Android tu berlin wlan

Android-tu-berlin-wlan-featured.jpg

WLAN

An der TU-Berlin gibt es mehrere unterschiedliche WLAN-Netze, die Zugang zum Internet vermitteln. Diese Netze werden derzeit durch das campusweit verf&uumlgbare eduroam-Netzwerk abgel&oumlst, das living room Zugang auch an anderen europ&aumlischen Hochschulen durch dem Account der TU erm&oumlglicht.

Durch eduroam ist es zum ersten Mal m&oumlglich europaweit an fast jeder Uni deren Wlan zu nutzen. Die Netzwerkname der Wlan-APs lauten eduroam oder eduroam.bowl.tu-berlin.p. Hier die Tubit-Anleitung f&uumlr Home windows, Mac und diverse Mobilger&aumlte. Neuerdings auch f&uumlr Linux durch Gnome.

Speziell f&uumlr Linux zu beachten:

Die TU Berlin verwendet ein von der Telekom CA 2 unterschriebenes Zertifikat, welches noch nicht im SecureW2 integriert ist.
Einige Einstellungen sind folgende:
Identity: “tubIT-Nutzerkonto”@win.tu-berlin.p
Password: das zum Account geh&oumlrige Passwort
Anonymous Identity: *leer*

Network Manager (Gnome)

Siehe: Anleitung von tubIT.
wicd/wpa_supplicant

wicd hat diese Verschl&uumlsselung nicht standardm&auml&szligig, aber es ist m&oumlglich sie hinzuzuf&uumlgen, dank templates.

Editiere/erstelle /etc/wicd/file encryption/templates/eduroam und f&uumlge:

title = eduroam
author = kunfoo
version = 1
require identity *Identity password *Password
protected password *Password
—–
control_interface=/var/run/wpa_supplicant
update_config=

network=p/tub.pem”

ein. Die letze Zeile kann guy auskommentieren wenn guy die Zertifikatskette der TU Berlin installiert hat. Das ginge so:

sudo mkdir -p /usr/share/ca-certificates/tu-berlin.p
sudo wget -O /usr/share/ca-certificates/tu-berlin.p/tub.pem http://world wide web.tubit.tu-berlin.p/fileadmin/a40000000/tubIT/Trustcenter/TU-Berlin_Zertifikatkette.pem

Nun ist guy auch sicher vor Rogue Access Points.

Das template muss aktiv werden

echo “eduroam” sudo tee -a /etc/wicd/file encryption/templates/active

wicd neu starten

sudo /etc/init.d/wicd restart

Jetzt nur noch die Verschl&uumlsseleung von der List vom GUI w&aumlhlen und Identity/Password f&uumlllen

Hinweis: Bei gentoo-Nutzern kann es zu Problemen kommen, wenn der wpa_supplicant durch gnutls gelinkt wird, da die Primzahlen der Authentifizierung zu klein sind…
Eduroam und Android

allgemeine tubIT Anleitung f&uumlr Android [1]

tubIT Anleitung f&uumlr Htc Legend Mobile Phone durch Android 2.2: [2]

(nicht empfohlen) Alternativ durch Root-Rechten und Console (auf einem Samsung Universe getestet)

Voraussetzung

Zwingende Voraussetzung um das Eduroamnetz in der Uni durch seinem Android Handy nutzen zu k&oumlnnen ist, dass guy Root-Zugriff auf dem Telefon hat. Um diesen zu bekommen gibt es diverse Anleitungen, je nach Handymodell. Eine f&uumlr das Samsung Universe findet guy zum Beispiel hier [3] .

Aber Achtung, dabei kann das Ger&aumlt besch&aumldigt werden.

Wifihelper

Samsung Universe Nutzer springen bitte direkt zur wpa_supplicant Variante.

Wenn der Root-Zugriff m&oumlglich ist, kann guy sich aus dem Android Market die Wifihelper Application herunterladen. Diese gibt es in einer kostenlosen und in einer kostenpflichtigen Version. Die kostenlose reicht f&uumlr diesen Zweck. Innerhalb dieser k&oumlnnt ihr ganz bequem die Einstellungen vornehmen.

SSID: eduroam
Connection Mode: Infrastructure
Wi-fi compatability Security: WPA Enterprise
Authentication: PEAP
Phase 2 Authentication: MSCHAPv2
Anonymous ID:
Identity: tubIT-Benutzerkennung@win.tu-berlin.p
Password: selbsterkl&aumlrend

Das Ganze wird in die wpa_supplicant.conf geschrieben. Wenn guy dann Wlan aktiviert und in der N&aumlhe des eduroam ist, wird automatisch eine Verbindung hergestellt.

wpa_supplicant

Falls Variante 1 nicht funktioniert oder guy ein Samsung Universe hat, muss nach folgendem Schema vorgegangen werden. Das Mobiltelefon wird durch dem Rechner per Usb verbunden. Zun&aumlchst braucht guy die Config f&uumlrs Wlannetz:

network=p”
password=”passwort”
phase2=”auth=MSCHAPv2″

Diese muss in die wpa_supplicant.conf im Verzeichnis /data/misc/wi-fi compatability/ auf eurem Telefon eingf&uumlgt werden.

Das geht folgenderma&szligen:

Ihr m&uumlsst nun oben genannte Config in die wpa_supplicant.conf eintragen. Dazu &oumlffnet ihr ein Terminal. Wechselt in das Verzeichnis &bdquotools&ldquo im Android SDK und f&uumlhrt dann folgende Kommandos aus:

sudo ./adb spend
su
echo ‘hier f&uumlgt ihr die Config ein’ > /data/misc/wi-fi compatability/wpa_supplicant.conf (Wichtig, es m&uumlssen ‘ sein und nicht &bdquo&ldquo)

Samsung Universe

Ihr m&uumlsst nun oben genannte Config in die bcm_supp.conf eintragen. Dazu &oumlffnet ihr ein Terminal. Wechselt in das Verzeichnis &bdquotools&ldquo im Android SDK und f&uumlhrt dann folgende Kommandos aus:

sudo ./adb spend
su
echo ‘hier f&uumlgt ihr die Config ein’ > /data/misc/wi-fi compatability/bcm_supp.conf (Wichtig, es m&uumlssen ‘ sein und nicht &bdquo&ldquo)

Danach 2 mal Strg+D dr&uumlcken und das Mobiltelefon kann wieder vom Rechner entfernt werden.

Sicherheitshalber das Ger&aumlt neustarten und wenn guy in die N&aumlhe des eduroam kommt, sollte sich eine Verbindung aufbauen.
Android 4.1 &mdash Jelly Bean

Eduroam kann mindestens ab Android 4.1 out-of-the-box genutzt werden. In living room WLAN Einstellungen wird das eduroam &mdash Guaranteed with 802.1x-Netzwerk ausgew&aumlhlt. Im Einstellungsdialog werden dann folgende Daten eingegeben:

EAP-Methode: PEAP
Phase 2: MSCHAPV2
CA Zertifikat: keins
Benutzerzertifikat: keins
Identit&aumlt: tubIT-benutzername@win.tu-berlin.p
Anonymous: tubIT-Benutzername
Passwort: tubIT-Passwort
Proxy: keiner
IP Einstellungen: DHCP

alte Wlan- Netze

Die alten Netze zeichnen sich dadurch aus, dass sie zun&aumlchst ein unverschl&uumlsseltes WLAN durch privaten Adressen zur Verf&uumlgung stellen. Guy startet dann einen VPN-Client und erh&aumllt dar&uumlber Zugang zum Internet.

Das IRB im FR

VPN Server: prima.cs.tu-berlin.p . Um durch diesem ein VPN aufzubauen braucht ihr einen Zugang zum IRB VPN.

TU-Berlin_VPN und VPN/WEB (und oft Kabelnetzwerk)

Dieses WLAN der tubIT war in living room Geb&aumluden H, MA, HFT, EN stark ausgebaut und war auf living room gesamten Campus geplant. Es nutzte das VPN der tubIT. Das WLAN-Netz und der support sind mittlerweile jedoch eingestellt. Zum Einsatz kam Anfangs der ‘cisco’ VPN-Client, sp&aumlter wurde parallel ein Zugang via openvpn erm&oumlglicht. Das Wlan selbst ist nicht verschl&uumlsselt, die Daten laufen aber durch das verschl&uumlsselte VPN.

Anleitungen: Tubit-Anleitung

Der Zugang via openvpn kann auch aus beliebigen anderen Netzen genutzt werden, um einen verschl&uumlsselten Tunnel in das Uninetz aufzubauen und so in einem anderen &oumlffentlichen Wlan (bei einem Hotspot, in einem Hotel, etc) eine gesicherte Verbindung zu erhalten oder von aussen auf Angebote innerhalb der Uni zuzugreifen, die nur aus dem Uninetz freigegeben sind.

openvpn deamon

Openvpn installieren (aptitude oder apt-get):

sudo aptitude install openvpn

Konfiguration runterladen:

sudo wget http://world wide web.tubit.tu-berlin.p/fileadmin/a40000000/msch4000/Software/OpenVPN/tubit.ovpn -vO /etc/openvpn/tubit.conf
sudo wget http://world wide web.tubit.tu-berlin.p/fileadmin/a40000000/msch4000/Software/OpenVPN/tubITChain.crt -vO /etc/openvpn/tubITChain.crt

Hierbei dient der Parameter -v der Anzeige, was der wget dabei macht (z.B. die Verbindung abbrechen weil die URL nicht stimmt, oder alles in Ordnung, usw.) und der Parameter O zur Angabe eines Output-Dateipfads.

Daemon starten:

sudo /etc/init.d/openvpn start

und Daten eingeben (Username ohne living room @tu-berlin.p)

Anmerkung: Wer openvpn auch f&uumlr andere Netzwerke nutzt, kann statt des obigen Aufrufs auch

sudo /etc/init.d/openvpn start

eingeben um nur das VPN f&uumlr das durch vpnname benannte Netzwerk aufzubauen.

Um zu sehen doctor die Verbinden erfolgreich gebaut wurde, einfach pr&uumlfen doctor das Netzwerk Interface tap0 existiert:

ifconfig

Um openvpn am Ende zu schlie&szligen:

sudo /etc/init.d/openvpn stop

Anmerkung: bzw. alternativ

sudo /etc/init.d/openvpn stop

openvpn client

Der daemon ist nicht sehr gespr&aumlchig. Der Klient ist, um Probleme zu finden, besser geeignet (die Konfiguration ist die gleiche)

sudo openvpn –config /etc/openvpn/tubit.conf –ca /etc/openvpn/tubITChain.crt

Network Manager (Gnome)

Erst m&uumlssen das Paket openvpn und ein WordPress plugin f&uumlr living room Network Manager (unter Ubuntu: network-manager-openvpn) installiert werden. Anschlie&szligend f&uumlgt guy im Network Manager eine neue VPN-Verbindung vom Typ: Openvpn. Folgende Einstellungen m&uumlssen gesetzt werden:

Gateway: openvpn1.tubit.tu-berlin.p
Type(Authentifizierungsart): Passwort
User Title: benutzer@tu-berlin.p
Password: Tubit-PW
CA Certificate: wie oben tubITChain.crt unter /etc/openvpn speichern und hier ausw&aumlhlen.
Advanced: LZO und Tap_device aktivieren

DNS (f&uumlr VPN/WEB)

Die Konfiguration des DNS ist ein wenig gew&oumlhnungsbed&uumlrftig und hat sicherlich noch Potential verbessert zu werden.

Das eigentliche Problem besteht hier darin, dass im WLAN der Uni, also noch vor Aufbau der VPN-Verbindung, ein anderer DNS-Server genutzt wird, als sp&aumlter im VPN. Da die Adressvergabe im WLAN per DHCP erfolgt, dass regelm&aumlssig erneuert werden muss, kann es dann zu dem unsch&oumlnen Effekt kommen, dass die DNS-Konfiguratin des VPN-Tunnels durch die eigentlich falsche Konfiguration der Wlan-Schnittstelle &uumlberschrieben wird.

W&uumlrde schon vor Aufbau der VPN-Verbindung ein offener DNS-Server genutzt werden, w&uumlrde dies zu zwei unsch&oumlnen Effekten f&uumlhren. Erstens w&uumlrde guy wahnsinnig, weil guy denkt, guy sei im Internet, aber kann keine Seite erreichen, und zweitens kann die Hinweisseite durch living room Anleitungen nicht angezeigt werden.

Wenn guy durch dem Wlan TU-Berlin_VPN oder VPN/WEB verbunden ist ohne einen VPN-Tunnel aufgebaut zu haben, wird guy immer auf die Tubit-Anleitung Seite geleitet.
Ist der DNS-Server des Tunnels falsch konfiguriert, wir guy auch nachdem die VPN Verbindung errichtet ist zu dieser Seite weitergeleitet.
Bricht der Tunnel zusammen, wird guy auch entsprechend weitergeleitet.

Guy kann versuchen, nach dem Aufbau der VPN-Verbindung die DNS-Server manuell fest vorzugeben, indem guy an erster Stelle living room f&uumlr externe Adressen zust&aumlndigen Server setzt und an die zweite Stelle living room Server, der die vpn-server adresse aufl&oumlsen kann. Der erste Server ist hier der von der TU-Berlin – er ist auf jeden Fall der am schnellsten erreichbare.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>