei anderen Handys mit W-LAN funktionieren.

Zuerst das Zertifikat der H-DA herunterladen, auf das Handy übertragen und installieren (je nachdem wie man es überträgt und wo es gespeichert wurde muss man es vielleicht noch mit dem Dateimanager suchen und durch öffnen installieren).

Während der Installation wird noch die Verwendung abgefragt, dort "Internet" und "Online-Zertif.-prüf." auswählen.

Jetzt muss man einen neuen Zugangspunkt definieren:

Menü → System → Einstellungen → Verbindungen → Zugangspunkte → Optionen → neuer Zugangspunkt

(thumbnail)
neuer Zugangspunkt

-Verbindungsname: h_da

-Datenträger: Wireless LAN

-WLAN-Netzname: h_da

-Netzstatus: Öffentlich

-WLAN-Netzmodus: WPA/WPA2


(thumbnail)
WLAN-Sich.-einst.

WLAN-Sich.-einst.: Öffnen

-WPA/WPA2: EAP

-Nur-WPA2-Modus: Aus


EAP Plug-in-Einstell.: Öffnen

(thumbnail)
EAP Plug-in-Einstell.

-nur EAP-PEAP aktivieren

-EAP-PEAP → Optionen → Bearbeiten


EAP-PEAP-Einstellungen:

(thumbnail)
EAP-PEAP-Einstellungen Abb. 1
(thumbnail)
EAP-PEAP-Einstellungen Abb. 2
(thumbnail)
EAP-PEAP-Einstellungen Abb. 2

-Persönliches Zertifikat: Nicht definiert

-Behördliches Zertifikat: Hochschule Darmstadt...

-Verwend. Benutz.-name: Benutzerdefiniert

-Benutzername: Euer WLA-Zugangsname

-Verwendetes Gebiet: Benutzerdefiniert

-Gebiet: leer lassen

-PEAPv0 bis 2 erlauben: Ja

Ein Reiter nach rechts auf EAPs:

(thumbnail)
EAPs

-nur EAP-MSCHAPv2 aktivieren

-EAP-MSCHAPv2 → Optionen → Bearbeiten


EAP-MSCHAPv2-Einstellungen:

(thumbnail)
EAP-MSCHAPv2-Einstellungen

-Benutzername: Auch euer WLA-Zugangsname

-Passwort abfragen: Ja

-Passwort: Wenn oben "nein", dann euer Zugangspasswort. Bei, "Ja" werdet Ihr nach Benutzer/Passwort gefragt.

[Bearbeiten] Handy (Android 2.2 + Android 4.0.3)

Die Anleitung wurde auf einem HTC Magic getestet mit Android 2.2 (CyanogenMod-6.0.0-DS-RC3).

Die Einstellungen funktionieren ebenfalls auf einem Samsung Nexus S mit "ICM" Android 4.0.3


EAP-Methode: PEAP

Phase 2-Authentifizierung: MSCHAPV2

CA-Zertifikat: (keine Angabe)

Nutzerzertifikat: (keine Angabe)

Identität: st-username

Anonyme Identität: leer

Passwort: st-passwort

[Bearbeiten] Handy mit Zertifikaten (Android 4.0.4 - 4.2.2)

Getestet auf Samsung Galaxy Nexus mit Android 4.0.4:

Die Einstellungen wurden sowohl auf Samsung Galaxy S(Custom Rom 4.0.4 - 4.2.2) als auch auf Nexus 7 mit (4.1.2 - 4.2.2) inkl. Custom Rom getestet.

  1. Zuerst das Telekom-, DFN- und das h_da-Zertifikat von http://stud.h-da.de/ herunderladen (in der rechten Leiste der Webseite), aber auf einem PC mit Windows/Linux als Betriebssystem und nicht auf dem Handy. Da Android mit Zertifikaten im DER-Format nichts anfangen kann, müssen diese zuerst in das PEM-Format umgewandelt werden.
  2. OpenSSL installieren:
    • Windows:
      Cygwin mit OpenSSL installieren oder ein anderes Toolkit in dem OpenSSL enthalten ist.
    • Linux:
      OpenSSL Paket installieren, falls nicht schon vorhanden.
  3. Nun die Zertifikate ins PEM-Format umwandeln. Dazu tippt man in einer Bash folgende Befehle:
    $ openssl x509 -inform DER -outform PEM -in cert_dfn.der -out cert_dfn.crt
    $ openssl x509 -inform DER -outform PEM -in cert_hda.der -out cert_hda.crt
    $ openssl x509 -inform DER -outform PEM -in cert_telekom.der -out cert_telekom.crt
    
  4. Anschliessend müssen die drei .crt-Dateien aufs Handy kopiert werden und zwar ins Hauptverzeichnis (Root-Verzeichnis) der SD-Karte.
  5. Danach müssen die Zertifikate installiert werden. Dazu wählt man im Einstellungsmenü den Unterpunkt Sicherheit und dort Von Speicher installieren. Dann die drei Zertifikate nacheinander auswählen und auf installieren drücken. Hier kann es je nach Sicherheitsrichtlinie des Handys passieren, dass ein Passwort für die Bildschirmsperre gesetzt werden muss, bzw. eine andere Methode zum Entsprerren festgelegt werden muss. Möglicherweise erscheint zudem noch ein Hinweis, dass das Telekom Zertifikat bereits installiert ist, was getrost ignoriert werden kann. Nach dieser Installation können die .crt-Dateien wieder von der SD-Karte entfernt werden (müssen aber nicht).
  6. Zuletzt müssen noch die WLAN-Einstellungen angepasst werden. Dazu im Einstellungsmenü den Unterpunkt WLAN auswählen und dort die Einstellungen für das WLAN "h_da" ändern (lange auf den Eintrag tippen und Netzwerk ändern auswählen) bzw. falls noch keine Konfiguration vorgenommen wurde, lediglich kurz auf "h_da" tippen. Im erscheinenden Popup werden dann folgende Daten eingegeben:
    • EAP-Methode: PEAP
    • Phase 2-Authentifizierung: MSCHAPV2
    • CA-Zertifikat: cert_telekom
    • Nutzerzertifikat: (keine Angabe)
    • Identität: st-Nutzername
    • Anonyme Identität:
    • Passwort: st-Passwort

Danach sollte das WLAN auch mit Zertifikaten funktionieren und ihr könnt euch sicher sein, dass sich euer Handy nicht unterwegs mit euren Zugangsdaten in WLAN's einloggt, die nicht zur h_da gehören und eure Daten ausspionieren wollen.

Das eduroam WLAN kann übrigens genauso eingerichtet werden, lediglich die WLAN-Konfiguration ist geringfügig anders:

  • EAP-Methode: PEAP
  • Phase 2-Authentifizierung: MSCHAPV2
  • CA-Zertifikat: cert_dfn
  • Nutzerzertifikat: (keine Angabe)
  • Identität: vorname.nachname@stud.h-da.de
  • Anonyme Identität:
  • Passwort: st-Passwort

Es gibt auch eine CyanogenMod 10 Version (Galaxy Tab 10.1), bei der man KEINE Zertifikate angeben muss und bei "Anonyme Identität" ebenfalls vorname.nachname@stud.h-da.de angeben muss

[Bearbeiten] Troubleshooting

[Bearbeiten] Windows

  1. Bitte zuerst das Profil löschen und neu anlegen
  2. Sollte die Verbindung beim Aufbau nicht zustande kommen und der Dialog zum Verbinden lange offen bleibt, kann ein Treiber-Update helfen.
Meine Werkzeuge