[L-54g] wpa_supplicant Äquivalent

[peterttt]

Hallo Leute,

bei mir im Studentenheim muss ich mich per EAP-PEAP authentifizieren. Leider kann man auf dem Lancom L-54g weder openwrt/ddwrt oder ähnliches aufspielen. Wie kann ich also mit LCOS eine äquivalente Konfiguration erstellen:

Code: Alles auswählen

# wpa_supplicant mit EAP-PEAP ##################################
ctrl_interface=/var/run/wpa_supplicant
eapol_version=1
ap_scan=0
fast_reauth=1
network={
key_mgmt=WPA-EAP
eap=PEAP
identity="<login>"
password="<password>"
ca_cert="<Pfad zum Zertifikat der Deutschen Telekom AG>" 
phase2="auth=MSCHAPV2"
priority=10
}

Quelle: http://wwwhomes.uni-bielefeld.de/stwerk ... e_hardware

[alf29]

Moin,

Nur damit es keine Mißverständnisse gibt: das L-54 soll also als WLAN-Client laufen?

Als erste stellst Du das Gerät auf Client-Betrieb um. Für das erste logische Netz (das im Client-Modus zum ersten Profil wird) stellst Du die gewünschte SSID ein, und als Verschlüsselung WPA mit 802.1x, WPA-Version und -Schlüsseltypen nach Bedarf (kann erstmal auf dem Default bleiben), als Client-EAP-Methode PEAP/MSCHAPv2, und in das Feld, wo normalerweise die Passphrase reinkommt, trägst D

Code: Alles auswählen

<login>:<password>

ein, also Benutzernamen und Paßword durch einen Doppelpunkt getrennt. Den Rest (Kanäle, Landeseinstellung...) auch nach Bedarf und so wie im AP-Modus.

Das (Root-)CA-Zertifikat lädst Du über LANconfig oder die WEBconfig des Gerätes als EAP/TLS-Root-Zertifikat hoch. Für einen ersten Versuch kann man das aber auch weglassen, dann hat men erstmal keine mutual authentication.

Bitte auch zu beachten, daß eine Client-Verbindung gegen einen (nicht-LANCOM-)AP keine voll transparente Verbindung ergibt und das LANCOM allen Traffic hinter seiner WLAN-MAC maskieren muß.

Gruß Alfred

[peterttt]

Vielen Dank erstmal!

Nur damit es keine Mißverständnisse gibt: das L-54 soll also als WLAN-Client laufen?

WLAN-Client heißt, dass sich das L-54g per WLAN zum Netz verbindet? Dann nein, mir steht hier lediglich ein LAN-Verbindung zur Verfügung, bei der ich mich per oben beschriebener Methode authentifizieren muss.

Falls das doch der WLAN-Client-Modus ist: Wie stelle ich den Modus um? Ist das der HUB/NODE-Schalter? Und ich finde mich generell im Menü-Baum nicht zurecht, kannst du mir evtl. dazu die passenden Pfade angeben?

Vielen Dank nochmal!

[alf29]

Moin,

WLAN-Client heißt, dass sich das L-54g per WLAN zum Netz verbindet? Dann nein, mir steht hier lediglich ein LAN-Verbindung zur Verfügung, bei der ich mich per oben beschriebener Methode authentifizieren muss.

Äh...dann weiß ich nicht so ganz, was Deine Uni da macht. Bedeutet daß, daß auf den Ethernet-Ports 802.1X gemacht wird? Was willst Du dann überhaupt mit dem L-54 machen? 802.1X auf dem LAN ist zwar auch vorgesehen, aber ich weiß nicht, in welcher Form das 802.1X auf den Ethernet-Ports gemacht wird - wird der Port für alle MAC-Adressen freigeschaltet, sobald eine MAC-Adresse sich per 802.1X authentisiert, oder wird dann nur die einzelne MAC-Adresse freigeschaltet? In letzterem Falle käme dann nur das L-54 selber ins Uni-Netz, aber nicht Clients, die sich am WLAN des L-54 anmelden. Dann müßte man etwas basteln, was den ganzen Traffic der Clients hinter der MAC des L-54 maskiert (Stichwort DSLoL), und das verträgt sich wieder nicht mit 802.1X auf dem LAN...

Falls das doch der WLAN-Client-Modus ist: Wie stelle ich den Modus um? Ist das der HUB/NODE-Schalter?

Nein, das ist etwas ganz anderes. Damit kreuzt man nur die Tx- und Rx-Leitungen am Ethernet, so daß man kein Crossover-Kabel für eine Direktverbindung zu einem PC braucht.

Und ich finde mich generell im Menü-Baum nicht zurecht, kannst du mir evtl. dazu die passenden Pfade angeben?

Ich könnte Dir die entsprechenden Pfade für 802.1X auf dem LAN geben, aber - ganz offen gesprochen - wenn Du einen Node/Hub-Schalter am Ethernet mit der WLAN-Betriebsart in Verbindung bringst, dann wirst Du das ganze Konstrukt - egal wie es denn nun genau gemeint ist - nicht ohne fremde Hilfe zum Laufen bekommen - und zwar Hilfe vor Ort und nicht auf diesem Weg. 802.1X-Authentisierung gehört schon zu den 'höheren Weihen' der Netzwerktechnik, und ein L-54 ist primär eine LAN-Basistation, die Clients im WLAN mit dem LAN verbindet. Das LCOS in dem Gerät kann zwar auch eine Reihe Betriebsarten mehr, als für diesen einfachsten Betriebsfall notwendig sind, aber diese für den jeweiligen Anwendungsfall korrekt anzuwenden, erfordert ein gewisses Grundverständnis der Dinge, sowohl der verwendeten Netzwerkprotokolle als auch wie das LCOS im LANCOM funktioniert...

Wie bist Du überhaupt an das L-54 gekommen? LANCOMs sind ja nicht direkt Geräte, die man sich für kleines Geld als Studi kauft und wenn Du etwas von Node/Hub-Schalter schreibst, dann ist es schon ein älteres L-54 (neuere L-54 haben den gar nicht mehr...)? Falls Dir irgendjemand das Gerät in die Hand gedrückt hat, dann wäre es vielleicht sinnvoll, sich von dem auch Hilfe zu holen. Wir können hier Pingpong mit Kochrezepten spielen, aber damit werden wir beide denke ich nicht glücklich

Gruß Alfred

[peterttt]

Bedeutet daß, daß auf den Ethernet-Ports 802.1X gemacht wird?

Ja

Was willst Du dann überhaupt mit dem L-54 machen?

Einen WLAN Access Point einrichten, um ohne lästiges umstecken von LAN-Kabeln den Rechner zu wechseln und andere Mobilgeräte zu nutzen (Handy, Handheld).

802.1X-Authentisierung gehört schon zu den 'höheren Weihen' der Netzwerktechnik

Ja, das musste ich auch schon merken

Wie bist Du überhaupt an das L-54 gekommen?

Alt-Hardware aus dem Keller - *hust*wurde auf der Arbeit von meinem Bruder ausrangiert*hust*

Naja, schade ich dachte, ich könnte die Hardware benutzen, aber dann muss ich wohl einen gebrauchten AP kaufen, der openwrt oder ddwrt unterstützt. (Einen alten Laptop zum AP machen hat ja auch nicht funktioniert, weil es unter Linux ja nie die ganzen Treiber gibt. )

[alf29]

Moin,

Einen WLAN Access Point einrichten, um ohne lästiges umstecken von LAN-Kabeln den Rechner zu wechseln und andere Mobilgeräte zu nutzen (Handy, Handheld).

OK, damit wäre das Thema 'Client-Modus' ja schon mal vom Tisch. und es geht um 802.1X auf dem Ethernet. Die Einstellungen dafür finden sich auf der CLI unter /setup/LAN/IEEE802.1x/Supplicant-Ifc-Setup. Da ein L-54 genau nur ein Ethernet-Interface hat, hat die Tabelle nur eine Zaile (für LAN-1) und Du trägst die Methode und die Zugangsdaten so ähnlich ein, wie fürs WLAN beschrieben:

set LAN-1 PEAP/MSCHAPv2 <login>:<password>

Das Hinterlegen des CA-Zertifikats geht wie eingangs fürs WLAN beschieben, für einen ersten Versuch kann man das aber auch genauso weglassen. Unter /Status/LAN/IEEE802.1X/Supplicant/Ifc-State kann man dann nachschauen, ob sich etwas tut...

Naja, schade ich dachte, ich könnte die Hardware benutzen, aber dann muss ich wohl einen gebrauchten AP kaufen, der openwrt oder ddwrt unterstützt.

Auf die Frage, ob der Switch den Port komplett aufmacht oder nur für die MAC-Adresse, die die 802.1X-Authentisierung gemacht hat, wirst Du auch da laufen...

Gruß Alfred

[peterttt]

/Status/LAN/IEEE802.1X/Supplicant-Ifc-State spuckt mir leider nur

Code: Alles auswählen

Ifc     Method           State         Authenticator-Address
---------------------------------------------------------------
LAN-1   PEAP/MSCHAPv2    Unauthorized  000000000000

aus

Naja, schade ich dachte, ich könnte die Hardware benutzen, aber dann muss ich wohl einen gebrauchten AP kaufen, der openwrt oder ddwrt unterstützt.

Auf die Frage, ob der Switch den Port komplett aufmacht oder nur für die MAC-Adresse, die die 802.1X-Authentisierung gemacht hat, wirst Du auch da laufen...

Dafür habe ich eine idiotensichere Anleitung ^^ Das Problem ist einfach, dass ich mich mit Netzwerken sogar nicht auskenne

[martinw]

Hallo,

LANCOMs sind ja nicht direkt Geräte, die man sich für kleines Geld als Studi kauft

ich glaube, Du unterschätzt den Gebrauchtmarkt. Gerade L-54g sind quasi in beliebiger Stückzahl und Preisklasse zu haben.

Leider kann man auf dem Lancom L-54g weder openwrt/ddwrt oder ähnliches aufspielen.

Angesichts der verbauten Hardware wundert mich, dass das noch keiner versucht hat. Nicht, weil es wirklich notwendig wäre, sondern vielmehr, weil eigentlich alle Komponenten auch in WRT-unterstützten Geräten zu finden sind.



Viele Grüße
Martin

[alf29]

Moin,

/Status/LAN/IEEE802.1X/Supplicant-Ifc-State spuckt mir leider nur

die MAC-Adresse 000000000000 bedeutet, dass das LANCOM noch nicht einmal die MAC-Adresse des Switches gefunden hat, der die 802.1X-Authentisierung machen soll. Du koenntest mit einem Ethernet-Trace nachschauen, ob ueberhaupt jemand auf die EAPOL-Start-Pakete vom LANCOM reagiert. Beim Tracen von Ethernet-Paketen ueber Ethernet muss man nur aufpassen, dass man sich keinen "Schneeballeffekt" einfaengt (das serielle Outband-Kabel hast Du vermutlich nicht zur Hand?). Also per SSH (wichtig: SSH, nicht Telnet) auf dem Geraet einloggen und den Befehl 'trace # eth @ eapol' absetzen. Dann sollte man gelegentlich EAPOL-Start-Pakete vom LANCOM sehen (kann ein bisserl dauern, wenn der Supplicant in einen Timeout gelaufen ist). Wenn das Geraet keinerlei EAPOL-Pakete auf dem LAN empfaengt, dann stimmt irgendetwas mit der Aussage nicht, dass auf diesme Port 802.1X gemacht wird. Ansonsten wuerde ich gerne die Ausgaben sehen.

Gruss Alfred