Eduroam (WLAN): Unterschied zwischen den Versionen

Aus Fachschaft_Informatik
Zur Navigation springen Zur Suche springen
Keine Bearbeitungszusammenfassung
 
(33 dazwischenliegende Versionen von 20 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
Am [[Hauptcampus]] gibt es W-LAN vom [[RRZ]]. Am Informatikum auch. Am Informatikum gab es früher ein W-LAN vom [[RZ]], aber dies wurde zwischenzeitlich abgeschafft und durch das W-LAN vom [[RRZ]] ersetzt. Es gibt drei Möglichkeiten, das WLAN zu nutzen.
== Allgemeines ==


== Unverschlüsseltes WLAN ==
=== Möglichkeiten zur Verbindung ins Internet ===


Um das unverschlüsselte WLAN zu benutzen, verbindest du dich mit dem WLAN mit der SSID ''UHH''. Bevor du die Netzdienste des RRZ und das Internet nutzen kannst, ist eine [[RRZ#WLAN|Anmeldung am Gateway des RRZ]] notwendig. Leider sind auch nach der Anmeldung viele Ports gesperrt bzw. du musst zunächst einen Proxy-Server einrichten. Um das zu vermeiden, kannst du [[Verbindungen#Von irgendeiner Internetverbindung|VPN nutzen oder einen Tunnel ins Informatik-RZ]] aufbauen.
* Eduroam (empfohlen)
* [[VPN]] über Ethernet-Dose
* [[VPN]] über ESSID '''UHH''' (offen)
* Mitarbeiternetz-Steckdose, DHCP


== Verschlüsseltes WLAN ==
=== Über Eduroam ===


Wer es sicherer mag, verbindet sich mit dem WLAN mit der SSID ''UHH-WPA''. Es wird ''WPA2 Enterprise'' genutzt. Auf den [http://www.rrz.uni-hamburg.de/kommunikation/wlan-oeffnet-vpn/uhh-wpa.html Internetseiten des RRZ] gibt es Anleitungen für Windows und Mac OS. Unter Linux (speziell Debian/Ubuntu) geht das mit NetworkManager 0.7 oder höher (seit Ibex) so:
Das Eduroam ('''edu'''cation '''roam'''ing) ist ein weltweit angebotenes Netz, das an besonderen Standpunkten Internetzugang ermöglicht. Viele Universitäten ermöglichen somit Studenten aus allen anderen teilnehmenden Universitäten unkomplizierten Zugang.


Zur Einrichtung benötigt man ein Telekom-Zertifikat wofür man also erst mal Netz braucht um das Netz einzurichten. *d'oh*
Durch die Verwendung von Eduroam bei uns am Informatikum wird das VPN entlastet, sodass alles seit einiger Zeit gefühlt besser läuft. Falls das eduroam bei euch nicht funktioniert oder ihr keinen RRZ-Account habt, könnt ihr euch über die ESSID '''UHH''' (offen) und per [[VPN]] ins Internet einwählen.


# [http://www.pki.dfn.de/fileadmin/PKI/zertifikate/deutsche-telekom-root-ca-2.pem Telekom Rootzertifikat] herunterladen. (s. auch das [https://fsr.mafiasi.de/index.php?/archives/26-Neue-Zertifikate.html Blog])
== Konfiguration ==
# Im Networkmanager mit dem WLAN UHH-WPA verbinden.
<!-- TODO: [[Datei:AndroidEduroam.jpg|thumb|Konfiguration von Eduroam in Android]] -->
# In der aufpoppenden Eingabemaske folgende Einstellungen wählen:
## Sicherheit: '''WPA2 & WPA2 Enterprise'''
## Authentifizierung: '''Tunneled TLS'''
## Anonyme Identität: '''anonymous@uni-hamburg.de'''
## CA-Zertifikat: das oben heruntergeladene Telekom Rootzertifikat
## Innere Authentifizierung: '''PAP'''
## Benutzername: Deine RRZ-Kennung mit ''''@uni-hamburg.de'''' (also z.B. 'bacd1234@uni-hamburg.de')
## Passwort: Dein RRZ-Kennwort
# Für HTTP(S) Proxy einrichten: http://proxy.rrz.uni-hamburg.de:3128/ oder mit dem automatischen Proxy Konfigurationsskript unter http://wpad.uni-hamburg.de/wpad.dat. Im Firefox funktioniert auch die Auto-Detect-Einstellung.
# Enjoy!


Falls man die wpa_supplicant.conf per Hand Pflegen möchte:
Hier sind die offiziellen Anleitungen des Rechenzentrums zu finden: [https://www.rrz.uni-hamburg.de/beratung-und-kontakt/anleitungen.html#v-4635867]
 
Mit diesen Daten könnt ihr euer Windows, Mac OS oder Linux System konfigurieren.
 
;Sicherheit: WPA/WPA2 Enterprise
;Authentifizierung: Tunneled TLS (TTLS)
;Innere Authentifizierung: PAP
;Anonyme Identität: anonymous@uni-hamburg.de
;Benutzername: <Stine-[[Kennung]]>@uni-hamburg.de (also z.B. 'BAX1234@uni-hamburg.de')
;Passwort: Dein Stine-Kennwort (Achtung: nicht das Kennwort der Informatik-Kennung!)
;CA-Zertifikat in der inneren(!) Authentifizierung: Universitaet Hamburg Internal CA, [https://www.rrz.uni-hamburg.de/services/sicherheit/pki/uhh-ca-daten/cacert.crt]
 
 
=== Konfigurationsdatei für netctl ===
 
Hier eine fertige Konfiguration für netctl (z.B. Arch Linux)
 
Description='eduroam'
Interface='wlp4s0'
Connection='wireless'
IP='dhcp'
ESSID='eduroam'
Security='wpa-configsection'
WPAConfigSection=(
    'ssid="eduroam"'
    'key_mgmt=WPA-EAP'
    'eap=TTLS'
    'proto=WPA RSN'
    'identity="bax1234@uni-hamburg.de"'
    'anonymous_identity="anonymous@uni-hamburg.de"'
    'password="arnorofl"'
    'ca_cert2="/pfad/zum/zertifikat.crt"'
    'phase2="auth=PAP"'
)
 
 
=== Konfigurationsdatei für WPA-Supplicant ===
 
Für wpa_supplicant Nutzer*innen und Fans hier die <tt>wpa_supplicant.conf</tt>:


  network={
  network={
ssid="UHH-WPA"  
    ssid="eduroam"
key_mgmt=WPA-EAP
    key_mgmt=WPA-EAP
eap=TTLS
    eap=TTLS
group=TKIP CCMP
    proto=WPA RSN
pairwise=TKIP CCMP
    phase2="auth=PAP"
ca_cert="/etc/ssl/certs/deutsche-telekom-root-ca-2.pem"
    anonymous_identity="anonymous@uni-hamburg.de"
identity="user@uni-hamburg.de" #RRZ Account nicht IRZ!
    identity="bax1234@uni-hamburg.de"
phase2="auth=PAP"
    password="foobar"
password="geheimespasswort"
    ca_cert2="/pfad/zum/zertifikat.crt"
priority=5 # je nachdem wieviele Netze man hat
  }
  }


=== Befehl für NetworkManager ===
Um sich per nmcli zu verbinden:
nmcli connection add \
    type wifi \
    con-name eduroam \
    802-11-wireless.ssid eduroam \
    802-11-wireless-security.key-mgmt wpa-eap \
    802-1x.anonymous-identity anonymous@uni-hamburg.de \
    802-1x.identity "bax1234@uni-hamburg.de" \
    802-1x.ca-cert /pfad/zum/zertifikat.crt \
    802-1x.eap ttls \
    802-1x.password "foobar" \
    802-1x.phase2-auth pap
=== IWD ===
Ersetze einfach <tt>$PASSWORD$</tt> und <tt>$BAV_KENNUNG$</tt> und wenn nötig den [[#Konfiguration|Pfad zum Zertifikat]].
Speichere die Datei dann als <tt>/var/lib/iwd/eduroam.8021x</tt>:
[Security]
EAP-Method=TTLS
EAP-Identity=anonymous@uni-hamburg.de
EAP-TTLS-CACert=''/pfad/zum/zertifikat.pem''
EAP-TTLS-Phase2-Method=Tunneled-PAP
EAP-TTLS-Phase2-Identity='''$BAV_KENNUNG$'''@uni-hamburg.de
EAP-TTLS-Phase2-Password='''$PASSWORD$'''
[Settings]
AutoConnect=true
=== Template für Wicd-Client ===
Nutzer des Netzwerkmanagers Wicd nutzen wahrscheinlich die Anwendung Wicd-Client um neue Netzwerkverbindungen einzurichten. Um dies zu erleichtern werden Netzwerkprofile für verschiedenste Authentifizierungsverfahren angeboten. Falls die von Eduroam verwendete Konfiguration in ihrer Linux Distribution nicht als Profil verfügbar ist, kann das folgende Template manuell eingerichtet werden.
name = eduroam-mafiasi-wiki
author = Mirko Hartung
version = 1
require identity *Identity ca_cert *Path_to_CA_Cert anonymous_identity *Anonymous_Identity password *Password
protected password *Password
-----
ctrl_interface=/var/run/wpa_supplicant
network={
        ssid="$_ESSID"
        key_mgmt=WPA-EAP
        proto=WPA RSN
        eap=TTLS     
        phase2="auth=PAP"
        anonymous_identity="$_ANONYMOUS_IDENTITY"
        identity="$_IDENTITY"
        password="$_PASSWORD"
        ca_cert2="$_CA_CERT"
}
Speichern sie die Zeilen als Datei unter <tt>/etc/wicd/encryption/templates/eduroam-mafiasi-wiki</tt>. Es werden root Berechtigungen benötigt. Um das Profil zu aktivieren muss in der Datei <tt>/etc/wicd/encryption/templates/active</tt> eine Zeile mit dem Namen des gerade erstellen Profils angefügt werden.
root@debian:/etc/wicd/encryption/templates# echo "eduroam-mafiasi-wiki" >> active
=== Konfigurations-Skript: Linux ===
Alternativ kann man auch das Configuration Assistant Tool (python script) benutzen: [https://cat.eduroam.org/user/API.php?action=downloadInstaller&api_version=2&lang=de&device=linux&profile=5272]
'''Wichtig:''' Nicht vergessen am Ende des Benutzernamens <code>@uni-hamburg.de</code> anzuhängen.
=== Android ===
* EAP-Methode: TTLS
* Phase-2-Authentifizierung: PAP
* CA-Zertifikat: Systemzertifikate verwenden
* Domain: uni-hamburg.de
* Identität: <STiNE-Kennung>@uni-hamburg.de (z.B. bbd1234@uni-hamburg.de)
* Anonyme Identität: anonymous@uni-hamburg.de
* Passwort: STiNE-Passwort
* Minimal TLS version: 1.1


=== WPA-TTLS + PAP auf N900 ===
Eine veraltete Anleitung für Android findet man hier: [https://www.rrz.uni-hamburg.de/services/netz/wlan/wlan-android.html]
Die Firmware (PR1.2) kann zwar die erforderlichen Protokolle sprechen, jedoch gibt es keinen so richtig komfortablen Weg, das zu konfigurieren.
Der relevante Bugreport ist hier: https://bugs.maemo.org/show_bug.cgi?id=1635


Ich empfehle, das dort [https://bugs.maemo.org/show_bug.cgi?id=1635#c107|aufgelistete Tool] "[[Datei:WLAN/N900-WLAN-Tool|WLAN Tool]]" zu installieren (leider gibt es keinen Code. Wer eine Wochenendbeschaeftigung braucht, darf es gerne reimplementieren). Das erleichtert im Folgenden das Setup.
=== iOS ===


Es gibt mehrere Moeglichkeiten, aber in jedem Fall muss das Wireless erstmal wiefolgt aufgesetzt werden:
Unter [https://www.rrz.uni-hamburg.de/de/services/netz/wlan/wlan-ios.html] findet man eine Anleitung, sowie ein Konfigurations-Skript, das man nur herunterladen und ausführen muss, um auch auf seinem Apfeltelefon Eduroam nutzen zu können.


* Settings -> Internet Connections -> Connections -> New
=== OS X ===
* Connection Name: "UHH-WPA"; Next; No (Do not scan for networks, you probably could, though)
* SSID: "UHH WPA"; Untick "Network is hidden" checkbox; Mode: "Infrastructure"; Security Method: "WPA with EAP"; Next
* EAP type: "TTLS"
* Certificate: "None" (It asks for the *client* certificate)


Nun gibt es im Wesentlichen zwei Moeglichkeiten.
Eine Anleitung für OS X findet man hier: [https://www.rrz.uni-hamburg.de/services/netz/wlan/wlan-osx.html]


# GConf
=== Windows ===
** EAP Method: "EAP MSCHAPv2"
** Weiter wie in der GUI Methode beschrieben
** [https://bugs.maemo.org/show_bug.cgi?id=1635#c63] folgen, also Terminal aufmachen (Ctrl+Shift+X) und bspw. 'gconftool-2 --all-dirs /system/osso/connectivity/IAP' um die IAP Adresse herauszufinden und dann "gconftool-2 --set --type int '/system/osso/connectivity/IAP/<your just made IAP id here>/PEAP_tunneled_eap_type' '98'"
"
# GUI
** EAP Method: "EAP PAP"; Next
** User name: Dein RRZ account, bspw. "iney028@uni-hamburg.de"
** Password: Dein RRZ Passwort, bspw. "password"
** Next
** Advanced
** EAP -> Tick "Use manual user name"; Manual user name: "anonymous@uni-hamburg.de"
** Proxies -> Tick "User Proxy" checkbox; For all fields: "http://proxy.rrz.uni-hamburg.de:3128/"


== Eduroam ==
Anleitungen und Konfigurations-Skripte für Windows findet man auf der Seite des RRZ:
=== Generelles ===
Gäste, deren Universitäten Mitglied im [http://www.eduroam.org/ eduroam-Verbund] sind, können sich mit dem WLAN ''eduroam'' verbinden. Infos zur Einrichtung gibt es von der Heimat-Universität.


Man kann auch die Informatikums- und RRZ-Accounts über eduroam nutzen - '''neuerdings auch am Ikum und an der gesamten Uni''' und an jedem Standort, der eduroam unterstützt. Das Beste daran ist, dass die Config von überall gleich sein sollte. Funktioniert sie so wie unterhalb dokumentiert an einem Standort ''nicht'', ist das höchstwahrscheinlich eine Fehlkonfiguration vor Ort.
* Windows 10: [https://www.rrz.uni-hamburg.de/services/netz/wlan/wlan-win10.html]
* Windows 8.1: [https://www.rrz.uni-hamburg.de/services/netz/wlan/wlan-win8.html]
* Windows 7: [https://www.rrz.uni-hamburg.de/services/netz/wlan/wlan-win7.html]


=== RRZ-Account ===
# Sicherheit: WPA2 & WPA2 Enterprise
# Authentifizierung: Tunneled TLS
# Anonyme Identität: anonymous@uni-hamburg.de
# CA-Zertifikat: das oben heruntergeladene Telekom Rootzertifikat
# Innere Authentifizierung: PAP
# Benutzername: Deine RRZ-Kennung mit '@uni-hamburg.de' (also z.B. 'bacd1234@uni-hamburg.de')
# Passwort: Dein RRZ-Kennwort


[[Kategorie:Rechenzentrum]]
[[Kategorie:Rechenzentrum]]
[[Kategorie:HOWTO]]
[[Kategorie:HOWTO]]

Aktuelle Version vom 28. Februar 2024, 19:04 Uhr

Allgemeines[Bearbeiten]

Möglichkeiten zur Verbindung ins Internet[Bearbeiten]

  • Eduroam (empfohlen)
  • VPN über Ethernet-Dose
  • VPN über ESSID UHH (offen)
  • Mitarbeiternetz-Steckdose, DHCP

Über Eduroam[Bearbeiten]

Das Eduroam (education roaming) ist ein weltweit angebotenes Netz, das an besonderen Standpunkten Internetzugang ermöglicht. Viele Universitäten ermöglichen somit Studenten aus allen anderen teilnehmenden Universitäten unkomplizierten Zugang.

Durch die Verwendung von Eduroam bei uns am Informatikum wird das VPN entlastet, sodass alles seit einiger Zeit gefühlt besser läuft. Falls das eduroam bei euch nicht funktioniert oder ihr keinen RRZ-Account habt, könnt ihr euch über die ESSID UHH (offen) und per VPN ins Internet einwählen.

Konfiguration[Bearbeiten]

Hier sind die offiziellen Anleitungen des Rechenzentrums zu finden: [1]

Mit diesen Daten könnt ihr euer Windows, Mac OS oder Linux System konfigurieren.

Sicherheit
WPA/WPA2 Enterprise
Authentifizierung
Tunneled TLS (TTLS)
Innere Authentifizierung
PAP
Anonyme Identität
anonymous@uni-hamburg.de
Benutzername
<Stine-Kennung>@uni-hamburg.de (also z.B. 'BAX1234@uni-hamburg.de')
Passwort
Dein Stine-Kennwort (Achtung: nicht das Kennwort der Informatik-Kennung!)
CA-Zertifikat in der inneren(!) Authentifizierung
Universitaet Hamburg Internal CA, [2]


Konfigurationsdatei für netctl[Bearbeiten]

Hier eine fertige Konfiguration für netctl (z.B. Arch Linux)

Description='eduroam'
Interface='wlp4s0'
Connection='wireless'
IP='dhcp'
ESSID='eduroam'
Security='wpa-configsection'
WPAConfigSection=(
    'ssid="eduroam"'
    'key_mgmt=WPA-EAP'
    'eap=TTLS'
    'proto=WPA RSN'
    'identity="bax1234@uni-hamburg.de"'
    'anonymous_identity="anonymous@uni-hamburg.de"'
    'password="arnorofl"'
    'ca_cert2="/pfad/zum/zertifikat.crt"'
    'phase2="auth=PAP"'
)


Konfigurationsdatei für WPA-Supplicant[Bearbeiten]

Für wpa_supplicant Nutzer*innen und Fans hier die wpa_supplicant.conf:

network={
    ssid="eduroam"
    key_mgmt=WPA-EAP
    eap=TTLS
    proto=WPA RSN
    phase2="auth=PAP"
    anonymous_identity="anonymous@uni-hamburg.de"
    identity="bax1234@uni-hamburg.de"
    password="foobar"
    ca_cert2="/pfad/zum/zertifikat.crt"
}

Befehl für NetworkManager[Bearbeiten]

Um sich per nmcli zu verbinden:

nmcli connection add \
    type wifi \
    con-name eduroam \
    802-11-wireless.ssid eduroam \
    802-11-wireless-security.key-mgmt wpa-eap \
    802-1x.anonymous-identity anonymous@uni-hamburg.de \
    802-1x.identity "bax1234@uni-hamburg.de" \
    802-1x.ca-cert /pfad/zum/zertifikat.crt \
    802-1x.eap ttls \
    802-1x.password "foobar" \
    802-1x.phase2-auth pap

IWD[Bearbeiten]

Ersetze einfach $PASSWORD$ und $BAV_KENNUNG$ und wenn nötig den Pfad zum Zertifikat.

Speichere die Datei dann als /var/lib/iwd/eduroam.8021x:

[Security]
EAP-Method=TTLS
EAP-Identity=anonymous@uni-hamburg.de
EAP-TTLS-CACert=/pfad/zum/zertifikat.pem
EAP-TTLS-Phase2-Method=Tunneled-PAP
EAP-TTLS-Phase2-Identity=$BAV_KENNUNG$@uni-hamburg.de
EAP-TTLS-Phase2-Password=$PASSWORD$

[Settings]
AutoConnect=true

Template für Wicd-Client[Bearbeiten]

Nutzer des Netzwerkmanagers Wicd nutzen wahrscheinlich die Anwendung Wicd-Client um neue Netzwerkverbindungen einzurichten. Um dies zu erleichtern werden Netzwerkprofile für verschiedenste Authentifizierungsverfahren angeboten. Falls die von Eduroam verwendete Konfiguration in ihrer Linux Distribution nicht als Profil verfügbar ist, kann das folgende Template manuell eingerichtet werden.

name = eduroam-mafiasi-wiki
author = Mirko Hartung
version = 1
require identity *Identity ca_cert *Path_to_CA_Cert anonymous_identity *Anonymous_Identity password *Password
protected password *Password
-----
ctrl_interface=/var/run/wpa_supplicant
network={
       ssid="$_ESSID"
       key_mgmt=WPA-EAP
       proto=WPA RSN
       eap=TTLS       
       phase2="auth=PAP"
       anonymous_identity="$_ANONYMOUS_IDENTITY"
       identity="$_IDENTITY"
       password="$_PASSWORD"
       ca_cert2="$_CA_CERT"
}

Speichern sie die Zeilen als Datei unter /etc/wicd/encryption/templates/eduroam-mafiasi-wiki. Es werden root Berechtigungen benötigt. Um das Profil zu aktivieren muss in der Datei /etc/wicd/encryption/templates/active eine Zeile mit dem Namen des gerade erstellen Profils angefügt werden.

root@debian:/etc/wicd/encryption/templates# echo "eduroam-mafiasi-wiki" >> active

Konfigurations-Skript: Linux[Bearbeiten]

Alternativ kann man auch das Configuration Assistant Tool (python script) benutzen: [3]

Wichtig: Nicht vergessen am Ende des Benutzernamens @uni-hamburg.de anzuhängen.

Android[Bearbeiten]

  • EAP-Methode: TTLS
  • Phase-2-Authentifizierung: PAP
  • CA-Zertifikat: Systemzertifikate verwenden
  • Domain: uni-hamburg.de
  • Identität: <STiNE-Kennung>@uni-hamburg.de (z.B. bbd1234@uni-hamburg.de)
  • Anonyme Identität: anonymous@uni-hamburg.de
  • Passwort: STiNE-Passwort
  • Minimal TLS version: 1.1

Eine veraltete Anleitung für Android findet man hier: [4]

iOS[Bearbeiten]

Unter [5] findet man eine Anleitung, sowie ein Konfigurations-Skript, das man nur herunterladen und ausführen muss, um auch auf seinem Apfeltelefon Eduroam nutzen zu können.

OS X[Bearbeiten]

Eine Anleitung für OS X findet man hier: [6]

Windows[Bearbeiten]

Anleitungen und Konfigurations-Skripte für Windows findet man auf der Seite des RRZ:

  • Windows 10: [7]
  • Windows 8.1: [8]
  • Windows 7: [9]