SecureW2 in DD-WRT oder OpenWRT integrieren

[HotShot]

Ich versuche ja immernoch das Uni-LAN zu repeaten.

Durch die verwendete 802.1x SecureW2 Verschlüsselung, stellt sich die Frage, ob sich das auch in Open oder DD WRT einauen lässt, so das die Zugangsdaten schon vom Router gesendet werden.

[3dfxatwork]

Dieses Secure W2 braucht man nicht, es reicht wenn man eine IEEE 802.1x Authentifizierung verwendet. mit den Folgenden Einstellungen:
AcessPoint Authentifizierung: WPA
Datenverschlüsselung: TKIP
EAP-Typ: TTLS
Authentifizierungsprotokoll PAP
User und pass sind klar, domain leer lassen und bei Roaming-Identität bzw Anmeldename irgendwas eintragen, und nicht leer lassen.
Ich weiß die DD-WRT kann das ganze als "Server" bereitstellen (Wenn man einen Radius Server rumstehen hat), ob es das allerdings im Clientmodus kann weiß ich nicht, das hatte ich nicht versucht, ich hatte immer versucht das normale Uni Wlan zu mir ins netzwerk zu bridgen, und dort dann die clientsoftware laufen zu lassen, hab es aber damals nicht hinbekommen.
Achso das gnaze läuft auch unter dem Namen WPA enterprise

[HotShot]

Ich versteh nur Bahnhof.

Das offene Uni-WLAN zu repeaten hatte ich auch erst versucht - aber gibt keinen VPN Client für Vista 64. Aber ich habs auch nicht geschafft das offene zu repeaten.

[tox]

Dieses Secure W2 braucht man nicht, es reicht wenn man eine IEEE 802.1x Authentifizierung verwendet. mit den Folgenden Einstellungen:
AcessPoint Authentifizierung: WPA
Datenverschlüsselung: TKIP
EAP-Typ: TTLS
Authentifizierungsprotokoll PAP

genau das is ja das problem. PAP kann windows nicht von sich aus. das kann nur dein IBM-tool von haus aus. daher brauch man das secure-w2-teil.

[goseph]

DD-WRT kann jetzt 802.1x und TTLS.
Du brauchst einen Router mit Atheros Chipsatz.
Am besten die NS2 (Nanostation) im shop shop.dd-wrt.com kaufen.
Da ist die benötigte Lizenz ist schon dabei.
Da ist auch eine 10dB antenne Intergriert.

Grüße, Christian

[ZoliTeglas]

Hallo zusammen,
ich habe wohl das gleiche Problem!
Linksys WRT54GL mit der aktuellen DD-WRTv24 Macro- Firmware.
Des weiteren sind 2 grosse Antennen dran.

Wie kann ich das WLAN der Uni empfängen und an Endgeräte weiter geben..... ? Ich habe leider keine Ahnung und steh nun seit Wochen ohne Netz da! Dies wird sich leider auch nicht ändern, da die Telekom vor August keine Freigabe bekommt, das defekte Kabel zu tauschen....


Hier ist mal die Page der Uni, wo steht, wie man ins Netz kommt... Aber leider kann ich dies nicht so eingeben......
http://www.uni-jena.de/WLAN_der_FSU_Jena.html

Danke
Zoli

[goseph]

Ok nochmal für alle die hier lesen:
802.1x = Uni-Netz wird nur von Atheros unterstützt. Mit Broadcom (also Linksys und co) wird das nix.
Edit: zum mindest nicht so einfach möglich.

Beste Grüße

[Cyrus]

Das ist quatsch.
DD-Wrt ist nur allgemein Schrott und verwendet veraltete Treiber, deswegen läuft das da nicht.

Ich war einige Monate mit meinem alten Laptop im Uninetz und da ist ein 4318er Broadcom drin gewesen, der selbe Chip wie im WRT54GL.

[goseph]

Ich meinte auch in Verbindung mit DD-WRT.
Das es mit einem Laptop funktioniert ist klar.

Zur Zeit ist das 802.1x bei Atheros im DD-WRT implementiert.

Schrott ist es ganz bestimmt nicht, man muss nur Prioritäten setzen.
Die wurden nun mal auf Atheros und 802.1x gelegt. Und das läuft.

[Cyrus]

Wieso ist das klar?
DD-Wrt ist Linux, genauso wie das Debian auf meinem Laptop ich seh da prinzipiell keinen Unterschied was den Kernel und die Treiber angeht.

Warum DD-Wrt meiner Meinung nach (mittlerweile) Schrott ist: Löchrige Firewalleinstellungen (da stehen z.B. in der Firewallkonfiugration ohne Grund völlig fremde externe IP-Addressen die Zugriff auf den Router erhalten), Sicherheitslücken in der Konfiugrationsoberfläche (mal nach "dd-wrt xsrf" googlen, das problematische daran ist nicht unbedingt die Lücke an sich, dass ist schon vielen passiert, nur die Uneinsichtigkeit der Entwickler, dass es sich um eine Lücke handlet und die Unfähigkeit diese zu erkennen), dann so Sachen wie der Layer 2 MAC-NAT Hack (aka Wireless Bridge Mode, der abgesehen von seiner technisch betrachteten Grausamkeit auch noch nur halb implementiert ist und so zu etlichen Netzwerkproblemen bei komplizierten Netzwerksetups führt, mal nach "dd-wrt arpnat" googlen), etc. etc.

[goseph]

Kannst Du mir nochmal ein einem Satz erklären was das Problem bei "dd-wrt xsrf" war bzw ist?
Man kann mit einer selbst erstellten HTML die Konfiguration verändern WENN man sich vorher in DD-WRT eingeloggt hat via http?
Wo liegt das Problem?

Client Bridge ist zudem sowieso nix halbes und nix ganzes. Mit Broadcom läufts ganz gut und für Atheros sollte man sowieso auf WDS AP und WDS Station setzen.

Zu den anderen Problemen hat BS Stellung genommen und Entwarnung gegeben + Instruktionen zum löschen der Firewall-Regeln die aber eigentlich gar keine Bedrohung darstellen.

Weiß nicht warum hier so ein "hass" verbreitet werden muss?!

Wo ist denn bitte in Open-WRT das 802.1x implementiert ohne das ich es mir selber irgendwie zusammenbauen muss?

Hier wurde eine Frage zum Thema Uni-Netz gestellt. Die einzige brauchbare und funktionierende Lösung kam soweit ich weiß von mir.
Gern kannst du erklären wie es mit Broadcom, Open-WRT und ner ganzen Prise Zeit funktioniert.
Auf jeden Fall besser also hier Entwicklungen schlecht zu reden.

[Cyrus]

Haha Entwarnung geben ist gut.

Zu der XSRF-Sache: Siehe http://de.wikipedia.org/wiki/XSRF Quintessenz:
Ich baue z.B. nen legit aussehendes DD-Wrt Tutorial im Netz, und auf der Seite auf dem ich das Tutorial erkläre also z.B. "Wie richte ich WDS mit DD-Wrt ein" oder irgendsowas baue ich dann XSRF-Schadcode ein (also nicht die Anweisungen des Tutorials selbst), der für mich dein DD-Wrt Passwort ändert und alle deine Ports öffnet oder sonstwas tut (weil die Wahrscheinlichkeit recht groß ist, dass du in einem anderen Browserfenster, dein DD-Wrt offen hast und eingeloggt bist). Das kann im stark verinfachten Fall (nur der Erlärung willen) ein ganz einfaches Stück Code sein wie:

Code: Alles auswählen

<img src="http://dd-wrt/do_something.cgi?password=haha" />

, das ganze bau ich dannein paar mal für erstmal die Standardhostnamen und IP-Addressen und dann noch andere häufig genutzte in meine Seite ein oder mache das vielleicht per JavaScript oder Flash noch ein bischen ausgereifter.

Und von der technischen Seite mal abgesehen, ist die ganze Sache sozial (und vielleicht auch rechtlich, das kann ich aber nicht genau sagen mangels rechtlicher Kenntnisse) problematisch, siehe: http://www.bitsum.com/about-ddwrt.htm oder http://xwrt.blogspot.com/2007/02/dd-wrt ... -open.html
und sowas ist einfach verwerflich.

Um nicht ganz Off-Topic zu bleiben, hier eine Beispielwirelesskonfiguration für OpenWrt, möglicherweise kann man das auch über eine Weboberfläche machen, hab ich nicht probiert (vorher opkg update; opkg install wpa-supplicant nicht vergessen):

Code: Alles auswählen

config wifi-device  wlan0
        option type     mac80211
        option channel  5

config wifi-iface
        option device   wlan0
        option network  wan
        option mode     sta
        option ssid     uniwlan1x
        option encryption wpa2i
        option auth PAP
        option eap_type TTLS
        option identity USERNAME
        option password PASSWORD

[goseph]

Ok. Ich sehe hier generelle Differenzen zum Entwickler. Soll mir eigentlich völlig egal sein.
Der eine erachtest als wichtig. Der andere als unwichtig.
Die Philosophien von DD-WRT und Open-WRT werden immer unterschiedlich bleiben.
Wer mag nutzt Open-WRT (auch viel mehr Möglichkeiten alles zu verändern).
Wer was Out-Of-The-Box braucht greift, ohne viel an der Struktur ändern zu müssen oder wollen, zu DD-WRT.

Interessant ist auf jeden Fall folgendes:
Fakt ist, dass mit Atheros und DD-WRT ein Menüpunkt bei Wirless-Security gegeben ist der sich "802.1x" nennt.
Wurde sogar in Zusammenarbeit mit der Uni-Darmstadt getestet.
In Jena funktionierts auch, soviel kann ich sagen.

Beste Grüße

[Rondorollo]

Hallo goseph, deinen Zeilen zu urteilen hast du die WLAN UNI-Jena Verbindung über einen Router zum laufen gebracht. Könntest du mir ein paar Infos zu der Hardware und zur Konfiguration geben. Komme auch aus Jena und bin seit 3 Jahren am probieren. Habe es aber bis heute nicht hinbekommen. Wäre dir sehr verbunden.
Gruß T.