[erleldigt] wpa_supplicant scheitert bei DHCP

[paedubucher]

Hallo Debian-Freunde,

Ich habe mir aus didaktischen Gründen ein Debian Wheezy ohne GUI installiert. Das kann ja gar nicht gutgehen, denken sich da wohl die anderen Forumsteilnehmer, und siehe da, paedubucher scheitert beim Einrichten vom WLAN mit wpa_supplicant. Meine Konfiguration:

/etc/wpa_supplicant/wpa_supplicant.conf (mithilfe von wpa_passphrase erzeugt)

Code: Alles auswählen

ctrl_interface=/var/run/wpa_supplicant
network={
	ssid="bucher"
	scan_ssid=1
	key_mgmt=WPA-PSK
	#psk="*******************"
	psk=*********************************************************
}

/etc/network/interfaces

Code: Alles auswählen

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug eth0
iface eth0 inet dhcp

auto wlan0
iface wlan0 inet dhcp
pre-up wpa_supplicant -B -D wext -i wlan0 -c /etc/wpa_supplicant/wpa_supplicant.conf -dd -f /home/paedubucher/wpa_supplicant.out
post-down killall -q wpa_supplicant

Ein /etc/init.d/networking restart ergibt dann das /home/paedubucher/wpa_supplicant.out.

Hier vielleicht noch die Ausgabe von ifconfig:

Code: Alles auswählen

eth0      Link encap:Ethernet  Hardware Adresse 60:eb:69:e3:c6:52  
          UP BROADCAST MULTICAST  MTU:1500  Metrik:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:1000 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
          Interrupt:40 Basisadresse:0x2000 

lo        Link encap:Lokale Schleife  
          inet Adresse:127.0.0.1  Maske:255.0.0.0
          inet6-Adresse: ::1/128 Gültigkeitsbereich:Maschine
          UP LOOPBACK RUNNING  MTU:16436  Metrik:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:0 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

wlan0     Link encap:Ethernet  Hardware Adresse 8c:a9:82:3e:93:0a  
          UP BROADCAST MULTICAST  MTU:1500  Metrik:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:1000 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

Das Interface wlan0 will schlussendlich nicht hochkommen, da DHCP auch nach mehreren Requests scheitert. Nun weiss ich nicht, wo ich ansetzen soll: Bei der Interface-Konfiguration oder bei den WPA-Einstellungen?

Vielen Dank für die Hilfe,
paedubucher

[delaytime0]

Im Log findet man einen proto-fehler auf Zeile 86/87.
Laut Konfig hast du auch keinen angegeben.
Dies sollte jedoch besser so sein.

Eventuell reicht das ja schon.

EDIT: Hier gibts jede Menge infos dazu: https://wiki.archlinux.org/index.php/WPA_supplicant

[paedubucher]

Im Log findet man einen proto-fehler auf Zeile 86/87.
Laut Konfig hast du auch keinen angegeben.

Das wäre dann sowas?

Code: Alles auswählen

proto=WPA

?

Probiere ich dan zu Hause aus...

[debianoli]

Am einfachsten erstellst du die wpa_supplicant.conf mit den Infos, die dir

Code: Alles auswählen

iwlist wlan0 scan

liefert. Da findest du zu jedem ssid die Infos zu Verschlüsselungsart etc.

Edit:
Dann kannst du den wpa_supplicant auch alleine mit der option -vv starten. Da siehst du, wo es hackt. in der /etc/network/interfaces definierst du dazu wlan0 als normale dhcp-schnittstelle

PS: wicd gibt es auch für die Konsole

[debnuxer]

Ich hatte auch mal Probleme mit der Configuration von dem wpa-supplicant.

Am Ende durfte ich nichts verändern und nur die /etc/network/interfaces anpassen, damit alles funktionierte.

Die sieht jetzt so aus:

Code: Alles auswählen

# The loopback interface
auto lo
iface lo inet loopback
# The eth interface 0
auto eth0
allow-hotplug eth0
iface eth0 inet dhcp
# The wlan interface 0
auto wlan0
allow-hotplug wlan0
iface wlan0 inet dhcp
wpa-ssid meinessid
wpa-psk meinpasswort

Noch ein Tipp:
Als TCP Algorithmus ist standartmäßig "cubic" eingestellt, was eher für server an dicken Kabeln optimal ist.
Der Algorithmus "westwood" ist aber auch für verlustbehaftete Verbindungsarten wie WLAN optimal.
Deshalb habe ich in die /etc/sysctl.conf folgendes eintragen:
net.ipv4.tcp_congestion_control=westwood

Seit dem läuft bei mir alles rund.

[paedubucher]

Hallo allerseits

Danke erstmal für die Anregungen.

Code: Alles auswählen

proto=WPA

Hat das Problem leider nicht behoben.

Die Ausgabe von iwlist lautet (was mein Netzwerk betrifft):

Code: Alles auswählen

          Cell 04 - Address: 00:1C:10:C1:28:FD
                    Channel:11
                    Frequency:2.462 GHz (Channel 11)
                    Quality=64/70  Signal level=-46 dBm  
                    Encryption key:off
                    ESSID:"bucher"
                    Bit Rates:1 Mb/s; 2 Mb/s; 5.5 Mb/s; 11 Mb/s; 6 Mb/s
                              12 Mb/s; 24 Mb/s; 36 Mb/s
                    Bit Rates:9 Mb/s; 18 Mb/s; 48 Mb/s; 54 Mb/s
                    ESSID:""
                    Mode:Master
                    Extra:tsf=0000000cc79b4181
                    Extra: Last beacon: 232ms ago
                    IE: Unknown: 0006627563686572
                    IE: Unknown: 010882848B960C183048
                    IE: Unknown: 03010B
                    IE: Unknown: 0706444520010D14
                    IE: Unknown: 2A0100
                    IE: Unknown: 32041224606C
                    IE: Unknown: 0000
                    IE: Unknown: B7BD94840000001800158B0000000001000024C84648D000000000000000001000058B000000000400000000000000

wobei mir die Zeile "Encryption key:off" etwas seltsam vorkommt.

@debnuxer:
Wenn ich das WPA-Passwort im interfaces-File angebe: Muss es dort im Klartext stehen? Bisher hat beides (Klartext und "verschlüsselt") nicht funktioniert.

Gibt es übrigens eine Möglichkeit, das nervtötende DHCPDISCOVER zu unterbrechen? Auf ^c scheint da keine Reaktion zu folgen, auch ^d hilft nichts... (EDIT: ^z bringt mich zwar auf die Konsole zurück, DHCPDISCOVER läuft aber im Hintergrund weiter.)

Am sonsten aber nichts neues, DHCP scheitert immer noch.

[rendegast]

Vielleicht
proto=RSN
resp.
proto=WPA2
?

wlan0: skip - no WPA/RSN proto match

Per default wird wohl beides versucht.
Wie ist Dein accesspoint eingestellt? Führt der nicht auch ein Log?
"wpa_ie_len=0 rsn_ie_len=0" im Gegensatz zu den anderen Netzen bedeutet "keine Verschlüsselung"?

Gibt iwlist Infos zu Verschlüsselung der anderen Netze?

[debnuxer]

@debnuxer:
Wenn ich das WPA-Passwort im interfaces-File angebe: Muss es dort im Klartext stehen? Bisher hat beides (Klartext und "verschlüsselt") nicht funktioniert.

Ja, im Klartext.

Gibt es übrigens eine Möglichkeit, das nervtötende DHCPDISCOVER zu unterbrechen? Auf ^c scheint da keine Reaktion zu folgen, auch ^d hilft nichts... (EDIT: ^z bringt mich zwar auf die Konsole zurück, DHCPDISCOVER läuft aber im Hintergrund weiter.)

"killall dhclient" sollte dann klappen.


Nach der iwlist-Ausgabe nutzt der AP keine Verschlüsselung, versuch es mal ohne Verschlüsselung oder guck im AP nach ob die wirklich noch eingestellt ist.


Mit der Option "wpa-driver wext" könnte man ggf. noch rumprobieren.
0: Der Treiber des Interfaces kümmert sich um das Scannen von Netzen und die AP-Auswahl.
1: wpa_supplicant kümmert sich um das Scannen von Netzen und die AP-Auswahl.
2: Fast wie 0, es wird aber mit Hilfe von Sicherheitsrichtlinien und der SSID zu APs verbunden (BSSID wird nicht unterstützt).
Normalerweise funktioniert entweder Modus 1 oder Modus 2.

[TRex]

Ich hatte auch mal Probleme mit der Configuration von dem wpa-supplicant.

Am Ende durfte ich nichts verändern und nur die /etc/network/interfaces anpassen, damit alles funktionierte.

Die sieht jetzt so aus:

Code: Alles auswählen

# The loopback interface
auto lo
iface lo inet loopback
# The eth interface 0
auto eth0
allow-hotplug eth0
iface eth0 inet dhcp
# The wlan interface 0
auto wlan0
allow-hotplug wlan0
iface wlan0 inet dhcp
wpa-ssid meinessid
wpa-psk meinpasswort

Das kann ich so bestätigen, läuft auch an meinem Rechner.

[wanne]

wobei mir die Zeile "Encryption key:off" etwas seltsam vorkommt.

Ja, deinem wpa_supplicant auch:

Code: Alles auswählen

wlan0: 3: 00:1c:10:c1:28:fd ssid='bucher' wpa_ie_len=0 rsn_ie_len=0 caps=0x1 level=-39
wlan0:    skip - no WPA/RSN proto match

Allso das netzwerk ist unverschlüsselt. Oder wird zumindest als solches erkannt. Deswegen verbindet ers ich er nicht. Du kannst ja mal proto wpa und
Kannst du vielleicht doch mal die ergebnisse zu: 'MSS-13995' 'jmm-59482_EXT' und 'jmm-59482' posten? werden die auch alle als unverschlüsselt erkannt?
du kannst ja mal das versuchen:

Code: Alles auswählen

network={
       key_mgmt=NONE
       ssid="bucher"
 }

Achso die Scan-Ausgabe scheint nicht so ganz zu stimmen:
da kommt zwei mal ESSID vor.

[uname]

Ich kenne einen kleinen Trick. Du könntest dir mal die Live-CD GRML (http://www.grml.org) anschauen. Leider kann es sein, dass du Version 2011.05 nehmen musst, da wohl in den neueren Version die unfreien Treiber fehlen. Zumindestens habe ich mit neueren Versionen Probleme (ipw2200).
Egal. GRML hat eine textuelle GUI mit der man das WLAN konfigurieren kann. Das funktioniert sehr gut. Und vor allem wird am Ende die Konfiguration in /etc/network/interfaces reingeschrieben Das kann man dann schön klauen.

[debianoli]

Lass die Arbeit doch wicd auf der Konsole machen: wicd-curses

Ist dein Wlan-Treiber aktuell? Öfters ist das dann der eigentliche Grund, wenn es mit WPA nicht klappt.

[paedubucher]

So, jetzt läuft das Ding. Die WPA2-Verschlüsselung ist wirklich für kurze Zeit ausgefallen, die habe ich dann wieder aktiviert, das war aber nicht das Problem. Das Problem war die Angabe "proto=WPA", die ich in "proto=WPA2" ändern musste. Hier meine Konfigurationsdateien:

interfaces

Code: Alles auswählen

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug eth0
iface eth0 inet dhcp

# The wifi network interface
auto wlan0
allow-hotplug wlan0
iface wlan0 inet dhcp

pre-up rm -f /tmp/wpa_supplicant.out
pre-up wpa_supplicant -B -D wext -i wlan0 -c /etc/wpa_supplicant/wpa_supplicant.conf -dd -f /tmp/wpa_supplicant.out
post-down killall -q wpa_supplicant

Die essid- und key-Einstellungen habe ich daraus entfernt, das ist ja Sache von wpa_supplicant. Diese Konfigurationsdatei habe ich dann auf ein Minimum rezudiert (mit Ausnahme der auskommentierten psk-Zeile für dokumentatorische Zwecke), nach meinem Lieblingsalgorithmus "löschen bis es kaputt ist, dann undo". wpa_supplicant.conf:

Code: Alles auswählen

network={
	ssid="bucher"
	proto=WPA2
	#psk="[geheim]"
	psk=[streng geheim]
}

Damit läuft das Ding nun, obwohl DHCP immer noch 2-3 Anfragen starten muss, bis ich eine IP bekomme...

[rendegast]

obwohl DHCP immer noch 2-3 Anfragen starten muss, bis ich eine IP bekomme...

Löst sich vielleicht durch ein firmware-Upgrade für den access-Point / wlan-Router.

[wanne]

Die essid- und key-Einstellungen habe ich daraus entfernt, das ist ja Sache von wpa_supplicant. Diese Konfigurationsdatei habe ich dann auf ein Minimum rezudiert (mit Ausnahme der auskommentierten psk-Zeile für dokumentatorische Zwecke), nach meinem Lieblingsalgorithmus "löschen bis es kaputt ist, dann undo". wpa_supplicant.conf:

Code: Alles auswählen

network={
	ssid="bucher"
	proto=WPA2
	#psk="[geheim]"
	psk=[streng geheim]
}

Das ist ausnahmsweise mal nicht sinnvoll. Beim WPA-Supplicant ist praktisch jede Zeile ein Sicherheitsfeature. Das liegt daran, dass er alles akzeptiert, was auf die Zeilen passt:
z.B. Jemand findet einen Angriff auf TKIP du nutzt aber eigentlich CCMP. Hast du jetzt pairwise=CCMP in deiner wpa_supplicant.conf bist du imun. Hast du nichts da stehen kann der Angreifer dich auffordern TKIP zu nutzen.
Ich weiß nicht ob WPA-EAP auch unter proto=WPA2 fällt. Aber wenn ja solltest du auf jeden Fall wider key_mgmt=WPA-PSK rein nehmen: (EAP spezifiziert unter anderem md5-Authentification),
Hier hat einer einen Vortrag in dem er solche Sachen ordentlich ausnutzt. Für viele seiner Angriffe hätte es gereicht scan_ssid=0 oder bssid=[MAC] zu setzen: https://entropia.de/GPN12:Angriffe_auf_ ... a_Networks