WLAN - Einrichten eines abgesicherten kabellosen Netzwerks
« zurück (Gesammelte Anleitungen)
Übersicht
- Vorbereitungen
- Einrichten der FRITZ!Box Fon WLAN 7050 als Access Point
- wpa_supplicant - Verschlüsselung mit WPA
Vorbereitungen
Bevor die Einrichtung eines kabellosen Netzwerks in Angriff genommen werden kann, muss zuerst der Treiber für die verwendete WLAN-Karte ordnungsgemäß eingebunden worden sein. Ferner muss diese Karte von dem Programm wpa_supplicant unterstützt werden. Hinweise dazu findet man in der Dokumentation, z. B. den Manpages.
In diesem Fall wurde das Netzwerk mit einer Karte von Atheros eingerichtet, die in meinem Thinkpad R50p eingebaut ist und inzwischen gut unterstützt wird. Den Treiber findet man direkt auf der Webseite des Madwifi Projekts, inklusive mehrerer Anleitungen für verschiedene Linux-Distributionen.
Als Access Point dient hier eine FRITZ!Box Fon WLAN 7050, deren Konfiguration im Folgenden kurz erläutert wird. Diese Konfiguration bezieht sich allerdings lediglich auf den Aspekt der Absicherung des Kabellosnetzwerks.
Einrichten der FRITZ!Box Fon WLAN 7050 als Access Point
(Hinweis: Dieser Beschreibung liegt der Firmware Stand 14.04.06 zu Grunde)
Die Konfiguration der FRITZ!Box sollte mit der integrierten Weboberfläche keine großen Probleme darstellen. Zuerst aktiviert man die Expertenansicht, um eventuell ausgeblendete Elemente sichtbar zu machen. Das Kontrollfeld für die Expertenansicht befindet sich unter Einstellungen => System => Ansicht.
Das WLAN kann unter Einstellungen => WLAN eingerichtet werden.
Keine neuen Netzwerkgeräte zulassen
Zuerst sollte man die Möglichkeit beschränken, dass sich neue Geräte in das WLAN einklinken können. Damit man sich aber nicht selbst aussperrt, müssen alle eigenen Karten bereits einmal versucht haben, die FRITZ!box zu erreichen. Die bekannten Netzwerkkarten sind in dem grünen Kasten eingerahmt. Sind alle Karten erkannt, kann man den MAC-Adressen Filter auf "Keine neuen WLAN-Netzwerkgeräte zulassen" (roter Kasten) umstellen.
WPA - Starke Verschlüsselung aktivieren
Als erstes aktiviert man die WPA-Verschlüsselung, die dem alten Standard WEP (unsicher) oder gar der unverschlüsselten Variante in jedem Fall vorzuziehen ist. Der von mir verwendete WPA-Modus ist TKIP (WPA), der sowohl unter Windows XP als auch unter Linux hier funktioniert. Als WPA-Netzwerkschlüssel wird eine beliebige Zeichenkette zwischen 8 und 63 Zeichen ein, die zugelassenen Zeichen sind in der Hilfe beschrieben. Als Group Key Intervall habe ich den Defaultwert 3600 Sekunden (60 Minuten) beibehalten.
Anschließend muss das WLAN noch unter "Funkeinstellungen" aktiviert werden.
wpa_supplicant - Verschlüsselung mit WPA
Einrichten des Heimnetzes
Unter debian genügt die Installation des Pakets wpasupplicant
, das sich selbst in die Netzwerkskripte unter
/etc/network/ip-up.d
einbindet. Die Konfiguration erfolgt über die Datei wpasupplicant.conf(5)
,
oder einer beliebig benannten Datei, die deren Format folgt.
/etc/wpasupplicant/
liegen und jeweils nur ein Netzwerk pro Datei angegeben. Hier das Beispiel für die
Verbindung zur FRITZ!Box:
# WPA-PSK/TKIP ctrl_interface=/var/run/wpa_supplicant network={ ssid="heimnetz" key_mgmt=WPA-PSK proto=WPA pairwise=TKIP group=TKIP psk="[absolut geheimes Passwort]" }
Die Passwörter müssen natürlich übereinstimmen. Die Konfiguration sollte man allerdings zuerst einmal testen:
# ifconfig ath0 up
# wpa_supplicant -iath0 -c /etc/wpa_supplicant/heimnetz.conf -Dmadwifi -d
Zuerst wird das Netzwerkgerät ath0 aktiviert, damit wpa_supplicant
sich auf die Schnittstelle verbinden kann.
Anschließend wird wpa_supplicant
mit der debug-Option -d und der soeben erstellten Konfiguration gestartet.
Außerdem wurde explizit der Treiber madwifi (blau) angegeben. Im Erfolgsfalle müsste eine ähnliche Ausgabe wie hier zu lesen sein:
Initializing interface 'ath0' conf '/etc/wpa_supplicant/heimnetz.conf' driver 'madwifi' ctrl_interface 'N/A' bridge 'N/A'
Configuration file '/etc/wpa_supplicant/heimnetz.conf' -> '/etc/wpa_supplicant/heimnetz.conf'
Reading configuration file '/etc/wpa_supplicant/heimnetz.conf'
ctrl_interface='/var/run/wpa_supplicant'
Priority group 0
id=0 ssid='heimnetz'
Initializing interface (2) 'ath0'
[... viele Debugging Ausgaben ...]
State: GROUP_HANDSHAKE -> COMPLETED
CTRL-EVENT-CONNECTED - Connection to 00:15:0c:00:af:fe completed (auth) [id=0 id_str=]
[...]
RTM_NEWLINK, IFLA_IFNAME: Interface 'ath0' added
[...]
Die Verbindung wurde ordnungsgemäß hergestellt (Handshake erfolgreich) und jetzt könnte man z. B. die DHCP-Anfrage beginnen, um eine
IP-Adresse zugewiesen zu bekommen. Da wir das Ganze aber automatisieren wollen, brechen wir wpa_supplicant
mit STRG-C ab.
Automatisierung der Authentifizierung
Unter Debian ist wurde das Tool wpa_supplicant
direkt in die Datei /etc/network/interfaces
, so dass
hier eine zentrale Steuerung möglich ist. Der Eintrag für die Schnittstelle ath0 sieht folgendermaßen aus:
iface ath0 inet dhcp wireless-ap 00:15:0C:00:AF:FE wpa-conf /etc/wpa_supplicant/heimnetz.conf
Das ist schon alles.
Die Option wireless-ap
definiert die MAC-Adresse der FRITZ!Box als Access Point und die Option wpa-conf
verweist auf die zu verwendende Konfigurationsdatei. Es gibt noch eine Menge weiterer Optionen, die alle in interfaces(5)
beschrieben sind.
Möchte man auch die Wahl eines vorhandenen Netzwerkes automatisieren, sollte man sich mal die Anleitung zu dem sogenannten map-schemes
(keyword mapping
). Eine beispielhafte Konfiguration mit einer "normalen" Netzwerkkarte habe ich hier beschrieben:
Automatische Netzwerkkonfiguration mit map-schemes. Damit konfiguriert sich die Karte je nach Umgebung entweder
statisch (zu Hause) oder dynamisch (im Geschäft).