Diese Anleitung schildert die händische Einrichtung eines OpenWrt Routers für 802.1x Authentifizierung über Ethernet LAN. Z.b. für die Wohnheime des Studentenwerks in Bielefeld, Worms, Kaiserslautern, Marburg, Trier, München (?), Jena (?) etc.
Anleitung für Leute ohne Plan 😉
Wenn du weißt, was eine Kommandozeile ist und was die Begriffe SSH, SCP, FTP, Telnet, Firmware, IP, OpenWrt, Router, packages bedeuten, dann lies unten weiter. Es gibt jedoch keine Hilfe durch mich!
Wenn du keinen Plan davon hast und in Bielefeld wohnst, kannst du das alles von mir einrichten lassen:
Anleitung für Leute mit Kommandozeilen/GNU/Linux-Expertenkenntnissen
Hinweis: Diese Vorgehensweise ist getestet für die Wohnheime in Bielefeld. Für Studenten aus Marburg und Worms sollte diese Anleitung auch funktionieren mit einer anderen .conf Datei. Es geht auch für die LAN-Zugänge der Hochschule Kaiserslautern, das Zertifikat wird in diesem Fall nicht gebraucht (leider ist dies unsicherer, allerdings offiziell so empfohlen Stand 2017). Trier auch ohne Zertifikat und mit verlinkter .conf Datei. Es könnte so auch in München und Jena funktionieren. Weitere Wohheime mit diesem System sind mir nicht bekannt, werden im Prinzip jedoch genau so funktionieren. TH OWL geht nicht mit dieser Anleitung.
Aufgrund des Platzbedarfs der Pakete ist ein Router mit 8MB Flash-Speicher (oder mehr) zwingend notwendig, solange man nicht eine eigene individuelle OpenWrt Version kompilieren möchte. D.h. es gehen nur die teuereren Router. Faustregeln: ab ca 50€ geht es los + Alle Archer-Modelle und GL.iNet Geräte aus meiner Liste sind geeignet. GL.iNet GL-AR750 — Bei Amazon kaufen*
- Ziel ist es, die 802.1x Authentifizierung über den WAN-Port einzurichten und ein geroutetes (NAT) privates Netz einzurichten
- OpenWrt auf den Router flashen, und zwar am besten Version 22.03 oder neuer. Den Download-Link ermittelt man am besten über die Hardware Datenbank von OpenWrt
https://openwrt.org/toh/start - Basis-Sachen einrichten (Passwörter, WLAN etc.)
- Datum&Uhrzeit setzen (Wichtig! Sonst wird das Zertifikat von der Telekom fälschlich als ungültig abgelehnt)
- wpad-basic deinstallieren
- wpad-openssl installieren
- wpa-cli installieren
- Dazu evtl. die packages von der OpenWrt Seite herunterladen und mit WinSCP o.ä. nach /tmp transferieren, dann mit opkg installieren. Oder kurz jemandem mit schon funktionierendem Router besuchen und alles über das Webinterface erledigen, z.B. bei den Eltern am DSL-Router oder beim Nachbarn (wobei man hier die LAN-IP auf sowas wie 192.168.2.1 verlegen sollte wenn der andere Router schon 192.168.1.1 benutzt).
- Die 802.1x Authentifizierung läuft über wpa_supplicant (in wpad-openssl enthalten) und einem entsprechenden Config-File, in dem die HZR Benutzerdaten eingetragen werden müssen (Geht gut mit dem Editor in WinSCP, Dateiübertragung auf Binär für das Zertifikat und auf Text für die Text-/Configdateien einstellen):
- Bielefeld, Worms, Marburg: T-Telesec Zertifikat herunterladen und auf den Router hochladen unter /etc/
- Konfigurationsdatei für die Authentifizierung als /etc/config/wpasupplicant.conf (evtl. umbenennen)
Bielefeld: wpasupplicant.conf
Kaiserslautern: wpasupplicant.conf
Marburg: wpasupplicant.conf
Trier: wpasupplicant.conf
Worms: wpasupplicant.conf
(Seit Erstellung der Anleitung könnten sich Änderungen ergeben haben bei eurer Institution, im Zweifel oder bei Problemen bei eurem Support nachfragen) - In der wpasupplicant.conf unter ca_cert=… den Pfad zu dem Zertfikat anpassen. Eigene Benutzerdaten eingeben. Datei speichern. realm steht für die Domain, z.B. uni-bielefeld.de
- Mit uci get network.wan.ifname den Namen vom WAN-Interface ermitteln, z.B. eth0.2, und für den nächsten Schritt notieren
- Zum ersten Ausprobieren manuell den supplicant starten:
wpa_supplicant -i HIER_NAME_VOM_WAN_INTERFACE -D wired -c /etc/config/wpasupplicant.conf -B -dd -t - Nun sollte der Router eine IP-Adresse vom Wohnheimserver bekommen per DHCP und online sein.
- Status checken geht mit einem zweiten putty Fenster z.B. ifconfig (beim wan Interface nach der IP 212.xxx.xxx.xxx schauen die vom Studentenwerk zugewisen wird) und wpa_cli status und ping www.uni-bielefeld.de (beenden mit Strg-c)
oder mit dem Paket httping-nossl (opkg update; opkg install httping-nossl) und httping www.google.de (oder andere Adressen), bei Problemen den Output von wpa_supplicant studieren oder in dem zweiten Fenster wpa_cli reassociate ausführen und ebenfalls den Output studieren. - init-file für wpa_supplicant schreiben für den Autostart
( http://wiki.openwrt.org/doc/techref/initscripts -> Befehl wpa_supplicant -i […] (den von vorher) unter start() in das Beispiel schreiben, unter stop() killall wpa_supplicant , START=25, in /etc/init.d/ unter irgendeinem Namen hochladen (text-Modus!), der auf .sh endet, z.B. wohnheim.sh. Die Init-Datei muss ausführbar sein, dies kann man in WinSCP unter Properties / F9 einstellen “+X“) - Autostart der vorher erstellten Init-Datei aktivieren im Webinterface unter System-> Systemstart
- Wenn alles funktioniert bietet es sich an, ein komplettes Backup aller Dateien mit WinSCP herunterzuladen
* Als Amazon-Partner verdiene ich an qualifizierten Verkäufen