diff options
| author | Johann Kois <jkois@FreeBSD.org> | 2007-03-24 16:26:25 +0000 |
|---|---|---|
| committer | Johann Kois <jkois@FreeBSD.org> | 2007-03-24 16:26:25 +0000 |
| commit | 4903f2af128b3eb99663a4ecf514569b419af9ca (patch) | |
| tree | 7cbf77b2f9a913bda139d7b8834c1144d11b70f5 /de_DE.ISO8859-1/books | |
| parent | 4cf25f0a7fbb6f9e1dc5fb4acdb3bdab3ef9a8bb (diff) | |
Notes
Diffstat (limited to 'de_DE.ISO8859-1/books')
| -rw-r--r-- | de_DE.ISO8859-1/books/handbook/advanced-networking/chapter.sgml | 1266 |
1 files changed, 1258 insertions, 8 deletions
diff --git a/de_DE.ISO8859-1/books/handbook/advanced-networking/chapter.sgml b/de_DE.ISO8859-1/books/handbook/advanced-networking/chapter.sgml index 87e6709ef0..e2b494679b 100644 --- a/de_DE.ISO8859-1/books/handbook/advanced-networking/chapter.sgml +++ b/de_DE.ISO8859-1/books/handbook/advanced-networking/chapter.sgml @@ -3,8 +3,8 @@ The FreeBSD German Documentation Project $FreeBSD$ - $FreeBSDde: de-docproj/books/handbook/advanced-networking/chapter.sgml,v 1.160 2006/10/21 15:25:27 jkois Exp $ - basiert auf: 1.387 + $FreeBSDde: de-docproj/books/handbook/advanced-networking/chapter.sgml,v 1.161 2007/03/24 16:03:16 jkois Exp $ + basiert auf: 1.389 --> <chapter id="advanced-networking"> @@ -794,14 +794,1264 @@ route_net2="-net 192.168.1.0/24 192.168.1.1"</programlisting> </sect1> <sect1 id="network-wireless"> + <sect1info> + <authorgroup> + <author> + <othername>Loader</othername> + </author> + + <author> + <firstname>Marc</firstname> + <surname>Fonvieille</surname> + </author> + + <author> + <firstname>Murray</firstname> + <surname>Stokely</surname> + </author> + </authorgroup> + </sect1info> + <title>Drahtlose Netzwerke</title> - <para>Dieses Abschnitt ist noch nicht übersetzt. Lesen Sie - daher bitte <ulink - url="&url.books.handbook.en;/network-wireless.html"> - das Original in englischer Sprache</ulink>. Wenn Sie helfen - wollen, dieses Kapitel fertig zu übersetzen, senden Sie - bitte eine E-Mail an die Mailingliste &a.de.translators;.</para> + <indexterm><primary>Netzwerke, drahtlos</primary></indexterm> + <indexterm> + <primary>802.11</primary> + <see>drahtlose Netzwerke</see> + </indexterm> + + <sect2> + <title>Grundlagen</title> + + <para>Die meisten drahtlosen Netzwerke basieren auf dem + Standard IEEE 802.11. Sie bestehen aus Stationen, die + in der Regel im 2,4 GHz- oder im 5 GHz-Band + miteinander kommunizieren. Es ist aber auch + möglich, dass regional andere Frequenzen, + beispielsweise im 2,3 GHz- oder 4,9 GHz-Band, + verwendet werden.</para> + + <para>802.11-Netzwerke können auf zwei verschiedene + Arten aufgebaut sein: Im + <emphasis>Infrastruktur-Modus</emphasis> agiert eine + Station als Master, mit dem sich alle andere Stationen + verbinden. Die Summe aller Stationen wird als BSS + (Basic Service Set), die Master-Station hingegen als + Access Point (AP) bezeichnet. In einem BSS läuft + jedwede Kommunikation über den Access Point. Die + zweite Form drahtloser Netzwerke sind die sogenannten + <emphasis>Ad-hoc-Netzwerke</emphasis> (auch als IBSS + bezeichnet), in denen es keinen Access Point gibt und + in denen die Stationen direkt miteinander + kommunizieren.</para> + + <para>Die ersten 802.11-Netzwerke arbeiteten im + 2,4 GHz-Band und nutzten dazu Prokolle der + IEEE-Standards 802.11 sowie 802.11b. Diese Standards + legen unter anderem Betriebsfrequenzen sowie Merkmale + des MAC-Layers (wie Frames und Transmissionsraten) fest. + Später kam der Standard 802.11a hinzu, der im + 5 GHz-Band, im Gegensatz zu den ersten beiden + Standards aber mit unterschiedlichen Signalmechanismen + und höheren Transmissionsraten arbeitet. Der + neueste Standard 802.11g implementiert die Signal- und + Transmissionsmechanismen von 802.11a im 2,4 GHz-Band, + ist dabei aber abwärtskompatibel zu + 802.11b-Netzwerken.</para> + + <para>Unabhängig von den zugrundeliegenden + Transportmechanismen verfügen 802.11-Netzwerke + über diverse Sicherheitsmechanismen. Der + ursprüngliche 802.11-Standard definierte lediglich + ein einfaches Sicherheitsprotokoll namens WEP. Dieses + Protokoll verwendet einen fixen (gemeinsam verwendeten) + Schlüssel sowie die RC4-Kryptografie-Chiffre, + um Daten verschlüsselt über das drahtlose + Netzwerk zu senden. Alle Stationen des Netzwerks + müssen sich auf den gleichen fixen Schlüssel + einigen, um miteinander kommunizieren zu können. Dieses + Schema ist sehr leicht zu knacken und wird deshalb heute + kaum mehr eingesetzt. Aktuelle Sicherheitsmechanismen + bauen auf dem Standard IEEE 802.11i auf, der neue + kryptografische Schlüssel (Chiffren), ein neues + Protokoll für die Anmeldung von Stationen an einem + Access Point sowie Mechanismen zum Austausch von + Schlüsseln als Vorbereitung der Kommunikation zwischen + verschiedenen Geräten festlegt. Kryptografische + Schlüssel werden regelmäßig getauscht. + Außerdem gibt es Mechanismen, um Einbruchsversuche + zu entdecken (und Gegenmaßnahmen ergreifen zu können). + Ein weiteres häufig verwendetes Sicherheitsprotokoll ist + WPA. Dabei handelt es sich um einen Vorläufer von 802.11i, + der von einem Industriekonsortium als Zwischenlösung bis + zur endgültigen Verabschiedung von 802.11i entwickelt + wurde. WPA definiert eine Untergruppe der Anforderungen des + 802.11i-Standards und ist für den Einsatz in älterer + Hardware vorgesehen. WPA benötigt nur den (auf dem + ursprünglichen WEP-Code basierenden) TKIP-Chiffre. 802.11i + erlaubt zwar auch die Verwendung von TKIP, fordert aber + zusätzlich eine stärkere Chiffre (AES-CCM) + für die Datenverschlüsselung. (AES war für + WPA nicht vorgesehen, weil man es als zu rechenintensiv + für den Einsatz in älteren Geräten ansah.)</para> + + <para>Neben den weiter oben erwähnten Standards ist auch + der Standard 802.11e von großer Bedeutung. Dieser + definiert Protokolle zur Übertragung von + Multimedia-Anwendungen wie das Streaming von Videodateien + oder Voice-over-IP (VoIP) in einem 802.11-Netzwerk. Analog + zu 802.11i verfügt auch 802.11e über eine + vorläufige Spezifikation namens WMM (ursprünglich + WME), die von einem Industriekonsortium als Untergruppe + von 802.11e spezifiziert wurde, um Multimedia-Anwendungen + bereits vor der endgültigen Verabschiedung des + 802.11e-Standards implementieren zu können. 802.11e + sowie WME/WMM erlauben eine Prioritätenvergabe beim + Datentransfer im einem drahtlosen Netzwerk. Möglich + wird dies durch den Einsatz von Quality of Service-Protokollen + (QoS) und erweiterten Medienzugriffsprotokollen. Werden + diese Protokolle korrekt implementiert, erlauben sie daher + hohe Datenübertragungsraten und einen priorisierten + Datenfluss.</para> + + <para>&os; unterstützt seit der Version 6.0 die Standards + 802.11a, 802.11b, sowie 802.11g. Ebenfalls unterstützt + werden WPA sowie die Sicherheitsprotokolle gemäß + 802.11i (dies sowohl für 11a, 11b als auch 11g). QoS und + Verkehrpriorisierung, die von den WME/WMM-Protokollen + benötigt werden, werden ebenfalls (allerdings nicht + für alle drahtlosen Geräte) unterstützt.</para> + </sect2> + + <sect2 id="network-wireless-basic"> + <title>Basiskonfiguration</title> + + <sect3> + <title>Kernelkonfiguration</title> + + <para>Um ein drahtloses Netzwerk zu nutzen, benötigen + Sie eine drahtlose Netzkarte und einen Kernel, der + drahtlose Netzwerke unterstützt. Der &os;-Kernel + unterstützt den Einsatz von Kernelmodulen. Daher + müssen Sie nur die Unterstützung für die + von Ihnen verwendeten Geräte aktivieren.</para> + + <para>Als Erstes benötigen Sie ein drahtloses Gerät. + Die meisten drahtlosen Geräte verwenden Bauteile von + Atheros und werden deshalb vom &man.ath.4;-Treiber + unterstützt. Um diesen Treiber zu verwenden, + nehmen Sie die folgende Zeile in die Datei + <filename>/boot/loader.conf</filename> auf:</para> + + <programlisting>if_ath_load="YES"</programlisting> + + <para>Der Atheros-Treiber besteht aus drei Teilen: + dem Treiber selbst (&man.ath.4;), dem + Hardware-Support-Layer für die + chip-spezifischen Funktionen (&man.ath.hal.4;) + sowie einem Algorithmus zur Auswahl der korrekten + Frame-Übertragungsrate (ath_rate_sample). + Wenn Sie die Unterstützung für diesen + Treiber als Kernelmodul laden, kümmert sich + dieses automatisch um diese Aufgaben. Verwenden + Sie ein Nicht-Atheros-Gerät, so müssen + Sie hingegen das für dieses Gerät geeignete + Modul laden, beispielsweise</para> + + <programlisting>if_wi_load="YES"</programlisting> + + <para>für Geräte, die auf Bauteilen von + Intersil Prism basieren und daher den Treiber + &man.wi.4; voraussetzen.</para> + + <note> + <para>In den folgenden Abschnitten wird der + &man.ath.4;-Treiber verwendet. Verwenden Sie ein + anderes Gerät, müssen Sie diesen Wert + daher an Ihre Konfiguration anpassen. Eine Liste aller + verfügbaren Treiber für drahtlose Geräte + finden Sie in der Manualpage &man.wlan.4;. Gibt es + keinen nativen &os;-Treiber für Ihr drahtloses + Gerät, können Sie möglicherweise mit + <link linkend="config-network-ndis">NDIS</link> einen + &windows;-Treiber verwenden.</para> + </note> + + <para>Neben dem korrekten Treiber benötigen Sie auch + die Unterstützung für 802.11-Netzwerke. Für + den &man.ath.4;-Treiber wird dazu automatisch das + Kernelmodul &man.wlan.4; geladen. Zusätzlich + benötigen Sie noch Module zur Verschlüsselung + ihres drahtlosen Netzwerks. Diese werden normalerweise + dynamisch vom &man.wlan.4;-Modul geladen. Im folgenden + Beispiel erfolgt allerdings eine manuelle Konfiguration. + Folgende Module sind verfügbar: &man.wlan.wep.4;, + &man.wlan.ccmp.4; sowie &man.wlan.tkip.4;. Sowohl + &man.wlan.ccmp.4; als auch &man.wlan.tkip.4; werden nur + benötigt, wenn Sie WPA und/oder die Sicherheitsprotokolle + von 802.11i verwenden wollen. Wollen Sie Ihr Netzwerk + hingegen offen betreiben (also völlig ohne + Verschlüsselung), benötigen Sie nicht einmal + die &man.wlan.wep.4;-Unterstützung. Um alle drei + Module beim Systemstart zu laden, fügen Sie folgende + Zeilen in die Datei <filename>/boot/loader.conf</filename> + ein:</para> + + <programlisting>wlan_wep_load="YES" +wlan_ccmp_load="YES" +wlan_tkip_load="YES"</programlisting> + + <para>Danach müssen Sie Ihr &os;-System neu starten. + Alternativ können Sie die Kernelmodule aber auch + manuell mit &man.kldload.8; laden.</para> + + <note> + <para>Wollen Sie keine Kernelmodule verwenden, können + Sie die benötigten Treiber auch in Ihren Kernel + kompilieren. Daz nehmen Sie folgende Zeilen in Ihre + Kernelkonfigurationsdatei auf:</para> + + <programlisting>device ath # Atheros IEEE 802.11 wireless network driver +device ath_hal # Atheros Hardware Access Layer +device ath_rate_sample # John Bicket's SampleRate control algorithm. +device wlan # 802.11 support (Required) +device wlan_wep # WEP crypto support for 802.11 devices +device wlan_ccmp # AES-CCMP crypto support for 802.11 devices +device wlan_tkip # TKIP and Michael crypto support for 802.11 devices</programlisting> + + <para>Danach bauen Sie den neuen Kernel und starten Ihr + &os;-System neu.</para> + </note> + + <para>Während des Systemstarts sollten nun einige + Informationen ähnlich den folgenden über das von + Ihnen verwendete drahtlose Gerät ausgegeben + werden:</para> + + <screen>ath0: <Atheros 5212> mem 0xff9f0000-0xff9fffff irq 17 at device 2.0 on pci2 +ath0: Ethernet address: 00:11:95:d5:43:62 +ath0: mac 7.9 phy 4.5 radio 5.6</screen> + </sect3> + </sect2> + + <sect2> + <title>Infrastruktur-Modus</title> + + <para>Drahtlose Netzwerke werden in der Regel im + Infrastruktur-Modus (auch BSS-Modus genannt) betrieben. + Dazu werden mehrere drahtlose Access Points zu einem + gemeinsamen drahtlosen Netzwerk verbunden. Jedes dieser + drahtlosen Netzwerke hat einen eigenen Namen, der als + <emphasis>SSID</emphasis> bezeichnet wird. Alle Clients + eines drahtlosen Netzwerks verbinden sich in diesem Modus + mit einem Access Point.</para> + + <sect3> + <title>&os;-Clients</title> + + <sect4> + <title>Einen Access Point finden</title> + + <para>Um nach drahtlosen Netzwerken zu suchen, verwenden Sie + <command>ifconfig</command>. Dieser Scanvorgang kann einige + Zei in Anspruch nehmen, da dazu jede verfügbare + Frequenz auf verfügbare Access Points hin + überprüft werden muss. Um die Suche zu starten, + müssen Sie als Super-User angemeldet sein:</para> + + <screen>&prompt.root; <userinput>ifconfig <replaceable>ath0</replaceable> up scan</userinput> +SSID BSSID CHAN RATE S:N INT CAPS +dlinkap 00:13:46:49:41:76 6 54M 29:0 100 EPS WPA WME +freebsdap 00:11:95:c3:0d:ac 1 54M 22:0 100 EPS WPA</screen> + + <note> + <para>Ihre Netzwerkkarte muss in den Status + <option>up</option> versetzt werden, bevor Sie den ersten + Scanvorgang starten können. Für spätere + Scans ist dies aber nicht mehr erforderlich.</para> + </note> + + <para>Als Ergebnis erhalten Sie eine Liste mit allen + gefundenen BSS/IBSS-Netzwerken. Zusätzlich zur + <literal>SSID</literal> (dem Namen des Netzwerks) wird + auch die <literal>BSSID</literal> ausgegeben. Dabei + handelt es sich um MAC-Adresse des Access Points. Das + Feld <literal>CAPS</literal> gibt den Typ des Netzwerks + sowie die Fähigkeiten der Stationen innerhalb des + Netzwerks an:</para> + + <variablelist> + <varlistentry> + <term><literal>E</literal></term> + + <listitem> + <para>Extended Service Set (ESS). Zeigt an, dass die + Station Teil eines Infrastruktur-Netzwerks ist (und + nicht eines IBSS/Ad-hoc-Netzwerks).</para> + </listitem> + </varlistentry> + + <varlistentry> + <term><literal>I</literal></term> + + <listitem> + <para>IBSS/Ad-hoc-Netzwerk. Die Station ist Teil eines + Ad-hoc-Netzwerks (und nicht eines + ESS-Netzwerks).</para> + </listitem> + </varlistentry> + + <varlistentry> + <term><literal>P</literal></term> + + <listitem> + <para>Privacy. Alle Datenframes, die innerhalb des + BSS ausgetauscht werden, sind verschlüsselt. + Dieses BSS verwendet dazu kryptografische Verfahren + wie WEP, TKIP oder AES-CCMP.</para> + </listitem> + </varlistentry> + + <varlistentry> + <term><literal>S</literal></term> + + <listitem> + <para>Short Preamble. Das Netzwerk verwendet eine + kurze Präambel (definiert in 802.11b High + Rate/DSSS PHY). Eine kurze Präambel verwendet + ein 56 Bit langes Sync-Feld (im Gegensatz + zu einer langen Präambel, die ein + 128 Bit langes Sync-Feld verwendet).</para> + </listitem> + </varlistentry> + + <varlistentry> + <term><literal>s</literal></term> + + <listitem> + <para>Short slot time. Das 802.11g-Netzwerk verwendet + eine kurze Slotzeit, da es in diesem Netzwerk keine + veralteten (802.11b) Geräte gibt.</para> + </listitem> + </varlistentry> + </variablelist> + + <para>Um eine Liste der bekannten Netzwerke auszugeben, + verwenden Sie den folgenden Befehl:</para> + + <screen>&prompt.root; <userinput>ifconfig <replaceable>ath0</replaceable> list scan</userinput></screen> + + <para>Diese Liste kann entweder automatisch durch das + drahtlose Gerät oder manuell durch eine + <option>scan</option>-Aufforderung aktualisiert werden. + Veraltete Informationen werden dabei automatisch + entfernt.</para> + </sect4> + + <sect4> + <title>Basiseinstellungen</title> + + <para>Dieser Abschnitt beschreibt, wie Sie ein einfaches + drahtloses Netzerk ohne Verschlüsselung unter &os; + einrichten. Nachdem Sie sich mit den Informationen dieses + Abschnitts vertraut gemacht haben, sollten Sie Ihr + drahtloses Netzwerk mit <link + linkend="network-wireless-wpa">WPA</link> + verschlüsseln.</para> + + <para>Das Einrichten eines drahtlosen Netzwerks erfolgt + in drei Schritten: Der Auswahl eines Access Points, der + Anmeldung Ihrer Station sowie der Konfiguration Ihrer + IP-Adresse.</para> + + <sect5> + <title>Einen Access Point auswählen</title> + + <para>Im Normalfall wird sich Ihre Station automatisch mit + einem der zur Verfügung stehenden Access Points + verbinden. Sie müssen dazu lediglich Ihr + drahtloses Gerät aktivieren. Alternativ können + Sie auch einen Eintrag ähnlich dem folgenden in + <filename>/etc/rc.conf</filename> aufnehmen:</para> + + <programlisting>ifconfig_ath0="DHCP"</programlisting> + + <para>Wollen Sie sich hingegen mit einem bestimmten + Access Point verbinden, müssen Sie dessen + SSID angeben:</para> + + <programlisting>ifconfig_ath0="ssid <replaceable>Ihre_SSID</replaceable> DHCP"</programlisting> + + <para>Gibt es in Ihrem Netzwerk mehrere Access Points + mit der gleichen SSID (was der Einfachheit wegen + häufig der Fall ist), können Sie sich dennoch + mit einem bestimmten Access Point verbinden. Dazu + müssen Sie lediglich die BSSID des Access Points + angeben (die Angabe der SSID ist in diesem Fall nicht + erforderlich):</para> + + <programlisting>ifconfig_ath0="ssid <replaceable>Ihre_SSID</replaceable> bssid <replaceable>xx:xx:xx:xx:xx:xx</replaceable> DHCP"</programlisting> + + <para>Es gibt noch weitere Möglichkeiten, den Zugriff + auf bestimmte Access Point zu beschränken, + beispielsweise durch die Begrenzung der Frequenzen, auf + denen eine Station nach einem Acces Point sucht. Sinnvoll + ist ein solches Vorgehen beispielsweise, wenn Ihr + drahtloses Gerät in verschiedenen Frequenzbereichen + arbeiten kann, da in diesem Fall das Prüfen aller + Frequenzen sehr zeitintensiv ist. Um nur innerhalb eines + bestimmten Frequenzbereichs nach einem Access Point zu + suchen, verwenden Sie die Option <option>mode</option>:</para> + + <programlisting>ifconfig_ath0="mode <replaceable>11g</replaceable> ssid <replaceable>Ihre_SSID</replaceable> DHCP"</programlisting> + + <para>Dadurch sucht Ihr drahtloses Gerät nur im + 2,4 GHz-Band (802.11g), aber nicht innerhalb des + 5 GHz-Bandes nach einem Access Point. Mit der + Option <option>channel</option> können Sie eine + bestimmte Frequenz vorgeben, auf der gesucht werden + soll. Die Option <option>chanlist</option> erlaubt + die Angabe mehrerer erlaubter Frequenzen. Eine + umfassende Beschreibung dieser Optionen finden Sie in + der Manualpage &man.ifconfig.8;.</para> + </sect5> + + <sect5> + <title>Authentifizierung</title> + + <para>Wenn Sie einen Access Point gefunden haben, muss + sich Ihrem Station am Access Point anmelden, bevor + Sie Daten übertragen kann. Dazu gibt es + verschiedene Möglichkeiten. Am häufigsten + wird nach wie vor die sogenannte <emphasis>offene + Authentifizierung</emphasis> verwendet. Dabei wird + es jeder Station erlaubt, sich mit einem Netzwerk + zu verbinden und Daten zu übertragen. Aus + Sicherheitsgründen sollte diese Methode allerdings + nur zu Testzwecken bei der erstmaligen Einrichtung + eines drahtlosen Netzwerks verwendet werden. Andere + Authentifizierungsmechanismen erfordern den Austausch + kryptografischer Informationen, bevor Sie die + Übertragung von Daten erlauben. Dazu gehören + der Austausch fixer (vorher vereinbarter) Schlüssel + oder Kennwörter sowie der Einsatz komplexerer + Verfahren mit Backend-Diensten wie RADIUS. Die meisten + Netzwerke nutzen allerdings nach wie vor die offene + Authentifizierung, da dies die Voreinstellung ist. Am + zweithäufigsten kommt das weiter unten beschriebene + <link + linkend="network-wireless-wpa-wpa-psk">WPA-PSK</link> + (das auch als <foreignphrase>WPA Personal</foreignphrase> + bezeichnet wird) zum Einsatz.</para> + + <note> + <para>Verwenden Sie eine + &apple; &airport; Extreme-Basisstation als Access Point, + benötigen Sie wahrscheinlich sowohl die + Shared-Key-Authentifizierung als auch einen + WEP-Schlüssel. Die entsprechende Konfiguration + erfolgt entweder in der Datei + <filename>/etc/rc.conf</filename> oder über das + Programm &man.wpa.supplicant.8;. Verwenden Sie nur + eine einzige &airport;-Basisstation, benötigen + Sie einen Eintrag ähnlich dem folgenden:</para> + + <programlisting>ifconfig_ath0="authmode shared wepmode on weptxkey <replaceable>1</replaceable> wepkey <replaceable>01234567</replaceable> DHCP"</programlisting> + + <para>Normalerweise sollten Sie + Shared-Key-Authentifizierung aber nicht verwenden, + da diese die Sicherheit des WEP-Schlüssel noch + weiter verringert. Müssen Sie WEP einsetzen + (beispielsweise weil Sie zu veralteten Geräten + kompatibel bleiben müssen), sollten Sie WEP + nur zusammen mit der offenen Authentifizierung + (<literal>open</literal> authentication) verwenden. + WEP wird im <xref + linkend="network-wireless-wep"> näher + beschrieben.</para> + </note> + </sect5> + + <sect5> + <title>Eine IP-Adresse über DHCP beziehen</title> + + <para>Nachdem Sie einen Access Point gefunden und sich + authentifiziert haben, benötigen Sie noch eine + IP-Adresse, die Sie in der Regel über DHCP + zugewiesen bekommen. Dazu müssen Sie lediglich + die Option <literal>DHCP</literal> in Ihre + in der Datei <filename>/etc/rc.conf</filename> + vorhandene Konfiguration Ihres drahtlosen Geräts + aufnehmen:</para> + + <programlisting>ifconfig_ath0="DHCP"</programlisting> + + <para>Nun können Sie Ihr drahtloses Gerät + starten:</para> + + <screen>&prompt.root; <userinput>/etc/rc.d/netif start</userinput></screen> + + <para>Nachdem Sie das Gerät aktiviert haben, + können Sie mit <command>ifconfig</command> den + Status des Geräts <devicename>ath0</devicename> + abfragen:</para> + + <screen>&prompt.root; <userinput>ifconfig <replaceable>ath0</replaceable></userinput> +ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 + inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1 + inet 192.168.1.100 netmask 0xffffff00 broadcast 192.168.1.255 + ether 00:11:95:d5:43:62 + media: IEEE 802.11 Wireless Ethernet autoselect (OFDM/54Mbps) + status: associated + ssid dlinkap channel 6 bssid 00:13:46:49:41:76 + authmode OPEN privacy OFF txpowmax 36 protmode CTS bintval 100</screen> + + <para><literal>status: associated</literal> besagt, dass + sich Ihr Gerät mit dem drahtlosen Netzwerk verbunden + hat (konkret mit dem Netzwerk <literal>dlinkap</literal>). + <literal>bssid 00:13:46:49:41:76</literal> gibt die + MAC-Adresse Ihres Access Points aus und die Zeile mit + <literal>authmode</literal> informiert Sie darüber, + dass Ihre Kommunikation nicht verschlüsselt wird + (<literal>OPEN</literal>).</para> + </sect5> + + <sect5> + <title>Statische IP-Adressen</title> + + <para>Alternativ zu dynamischen IP-Adressen + können Sie auch eine statische IP-Adresse verwenden. + Dazu ersetzen Sie in Ihrer Konfiguration + <literal>DHCP</literal> durch die zu verwendende + IP-Adresse. Beachten Sie dabei, dass Sie die anderen + Konfigurationsparameter nicht versehentlich + verändern:</para> + + <programlisting>ifconfig_ath0="inet <replaceable>192.168.1.100</replaceable> netmask <replaceable>255.255.255.0</replaceable> ssid <replaceable>Ihre_SSID</replaceable>"</programlisting> + </sect5> + + <sect4 id="network-wireless-wpa"> + <title>WPA</title> + + <para>Bei WPA (Wi-Fi Protected Access) handelt es sich um ein + Sicherheitsprotokoll, das in 802.11-Netzwerken verwendet + wird, um die Nachteile von <link + linkend="network-wireless-wep">WEP</link> (fehlende + Authentifizierung und schwache Verschlüsselung) + zu vermeiden. WPA stellt das aktuelle + 802.1X-Authentifizierungsprotokoll dar und verwendet + eine von mehreren Chiffren, um die Datensicherheit + zu gewährleisten. Die einzige Chiffre, die von + WPA verlangt wird, ist TKIP (<foreignphrase>Temporary + Key Integrity Protocol</foreignphrase>), eine Chiffre, + die die von WEP verwendete RC4-Chiffre um Funktionen + zur Prüfung der Datenintegrität und zur + Erkennung und Bekämpfung von Einbruchsversuchen + erweitert. + TKIP ist durch Softwaremodifikationen auch unter + veralteter Hardware lauffähig. Im Vergleich zu + WEP ist WPA zwar sehr viel sicherer, es ist aber dennoch + nicht völlig immun gegen Angriffe. WPA definiert + mit AES-CCMP noch eine weitere Chiffre als Alternative + zu TKIP. AES-CCMP (das häufig als WPA2 oder RSN + bezeichnet wird) sollte, wenn möglich, eingesetzt + werden.</para> + + <para>WPA definiert Authentifizierungs- und + Verschlüsselungsprotokolle. Die Authentifizierung + erfolgt in der Regel über eine der folgenden + Techniken: 802.1X gemeinsam mit einem + Backend-Authentifizierungsdienst wie RADIUS, oder durch + einen Minimal-Handshake zwischen der Station und dem + Access Point mit einem vorher vereinbarten gemeinsamen + Schlüssel. Die erste Technik wird als + <foreignphrase>WPA Enterprise</foreignphrase>, die zweite + hingegen als <foreignphrase>WPA Personal</foreignphrase> + bezeichnet. Da sich der Aufwand für das Aufsetzen + eines RADIUS-Backend-Servers für die meisten + drahtlosen Netzwerke nicht lohnt, wird WPA in der Regel + als WPA-PSK (WPA, Pre-Shared-Key) konfiguriert.</para> + + <para>Die Kontrolle der drahtlosen Verbindung sowie die + vorangehende Authentifizierung (über Schlüssel + oder durch die Kommunikation mit einem Server) erfolgt + über das Programm &man.wpa.supplicant.8;, das + über die Datei + <filename>/etc/wpa_supplicant.conf</filename> + eingerichtet wird. Ausführliche Informationen + zur Konfiguration des Programms finden sich in der + Manualpage &man.wpa.supplicant.conf.5;.</para> + + <sect5 id="network-wireless-wpa-wpa-psk"> + <title>WPA-PSK</title> + + <para>WPA-PSK oder WPA-Personal basiert auf einem + gemeinsamen (vorher vereinbarten) Schlüssel (PSK), + der aus einem Passwort generiert und danach als + Master-Key des drahtlosen Netzwerks verwendet wird. + Jeder Benutzer des drahtlosen Netzwerks verwendet daher + <emphasis>den gleichen</emphasis> Schlüssel. WPA-PSK + sollte nur in kleinen Netzwerken eingesetzt werden, in + denen die Konfiguration eines Authentifizierungsservers + nicht möglich oder erwünscht ist.</para> + + <warning> + <para>Achten Sie darauf, dass Sie immer starke + Passwörter verwenden, die ausreichend lang + sind und, wenn möglich, auch Sonderzeichen + enthalten, damit diese nicht leicht erraten und/oder + geknackt werden können.</para> + </warning> + + <para>Der erste Schritt zum Einsatz von WPA-PSK ist die + Konfiguration der SSID und des gemeinsamen Schlüssels + Ihres Netzwerks in der Datei + <filename>/etc/wpa_supplicant.conf</filename>:</para> + + <programlisting>network={ + ssid="freebsdap" + psk="freebsdmall" +}</programlisting> + + <para>Danach geben Sie in <filename>/etc/rc.conf</filename> + an, dass WPA zur Verschlüsselung eingesetzt werden + soll und dass die IP-Adresse über DHCP bezogen + wird:</para> + + <programlisting>ifconfig_ath0="WPA DHCP"</programlisting> + + <para>Nun können Sie Ihr Netzgerät aktivieren:</para> + + <screen>&prompt.root; <userinput><filename>/etc/rc.d/netif</filename> start</userinput> +Starting wpa_supplicant. +DHCPDISCOVER on ath0 to 255.255.255.255 port 67 interval 5 +DHCPDISCOVER on ath0 to 255.255.255.255 port 67 interval 6 +DHCPOFFER from 192.168.0.1 +DHCPREQUEST on ath0 to 255.255.255.255 port 67 +DHCPACK from 192.168.0.1 +bound to 192.168.0.254 -- renewal in 300 seconds. +ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 + inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1 + inet 192.168.0.254 netmask 0xffffff00 broadcast 192.168.0.255 + ether 00:11:95:d5:43:62 + media: IEEE 802.11 Wireless Ethernet autoselect (OFDM/36Mbps) + status: associated + ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac + authmode WPA privacy ON deftxkey UNDEF TKIP 2:128-bit txpowmax 36 + protmode CTS roaming MANUAL bintval 100</screen> + + <para>Alternativ können Sie die Konfiguration von + <link linkend="network-wireless-wpa-wpa-psk">WPA-PSK</link> + auch manuell durchführen, wobei Sie wiederum die + Konfigurationsdatei + <filename>/etc/wpa_supplicant.conf</filename> + verwenden:</para> + + <screen>&prompt.root; <userinput>wpa_supplicant -i <replaceable>ath0</replaceable> -c /etc/wpa_supplicant.conf</userinput> +Trying to associate with 00:11:95:c3:0d:ac (SSID='freebsdap' freq=2412 MHz) +Associated with 00:11:95:c3:0d:ac +WPA: Key negotiation completed with 00:11:95:c3:0d:ac [PTK=TKIP GTK=TKIP]</screen> + + <para>Im zweiten Schritt starten Sie nun + <command>dhclient</command>, um eine IP-Adresse vom + DHCP-Server zu beziehen:</para> + + <screen>&prompt.root; <userinput>dhclient <replaceable>ath0</replaceable></userinput> +DHCPREQUEST on ath0 to 255.255.255.255 port 67 +DHCPACK from 192.168.0.1 +bound to 192.168.0.254 -- renewal in 300 seconds. +&prompt.root; <userinput>ifconfig <replaceable>ath0</replaceable></userinput> +ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 + inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1 + inet 192.168.0.254 netmask 0xffffff00 broadcast 192.168.0.255 + ether 00:11:95:d5:43:62 + media: IEEE 802.11 Wireless Ethernet autoselect (OFDM/48Mbps) + status: associated + ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac + authmode WPA privacy ON deftxkey UNDEF TKIP 2:128-bit txpowmax 36 + protmode CTS roaming MANUAL bintval 100</screen> + + <note> + <para>Enthält Ihre <filename>/etc/rc.conf</filename> + bereits die Zeile <literal>ifconfig_ath0="DHCP"</literal>, + müssen Sie <command>dhclient</command> nicht mehr + manuell aufrufen, da <command>dhclient</command> in + diesem Fall automatisch gestartet wird, nachdem + <command>wpa_supplicant</command> die Schlüssel + übergibt.</para> + </note> + + <para>Sollte der Einsatz von DHCP nicht möglich sein, + können Sie auch eine statische IP-Adresse + angeben, nachdem <command>wpa_supplicant</command> Ihre + Station authentifiziert hat:</para> + + <screen>&prompt.root; <userinput>ifconfig <replaceable>ath0</replaceable> inet <replaceable>192.168.0.100</replaceable> netmask <replaceable>255.255.255.0</replaceable></userinput> +&prompt.root; <userinput>ifconfig <replaceable>ath0</replaceable></userinput> +ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 + inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1 + inet 192.168.0.100 netmask 0xffffff00 broadcast 192.168.0.255 + ether 00:11:95:d5:43:62 + media: IEEE 802.11 Wireless Ethernet autoselect (OFDM/36Mbps) + status: associated + ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac + authmode WPA privacy ON deftxkey UNDEF TKIP 2:128-bit txpowmax 36 + protmode CTS roaming MANUAL bintval 100</screen> + + <para>Verwenden Sie DHCP nicht, müssen Sie + zusätzlich noch das Standard-Gateway sowie + den/die Nameserver manuell festlegen:</para> + + <screen>&prompt.root; <userinput>route add default <replaceable>your_default_router</replaceable></userinput> +&prompt.root; <userinput>echo "nameserver <replaceable>your_DNS_server</replaceable>" >> /etc/resolv.conf</userinput></screen> + </sect5> + + <sect5 id="network-wireless-wpa-eap-tls"> + <title>WPA und EAP-TLS</title> + + <para>Die zweite Möglichkeit, WPA einzusetzen, ist + die Verwendung eines + 802.1X-Backend-Authentifizierungsservers. Diese + Variante wird als WPA-Enterprise bezeichnet, um sie + vom weniger sicheren WPA-Personal abzugrenzen, das + auf dem Austausch gemeinsamer (und vorher vereinbarter + Schlüssel) basiert. Die bei WPA-Enterprise + verwendete Authentifizierung basiert auf EAP + (<foreignphrase>Extensible Authentication + Protocol</foreignphrase>).</para> + + <para>EAP selbst bietet keine Verschlüsselung, + sondern operiert in einem verschlüsselten + Tunnel. Es gibt verschiedene, auf EAP basierende + Authentifizierungsmethoden, darunter EAP-TLS, + EAP-TTLS sowie EAP-PEAP.</para> + + <para>Bei EAP-TLS (<foreignphrase>EAP with Transport Layers + Security</foreignphrase>) handelt es sich um sehr gut + unterstütztes Authentifizierungsprotokoll, da es + sich dabei um die erste EAP-Methode handelt, die von + der <ulink url="http://www.wi-fi.org/">Wi-Fi + Alliance</ulink> zertifiziert wurde. EAP-TLS + erfordert drei Zertifikate: Das (auf allen Rechnern + installierte) CA-Zertifikat, das Server-Zertifikat + Ihres Authentifizierungsservers, sowie ein + Client-Zertifikat für jeden drahtlosen Client. + Sowohl der Authentifizierungsservers als auch die + drahtlosen Clients authentifizieren sich gegenseitig + durch ihre Zertifikate, wobei sie überprüfen, + ob diese Zertifikate auch von der + Zertifizierungs-Authorität (CA) des jeweiligen + Unternehmens signiert wurden.</para> + + <para>Die Konfiguration erfolgt (analog zu WPA-PSK) + über die Datei + <filename>/etc/wpa_supplicant.conf</filename>:</para> + + <programlisting>network={ + ssid="freebsdap" <co id="co-tls-ssid"> + proto=RSN <co id="co-tls-proto"> + key_mgmt=WPA-EAP <co id="co-tls-kmgmt"> + eap=TLS <co id="co-tls-eap"> + identity="loader" <co id="co-tls-id"> + ca_cert="/etc/certs/cacert.pem" <co id="co-tls-cacert"> + client_cert="/etc/certs/clientcert.pem" <co id="co-tls-clientcert"> + private_key="/etc/certs/clientkey.pem" <co id="co-tls-pkey"> + private_key_passwd="freebsdmallclient" <co id="co-tls-pwd"> +}</programlisting> + + <calloutlist> + <callout arearefs="co-tls-ssid"> + <para>Der Name des Netzwerks (die SSID).</para> + </callout> + + <callout arearefs="co-tls-proto"> + <para>Das RSN/WPA2-Protokoll (IEEE 802.11i) wird + verwendet.</para> + </callout> + + <callout arearefs="co-tls-kmgmt"> + <para>Die <literal>key_mgmt</literal>-Zeile bezieht + sich auf das verwendete Key-Management-Protokoll. + In diesem Beispiel wird WPA gemeinsam mit der + EAP-Authentifizierung verwendet + (<literal>WPA-EAP</literal>).</para> + </callout> + + <callout arearefs="co-tls-eap"> + <para>Die für die Verbindung verwendete + EAP-Methode.</para> + </callout> + + <callout arearefs="co-tls-id"> + <para>Das <literal>identity</literal>-Feld enthält + den von EAP verwendeten Identifizierungsstring.</para> + </callout> + + <callout arearefs="co-tls-cacert"> + <para>Das Feld <literal>ca_cert</literal> gibt den Pfad + zum CA-Zertifikat an. Dieses Datei wird benötigt, + um das Server-Zertifikat zu verifizieren.</para> + </callout> + + <callout arearefs="co-tls-clientcert"> + <para>Die <literal>client_cert</literal>-Zeile gibt den + Pfad zum Client-Zertifikat an. Jeder Client hat ein + eigenes, innerhalb des Netzwerks eindeutiges + Zertifikat.</para> + </callout> + + <callout arearefs="co-tls-pkey"> + <para>Das Feld <literal>private_key</literal> gibt den + Pfad zum privaten Schlüssel des + Client-Zertifikat an.</para> + </callout> + + <callout arearefs="co-tls-pwd"> + <para>Das Feld <literal>private_key_passwd</literal> + enthält die Passphrase für den privaten + Schlüssel.</para> + </callout> + </calloutlist> + + <para>Danach fügen Sie die folgende Zeile in + <filename>/etc/rc.conf</filename> ein:</para> + + <programlisting>ifconfig_ath0="WPA DHCP"</programlisting> + + <para>Nun können Sie Ihr drahtloses Gerät + über das <filename>rc.d</filename>-System + aktivieren:</para> + + <screen>&prompt.root; <userinput>/etc/rc.d/netif start</userinput> +Starting wpa_supplicant. +DHCPREQUEST on ath0 to 255.255.255.255 port 67 +DHCPREQUEST on ath0 to 255.255.255.255 port 67 +DHCPACK from 192.168.0.20 +bound to 192.168.0.254 -- renewal in 300 seconds. +ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 + inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1 + inet 192.168.0.254 netmask 0xffffff00 broadcast 192.168.0.255 + ether 00:11:95:d5:43:62 + media: IEEE 802.11 Wireless Ethernet autoselect (DS/11Mbps) + status: associated + ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac + authmode WPA2/802.11i privacy ON deftxkey UNDEF TKIP 2:128-bit + txpowmax 36 protmode CTS roaming MANUAL bintval 100</screen> + + <para>Alternativ können Sie Ihr drahtloses Gerält + wiederum manuell über + <command>wpa_supplicant</command> und + <command>ifconfig</command> aktivieren.</para> + </sect5> + + <sect5 id="network-wireless-wpa-eap-ttls"> + <title>WPA und EAP-TTLS</title> + + <para>Bei EAP-TLS müssen sowohl der + Authentifizierungsserver als auch die Clients jeweils + ein eigenes Zertifikat aufweisen. Setzen Sie hingegen + EAP-TTLS (<foreignphrase>EAP-Tunneled + Transport Layer Security</foreignphrase>) ein, ist das + Client-Zertifikat optional. EAP-TTLS geht dabei + ähnlich vor wie verschlüsselte Webseiten, + bei denen der Webserver einen sicheren SSL-Tunnel + erzeugen kann, ohne dass der Besucher dabei über + ein client-seitiges Zertifikat verfügen muss. + EAP-TTLS verwendet einen verschlüsselten + TLS-Tunnel zum sicheren Transport der + Authentifizierungsdaten.</para> + + <para>Die Konfiguration von EAP-TTLS erfolgt in der + Datei <filename>/etc/wpa_supplicant.conf</filename>:</para> + + <programlisting>network={ + ssid="freebsdap" + proto=RSN + key_mgmt=WPA-EAP + eap=TTLS <co id="co-ttls-eap"> + identity="test" <co id="co-ttls-id"> + password="test" <co id="co-ttls-passwd"> + ca_cert="/etc/certs/cacert.pem" <co id="co-ttls-cacert"> + phase2="auth=MD5" <co id="co-ttls-pha2"> +}</programlisting> + + <calloutlist> + <callout arearefs="co-ttls-eap"> + <para>Die für die Verbindung verwendete + EAP-Methode.</para> + </callout> + + <callout arearefs="co-ttls-id"> + <para>Das <literal>identity</literal>-Feld enthält + den Identifizierungsstring für die + EAP-Authentifizierung innerhalb des + verschlüsselten TlS-Tunnels.</para> + </callout> + + <callout arearefs="co-ttls-passwd"> + <para>Das <literal>password</literal>-Feld enthält + die Passphrase für die + EAP-Authentifizierung.</para> + </callout> + + <callout arearefs="co-ttls-cacert"> + <para>Das Feld <literal>ca_cert</literal> gibt den + Pfad zum CA-Zertifikat an, das benötigt wird, + um das Server-Zertifikat zu verifizieren.</para> + </callout> + + <callout arearefs="co-ttls-pha2"> + <para>Die innerhalb des verschlüsselten TLS-Tunnels + verwendete Authentifizierungsmethode. In unserem + Beispiel handelt es sich dabei um EAP und MD5. Diese + Phase der <quote>inneren Authentifizierung</quote> wird + oft als <quote>phase2</quote> bezeichnet.</para> + </callout> + </calloutlist> + + <para>Folgende Zeile muss zusätzlich in die Datei + <filename>/etc/rc.conf</filename> aufgenommen werden:</para> + + <programlisting>ifconfig_ath0="WPA DHCP"</programlisting> + + <para>Nun können Sie Ihr drahtloses Gerät + aktivieren:</para> + + <screen>&prompt.root; <userinput>/etc/rc.d/netif start</userinput> +Starting wpa_supplicant. +DHCPREQUEST on ath0 to 255.255.255.255 port 67 +DHCPREQUEST on ath0 to 255.255.255.255 port 67 +DHCPREQUEST on ath0 to 255.255.255.255 port 67 +DHCPACK from 192.168.0.20 +bound to 192.168.0.254 -- renewal in 300 seconds. +ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 + inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1 + inet 192.168.0.254 netmask 0xffffff00 broadcast 192.168.0.255 + ether 00:11:95:d5:43:62 + media: IEEE 802.11 Wireless Ethernet autoselect (DS/11Mbps) + status: associated + ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac + authmode WPA2/802.11i privacy ON deftxkey UNDEF TKIP 2:128-bit + txpowmax 36 protmode CTS roaming MANUAL bintval 100</screen> + </sect5> + + <sect5 id="network-wireless-wpa-eap-peap"> + <title>WPA und EAP-PEAP</title> + + <para>PEAP (<foreignphrase>Protected EAP</foreignphrase>) + wurde als Alternative zu EAP-TTLS entwickelt. Es gibt + zwei verschiedene PEAP-Methoden, wobei es sich bei + PEAPv0/EAP-MSCHAPv2 um die häufiger verwendete + Methode handelt. In den folgenden Ausführungen + wird der Begriff PEAP synonym für diese + EAP-Methode verwendet. PEAP ist nach EAP-TLS der + am häufigsten verwendete und am besten + unterstützte EAP-Standard.</para> + + <para>PEAP arbeitet ähnlich wie EAP-TTLS: Es + verwendet ein server-seitiges Zertifikat, um + einen verschlüsselten TLS-Tunnel zu erzeugen, + über den die sichere Authentifizierung zwischen + den Clients und dem Authentifizierungsserver erfolgt. + In Sachen Sicherheit unterscheiden sich EAP-TTLS und + PEAP allerdings: PEAP überträgt den + Benutzernamen im Klartext und verschlüsselt nur + das Passwort, während EAP-TTLS sowohl den + Benutzernamen als auch das Passwort über den + TLS-Tunnel überträgt.</para> + + <para>Um EAP-PEAP einzurichten, müssen Sie die + Konfigurationsdatei + <filename>/etc/wpa_supplicant.conf</filename> + anpassen:</para> + + <programlisting>network={ + ssid="freebsdap" + proto=RSN + key_mgmt=WPA-EAP + eap=PEAP <co id="co-peap-eap"> + identity="test" <co id="co-peap-id"> + password="test" <co id="co-peap-passwd"> + ca_cert="/etc/certs/cacert.pem" <co id="co-peap-cacert"> + phase1="peaplabel=0" <co id="co-peap-pha1"> + phase2="auth=MSCHAPV2" <co id="co-peap-pha2"> +}</programlisting> + + <calloutlist> + <callout arearefs="co-peap-eap"> + <para>Die für die Verbindung verwendete + EAP-Methode.</para> + </callout> + + <callout arearefs="co-peap-id"> + <para>Das <literal>identity</literal>-Feld enthält + den Identifizierungsstring für die innerhalb + des verschlüsselten TLS-Tunnels erfolgende + EAP-Authentifizierung.</para> + </callout> + + <callout arearefs="co-peap-passwd"> + <para>Das Feld <literal>password</literal> enthält + die Passphrase für die EAP-Authentifizierung.</para> + </callout> + + <callout arearefs="co-peap-cacert"> + <para>Das Feld <literal>ca_cert</literal> gibt den Pfad + zum CA-Zertifikat an, das zur Verifizierung des + Server-Zertifikats benötigt wird.</para> + </callout> + + <callout arearefs="co-peap-pha1"> + <para>Dieses Feld enthält die Parameter für + die erste Phase der Authentifizierung (also den + TLS-Tunnel). Je nach dem, welchen + Authentifizierungsserver Sie verwenden, müssen + Sie hier einen unterschiedlichen Wert angeben. + In den meisten Fällen wird dieses Feld den + Wert <quote>client EAP encryption</quote> aufweisen, + der durch die Angabe von + <literal>peaplabel=0</literal> gesetzt wird. Weitere + Informationen zur Konfiguration von PEAP finden Sie + in der Manualpage &man.wpa.supplicant.conf.5;.</para> + </callout> + + <callout arearefs="co-peap-pha2"> + <para>Das innerhalb des verschlüsselten TLS-Tunnels + verwendete Authentifizierungsprotokoll. In unserem + Beispiel handelt es sich dabei um + <literal>auth=MSCHAPV2</literal>.</para> + </callout> + </calloutlist> + + <para>Danach fügen Sie die folgende Zeile in + <filename>/etc/rc.conf</filename> ein:</para> + + <programlisting>ifconfig_ath0="WPA DHCP"</programlisting> + + <para>Zuletzt müssen Sie die Netzkarte noch + aktivieren:</para> + + <screen>&prompt.root; <userinput>/etc/rc.d/netif start</userinput> +Starting wpa_supplicant. +DHCPREQUEST on ath0 to 255.255.255.255 port 67 +DHCPREQUEST on ath0 to 255.255.255.255 port 67 +DHCPREQUEST on ath0 to 255.255.255.255 port 67 +DHCPACK from 192.168.0.20 +bound to 192.168.0.254 -- renewal in 300 seconds. +ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 + inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1 + inet 192.168.0.254 netmask 0xffffff00 broadcast 192.168.0.255 + ether 00:11:95:d5:43:62 + media: IEEE 802.11 Wireless Ethernet autoselect (DS/11Mbps) + status: associated + ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac + authmode WPA2/802.11i privacy ON deftxkey UNDEF TKIP 2:128-bit + txpowmax 36 protmode CTS roaming MANUAL bintval 100</screen> + </sect5> + </sect4> + + <sect4 id="network-wireless-wep"> + <title>WEP</title> + + <para>WEP (Wired Equivalent Privacy) ist Teil des + ursprünglichen 802.11-Standards. Es enthält + keinen Authentifzierungsmechanismus und verfügt + lediglich über eine schwache Zugriffskontrolle, + die sehr leicht geknackt werden kann.</para> + + <para>WEP kann über <command>ifconfig</command> + aktiviert werden:</para> + + <screen>&prompt.root; <userinput>ifconfig <replaceable>ath0</replaceable> inet <replaceable>192.168.1.100</replaceable> netmask <replaceable>255.255.255.0</replaceable> ssid my_net \ + wepmode on weptxkey 3 wepkey 3:0x3456789012</userinput></screen> + + <itemizedlist> + <listitem> + <para> Mit <literal>weptxkey</literal> geben Sie an, + welcher WEP-Schlüssel für für die + Datenübertragung verwendet wird (in unserem + Beispiel ist dies der dritte Schlüssel). Der + gleiche Schlüssel muss auch am Access Point + eingestellt sein.</para> + </listitem> + + <listitem> + <para>Mit <literal>wepkey</literal> legen Sie den zu + verwendenden WEP-Schlüssel in der Form + <replaceable>Nummer:Schlüssel</replaceable> fest. + Ist der Schlüssel "Nummer" nicht vorhanden, wird + automatisch Schlüssel <literal>1</literal> + verwendet. Die Angabe von "Nummer" ist zwingend + nötig, wenn Sie einen anderen als den ersten + Schlüssel verwenden wollen.</para> + + <note> + <para>In Ihrer Konfiguration müssen Sie + <literal>0x3456789012</literal> durch den an + Ihrem Access Point konfigurierten Schlüssel + ersetzen.</para> + </note> + </listitem> + </itemizedlist> + + <para>Weitere Informationen finden Sie in der Manualpage + &man.ifconfig.8;.</para> + + <para>Das Programm <command>wpa_supplicant</command> + eignet sich ebenfalls dazu, WEP für Ihr drahtloses + Gerät zu aktivieren. Obige Konfiguration lässt + sich dabei durch die Aufnahme der folgenden Zeilen in die + Datei <filename>/etc/wpa_supplicant.conf</filename> + realisieren:</para> + + <programlisting>network={ + ssid="my_net" + key_mgmt=NONE + wep_key3=3456789012 + wep_tx_keyidx=3 +}</programlisting> + + <para>Danach müssen Sie das Programm noch aufrufen:</para> + + <screen>&prompt.root; <userinput>wpa_supplicant -i <replaceable>ath0</replaceable> -c /etc/wpa_supplicant.conf</userinput> +Trying to associate with 00:13:46:49:41:76 (SSID='dlinkap' freq=2437 MHz) +Associated with 00:13:46:49:41:76</screen> + </sect4> + </sect3> + </sect2> + + <sect2> + <title>Ad-hoc-Modus</title> + + <para>Der IBSS-Modus (auch als Ad-hoc-Modus bezeichnet), ist + für Punkt-zu-Punkt-Verbindungen vorgesehen. Um + beispielsweise eine Ad-hoc-Verbindung zwischen den Rechnern + <hostid>A</hostid> und <hostid>B</hostid> aufzubauen, + benötigen Sie lediglich zwei IP-Adressen und eine + SSID.</para> + + <para>Auf dem Rechner <hostid>A</hostid> geben Sie Folgendes + ein:</para> + + <screen>&prompt.root; <userinput>ifconfig <replaceable>ath0</replaceable> inet <replaceable>192.168.0.1</replaceable> netmask <replaceable>255.255.255.0</replaceable> ssid <replaceable>freebsdap</replaceable> mediaopt adhoc</userinput> +&prompt.root; <userinput>ifconfig <replaceable>ath0</replaceable></userinput> + ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 + inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255 + inet6 fe80::211:95ff:fec3:dac%ath0 prefixlen 64 scopeid 0x4 + ether 00:11:95:c3:0d:ac + media: IEEE 802.11 Wireless Ethernet autoselect <adhoc> (autoselect <adhoc>) + status: associated + ssid freebsdap channel 2 bssid 02:11:95:c3:0d:ac + authmode OPEN privacy OFF txpowmax 36 protmode CTS bintval 100</screen> + + <para>Der <literal>adhoc</literal>-Parameter gibt an, dass die + Schnittstelle im IBSS-Modus läuft.</para> + + <para>Rechner <hostid>B</hostid> sollte nun in der Lage sein, + Rechner <hostid>A</hostid> zu finden:</para> + + <screen>&prompt.root; <userinput>ifconfig <replaceable>ath0</replaceable> up scan</userinput> + SSID BSSID CHAN RATE S:N INT CAPS + freebsdap 02:11:95:c3:0d:ac 2 54M 19:0 100 IS</screen> + + <para>Der Wert <literal>I</literal> (Spalte CAPS) gibt an, + dass sich Rechner <hostid>A</hostid> im Ad-hoc-Modus befindet. + Nun müssen Sie nur noch Rechner <hostid>B</hostid> eine + unterschiedliche IP-Adresse zuweisen:</para> + + <screen>&prompt.root; <userinput>ifconfig <replaceable>ath0</replaceable> inet <replaceable>192.168.0.2</replaceable> netmask <replaceable>255.255.255.0</replaceable> ssid <replaceable>freebsdap</replaceable> mediaopt adhoc</userinput> +&prompt.root; <userinput>ifconfig <replaceable>ath0</replaceable></userinput> + ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 + inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1 + inet 192.168.0.2 netmask 0xffffff00 broadcast 192.168.0.255 + ether 00:11:95:d5:43:62 + media: IEEE 802.11 Wireless Ethernet autoselect <adhoc> (autoselect <adhoc>) + status: associated + ssid freebsdap channel 2 bssid 02:11:95:c3:0d:ac + authmode OPEN privacy OFF txpowmax 36 protmode CTS bintval 100</screen> + + <para>Damit sind die Rechner <hostid>A</hostid> und + <hostid>B</hostid> bereit und können untereinander + Daten austauschen.</para> + </sect2> + + <sect2> + <title>Problembehandlung</title> + + <para>Die folgenden Auflistung zeigt, wie Sie einige + häufig auftretende Probleme bei der Einrichtung + Ihres drahtlosen Netzwerks beheben können.</para> + + <itemizedlist> + <listitem> + <para>Wird Ihr Access Point bei der Suche nicht gefunden, + sollten Sie überprüfen, ob Sie bei Konfiguration + Ihres drahtlosen Geräts die Anzahl der Kanäle + beschränkt haben.</para> + </listitem> + + <listitem> + <para>Wenn Sie sich nicht mit Ihrem Access Point verbinden + können, sollten Sie überprüfen, ob die + Konfiguration Ihrer Station auch der des Access Points + entspricht. Achten Sie dabei speziell auf die + Authentifzierungsmethode und die Sicherheitsprotokolle. + Halten Sie Ihre Konfiguration so einfach wie möglich. + Verwenden Sie ein Sicherheitsprotokoll wie WPA oder WEP, + sollten Sie testweise Ihren Access Point auf + <emphasis>offene Authentifizierung</emphasis> und + <emphasis>keine Sicherheit</emphasis> einstellen. + Danach versuchen Sie sich erneut mit Ihren Access Point + zu verbinden.</para> + </listitem> + + <listitem> + <para>Nachdem Sie sich mit dem Access Point verbinden + können, prüfen Sie die Sicherheitseinstellungen, + beginnend mit einfachen Werkzeugen wie &man.ping.8;.</para> + + <para>Das Programm <command>wpa_supplicant</command> + kann Ihnen bei der Fehlersuche helfen. Dazu starten + Sie es manuell mit der Option <option>-dd</option> und + durchsuchen anschließend die Protokollinformationen + nach eventuellen Fehlermeldungen.</para> + </listitem> + + <listitem> + <para>Zusätzlich gibt es auch zahlreiche + Low-Level-Debugging-Werkzeuge. Die Ausgabe von + Debugging-Informationen des 802.11 Protocol Support Layers + lassen sich mit dem Programm <command>wlandebug</command> + (das sich unter + <filename>/usr/src/tools/tools/net80211</filename> + befindet) aktivieren. Um beispielsweise während + der Suche nach Access Points und des Aufbaus von + 802.11-Verbindungen + (<foreignphrase>Handshake</foreignphrase>) auftretende + Systemmeldungen auf die Konsole auszugeben, verwenden + Sie den folgenden Befehl:</para> + + <screen>&prompt.root; <userinput>wlandebug -i <replaceable>ath0</replaceable> +scan+auth+debug+assoc</userinput> + net.wlan.0.debug: 0 => 0xc80000<assoc,auth,scan></screen> + + <para>Der 802.11-Layer liefert umfangreiche Statistiken, + die Sie mit dem Werkzeug <command>wlanstats</command> + abrufen können. Diese Statistiken sollten alle + Fehler identifizieren, die im 802.11-Layer auftreten. + Beachten Sie aber, dass einige Fehler bereits im + darunterliegenden Gerätetreiber auftreten und + daher in diesen Statistiken nicht enthalten sind. Wie + Sie Probleme des Gerätetreibers identifizieren, + entnehmen Sie bitte der Dokumentation Ihres + Gerätetreibers.</para> + </listitem> + </itemizedlist> + + <para>Können Sie Ihr Problem durch diese + Maßnahmen nicht lösen, sollten Sie einen + Problembericht (PR) erstellen und die Ausgabe der weiter + oben genannten Werkzeuge in den Bericht aufnehmen.</para> + </sect2> </sect1> <sect1 id="network-bluetooth"> |