WLAN-Client in unverschlüsselten Netzwerken (Hotel etc.)

[Chatty]

Ich setze auf das Inkrementelle Vorgehensmodell. Statt zu versuchen, die Lösung durch Änderung mehrerer Parameter gleichzeitig zu finden, möchte ich die "Kuh" schrittweise schlachten.

Offensichtlich gibt es als erstes das Problem, eine geänderte wlan_dynamic.cfg zu aktivieren. Hier ist es besonders schade, dass du dir zwar die Zeit genommen hast, mir zu sagen, dass du weißt, wie es geht, mir dein Wissen aber trotz meiner beschriebenen Unfähigkeit vorenthältst.

Als nächstes gilt es, die Settings in der Datei so anzupassen, dass statt einem WPA-verschlüsseltem AP ein offener verwendet wird. Auch hier bitte ich zu entschuldigen, dass ich bisher nicht wusste, dass die wlan.cfg aus dem /etc/default*-Verzeichnis nach /var/flash kopiert wird, die wlan_product.cfg aber an Ort und Stelle (default-Verzeichnis) verwendet wird. Warum das offensichtlich sein sollte, kannst du gern mal erläutern.

 

[PeterPawn]

Woher willst Du wissen, daß ich meinerseits weiß, wie man eigene Änderungen an der "wlan_dynamic.cfg" so ausführt, daß die auch Rekonfigurationen durch die AVM-Komponenten überleben? Ich hatte das Problem bzw. die Notwendigkeit permanenter Änderungen bisher noch nicht ... was ich an Gedanken dazu spontan hatte, habe ich auch aufgeschrieben.

Meine eigenen bisherigen Experimente an dieser Stelle will und werde ich hier nicht veröffentlichen, auch der Grund dafür findet sich in einen Beitrag (in diesem Thread), wenn Du es aufmerksam liest ... in dieser Datei stehen nämlich auch die Einstellungen für das Land, in dem diese WLAN-Installation betrieben wird (unter "hw_country") und der Betrieb mit falschen Einstellungen an dieser Stelle kann durchaus eine Ordnungswidrigkeit darstellen, wenn das eingestellte Land andere Bestimmungen hat und z.B. höhere EIRP-Werte zuläßt - das will und werde ich meinerseits nicht fördern, jedenfalls nicht in erheblichem Maße.

Von der "Radio Equipment Directive" (RED) der EU hast Du sicherlich auch schon mal gehört bzw. von den Regulierungsversuchen bzgl. WLAN gelesen und auch von (inzwischen m.W. aber verworfenen) Plänen, WLAN "abnahmepflichtig" zu machen und die Hersteller zu verpflichten, Änderungen an der WLAN-Implementierung durch den Besitzer vollständig zu unterbinden. Aber man muß es ja nicht auch noch forcieren durch das Veröffentlichen von "Anleitungen", schon gar nicht für etwas, wie es hier geplant ist

Also: Nein, ich weiß nicht sicher, wie man die "wlan_dynamic.cfg" dauerhaft ändern kann ("dauerhaft" und der Name "wlan_dynamic.cfg" sind ohnehin ein Widerspruch für mich) und daß ich meinerseits nicht genau weiß, welche AVM-Komponente wie auf ein SIGHUP reagiert bzw. wie/ob sie anderweitig zum Akzeptieren einer Änderung an dieser Datei bewegt werden können (ja, sogar die offene Frage, welche Komponenten genau nun mit dieser "wlan_dynamic.cfg" arbeiten), habe ich sogar ausdrücklich aufgeschrieben. Was willst Du eigentlich genau von mir an dieser Stelle?

==========================================================

Auch habe ich nicht geschrieben, daß es "offensichtlich" wäre, wo man die "wlan_product.cfg" findet ... wobei - wenn man erst einmal innehält, etwas überlegt und über einen gewissen Fundus an gesicherten Einstellungen verfügt, den man dann auch mal durchsieht - man das tatsächlich hätte "ableiten" können und damit wäre wohl sogar "offensichtlich" gerechtfertigt.

Du wirst vermutlich nicht eine einzige Sicherung haben, in der eine "wlan_product.cfg" enthalten ist ... das macht ja auch nur wenig Sinn, wenn das dann wirklich (zumindest dem Namen nach) die Grundeinstellungen des WLAN für das Produkt sind. Die wären also weder benutzerspezifisch (oder von diesem irgendwie konfigurierbar) noch bringt es etwas, wenn man diese Einstellungen auf ein anderes Produkt mit dem Import einer eigenen Sicherung überträgt. Wenn man sich die Datei einmal ansieht und versucht, die Zusammenhänge zu verstehen, findet man ja "Rollen", "Templates" und "Konfigurationen" ... ich würde jetzt tatsächlich erst einmal damit beginnen, mir diese Inhalte "zu erarbeiten", denn die Chancen auf eine funktionierende(!) Änderung dürften dann am größten sein, wenn man verstanden hat, wie das alles zusammenspielt. Man kann allerdings auch den Weg nehmen und versuchen, aus Änderungen auf der "Eingangsseite" und deren Auswirkungen auf der "Ausgangsseite" auf die Interna zu schließen ... angesichts einer erheblichen Anzahl von Parametern, die man dabei variieren kann, ziehe ich den Hut vor jedem, der sich diese Arbeit machen will und auf jede "Abkürzung" verzichten möchte.

Diese ganze Konfiguration des WLAN ist auch erst seit einigen Versionen umgestellt - das wiederum hatte ich (irgendwo hier in den Weiten des IPPF) mal "zu Papier gebracht". Wobei Du natürlich nicht verpflichtet bist, das damals bereits gelesen zu haben, aber eine Suche (z.B. mit dem Stichwort "wland", das dürfte nicht soo häufig auftauchen) bringt das vermutlich auch Dir zur Kenntnis, falls Du daran interessiert sein solltest.

==========================================================

Aber vergiß es einfach wirklich ... ich bin jetzt endgültig raus. Es bringt ja nichts, wenn ich Dich und Dein Vorgehen nicht verstehe und Du mir irgendwelche "Vorwürfe" machst - ich gebe auch gerne zu, daß ich seit Deiner Feststellung in #15 eigentlich gar nicht mehr so richtig weiß bzw. verstehe, wohin Du überhaupt willst bzw. was Du (mir) mit weiteren Texten sagen willst. Die logischste Schlußfolgerung ist es also, daß ich mich besser heraushalte.

Ich wollte in #20 eigentlich auch nur verhindern, daß Du Dich verzettelst ... für mich las sich das so, als würdest Du die Kuh nicht schlachten, sondern vielmehr ein Pferd von hinten aufzäumen (bevor es in die Lasagne kommt, es muß ja nicht immer Rindfleisch sein).

Wenn das hingegen Deinerseits geplantes, inkrementelles Vorgehen ist, besteht diese Gefahr ja gar nicht und es wird sicherlich alles gut.

Ich selbst wäre halt erst einmal hingegangen und hätte geprüft, welche Komponenten von AVM auf welchem Weg überhaupt auf diese Datei zugreifen ... vielleicht hätte sich ja eine Gemeinsamkeit gefunden und dann hätte man zumindest mal eine Idee, wo man (am einfachsten) selbst eingreifen könnte - aber das macht halt jeder so, wie er es für "am sinnvollsten" hält und es kann ja auf mehreren Wegen das Ziel erreicht werden.

Bei welcher Frage Dich jetzt die in #19 beschriebenen zwei Konfigurationen (mit gleichen Einstellungen, abgesehen von SSID und Kennwort) vorwärts bringen werden, verstehe ich halt im Moment (immer) noch nicht ... aber ich lasse mich einfach überraschen, solltest Du Deine Fortschritte hier dokumentieren.

Frohe Weihnachten ...

 

[Chatty]

Wie genau man ... "wland" zur "Kenntnisnahme" bei einer neuen Konfiguration veranlassen kann, ist ja auch leicht zu ermitteln

Sorry, für mich nicht.

schon gar nicht für etwas, wie es hier geplant ist

Die Fritz!Box zu einem Client eines offenen APs machen... das soll die Abnahmepflichtigkeit von WLANs befeuern?

Du wirst vermutlich nicht eine einzige Sicherung haben, in der eine "wlan_product.cfg" enthalten ist

Wer redet (an diesem Punkt) noch von einer export-Datei? Meine Ausgabe von find sollte der klare Hinweis auf die Shell gewesen sein. Das die Datei direkt vom default-Verzeichnis, statt wie die Schwesterdatei wlan.cfg, die zwar auch im default-Verzeichnis existiert, aber in ihrer angepassten Version im flash-Verzeichnis verwendet wird, ist natürlich jedem klar, der sich intensiv mit den FIrmwares beschäftigt. Da ich nicht dazu gehöre, habe ich hier gefragt.

ich würde jetzt tatsächlich erst einmal damit beginnen, mir diese Inhalte "zu erarbeiten"

Mir erst zu erarbeiten, wie eine für mich funktionierende wlan_dynamic.cfg aussehen müsste, ohne eine Chance auf deren Aktivsetzung zu haben stellt für mich ein Musterbeispiel von "Pferd von hinten aufzäumen" dar.

aus Änderungen auf der "Eingangsseite" und deren Auswirkungen auf der "Ausgangsseite" auf die Interna zu schließen

Das war auch mein erster Ansatz, als ich die Eingangsseite (für mich die export-Datei und dort die STA-Einstellungen) "passend" (in Anführungszeichen, weil letztlich doch nicht funktionierend) änderte.

Suche (z.B. mit dem Stichwort "wland")

Das kann ich gern nochmal tun, aber SIGHUP hilft ja schon mal nicht.

Es bringt ja nichts, wenn ich Dich und Dein Vorgehen nicht verstehe und Du mir irgendwelche "Vorwürfe" machst

Ich will eine Fritz!Box als Client in einem offenen WLAN haben - ganz einfach. Dass ich damit Nur-1-Client-Beschränkung und schlechten Empfang umgehen, automatisches VPN und gewohnte VoIP-Verbindungen erst recht im Ausland nutzen kann und eine Vielzahl weiterer Vorteile habe, ist für das Ziel erstmal unwichtig.
Vorwürfe kann ich nicht erkennen, aber immer Andeutungen deinerseits auf Informationen, die du hast, aber aus vielerlei Gründen einfach nicht direkt preis gibst. Si tacuisses, philosophus mansisses.

Ich selbst wäre halt erst einmal hingegangen und hätte geprüft, welche Komponenten von AVM auf welchem Weg überhaupt auf diese Datei zugreifen ... vielleicht hätte sich ja eine Gemeinsamkeit gefunden und dann hätte man zumindest mal eine Idee, wo man (am einfachsten) selbst eingreifen könnte

Wenn du entsprechende Mittel kennst, um genau das herauszufinden, wäre es prima gewesen, du hättest sie genannt.

Schade, dass dieses legitime Anliegen (zur Klarstellung: FB als Client im offenen WLAN, keine illegalen Frequenzen, Sendestärken, etc.) nun aufgrund persönlicher Befindlichkeiten zum Erliegen kommen muss. Meine Kenntnisse enden mit den o.g. Experimenten (export-Änderung, SIGHUP an offensichtliche wlan-Prozesse).

 

[PeterPawn]

Befindlichkeiten? Und wo mache ich denn "Andeutungen"? Ich habe Dir konkrete Vorschläge unterbreitet, was man untersuchen sollte und Hinweise gegeben, wie bei AVM das WLAN seit einigen Versionen eigentlich konfiguriert wird.

Ich wollte Dir damit lediglich (m.W. zum Scheitern verurteilte) Versuche ersparen, durch Änderungen an der "wlan.cfg" zu einer Konfiguration zu kommen, bei der im WLAN-STA-Modus (oder ich nenne ihn einfach - wie AVM - "ATACLI", dann ist das eindeutiger, auch wenn der Name mehr Bezeichnung ist als irgendwie "abzuleiten" aus der Funktion) auch offene WLANs akzeptiert werden.

Genau das steht - meines Erachtens - in #14. Wenn ich dann schon nicht mehr verstehe, was Du mir mit #15 eigentlich sagen wolltest (steht meinerseits wieder in #16), denn müßtest Du ja offenbar erst einmal damit beginnen, mir das von diesem Punkt an zu erläutern. Stattdessen "fragst" Du dann:

Ich versteh schon. Aus der /var/flash/wlan.cfg wird die /var/tmp/wlan_dynamic.cfg generiert. Vermutest du, dass dabei bei einem offenen AP ein Fehler passiert?

Da ich auch davon überhaupt nichts geschrieben habe (was - meiner Meinung nach - auch nach dem gründlichen Lesen von #14 schon klar sein sollte), hätte ich hier vermutlich bereits nicht mehr reagieren sollen ... stattdessen habe ich den Fehler begangen, noch einmal zu versuchen, den Zusammenhang zwischen verschiedenen Dateien in der Firmware (und ich habe nichts von "/var/flash" geschrieben) zu verdeutlichen und darauf hinzuweisen, daß die "wlan.cfg" (an der Du bis zu diesem Zeitpunkt nach eigenem Bekunden herumgeändert hast) den geringsten Beitrag zur resultierenden WLAN-Konfiguration leistet. Hier habe ich dann auch darauf hingewiesen, daß in einer anderen, als Beispiel benannten Datei u.a. Einstellungen für die (generelle) Konfiguration der Box als STA enthalten sind, die man sich vielleicht einmal ansehen sollte.

Deine nächste Reaktion war dann die Mitteilung, daß es bei Dir gar keine "wlan_product.cfg" gäbe (mit Ausnahme der zwei, die Du gefunden hast - steht genau so in #19) und die Feststellung:

kill -1 <wpa_supplicant> beendet diesen und die Verbindung. Restart hilft der Verbindung nicht. Überschreibt die wlan_dynamic.cfg nicht.
kill -1 <wland> lässt den Prozess leben. Hilft der Verbindung nicht. Überschreibt die wlan_dynamic.cfg auch nicht.

Ich mag mich ja zu blöd anstellen, aber was mit "Hilft der Verbindung nicht." gemeint sein soll, erschließt sich mir einfach nicht und damit gebe ich es dann auch auf.

Die Fritz!Box zu einem Client eines offenen APs machen... das soll die Abnahmepflichtigkeit von WLANs befeuern?

Auch das habe ich nicht geschrieben ... damit hat diese Bemerkung einfach "dieselbe Qualität" wie der gesamte Beitrag #15. Ich schrieb im Gegenteil sogar sehr ausführlich davon, daß in der "wlan_dynamic.cfg" auch die Ländereinstellung abgelegt wird (sogar den Abschnitt habe ich benannt) und daß man auf demselben Weg vermutlich auch diese dann ändern könnte (daß man die auch noch anders setzen kann, spielt dabei keine Rolle).

Wenn es Dir nicht einmal gelingt, das zu verstehen, obwohl es ja nun wirklich unmißverständlich und ausführlich von mir niedergeschrieben wurde, dann bleibt doch nur noch die Schlußfolgerung, daß Du gar nicht lesen und verstehen willst ... aber ich habe tatsächlich nicht das geringste Recht, mich darüber aufzuregen - sehr wohl aber das Recht, daraus meine eigenen Schlußfolgerungen und Konsequenzen zu ziehen.

 

[Chatty]

Ich mag mich ja zu blöd anstellen, aber was mit "Hilft der Verbindung nicht." gemeint sein soll, erschließt sich mir einfach nicht

Falls sich noch jemand die Frage stellt: damit ist gemeint, dass sich die Box nicht zum dem neuen AP (aus der von Hand geänderten wlan_dynamic.cfg) verbindet.

Warum du immer gleich so in die Luft gehst, verstehe ich ebenfalls nichts. Es ist eine Sache zu sagen "Mit Änderungen an der wlan_dynamic.cfg kann man potentiell böse Dinge und deswegen helfe ich nicht.", aber vage Andeutungen zu machen und bei der kleinsten Nachfrage, mir Nicht-Verstehen-Wollen zu unterstellen, entspricht nicht meiner Auffassung von einem Forum. Im Übrigen, steht mein Ziel in allen Beiträgen und ich glaube, auch der Threadtitel ist nicht allzu vieldeutig. Immer wieder zu betonen, du weißt nicht, wo ich hin will, ... ach egal.

 

[PeterPawn]

Kennst Du den Unterschied zwischen "Ziel" und "Vorgehen"? Dein Ziel habe ich sehr wohl verstanden ... Dein Vorgehen (und Deine Reaktionen, denn auch hier habe ich nichts gelesen, was mir #15 und #17 erklären könnte) verstehe ich halt nicht. Offenbar bin ich ja auch nicht der einzige von uns beiden, der mit "verstehen" so seine Probleme hat. Aber dem "egal" stimme ich vollumfänglich zu ...

 

[Chatty]

Ich will ja keine offenen Fragen hinterlassen.

In #15 habe ich erklärt, wie ich die wlan.cfg über Änderung der export-Datei geändert habe. Das diese Einstellung nicht der späteren Gerätekomponentenkonfiguration entsprechen muss (Eingang (u.a.): wlan.cfg -> Verarbeitung -> Ausgang: wlan_dynamic.cfg) habe ich verstanden.

Da die Verarbeiungskomponente nicht darauf ausgelegt ist, Konfigurationen zu offenen APs zu verarbeiten, geht dabei gewollt oder ungewollt etwas schief. Vielleicht habe ich aber auch einen Fehler in der Eingangsdatei begangen. Wüßte man jetzt, wie man eine manuelle wlan_dynamic.cfg aktiviert, kann man Eingang und Verarbeitung erstmal beiseite lassen, einen funktionieren Ausgang finden, um sich sodann wieder den davorstehenden Prozessen zu widmen.

 

[PeterPawn]

In #15 habe ich erklärt, wie ich die wlan.cfg über Änderung der export-Datei geändert habe.

Sorry ... "erklärt" hast Du das in #12. #15 richtete sich dann direkt an mich (jedenfalls darf man das vermuten, wenn der Beitrag mit @PeterPawn beginnt) und enthielt welche Information genau, die in #12 nicht vorhanden war und irgendeinen Bezug zu meinem Beitrag #14 (das war der erste in diesem Thread meinerseits) hatte?

 

[Chatty]

Gut, mea culpa. Da ist also ein Beitrag von mir, der nicht auf deinen Beitrag eingeht. Das tut mir aufrichtig leid.

Danach habe ich erstmal zwei bekannt funktionierende wlan_dynamic.cfg erzeugt, um erstmal jegliche Änderung an dieser Datei testen zu können, um dann anschließend eine Konfiguration für offene APs finden zu können. Insofern gehen also zumindest meine nachfolgenden Beiträge wieder auf #14 ein.

 

[Shirocco88]

Ich will eine Fritz!Box als Client in einem offenen WLAN haben - ganz einfach. Dass ich damit Nur-1-Client-Beschränkung und ... automatisches VPN und gewohnte VoIP-Verbindungen erst recht im Ausland nutzen kann

wie soll das "IP-Client und VPN" gehen ?

 

[PeterPawn]

Ich weiß tatsächlich nicht, ob man den "wland" zum Generieren einer Konfiguration für ein "offenes WLAN" bei der Rolle 7 "überreden" kann ... zumindest die Funktion für "cfg-set-role-config" (vom "wland_ctl" aus) gibt es dem Anschein nach im "wland" (vielleicht auch nur in dem für die Produktion) (noch?) nicht.

Damit wird eine dynamische Konfiguration für mich immer unwahrscheinlicher ... man müßte vermutlich(!) - ich betone gerne noch einmal, daß ich es ebenfalls nicht weiß - versuchen, die Konfiguration 14, 15 oder 16 irgendwie so anzupassen, daß in der resultierenden "wlan_dynamic.cfg" eben "security = none" erscheint für die STA-Rolle mit Interface "sta2".

==================================================================

Zum Steuern des "wland" gibt es "wland_ctl" ... das kann z.B. mit "wland_ctl --event reconfig" den "wland" darüber informieren, daß es Änderungen an der Konfiguration gegeben hat (das meint jetzt tatsächlich die "wlan.cfg", aber iirc werden auch die anderen Dateien dann neu gelesen - kann man aber auch wieder leicht selbst probieren, indem man einfach eine davon übermountet, ändert und dann schaut, ob die eigene Änderung Auswirkungen auf die "wlan_dynamic.cfg" hat) und diese nunmehr zu behandeln wären.

Man kann auch dem "wland" anstelle der "/var/flash/wlan.cfg" für eigene Versuche eine andere Datei "mitgeben" (dann muß man das nicht immer über Import machen), indem man ihn mit "wland -B -Dwlancfgfile=<filename>" aufruft ... das macht AVM beim Test in der Produktion auch so, wenn da mehrere Konstellationen durchgetestet werden - das ist dann auch eine gute Quelle für eigene Ideen, was man da zur Laufzeit am WLAN "schrauben" kann.

Auch die Ausgabe des "wland" (der generiert bei Problemen oder auch auf Anforderung entsprechende Support-Daten und zeigt die auch auf "/dev/console" an) kann hilfreich sein, wenn man auf der Suche nach Zusammenhängen ist ... eine Ausgabe des "wland" beim Umkonfigurieren des Gastnetzes(!) auf "unverschlüsselt" (bei gleichzeitiger Aktivierung) und zurück auf WPA2-CCMP sähe z.B. so aus:

WLAND:[03064]:01:44.08/[622503.89]:WLAND: configuring...
WLAND:[03064]:01:44.08/[622504.15]:derived config 'AP+Guest AP Dual', ID: 4 (0x00000000)
WLAND:[03064]:01:44.08/[622504.26]:role_4 changelist:
slave {
     security = none;
     enabled = yes;
}
WLAND:[03064]:01:44.08/[622504.26]:role_3 changelist:
slave {
     security = none;
     enabled = yes;
}
WLAND:[03064]:01:46.06/[622622.34]:WLAND: configuring...
WLAND:[03064]:01:46.07/[622622.61]:derived config 'AP+Guest AP Dual', ID: 4 (0x00000000)
WLAND:[03064]:01:46.07/[622622.74]:role_4 changelist:
slave {
     security = wpa2-psk;
}
WLAND:[03064]:01:46.07/[622622.74]:role_3 changelist:
slave {
     security = wpa2-psk;
}

Hier kann man schon einen Zusammenhang zwischen "configuration" und "role(s)" aus der "wlan_product.cfg" sehen, denn die Rollen 3 und 4, bei denen der "security"-Parameter geändert wird, sind ja die für die Interfaces "guest4" und "guest5", welche die beiden Gastnetze (jeweils auf ihrem Band) bereitstellen.

Der "wland" baut also aus verschiedenen Quellen am Ende eine Konfiguration zusammen, mit der die anderen Komponenten arbeiten ... ich bin nicht einmal sicher, daß die tatsächlich die Text-Datei aus "/var/tmp/wlan_dynamic.cfg" selbst auslesen und die nicht einfach nur der Protokollierung dient, während die verwendete Konfiguration über "shared memory" als Struktur durch die Gegend geschoben wird.

Aber das kriegt man eben auch nur heraus, wenn man die AVM-Komponenten selbst in entsprechende Wrapper verpackt (häufig hilft da schon eine Shell-Datei mit dem ursprünglichen Namen, die dann das umbenannte Binary aufruft, nachdem Parameter und Umgebung protokolliert wurden - sonst muß man halt selbst zum Compiler greifen und einen binären Wrapper bauen) und sich die Zusammenhänge schrittweise erarbeitet.

Gerade aufgrund der jüngsten Aktivitäten bei AVM mit Bezug auf das WLAN (vom Band-Steering bis hin zum "Mesh"), ändert sich da aber (zumindest meine Erfahrung) ohnehin alle Nase lang etwas (ist ja auch logisch, der "wland" auf einem "Mesh-Slave" muß ja seine Konfiguration auch irgendwie vom Master erhalten und das braucht entsprechende Mechanismen) - das macht einmal gewonnene Erkenntnisse auch sehr kurzlebig, wenn man Pech hat.

Die Frage wäre halt, was passiert, wenn der "wland" in der "wlan_product.cfg" für die Rolle 7 einen Eintrag "security" vorfindet ... ignoriert er den einfach und generiert dann trotzdem für diese Rolle ein "security = wpa2-psk" oder übernimmt er erst einmal alles aus dieser Datei und füllt nur die "Lücken" auf, die dann noch verbleiben. Das wäre jedenfalls die Stelle, wo ich als erstes ansetzen würde, wenn ich vor dem Problem stünde ... aber ob das am Ende hilft oder nicht, weiß ich auch nicht - aber das steht auch bereits seit #14 in meinen Beiträgen, daß man da halt (systematisch) testen muß. Zumindest sollte sich der "wland" auch beschweren, wenn er mit irgendeiner Eingabe aus einer Datei nicht klarkommt ... dann weiß man, daß er die Änderung nicht versteht oder man eben selbst beim Ändern Mist gebaut hat.

 

[H´Sishi]

Mh, ich möchte nochmal auf die Konstellation "VPN über UNVERSCHLÜSSELTES WLAN" zurückkommen, da mir da etwas unklar ist:

Wie wird eigentlich sichergestellt, daß niemand die unverschlüsselt über's WLAN übertragenen VPN-Einlogdaten mitlesen und für seine Zwecke nutzen kann?

 

[Chatty]

@H'Sishi: Das ist zwar sehr OT, aber im Wesentlichen verläuft das wie bei einem SSL-Handshake. Mein Link ist eine von vielen Stellen, wo nachlesen kannst, warum das sicher funktioniert.

 

[H´Sishi]

Ah, ok. Dann bin ich beruhigt. Back to Topic dann .

 

[PeterPawn]

Es gibt (konkret beim derzeitigen AVM-VPN) zwar einige Ähnlichkeiten zum SSL-Handshake, aber während dort mittels asymmetrischer Kryptographie (mit privatem und öffentlichem Schlüssel) gearbeitet wird, kommt beim AVM-VPN ein zuvor vereinbartes, gemeinsames Geheimnis (pre-shared secret) zum Einsatz zwischen den Peers, aus dem dann nach einer ebenfalls definierten Vorschrift ein gemeinsam verwendeter Schlüssel generiert wird - mangels privatem und öffentlichem Schlüssel gibt es dann hier keine asymmetrische Kryptographie, die ansonsten zur Identifikation des "Servers" (über ein Zertifikat) herangezogen würde.

Eine Identifikation erfolgt hier über eine entsprechende ID für die Peers (dieses ID-"Paar" aus Sender- und Empänger-Kennung führt dann normalerweise zum korrekten PSK für diese Verbindung) und die (implizierte) Kenntnis des gemeinsamen Geheimnisses, wenn sich der Rest des Schlüsselaustauschs mit diesem PSK passend ver- und entschlüsseln läßt.

Dabei werden aber im "aggressive mode" diese Identitäten (sowohl die eigene als auch die der Gegenstelle) tatsächlich unverschlüsselt übertragen und können von Dritten "belauscht" werden. Insofern ist der bei AVM normalerweise verwendete "aggressive mode" tatsächlich angreifbar, weil die einzige wirksame Sicherung des Schlüsselaustauschs bei diesem Modus die Stärke des verwendeten PSK ist.

Wer für seine VPN-Verbindungen zwischen zwei FRITZ!Boxen also ein "shared secret" wie "123456" verwendet (ich habe erst heute wieder bei heise.de gelesen, daß das immer noch der Top-Treffer bei den Kennwörtern wäre), der ist angreifbar ... das ist auch der eigentliche Hintergrund der ab und an mal im Internet nachzulesenden Warnung vor der Verwendung dieses "aggressive mode" beim IPSec-VPN.

Gleichzeitig ist aber dieser Modus auch der einzige, bei dem zwei Peers mit ansonsten unbekannten "Eckdaten" wegen dynamischer IP-Adressen überhaupt miteinander in Kontakt kommen können, solange keine (wechselseitig überprüfbaren) Zertifikate zur Sicherung der Identität verfügbar sind. Erst mit so einer, unabhängig festzustellenden Identität kann der (bessere - zumindest aus kryptographischer Sicht) "main mode" verwendet werden, weil die "Auswahl" des korrekten PSK für die Verbindung nicht mehr über die (unverschlüsselte) ID, sondern über das Zertifikat erfolgt.

Bisher war das mit der Existenz eines solchen Zertifikats ja nicht der Fall ... ob bei AVM in Zukunft mit den LE-Zertifikaten dann auch VPN im "main mode" machbar sein wird, muß man abwarten. Theoretisch sind die Zutaten bereits/noch an Bord, weil auch der AVM-Access-Server auf Zertifikate setzen konnte und die FRITZ!Box (zumindest früher, als es das Produkt von AVM noch gab) dort auch als Client arbeiten konnte.

Wer aber schon heute seine eigenen "shared secrets" nicht aus dem Wörterbuch abschreibt (egal wofür, auch SIP-Konten kann man ja mit "Zufall" absichern) und ausreichend lange Werte verwendet (unter 20 Zeichen würde ich nicht empfehlen, AVM generiert selbst 16 Zeichen bei den "conntype_user"-Verbindungen, das kann auch reichen, weil da ja noch "xauth" aktiv ist und neben dem PSK auch noch Benutzername und Kennwort erforderlich sind), der ist auch beim "aggressive mode" (relativ) sicher ... wenn irgendeine Firma höhere Maßstäbe anlegt bei solchen "shared secrets", sollte der dortige Admin dazu auch Auskunft geben können.

Allerdings weiß ich nicht mehr genau, wie sich das FRITZ!OS inzwischen verhält, wenn zwar die IDs stimmen in P1, aber der PSK der falsche ist ... ich hoffe einfach mal, daß dann entsprechende Eventlog-Einträge für vergebliche Versuche erzeugt werden und das nicht einfach still ignoriert wird. Ansonsten wäre das wieder ein Einfallstor für einen "brute force"-Angriff, wobei der sich ja nicht unbedingt in einem "burst" an vergeblichen Versuchen zeigen muß, sondern auch still und heimlich über längere Zeit versucht werden kann mit entsprechend reduzierter Frequenz von Versuchen.

 

[Chatty]

#31 stellt ja noch einen Ansatzpunkt zur Verfügung, aber bis dahin sei kurz erklärt wie ich mir bisher helfe:

Ich habe mir einen MiraScreen 5G Stick gekauft (aktuell 13€), mit der EZCast 5G Firmware geflasht und habe damit im Hotel einen MiraCast+AirPlay-Receiver für HDMI am Hotel-Fernseher, der zusätzlich Client in 2,4 oder 5 GHz Hotel-WLANs (offen oder verschlüsselt) ist und dieses in einem eigenen WPA-verschlüsselten WLAN verteilt.

Raspi ist somit unnötig, weil EZCast noch kleiner ist. Beschränkung auf eine MAC-Adresse ist auch gelöst. Urlaubsbilder, Filme etc. kann auch gleich am Bildschirm verfolgen.

Aber das Antennen-Array einer Fritz!Box ist damit noch nicht ersetzt, wenn man mal ein Zimmer fernab des Routers in der Lobby erwischt.

 

[okatomy1]

Ich war ebenfalls auf der Suche nach einer Lösung ein unverschlüsselten Hotspot mit einer Fritzbox zu nutzen.

Meine Lösung sah dann so aus: Da die Fritzbox sich nicht mit unverschlüsselten WLANs verbindet, der Fritz Repeater 450E aber sehr wohl, habe ich den Repeater mit dem unverschlüsselten WLAN Verbunden und an dessen LAN Port eben die Fritzbox via "Vorhandener Internetzugang über LAN". Funktioniert einwandfrei und alle Clients gehen über die Fritzbox online.

In meinem Fall wollte ich einen Vodafone Hotspot nutzen bis mein eigener Anschluss bereitgestellt wurde.

 

[Chatty]

Interessante Produktpolitik seitens AVM.

Aber ich finde die Empfangseigenschaften der Fritz!Box interessant, die mit dem Repeater nicht zur Verwendung kommen. Für mich stellt aus o.g. Gründen der kleine HDMI-Stick immer noch die beste Wahl dar.

 

[okatomy1]

Im Prinzip sollte der 450E in meiner Konstellation durch jeden x-beliebigen AccessPoint ersetzbar sein der die gewünschen Empfangseigenschaften ( große externe Antennen wären bestimmt Ideal) bietet. Hatte den 450E halt gerade sowieso in meinem Fundus, die direkte Lösung über die Fritzbox wäre mir natürlich lieber gewesen.

Frage mich ob das Produktpolitik ist von AVM oder Unfähigkeit das in Firtz OS reinzuprogrammieren. eine Hardwarebeschränkung sollte es wohl kaum sein wenn dein billiger HDMI Stick das hinbekommt.

 

[Chatty]

Ab Firmware-Version 7.01 darf der. AP auch unverschlüsselt senden.