WPA mit AES und dd-wrt Firmware

[Quax]

Hallo Jörg,

...Witzigerweise zeigt der Atheros-WLAN-Treiber dasselbe Fehlverhalten wie der FluxFlux. Und der Kernel ist Version 2.34. irgendwas.

Das bestätigt meine Vermutung, dass es nicht am Kernel sondern an wicd oder wpa_supplicant liegt.

Gerade im Netz gefunden:

...Ist WPA2 mit AES (CCMP) gewünscht, braucht man eine seltsame Konfiguration: Man muss sowohl WPA mit TKIP als auch WPA2 mit AES (CCMP) in die Konfigurationsdatei eintragen. Konfiguriert man in "/etc/wpa_supplicant/wpa_supplicant.conf" ausschließlich WPA2 mit AES (CCMP), so funktioniert dies nicht, während sich ein Microsoft Windows XP mit Service Pack 2 ausschließlich mit WPA2-PSK und AES mit dem Access Point verbinden kann (was man auch erwartet). Das heißt, es ist kein Problem des Access Points, sondern eines von "wpa_supplicant"...

Gruss, Quax

[flux]

(wobei ich anmerken sollte, dass der Atheros 9285 seit dem .29-Kernel unterstützt ist und das Problem evtl. wicd sein könnte).

flux.

[Quax]

  :'(

... Männer über 40

SORRY

[GPO123]

Hallo Flux,

ich  glaube wir reden aneinander vorbei: ich habe im WICD genau ein Profil das funktioniert. Ich stelle in den Preferences nur den WLAN-Treiber von ra0 (Ralink/extern/fuktioniert) auf wlan0 (Atheros/intern/funktioniert nicht).
Die Einträge können es nicht sein. Über:
wpa_supplicant -D wext -i ra0 (externer RALINK-WLAN-Stick !) -c /var/lib/wicd/configurations/<WICD-Konfigurationsnummer> -B
dhcpcd ra0
schreibe ich gerade diesen Beitrag. WICD ist nicht aktiv! Ersetze ich in den Befehlen zuvor ra0 durch wlan0 bekomme ich keine Verbindung.

Jörg

Edit1 Konfig eingefügt:

ap_scan=1
ctrl_interface=/var/run/wpa_supplicant
network={
       ssid="dd-wrt"
       scan_ssid=0
       proto=WPA RSN
       key_mgmt=WPA-PSK
       pairwise=CCMP TKIP
       group=CCMP TKIP
       psk="ultrageheim"
}
Nach allem was ich weiß eine ganz normale wpa_supllcant.conf

[flux]

Ok, verstehe.

Was passiert wenn du wicd und wicd-client beendest und dann wie folgt verfährst?

Eine reine Konfiguration mit /etc/wpa_supplicant.conf (und darin die beiden Einträge TKIP und AES/CCMP) und dhcpcd? Klappt die?

Was zeigt ein

Code:

iwlist wlan0 scan

?

Dein WLAN-Netz mit gültiger ESSID?

flux.

[GPO123]

wpa_supplicant mit normaler wpa_supplicant.conf funktioniert nicht für wlan0. Das liefer iwlist:
ra0:Cell 01 - Address: 00:26:5A:CB:F0:63
                    Protocol:802.11b/g/n
                    ESSID:"dd-wrt"
                    Mode:Managed
                    Channel:13
                    Quality:73/100  Signal level:-61 dBm  Noise level:-83 dBm
                    Encryption key:on
                    Bit Rates:18 Mb/s
                    IE: WPA Version 1
                        Group Cipher : CCMP
                        Pairwise Ciphers (1) : CCMP
                        Authentication Suites (1) : PSK
wlan0:
Cell 03 - Address: 00:26:5A:CB:F0:63
                    Channel:13
                    Frequency:2.472 GHz (Channel 13)
                    Quality=62/70  Signal level=-48 dBm 
                    Encryption key:on
                    ESSID:"dd-wrt"
                    Bit Rates:1 Mb/s; 2 Mb/s; 5.5 Mb/s; 11 Mb/s; 6 Mb/s
                              9 Mb/s; 12 Mb/s; 18 Mb/s
                    Bit Rates:24 Mb/s; 36 Mb/s; 48 Mb/s; 54 Mb/s
"                   ESSID:"
                    Mode:Unknown/bug
                    Extra:tsf=0000000029e91bb9
                    Extra: Last beacon: 194ms ago
                    IE: Unknown: 000664642D777274
                    IE: Unknown: 010882848B960C121824
                    IE: Unknown: 03010D
                    IE: WPA Version 1
                        Group Cipher : CCMP
                        Pairwise Ciphers (1) : CCMP
                        Authentication Suites (1) : PSK
                    IE: Unknown: 2A0100
                    IE: Unknown: 32043048606C

Für mich ist der ath9k buggy, sagt er ja selbst...
Jörg

[flux]

http://www.dd-wrt.com/phpBB2/viewtopic.php?p=436262

Aber die Ursache scheint dort auch nicht klar zu sein. Experte bin ich aber in diesem Gebiet keiner.

Ich selber verwende zwei Geräte mit ath9k, WPA2 und zwei verschiedenen Routern ohne Probleme. Keiner nutzt allerdings die freie Firmware dd-wrt.


flux.

P. S.: Und auch hier ist das Problem erkannt, ich habe es nicht komplett gelesen: http://permalink.gmane.org/gmane.linux.kernel.wireless.general/50454

[GPO123]

Danke Flux,

ich denke hier treffen zwei kleine Fehler aufeinander: der Router sendet die ESSID nicht regelkonform und der ath9k-Treiber ist nicht  tolerant genug damit umzugehen.

Was meine Neugier weckt: FluxFlux kann sich zu anderen Routern, die einen Broadcom-Chip und WPA/AES benutzen, mit dem ath9k verbinden.

Ich habe hier mehr Distros, die einen neueren ath9k-Treiber benutzen (2 Ubuntu Derivate, Puppy, Parted Magic) die sich zum Router per wlan0 verbinden können als welche die es nicht können: FluxFlux und Slaxremix07. Finde ich interessant.

Jörg

[flux]

Du kannst versuchen, die compat-wireless-Quellen zu übersetzen und in den laufenden Kernel integrieren, vielleicht bringt der aktuelle ieee80211-Zweig eine Besserung/Lösung.

http://wireless.kernel.org/en/users/Download

Und den verwendet ja im Gegensatz zu ath9k der rt3070sta nicht, wenn ich das richtig sehe.

flux.

[Quax]

Hallo Jörg,

...ich denke hier treffen zwei kleine Fehler aufeinander: der Router sendet die ESSID nicht regelkonform und der ath9k-Treiber ist nicht  tolerant genug damit umzugehen.

Als Konsequenz aus Deinem Problem ergibt sich für FluxFlux:

1. Der Fehler liegt eindeutig in der fehlerhaften dd-wrt-Firmware
2. Der ath9k-Treiber verhält sich so wie er soll: Verbinde Dich nur mit einer korrekten ESSID
3. Wenn er sich hier verbinden würde, wäre das ein Widerspruch zum Sicherheitsgedanken, da nicht ausgeschlossen
    werden kann, dass die fehlerhafte zweite ESSID auch die korrekte eines anderen APs sein könnte.
4. Auch mit einem neuen compat-wireless-Paket wird dieses Problem nicht behoben.

Alle 4 Punkte führen mich zu dem Ergebnis, dass nicht auf Seiten FluxFlux Handlungsbedarf besteht, sondern auf Seiten
dd-wrt, welche ihre Firmware 'verbockt' haben.

Was meine Neugier weckt: FluxFlux kann sich zu anderen Routern, die einen Broadcom-Chip und WPA/AES benutzen, mit dem ath9k verbinden.

Das ist in meinen Augen nur ein weiterer Beweis dafür, dass der in Fluxflux integrierte Treiber korrekt funktioniert, da
es sich bei diesen APs dann nicht um solche mit fehlerhafter Firmware handelt.

Ich persönlich betrachte dieses Thema hiemit als 'unfixable by FluxFlux' und somit erledigt, muss aber ein 'leider' anfügen

Gruss, Quax

Quellen:

http://permalink.gmane.org/gmane.linux.kernel.wireless.general/50454
http://www.dd-wrt.com/phpBB2/viewtopic.php?p=436262

[flux]

Laienhafte Frage: Der rt3070sta verbindet sich ja mit identischer Konfiguration mit dem "dd-wrt"-Router, der ja die identische und evtl. fehlerhafte Firmware nutzt. Ignoriert rt3070sta die zweite, fehlerhafte ESSID? Oder empfängt er die gar nicht (siehe iwlist-Ausgabe von ra0)?

flux.

[Quax]

...Ignoriert rt3070sta die zweite, fehlerhafte ESSID?

Dieser Treiber verhält sich in der Tat anscheinend genau so, wie ipw2200 und rt2870sta:

...Linux clients (and apparently *only* Linux clients) cannot associate with an AP running a brand new
"flavor" of DD-WRT firmware. Myself and others have reported the same problem. The response from the
chief DD-WRT person was basically, "tested and works on Windows and OSX, so it must be a Linux problem".

The Wicd network manager displays strange UTF-8 type characters for the SSID. This causes it to create an
incorrect WPA PSK.

Also, two ESSIDs are returned for that MAC when running the "iwlist wlan0 scan" command using many
different wireless devices. So far, I've found that ipw2200 and rta2870sta seem to be the only devices
that don't report an "extra" ESSID with iwlist.

Not surprisingly, I can connect to the router by manually running wpa_supplicant.
...

Quax

[GPO123]

Hallo FluxFlux-Team,

ich habe die von Euch zusammengetragenen Informationen durchgearbeitet und auch noch verschiedene Versuche und Quellenvergleiche gemacht. Ergebnis:
Quax hat absolut recht, kernel-/treiberseitig ist an diesem Problem nichts mehr zu machen. Auch bei den Distris, die sich mit dem ath9k Treiber verbinden können zeigt iwlist die fehlerhafte 2. ESSID. Leider arbeiten diese alle mit dem Networkmanager und nicht WICD.

Bis auf eine Ausnahme: PartedMagic Version 4.11. Slackware basierend, Kernel 2.6.32-15, compat-wireless in ähnlicher Version und das Beste. Verbindung über Script ! Ich denke da geht noch was

Gruß Jörg 

[flux]

Was geht denn konkret noch?

flux.

[GPO123]

Der Käfer ist geknackt !!!

Bin jetzt über ath9k online. Was konkret noch geht hast Du doch selbst gesagt:

wicd verwendet eine eigene wpa_supplicant-Implementierung und da könnte durchaus zutreffen, was Quax da zitiert hat mit den zwei notwendigen Eintragungen ...

Im Ernst: Ich habe mir angeschaut warum es Parted Magic nur mit Skripten schafft ins Netz zu kommen. Schnell war dann klar das dort auch nur wpa_supplicant und wpa_cli hinter den Kulissen werkeln, allerdings in Version 6.10. Also schnell noch die Sourcen geholt, mich laienhaft durch die .config gequält und übersetzt. Mit folgender wpa_supplicant.conf komme ich jetzt ins Netz :
network={
   ssid="dd-wrt"
   key_mgmt=WPA-PSK IEEE8021X NONE
   proto=WPA
   pairwise=CCMP     <---- Nur ein Protokoll !!!
   group=CCMP         <---- Nur ein Protokoll !!!
   psk=12345PSKZIFFER
}

Das Ganze funktioniert auch mit dem unveränderten wicd-Manager. Allerdings mußte es die neue wpa_supplicant Version sein, die 0.5.xy tat es nicht. Es wär schön wenn Quax diese in das nächste Update einfliessen ließe. Als Anregung hänge ich meine .config an.
Gruß Jörg