WPA-Supplicant konfigurieren

Beitrag von **BeS** » 05.02.2006 18:36:42

Hallo,
ich habe gerade so meine Probleme mit wpa-supplicant. Irgendwie finde ich in der Dokumentation und der Beispiel-config nicht 100% das was ich suche (oder ich sehe es einfach nicht).

Hier mal was ich habe bzw. was ich brauche:

Die Netzwerkauthentifizierung muß auf "offen" gestellt sein und als Datenverschlüsselung muß WEP (mit automatisch bereitgestelltem Schlüssel) oder WPA/WPA2/CCKM mit EAP Typ EAP/TLS eingestellt werden. (Ich denke WEP ist vielleicht "problemloser")

Ansonsten habe ich ein PKCS#12 Zertifikat (foo.cert.p12) und eine Passphrase für den privaten key (ist private-key == Zertifikat?) und ein export/import Passwort.

Hat mir jemand ein Tip wie ich das am besten konfigurieren kann oder einen passenden link? Irgendwie habe ich gerade überhaupt keine Ahnung wie ich da vorgehen soll.

Danke!

H4kk3r · Beitrag von **H4kk3r** » 05.02.2006 18:40:07

Bei WEP kommt man ohne den supplicant aus.

/etc/network/interfaces:

Code: Alles auswählen

iface eth1 inet dhcp
wireless_mode managed
wireless_essid WLAN
wireless_channel 6
wireless_key open s:1234567891011

Beitrag von **BeS** » 05.02.2006 18:44:07

Und was mache ich mit dem Zertifikat?
Den "wireless_key" habe ich ja auch nicht...

comes · Beitrag von **comes** » 05.02.2006 18:45:43

jaja,das leidige wpa_supplicant problem...
hatte ich auch neulich..

hier das, was mir geholfen hat:
http://wiki.ubuntuusers.de/WLAN/Verschl%C3%BCsselung

viel erfolg

Beitrag von **BeS** » 05.02.2006 19:08:39

Danke comes, werde das morgen mal an der Uni ausprobieren.

Allerdings habe ich noch ein paar Fragen:

Hiermit:

wpa_passphrase <SSID des Netzes> <WPA Schlüssel>

soll ein verschlüsselter psk erstellt werden. Da ich aber kein WPA Schlüssel habe aber bereits ein PKCS#12 Zertifikat kann ich diesen Schritt überspringen, richtig?

In der /etc/wpa_supplicant.conf gibt es dann diese Zeile:

psk=Verschlüsselter PSK Key den wir oben erzeugt haben

ist damit das Zertifikat gemeint? ich setze für psk also den Pfad zu meinem Zertifikat, richtig?

Was mache ich dann mit meinen beiden Passwörtern, brauch ich die überhaupt irgendwann mal?

Beitrag von **Meillo** » 05.02.2006 19:09:20

ich habe es nach dieser Anleitung gemacht:

WPA
here the things you need to get WPA working.

1. first be sure you have the newest ipw2200 and ieee80211 drivers.
2. the ipw2200 module needs a special parameter. create the file /etc/modprobe.d/ipw2200 with this contents:

options ipw2200 hwcrypto=0

and run update-modules. now every time the module is loaded, the parameter will be set. (this is only needed if you use a kernel > 2.6.13)
3. next install the package wpasupplicant. (i use the version from unstable)
4. use the tool wpa_passphrase <ssid> [passphrase] to generate the crypted psk (pre shared key).
5. the wpa_suplicant configfile /etc/wpa_supplicant.conf should look a little bit like this:

ctrl_interface=/var/run/wpa_supplicant
eapol_version=1
ap_scan=1
ctrl_interface_group=0
fast_reauth=1

network={
ssid="whateveryouwant"
priority=5
proto=RSN
key_mgmt=WPA-PSK
pairwise=CCMP
group=CCMP
#psk="blub"
psk=bulb
}

6. at last you need to adjust the file /etc/default/wpasupplicant. note the wpasupplicant driver wext. if you want to use wpa, don't set the ipw driver.

# /etc/default/wpasupplicant

ENABLED=1
OPTIONS="-w -D wext -i eth1 -c /etc/wpa_supplicant.conf"

(siehe http://www.downgra.de/x20/ )

comes · Beitrag von **comes** » 05.02.2006 19:14:21

ne, nicht ganz...

PSK schlüssel, ist halt der schlüssel der für das netzwerk zuständig ist.. die passphrase.
bsp. du verschlüsselst dein Wlan netz auf WPA basis und gibt die passphrase "Hallo_kennwort" ein.
dann trägst du hinter psk="Hallo_kennwort" ein ODER psk=<hallo_kennwort_verschlüsselt>

bsp.
wpa_passphrase linksys Hallo_kennwort

Code: Alles auswählen

network={
        ssid="linksys"
        #psk="Hallo_kennwort"
        psk=b68a5089b9efc5f1f1cb551c080297209d5fcc7000d8ee1b40e3d4ed16043ac2
}

^^ das kommt in die wpa_supplicant.conf

123456 · Beitrag von **123456** » 05.02.2006 19:20:59

Kann es sein, daß Du Dich in der Uni anmelden willst. Ich erinnere mich an einen anderen Thread, in dem ich Dir xsupplicant empfohlen habe. Ersatzweise habe ich wpasupplicant genannt, weil der das Protokoll auch sprechen sollte.

So wie Du das jetzt einsetzen willst - macht das wahrscheinlich so keiner...Wir nutzen die psk Methode mit der Umwandlung der Passphrase.

tylerD · Beitrag von **tylerD** » 05.02.2006 19:23:05

In Sid gibt es neuerdings wpagui, vielleicht bekommst du es ja damit konfiguriert.

Gruß,
Mirko

Beitrag von **BeS** » 05.02.2006 19:26:22

@comes:
OK, also verwende ich da quasi den Passphrase für den privaten key, dann ist der schonmal untergebracht. Aber wo kommt dann das Zertifikat mit seinem import/export Passwort zum Einsatz?

@ub13:
ja genau. Allerdings hat man mir an der Uni wpa-supplicant dafür empfohlen. Aber wenn du mir eine Lösung mit xsupplicant hast,nehme ich die natürlich auch gerne an.

comes · Beitrag von **comes** » 05.02.2006 19:30:27

BeS hat geschrieben:@comes:
OK, also verwende ich da quasi den Passphrase für den privaten key, dann ist der schonmal untergebracht. Aber wo kommt dann das Zertifikat mit seinem import/export Passwort zum Einsatz?

dies nun wiederrum kann ich dir nicht sagen, da bei mir dies so nicht zum einsatz kommt.. mein WLan karte kann nur wpa-TKIP.. und da kommt das so nicht zum einsatz

123456 · Beitrag von **123456** » 05.02.2006 19:39:12

BeS hat geschrieben:ja genau. Allerdings hat man mir an der Uni wpa-supplicant dafür empfohlen. Aber wenn du mir eine Lösung mit xsupplicant hast,nehme ich die natürlich auch gerne an.

Na wenns mit wpasupplicant gehen soll, musst Du nur noch die Doku lesen.

Wie schon gesagt gibt es Erfahrungen mit dem umgewandelten psk Key und nicht mit Zertifikaten.

Damals habe ich Dir in dem Thread Links zu xsupplicant genannt. Den musst Du einfach wieder auskramen. Eingesetzt habe ich das selbst noch nicht...

comes · Beitrag von **comes** » 05.02.2006 19:44:19

http://www.debianforum.de/forum/viewtopic.php?t=59773

123456 · Beitrag von **123456** » 05.02.2006 19:52:06

Der Link könnte Dir weiterhelfen:
http://www.fh-brandenburg.de/654.3.html
Das ist zwar nicht 100%, was Du suchst, aber mit Deiner Transferleistung...

Beitrag von **BeS** » 05.02.2006 19:55:21

Also langsam habe ich so meine Zweifel ob das wirklich mit wpa-supplicant geht. Ich habe mir jetzt mal die GUI von tylerD angesehen. Egal welche Authentifikation ich wähle, es gibt immer nur "None", "WEP", "TKIP" und "CCMP" als Auswahl für die Verschlüsselung. Das sieht alles nicht nach dem Zertifikat aus, dass ich hier habe...

@ub13: Werde ich mir gleich mal ansehen.

123456 · Beitrag von **123456** » 13.02.2006 15:51:07

Da ich davon ausgehe, daß Du das inzwischen lauffähig hast, könntest Du die "wpa_supplicant.conf" mit den entsprechenden Parametern für einige Interessierte, die das Problem in der Zukunft auch haben doch hier aufschreiben...

Beitrag von **BeS** » 13.02.2006 21:43:55

Wenn ich eine Lösung gefunden hätte, dann würde sie hier schon stehen.

Ich habe eine config gefunden die zumindest nicht schlecht aussieht. Es geht aber trotzdem nicht.

Das Problem ist, dass diese Methode an sich noch relativ fehleranfällig ist. Es gibt damit z.B. auch oft Probleme bei einem falschen (zu alten) Treiber oder mit Firmware welches das ganze noch nicht richtig unterstützt. Alles in allem gibt es zu viele Fehlerquellen um wirklich herauszufinden woran es liegt, weswegen ich mein Vorhaben vorerst auf Eis gelegt habe. Es macht ja wenig Sinn tagelang an der config rum zu spielen und am Ende liegt das Problem beim Treiber oder beim Firmware.

123456 · Beitrag von **123456** » 13.02.2006 21:56:30

Was ist denn mit den Uni-Buben, die Dir gesagt haben, daß es mit wpasupplicant gehen soll? Die sollten es ja wissen - oder war das wieder so ein theoretisches Uni Wissen?

Treiber und Firmware kannst Du ja mit irgendeinem Router testen, der WPA spricht. Wenn das funktioniert, sollte das mit den Zertifikaten eigentlich auch gehen.

Beitrag von **BeS** » 13.02.2006 22:11:35

ub13 hat geschrieben:Was ist denn mit den Uni-Buben, die Dir gesagt haben, daß es mit wpasupplicant gehen soll? Die sollten es ja wissen - oder war das wieder so ein theoretisches Uni Wissen?

keine Ahnung wer das genau war. Ich habe diese Infos zusammen mit dem Zertifikat bekommen.
Ich glaube, dass das noch kaum jemand wirklich verwendet. Die meisten werden wohl mit der Standardlösung (cisco-vpn) zufrieden sein. Ich habe in dieser neuen Methode die Chance gesehen endlich den proprietären cisco client los zu werden. Naja, das war wohl erstmal nichts.

Treiber und Firmware kannst Du ja mit irgendeinem Router testen, der WPA spricht. Wenn das funktioniert, sollte das mit den Zertifikaten eigentlich auch gehen.

Das Problem ist nur, dass dieser "irgendeinem Router" nicht existiert. Ausserdem kann es ja auch möglich sein, dass Treiber/Firmware nur mit dieser speziellen Methode Probleme haben. Dann würde mich so ein Testrouter auch nicht weiter bringen. Ein Fortschritt wäre es, wenn ich eine Konfiguration hätte von der ich wüsste das sie richtig ist. Aber wenn man im Internet sucht findet man so gut wie nichts zu diesen komischen Zertifikaten.

Warum muss man auch immer so exotische Sachen machen. VPN geht nur mit cisco und speziellen Zertifikaten und jetzt kommt die nächste exotische Lösung, die auch fast niemand kennt/nutzt.

Beitrag von **BeS** » 03.07.2006 17:40:14

Hallo,
ich hatte wiedermal etwas Zeit mich mit dem Problem zu beschäftigen.
Ich habe erstmal dieses PKCS#12 Zertifikat in ein ca-cert, user-cert und die schlüssel zerlegt.

Code: Alles auswählen

openssl pkcs12 -in schiesbn.cert.p12 -nokeys -cacerts -out ca.pem
openssl pkcs12 -in schiesbn.cert.p12 -nokeys -clcerts -out user.pem
openssl pkcs12 -in schiesbn.cert.p12 -nocerts -nodes -out keys.pem

Die /etc/wpa_supplicant.conf sieht dann so aus:

Code: Alles auswählen

ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=0

eapol_version=1
ap_scan=1
fast_reauth=1

network={
        ssid="infeap"
        scan_ssid=1
        key_mgmt=WPA-EAP
        pairwise=CCMP TKIP
        group=CCMP TKIP
        eap=TLS
        identity="meine-user-id"
        ca_cert="/etc/cert/ca.pem"
        client_cert="/etc/cert/user.pem"
        private_key="/etc/cert/keys.pem"
 }

Die Meldung sieht auch relativ vielversprechend aus, allerdings bricht das ganze am Ende dann doch ab, wie man hier sehen kann:

Code: Alles auswählen

ifup ath0
Internet Systems Consortium DHCP Client V3.0.3
Copyright 2004-2005 Internet Systems Consortium.
All rights reserved.
For info, please visit http://www.isc.org/products/DHCP

Listening on LPF/ath0/00:05:4e:4c:30:45
Sending on   LPF/ath0/00:05:4e:4c:30:45
Sending on   Socket/fallback
Trying to associate with 00:12:43:48:27:33 (SSID='infeap' freq=2412 MHz)
Associated with 00:12:43:48:27:33
CTRL-EVENT-EAP-STARTED EAP authentication started
OpenSSL: pending error: error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error
OpenSSL: pending error: error:140C800D:SSL routines:SSL_use_certificate_file:ASN1 lib
OpenSSL: pending error: error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag
OpenSSL: pending error: error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error
OpenSSL: pending error: error:0D09A00D:asn1 encoding routines:d2i_PrivateKey:ASN1 lib
OpenSSL: pending error: error:140CB00D:SSL routines:SSL_use_PrivateKey_file:ASN1 lib
CTRL-EVENT-EAP-METHOD EAP method 13 (TLS) selected
CTRL-EVENT-EAP-SUCCESS EAP authentication completed successfully
ioctl[SIOCSIWENCODEEXT]: Operation not supported
WPA: Key negotiation completed with 00:12:43:48:27:33 [PTK=TKIP GTK=WEP-104]
CTRL-EVENT-CONNECTED - Connection to 00:12:43:48:27:33 completed (auth)
ioctl[SIOCSIWENCODEEXT]: Operation not supported
WPA: Group rekeying completed with 00:12:43:48:27:33 [GTK=WEP-104]
CTRL-EVENT-DISCONNECTED - Disconnect event - remove keys

Kann vielleicht jemand mit den Fehlermeldungen was anfangen und hat eine Idee was da schief geht?

Danke!