Einen WLAN-Zugangspunkt einrichten
- Wozu überhaupt ein eigener WLAN-Zugangspunkt?
- Wie sieht es mit dem NetworkManager aus?
- Fall 1: Das offene WLAN
- Fall 2: Verschlüsselungsmethode WEP
- Fall 3: Verschlüsselungsmethode WPA
- Das Programm hostapd
- Die Wahl der richtigen Karte
- Vorbereitungen
- Eine sinnvolle Konfiguration
- Anpassen an die eingesetzte WLAN-Karte
- Wenn das WLAN Probleme bereitet
Wozu überhaupt ein eigener WLAN-Zugangspunkt?
Das läßt sich ganz einfach erklären: Die Hardwarerouter, die es zu kaufen gibt,
mögen zwar für den Normalnutzer ausreichen, da sie eine ganze Reihe
Standardsituationen abdecken, doch in bestimmten Fällen reichen sie eben nicht
mehr aus. Zudem kann es passieren, daß man mit ihnen an die Grenzen ihrer
Leistungsfähigkeit stößt, insbesondere im Zusammenspiel mit vielen Nutzern
oder einer hohen Bandbreite, die einem beim Zugriff aufs Internet zur Verfügung
steht – im Extremfall auch beides.
Das andere Problem ist, daß sich ein Hardwarerouter nur sehr bedingt als Server
einsetzen läßt, und außerdem kommen die meisten von ihnen nicht mit einer
Unterteilung eines LAN in mehrere Subnetze zurecht. Hier scheitert dann meist
das Routing von Paketen zwischen einzelnen Subnetzen oder auch aus den
Subnetzen in das WAN. Zwar
kann man diesem Problem unter Zuhilfenahme des
Masquerading
beikommen, aber man handelt sich auf diesem Wege anderweitig Probleme ein.
Das dritte Problem ist, daß man immer darauf angewiesen ist, daß der Hersteller
des Routers seine Firmware so gestaltet, daß der Router nicht angreifbar ist.
Da man als Benutzer jedoch keinerlei Kontrolle darüber hat, welche
Möglichkeiten die Firmware zur Verfügung stellt und welche Schutzvorkehrungen
gegen irgendwelche Angriffe sie mitbringt, kann es angebracht sein, selbst
einen WLAN-Router aufzubauen. Dazu ist jeder Rechner geeignet, in den man eine
WLAN-Karte einbauen kann oder der bereits eine solche eingebaut hat.
Ein anderer nicht zu verachtender Vorteil: Sie können den Rechner, der als
Zugangspunkt dienen soll, selbstverständlich beliebig erweitern. So können Sie
außerdem noch Drucker anschließen oder einen Proxy (z. B. Squid, wwwoffle,
o. ä.) installieren, über den Sie dann den Datenverkehr zu entfernten
Webservern leiten. Auch ein Mailer oder Faxserver ließe sich so einrichten.
Ihren Möglichkeiten sind kaum Grenzen gesetzt.
Wie sieht es mit dem NetworkManager aus?
Hier sieht es ganz düster aus. Da der NetworkManager als Steuermodul für die
Clientseite einer Netzwerkverbindung erschaffen wurde und es somit keinerlei
Module gibt, die eine WLAN-Karte als Zugangspunkt einrichten könnten, steht man
hier definitiv auf verlorenem Posten.
Hier bleibt Ihnen nur, auf die traditionelle Netzwerksteuerung mittels
ifup/ifdown
zurückzugreifen.
Fall 1: Das offene WLAN
Dies ist auf den ersten Blick der einfachste Fall, den man sich vorstellen kann und der mit einem einfachen Texteditor im Nullkommanichts erledigt ist: Sie müssen lediglich eine IP-Adresse und die Netzmaske zuweisen sowie die Kanalnummer und den SSID setzen. Eine solche Definition könnte beispielsweise wie folgt aussehen:
auto wlan0 iface wlan0 inet static address 192.168.1.1 netmask 255.255.255.0 wireless-essid Example wireless-mode Master wireless-channel 3
Wie Sie festatellen, sind hier keine weiteren Informationen erforderlich, um
die Netzwerkkarte einzurichten, allerdings hat gerade dieser Fall es in sich:
Das erste (und zugleich schwerwiegendste) Problem ist die Tatsache, daß der
Zugangspunkt überhaupt nicht abgesichert ist. Heißt im Klartext: Jeder, der den
SSID des Netzwerks kennt (was im Fall eines sichtbaren SSID überhaupt kein
Problem darstellt, und selbst ein versteckter SSID stellt keinen ausreichenden
Schutz dar), kann sich einfach mit dem WLAN verbinden und auf sämtliche für
dieses freigegebene Ressourcen zugreifen (dies kann beispielsweise die
Internetverbindung sein, aber auch sämtliche im LAN verfügbare Geräte lassen
sich so ansteuern), und zudem erfolgen sämtliche Übertragungen in einem
ungeschützten WLAN grundsätzlich im Klartext. Da sind fremde Personen, die über
Ihre Internetverbindung surfen, noch das kleinste Problem.
Jetzt könnte man argumentieren, daß man doch gar nichts von Interesse auf
seinem Rechner liegen hätte und ein Schutz somit ohnehin nicht vonnöten wäre,
doch weit gefehlt! Es sind in den seltensten Fällen die Daten, auf die es
irgendwelche Eindringlinge abgesehen haben, als die Möglichkeiten, die sich
ihnen so bieten, vollkommen unerkannt irgendwelchen Unsinn anstellen zu können.
Dies kann von Versuchen, Ihnen irgendwelche Schadsoftware unterzuschieben, über
den Versand von Spam über Ihren Internetanschluß bis hin zu noch übleren
Machenschaften reichen – und der Phantasie sind hier nun wirklich keinerlei
Grenzen gesetzt.
So könnte jemand, der sich in Ihr WLAN hat einklinken können, irgendein fremdes
System angreifen, um in dieses einzubrechen oder es anderweitig zu sabotieren.
Aber auch andere kriminelle Machenschaften wie das Verbreiten strafrechtlich
relevanten Materials stellen ein Problem dar: Mal angenommen, eine fremde
Person verschickt kinderpornographisches Material über Ihren Internetanschluß,
weil er sich ohne Probleme mit Ihrem ungesicherten WLAN hat verbinden können.
Wenn dieses Material auftaucht und in der Folge Ermittlungen anlaufen, wird man
dann logischerweise die IP-Adresse finden, von der aus das fragliche Material
in Umlauf gebracht wurde. Eine Anfrage beim zuständigen Provider wird ergeben,
daß diese IP-Adresse zum fraglichen Zeitpunkt Ihnen
zugewiesen war – und unvermittelt klingelt die Polizei bei Ihnen und
präsentiert Ihnen einen Durchsuchungsbeschluß. Dann ist guter Rat verdammt
teuer, denn jetzt müssen Sie den Polizisten
glaubhaft darlegen, daß Sie nicht der Urheber jenes
Materials sind, das von Ihrem Anschluß aus in Umlauf gebracht worden ist.
Alles in allem ist diese Variante nur dann empfohlen, wenn Sie einen öffentlich
zugänglichen WLAN-Hotspot einrichten wollen, aber dann ist ganz dringend
angeraten, daß Sie andere Sicherheitsvorkehrungen treffen, um einen Mißbrauch
zu erschweren und ggf. den Nachweis über die Identität etwaiger Missetäter, die
Ihren Hotspot für kriminelle Machenschaften mißbrauchen, zu erleichtern.
Privatpersonen kann ich von so etwas jedoch nur ganz dringend abraten, es sei
denn, Sie wissen, was Sie hier tun und wie Sie etwaigem Mißbrauch vorbeugen
oder ihn zumindest deutlich erschweren können.
Fall 2: Verschlüsselungsmethode WEP
Diese Verschlüsselungsmethode (eine Abkürzung für
Wired Equivalent
Privacy) ist der ursprüngliche Versuch, dem Problem
mit ungesicherten drahtlosen Netzwerken beizukommen. Im Gegensatz zu einem
kabelgebundenen LAN, das, wenn man entsprechend geschirmte Kabel verwendet,
keinerlei übertragene Daten in den umgebenden Raum abstrahlt, basiert ein WLAN
auf Funkwellen – und die haben die unangenehme Eigenschaft, keinerlei
Reichweitenbeschränkung zu haben. Das bedeutet, daß das Funksignal nicht
einfach an irgendeiner Raumgrenze endet, sondern sich auch darüber hinaus
ausbreitet. Zwar wird das Signal mit zunehmender Entfernung schwächer, so daß
es irgendwann in dem allgegenwärtigen elektromagnetischen Hintergrundrauschen
untergeht, aber dennoch ist es hinreichend stark, so daß es auch außerhalb von
Gebäuden empfangen werden kann.
Um hier einem möglichen Mißbrauch einen Riegel vorzuschieben, wurden
WLAN-Karten mit Verschlüsselungstechnologie ausgestattet, die das ausgesandte
Signal für Fremde unleserlich machen sollte. Dazu wurde zunächst einmal WEP
eingeführt, was sich jedoch sehr schnell als unzureichender Schutz erwies.
Mittlerweile gibt es Angriffsmethoden, die ausgefeilt genug sind, um
Funknetzwerke, die man mittels WEP geschützt wähnt, innerhalb weniger Minuten
zu knacken. Dazu braucht man lediglich lange genug zu lauschen, um genügend
Datenpakete einzusammeln, die eine hinreichend große Basis für die Berechnung
des WEP-Schlüssels bieten – und wenn nicht ausreichend Datenverkehr auf einem
WLAN stattfindet, dann kann man ihn mit einem
Brute-force-Angriff
ganz einfach selbst erzeugen und die Reaktionen auswerten.
Wie dem auch sei, ist WEP aktiv, so ist der Datenverkehr auf dem fraglichen
Netzwerk alles andere als sicher. Dabei ist es nicht damit getan, daß sich die
übertragenen Daten innerhalb kürzester Zeit entschlüsseln lassen – sie sind
zudem nicht vor Modifikation durch Dritte geschützt, wobei die gleiche Schwäche
von WEP verantwortlich zeichnet, die es einem Angreifer auch erlaubt, den
Schlüssel zu berechnen.
Damit ist WEP bestenfalls geeignet, um Leute fernzuhalten, die sich mit dieser
Materie nicht auskennen. Jemand, der auch nur halbwegs mit entsprechenden Tools
umgehen kann respektive die notwendige Kenntnis mitbringt, wird sich von WEP
kaum aufhalten lassen. Und selbst wenn ein solches Vorgehen strafbar ist (in
Deutschland findet hier der §303b StGB Anwendung), lassen sich potentielle
Angreifer nicht davon abschrecken. Wollte man hier also für Sicherheit sorgen,
wäre es wesentlich besser, auf WEP komplett zu verzichten und stattdessen eine
anderweitig gesicherte Verbindung aufzubauen, z. B. per IPsec. Da dies jedoch
einen erheblichen Mehraufwand bedeutet (schließlich müssen die gesicherte
Verbindung eingerichtet und die autorisierten Gegenstellen mit den notwendigen
Anmeldeinformationen versehen werden), würde man hier eher mit Kanonen auf
Spatzen schießen. Stattdessen bieten moderne WLAN-Karten eine wesentlich
brauchbarere Alternative zu WEP, die sich – die richtige Software vorausgesetzt
– ebenso einfach einrichten läßt wie WEP, aber im Gegensatz dazu einen
erheblichen Sicherheitsgewinn bringt.
Für den Fall, daß Sie sich genauer über WEP und die damit einhergehenden
Probleme und Sicherheitsrisiken informieren wollen, hält Wikipedia
einen Artikel zum Thema WEP
bereit.
Fall 3: Verschlüsselungsmethode WPA
Dieses Verfahren (eine Abkürzung für Wi-Fi
Protected Access),
das im Standard IEEE 802.11i festgelegt ist, existiert in zwei Ausrichtungen,
WPA und WPA2 (dabei stellt WPA eine Teilmenge von WPA2 dar und gilt
mittlerweile nur noch als bedingt sicher). Während WPA sich noch die
Architektur von WEP zunutze macht, diese allerdings deutlich aufwertet und mit
zusätzlichen Schutzvorkehrungen versieht, um Angriffe auf ein so gesichertes
WLAN zu erschweren, sorgt WPA2 mit einem neuen Verschlüsselungsverfahren für
einen noch größeren Zugewinn an Sicherheit, weshalb WPA2 in einem drahtlosen
Netzwerk grundsätzlich zu bevorzugen ist (werden ältere Geräte verwendet, die
WPA2 noch nicht unterstützen, muß man ggf. in den sauren Apfel beißen und WPA
ebenfalls anbieten, aber dann sollten die verwendeten Endgeräte
wünschenswerterweise das Verschlüsselungsverfahren AES beherrschen). Ein
Einbruch in ein so gesichertes Netzwerk erweist sich als erheblich schwieriger,
und die übermittelten Daten lassen sich auch bei Weitem nicht mehr so einfach
fälschen wie unter WEP. Einziger Schönheitsfehler: Ganz so einfach wie mit WEP
kann man einen durch WPA oder WPA2 gesicherten Zugangspunkt nicht einrichten
(man benötigt ein zusätzliches Programm), aber zum Glück gibt es auch hier eine
Lösung.
Genauere Informationen zum Thema WPA
stellt auch hier wieder die Wikipedia bereit.
Das Programm hostapd
Wenn die normale Methode der Konfiguration streikt, springt das Programm
hostapd problemlos in die Bresche – wenn man sich
erst einmal durch die doch recht umfangreiche Konfiguration gefräst hat. Von
der Konfiguration der Verschlüsselung über zusätzliche Sicherheitsvorkehrungen
bis zur Zugangskontrolle mittels internem RADIUS-Server ist hier alles möglich;
man bekommt es hier sozusagen mit der eierlegenden Wollmilchsau zu tun, wenn es
um einen WLAN-Zugangspunkt geht.
Allerdings läßt diese doch sehr umfangreiche Konfiguration keinerlei Wünsche
offen: Sie können das WLAN somit nach eigenem Gusto aufsetzen, allerdings ist
es erforderlich, die Konfiguration anschließend gründlich auf Herz und Nieren
zu testen. Sonst kann es passieren, daß hostapd sich
weigert zu starten, und selbst wenn es hochfährt, kann es passieren, daß Sie
Ihr neu eingerichtetes WLAN zwar erkennen, aber Sie bekommen keinerlei
Verbindung.
Hier ist es dann ratsam, zunächst einmal mit einer Minimalkonfiguration
anzufangen und dann nach und nach weitere Einstellungen vorzunehmen. So kann
man ganz leicht herausfinden, welche Option hostapd
oder das WLAN streiken läßt, und braucht diese nicht mehr zu berücksichtigen.
Wenn man alles richtig gemacht hat, kann man sich anschließend über einen
WLAN-Zugangspunkt freuen, der – nach heutigem Stand der Dinge –
Einbruchsversuchen widersteht, aber berechtigte Zugriffe problemlos erlaubt.
Die Wahl der richtigen Karte
Um überhaupt anfangen zu können, ist zunächst einmal eine WLAN-Karte vonnöten.
Dazu müssen Sie zunächst einmal herausfinden, welche Chipsätze von Linux
unterstützt werden. Leider ist dies nicht bei allen der Fall, wodurch die
betroffenen Karten nicht infrage kommen. Meist können diese nur über den
NDIS-Wrapper (wenn überhaupt) gangbar gemacht werden, wodurch es fraglich ist,
ob sich diese Karten unter Linux überhaupt als Zugangspunkt verwenden lassen.
Das Erfreuliche ist jedoch, daß Linux die meisten Chipsätze mittlerweile
erkennt. Dies gilt insbesondere für die von Atheros, die meisten – wenn nicht
gar alle – aktuellen von Intel, aber auch zahlreicher anderer Hersteller.
Wenn Sie über eine geeignete Karte verfügen, stellt die Einrichtung des
Zugangspunktes kein Problem dar. Im Bedarfsfall suchen Sie einfach im Internet
nach den notwendigen Informationen (mit Angabe des Herstellers und der
Typbezeichnung der Karte läßt sich i. d. R. der verwendete Chipsatz
herausfinden, und mit diesem ist es dann normalerweise ein Leichtes zu
ermitteln, ob dieser von Linux erkannt wird), ob Sie die Karte verwenden
können. Ist dem so, können Sie die Karte in Ihren Rechner einbauen.
Beim Einbau gilt es zu unterscheiden, ob Sie es mit einer PCI- oder USB-Karte
zu tun haben. Während Sie Letztere einfach in einen USB-Port Ihres Rechners
stecken und sofort loslegen können, müssen Sie im Falle von Ersteren Ihren
Rechner aufschrauben und die Karte in einen freien PCI-Steckplatz einsetzen.
Darüber hinaus könnte es sich als hilfreich erweisen, daß die verwendete Karte
über eine außen montierte Antenne verfügt. Dann können Sie, wenn Sie erhebliche
Probleme mit der Ausbreitung des Signals haben, ggf. durch Verwendung einer
anderen Antenne respektive Zwischenschaltung einer Endstufe für ein stärkeres
Signal sorgen – vielleicht auch eine Kombination aus beiden Maßnahmen.
Die Verwendung einer deutlich längeren Antenne kann sich insbesondere dann
auszahlen, wenn sich einige Gegenstationen nicht in einer Ebene mit der
WLAN-Karte befinden, sondern in einem recht steilen Winkel darüber: Da bei
einer Antenne mit einer Länge, die deutlich oberhalb der Hälfte der Wellenlänge
(λ) liegt, die Steilstrahlung deutlich ansteigt, haben Sie auch oberhalb der
Antenne noch ein ausreichend starkes Signal für einen sauberen Empfang. Eine
unsichtbare Antenne empfiehlt sich i. d. R. nur in der Gegenstation oder wenn
Sie das Signal nicht in andere Stockwerke als das senden wollen, in dem sich
der Zugangspunkt befindet.
Selbst ein Notebook läßt sich auf diesem Wege in einen Zugangspunkt verwandeln,
insbesondere wenn Sie sich per Ethernetkabel mit Ihrem ADSL- oder Kabelmodem
verbinden und die eingebaute WLAN-Karte entsprechend einsetzen. Dann können Sie
diese jedoch nicht mehr verwenden, um sich mit anderen Zugangspunkten zu
verbinden, so daß der Einsatz einer USB-Karte erforderlich wird, über die Sie
ggf. die Verbindung zu einem anderen Zugangspunkt aufsetzen oder die Sie statt
der eingebauten Karte als solchen konfigurieren. Ihren Möglichkeiten sind hier
keine Grenzen gesetzt.
Vorbereitungen
Haben Sie die WLAN-Karte erst einmal eingebaut, so können Sie gleich testen, wie Linux damit umgeht. Booten Sie dazu zunächst einmal Ihr System und loggen sich anschließend als root ein. Jetzt müssen Sie NetworkManager nur noch das Zepter aus der Hand nahmen und die neue Netzwerkkarte über die traditionelle Methode einrichten lassen. Dazu gehen Sie einfach wie folgt vor:
- Wenn noch nicht geschehen, installieren Sie zuerst das Paket wireless-tools. Dies erreichen Sie mit apt-get install wireless-tools.
- Rufen Sie das Programm iwconfig auf.
- Ermitteln Sie die WLAN-Karte, die Sie als Zugangspunkt verwenden wollen und notieren Sie den Bezeichner der Karte (z. B. wlan0).
- Öffnen Sie die Datei /etc/network/interfaces in einem Editor.
- Deklarieren Sie die zuvor ermittelte WLAN-Karte, indem Sie mindestens eine Adresse und die Netzmaske für diese angeben.
- Führen Sie folgendes Kommando aus: systemctl restart network.service
- Sollten sich hiernach noch Probleme ergeben, so starten Sie Ihren Rechner neu.
Damit ist die WLAN-Karte dem System schon mal bekannt und soweit betriebsbereit. Allerdings haben Sie so noch keinen Zugangspunkt, denn der muß erst einmal sinnvoll konfiguriert werden. Dazu sind jedoch noch ein paar weitere Schritte vonnöten:
- Öffnen Sie ein Terminal und melden Sie sich als root an.
- Rufen Sie folgenden Befehl auf: apt-get install hostapd isc-dhcp-server
- Antworten Sie anschließend mit J. apt-get wird, so notwendig, automatisch zusätzliche Pakete zur Installation auswählen.
Wenn Sie IP-Adressen in Ihrem WLAN dynamisch zuweisen wollen, dann richten Sie
zunächst einmal Ihren DHCP-Server ein. Schauen Sie dazu bitte in den
zugehörigen Manpages nach, wie dies zu bewerkstelligen ist. Eine Erläuterung
dessen würde den Rahmen dieser Beschreibung sprengen.
Wünschen Sie dies nicht, so können Sie sich gleich daran machen,
hostapd zu konfigurieren.
Eine sinnvolle Konfiguration
Um die Karte verwenden zu können, benötigen Sie zunächst einmal die
Gerätekennung. Diese ist für hostapd notwendig,
damit es weiß, um welche Karte es sich denn kümmern soll. Diese sollten Sie
bereits bei der Installation der Karte ermittelt haben, ansonsten kann Ihnen
iwconfig hier weiterhelfen.
Danach können Sie anfangen, Ihre WLAN-Karte richtig
aufzusetzen.
Minimale Konfiguration für einen WLAN-Zugangspunkt | |||
---|---|---|---|
Parameter | Beschreibung | Wert(e) | Empfohlen |
interface | Die von hostapd verwaltete Schnittstelle Bitte beachten Sie, daß der Bezeichner je nach Distribution und der verwendeten Karte variieren kann. |
Die Kennung der WLAN-Karte z. B. wlann Ersetzen Sie n durch die Gerätenummer. |
Der von Ihnen zuvor ermittelte Bezeichner |
driver | Der von hostapd zu verwendende Treiber. I. d. R. empfiehlt sich hier die Auswahl von nl80211 als zu verwendendem Treiber. Bitte beachten Sie, daß je nach ausgewähltem Treiber nicht alle Möglichkeiten zur Verfügung stehen. Der Wert none ist hier nicht von Interesse. |
hostapd, madwifi, nl80211, bsd oder none | nl80211 |
ssid | Setzt den SSID Ihres WLAN (also die Identifikation). | Zeichenkette | Die gewünschte Kennung |
country_code | Setzen Sie diesen Paramter auf den Ländercode Ihres Aufenthaltsortes
(geschrieben in Großbuchstaben). Für Deutschland geben Sie hier also DE an,
für Österreich AT, etc. Dieser Wert legt fest, welche Sendeleistung und Frequenzen die WLAN-Karte laut der für Sie gültigen nationalen Regelungen (VO Funk sowie darauf aufbauende Gesetze und Rechtsverordnungen) verwenden darf. |
Der für Sie zutreffende Ländercode | z. B. DE |
ieee80211d | Soll Ihre WLAN-Karte anderen Karten Informationen über den eingestellten Ländercode sowie die erlaubten Frequenzen und die Sendeleistungen zur Verfügung stellen? | 0 oder 1 | 1 |
hw_mode | Legt den Betriebsmodus der WLAN-Karte fest. Bitte bachten Sie, daß Sie hier nur die tatsächlich unterstützten Modi angeben! | a: IEEE 802.11a (11 MBit/s auf 5 GHz) b: IEEE 802.11b (11 MBit/s auf 2,4 GHz) g: IEEE 802.11g (54 MBit/s auf 2,4 GHz) ad: IEEE 802.11ad (7 GBit/s auf 60 GHz) |
b |
channel | Die Nummer des zu verwendenen Kanals in Bezug auf den Betriebsmodus ACHTUNG: Diese Einstellung ist nicht festgezurrt! Zwar wird der Zugriffspunkt versuchen den gewünschten Kanal zu belegen, doch wenn es zu Kollisionen mit anderen Stationen kommt, so wird die WLAN-Karte auf eine andere Frequenz ausweichen und so eine gegenseitige Störung vermeiden. |
0 = nicht gesetzt > 0 = Kanalnummer |
z. B. 6 |
preamble | Soll eine kurze Prämbel verwendet werden? Dies kann zu einem Leistungsgewinn führen, wenn mit einer Bandbreite bis 11 MBit/s übertragen wird (Übertragungstyp IEEE 802.11b). Dazu müssen sämtliche Gegenstationen jedoch mit einer kurzen Prämbel umgehen können, sonst wird dieses Merkmal bei Bedarf abgeschaltet. |
0 oder 1 | 1 |
auth_algs | Akzeptierte Authentifizierungsalgorithmen Hierbei handelt es sich um ein Bitfeld, das angibt, welche Authentifizierungsalgorithmen hostapd akzeptieren soll. IEEE 802.1X sieht hier zwei Varianten vor, die offene Authentifizierung und mittels gemeinsamem Schlüssel. Bit 0: Offene Systemauthentifizierung Bit 1: Gemeinsamer Schlüssel (setzt WEP voraus) Je nach gewünschten Algorithmen setzen Sie diesen Wert entsprechend. Das Bit 1 brauchen Sie jedoch nur zu setzen, wenn Sie WEP verwenden wollen (was nicht empfohlen ist). |
Bitfeld je nach gewünschten Algorithmen | 1 |
ignore_broadcast_ssid | Soll der SSID des WLAN öffentlich sichtbar sein oder nicht? Für höchstmögliche Sicherheit ist es empfehlenswert, der SSID nicht allgemein sichtbar zu machen, und wenn die Feldlänge auf Null gesetzt ist, ergibt sich überhaupt kein Anhaltspunkt, wie die SSID lauten könnte. Allerdings kann es sein, daß einige Gegenstellen nicht damit zurecht kommen, was es erforderlich macht, daß zumindest die Feldlänge des SSID entspricht, auch wenn der SSID selbst nicht übermittelt wird. |
0 = SSID sichtbar 1 = SSID unsichtbar mit Feldlänge 0 2 = SSID unsichtbar mit Feldlänge = Länge des SSID |
1 |
eap_server | Soll der eingebaute EAP-Server verwendet werden? Dies ist nur dann notwendig, wenn erweiterte Authentifizierungsmöglichkeiten verwendet werden sollen, ohne auf einen externen RADIUS-Server zurückzugreifen. Für Heimanwendungen ist dies normalerweise jedoch nicht erforderlich. |
0 oder 1 | 0 |
wpa | Soll WPA verwendet werden? Dieser Wert ist ein Bitfeld, das festlegt, welche Variante des WPA verwendet werden soll. Bit 0: WPA Bit 1: WPA2 Für maximale Sicherheit sollte einzig WPA2 angeboten werden. Dies kann jedoch mit einigen älteren Gegenstellen zu Problemen führen, da diese meist kein WPA2 verstehen. In diesem Fall muß WPA zusätzlich aktiviert werden, dann sollte jedoch AES statt TKIP als Verschlüsselungsalgorithmus eingesetzt werden. |
Bitfeld je nach gewünschten Varianten | 2 |
wpa_passphrase | Die Passphrase, mit der das WLAN gesichert werden soll | Passphrase | Gewünschte Passphrase |
wpa_key_mgmt | Nach welchem Schema soll der Zugang gesichert werden? | WPA-PSK, WPA-EAP, WPA-PSK-SHA256 oder WPA-EAP-SHA256 | WPA-PSK |
wpa_pairwise | Welcher Verschlüsselungslagorithmus soll für WPA verwendet werden? Sie können hier verschiedene Algorithmen als durch Leerzeichen getrennte Liste angeben. Dieser Wert ist nur dann notwendig, wenn Sie WPA aktiviert haben. |
TKIP oder CCMP | CCMP |
rsn_pairwise | Welcher Verschlüsselungslagorithmus soll für WPA2 verwendet werden? Sie können hier verschiedene Algorithmen als durch Leerzeichen getrennte Liste angeben. Dieser Wert ist nur dann notwendig, wenn Sie WPA2 aktiviert haben. |
TKIP oder CCMP | CCMP |
wps_state | Soll Wi-Fi Protected Setup aktiviert werden? Dies erlaubt es, weitere Geräte auf einfache Art und Weise mittels PIN oder Tastendruck in ein bestehendes Netzwerk einzuhängen. Vorsicht! Mittlerweile wurden Schwachstellen in WPS entdeckt, die es einem Angreifer erlauben, sich unerlaubt Zugang zum WLAN zu verschaffen! Daher sollte auf WPS am besten verzichtet und weitere Gegenstellen manuell hinzugefügt werden! |
0, 1 oder 2 | 0 |
Selbst mit dieser minimalen Konfiguration ist Ihr WLAN-Zugangspunkt im
Handumdrehen einsatzbereit. Jetzt müssen Sie ihn nur noch aktivieren.
Rufen Sie dazu die folgenden Befehle auf:
- systemctl enable hostapd.service
- systemctl start hostapd.service
Wenn Sie hiernach den Befehl iwconfig aufrufen,
werden Sie feststellen, daß sich die von Ihnen eingerichtete WLAN-Karte im
Master-Modus befindet. Damit haben Sie Ihr Ziel erreicht, und jetzt können Sie
Ihr WLAN ohne Probleme einsetzen.
Allerdings operiert die WLAN-Karte so nach der IEEE 802.11b-Spezifikation, was
viele ältere Karten abdeckt. Eine Übertragungsrate von 11 MBit/s auf 2,4 GHz
wird auf jeden Fall von allen modernen Karten verstanden, insofern kann man
hier nicht viel falsch machen. Wer jedoch mehr Leistung haben möchte, hat
hierfür selbstverständlich entsprechende Möglichkeiten.
Anpassen an die eingesetzte WLAN-Karte
Je nach eingesetzter WLAN-Karte können Sie erweiterte Möglichkeiten einsetzen.
Dies kann z. B. eine höhere Bandbreite der Übertragung sein (alle modernen
WLAN-Karten unterstützen auf jeden Fall IEEE 802.11g, eine ganze Reihe Karten
stellt auch IEEE 802.11n zur Verfügung). Der Standard IEEE 802.11g bietet hier
eine maximale Übertragungsrate von 54 MBit/s, was gegenüber IEEE 802.11b einen
deutlichen Leistungsgewinn bedeutet, und IEEE 802.11n steigert nochmals die
Bandbreite und liefert eine höhere Ausgangsleistung.
Darüber hinaus können neuere WLAN-Karten erweiterte Sicherheitsmöglichkeiten
bereitstellen, die von hostapd genutzt werden
können, aber auch die Übertragungs- und Verwaltungsmodi können problemlos
angepaßt werden.
Da viele Karten mittlerweile problemlos IEEE 802.11g unterstützen, ist es
wahrscheinlich, daß Sie auf diesen Modus umschalten können. Dies erreichen Sie,
indem Sie einfach einen einzigen Parameter verändern. Und wenn Ihre Karte auch
noch IEEE 802.11a unterstützt, dann können Sie dies hier gleich mit aktivieren.
Geänderte Parameter für IEEE 802.11g | ||
---|---|---|
Parameter | Neuer Wert | Anmerkung |
hw_mode | g | Änderung, wenn IEEE 802.11a nicht unterstützt wird |
hw_mode | ag | Mögliche Änderung, wenn IEEE 802.11a auch unterstützt wird |
Ähnlich schaut es im Fall von IEEE 802.11n aus, nur daß Sie hier noch ein paar
zusätzliche Einstellungsmöglichkeiten haben. Mit einer Geschwindigkeit von
150 MBit/s oder mehr wahlweise auf 2,4 oder 5 GHz (für Letzteres immer
vorausgesetzt, daß die Karte IEEE 802.11a unterstützt) erhalten Sie so eine
zusätzliche Steigerung der Übertragungsrate.
Um IEEE 802.11n nutzen zu können, aktivieren Sie folgende zusätzliche Parameter
in der Konfiguration:
Für IEEE 802.11n notwendige Einstellungen | |||
---|---|---|---|
Parameter | Beschreibung | Wert(e) | Empfohlen |
ieee80211n | Aktiviert den Modus IEEE 802.11n der WLAN-Karte. WARNUNG: Wenn Sie dies aktivieren, obwohl die Karte kein IEEE 802.11n unterstützt, so wird hostapd streiken, und Sie können Ihren WLAN-Zugangspunkt nicht nutzen! |
0 oder 1 | 1 |
ht_capab | Legt verschiedene Parameter für IEEE 802.11n fest. Wird hier nichts
angegeben, so wird eine minimale Liste an Eigenschaften aktiviert. WARNUNG: Wenn Sie hier Eigenschaften angeben, die von Ihrer Karte nicht unterstützt werden, so wird hostapd streiken, und Sie können Ihren WLAN-Zugangspunkt nicht nutzen! Aktivieren Sie daher ggf. immer eine Eigenschaft auf einmal und schauen Sie nach, ob hostapd startet und Sie sich mit Ihrem Zugangspunkt verbinden können. Wenn nicht, dann entfernen Sie die fragliche Eigenschaft wieder aus der Liste. |
Mögliche Eigenschaften sind: [LDPC] [HT40-] oder [HT40+] [SPMS-STATIC] oder [SPMS-DYNAMIC] [GF] [SHORT-GI-20] [SHORT-GI-40] [TX-STBC] [RX-STBC1], [RX-STBC12] oder [RX-STBC123] [DELAYED-BA] [MAX-AMSDU-7935] [DSSS_CCK-40] [PSMP] [LSIG-TXOP-PROT] |
[HT40+][SHORT-GI-20][SHORT-GI-40] |
require_ht | Ist IEEE 802.11n zwingend erforderlich? Wenn ja, werden Gegenstellen, die
diesen Modus nicht unterstützen, abgewiesen. Wenn Sie keinerlei Gegenstellen in diesem WLAN einsetzen, die noch auf IEEE 802.11g oder älter angewiesen sind, so können Sie dies auf 1 setzen. |
0 oder 1 | 0 |
wmm_enabled | Dies muß aktiviert sein, damit IEEE 802.11n vollständig funktioniert! | 0 oder 1 | 1 |
Mittlerweile gibt es mit dem Standard IEEE 802.11ac eine weitere Stufe der Leistungssteigerung für WLANs (sog. Gigabit-WLAN), welche sich das 5-GHz-Band, das von WLAN-Karten kaum bis gar nicht mehr benutzt wird, zu Nutze macht. Um diese Funktionalität nutzen zu können, setzen Sie zusätzlich auch noch die folgenden Parameter:
Für IEEE 802.11ac notwendige Einstellungen | |||
---|---|---|---|
Parameter | Beschreibung | Wert(e) | Empfohlen |
ieee80211ac | Aktiviert den Modus IEEE 802.11ac der WLAN-Karte. WARNUNG: Wenn Sie dies aktivieren, obwohl die Karte kein IEEE 802.11ac unterstützt, so wird hostapd streiken, und Sie können Ihren WLAN-Zugangspunkt nicht nutzen! |
0 oder 1 | 1 |
vht_capab | Legt verschiedene Parameter für IEEE 802.11ac fest. Wird hier nichts
angegeben, so wird eine minimale Liste an Eigenschaften aktiviert. WARNUNG: Wenn Sie hier Eigenschaften angeben, die von Ihrer Karte nicht unterstützt werden, so wird hostapd streiken, und Sie können Ihren WLAN-Zugangspunkt nicht nutzen! Aktivieren Sie daher ggf. immer eine Eigenschaft auf einmal und schauen Sie nach, ob hostapd startet und Sie sich mit Ihrem Zugangspunkt verbinden können. Wenn nicht, dann entfernen Sie die fragliche Eigenschaft wieder aus der Liste. |
Mögliche Eigenschaften sind: [MAX-MPDU-7991] oder [MAX-MPDU-11454] [VHT160] oder [VHT160-80PLUS80] [RXLDPC] [SHORT-GI-80] [SHORT-GI-160] [TX-STBC-2BY1] [RX-STBC1], [RX-STBC12], [RX-STBC123] oder [RX-STBC1234] [SU-BEAMFORMER] [SU-BEAMFORMEE] [BF-ANTENNA-2] [SOUNDING-DIMENSION-2] [MU-BEAMFORMER] [MU-BEAMFORMEE] [VHT-TXOP-PS] [HTC-VHT] [MAX-A-MPDU-LEN-EXPn] (n ∈ {0,1,2,3,4,5,6,7} [VHT-LINK-ADAPT2] oder [VHT-LINK-ADAPT3] [RX-ANTENNA-PATTERN] [TX-ANTENNA-PATTERN] |
[VHT160-80PLUS80][SHORT-GI-80][SHORT-GI-160] |
require_vht | Ist IEEE 802.11ac zwingend erforderlich? Wenn ja, werden Gegenstellen, die diesen Modus nicht unterstützen, abgewiesen. | 0 oder 1 | 0 |
wmm_enabled | Dies muß aktiviert sein, damit IEEE 802.11ac vollständig funktioniert! | 0 oder 1 | 1 |
vht_oper_chwidth | Gibt an, welche Kanalbreite die WLAN-Karte verwenden soll | 0: 20 oder 40 MHz 1: 80 MHz 2: 160 MHz 3: 80 + 80 MHz |
2 |
Bitte beachten Sie, daß die Reichweite Ihres WLAN-Signals umso stärker
schrumpft, je breiter der Übertragungskanal ist! Da sich die gesamte für das
Signal aufgewendete Leitung auf die komplette Kanalbreite verteilt, fällt das
Signalspektrum flacher aus und geht somit früher in dem vorhandenen
atmosphärischen Hintergrundrauschen
unter! Zudem haben etwaige
Störsignale
zusätzlich ein breiteres Fenster, auf dem sie die Verbindung beeinträchtigen
können. Auch kann es vorkommen, daß das Signal, das Sie empfangen, aufgrund
schlechter Ausbreitungsbedingungen
mit veränderlicher Signalstärke
bei Ihnen ankommt und deshalb schlechter zu empfangen ist.
Beachten Sie außerdem, daß etwaige Hindernisse auf dem Signalweg (Wände,
Bewuchs, usw.) für eine zusätzliche Dämpfung des Signals sorgen und die
Reichweite zusätzlich verkürzen und metallhaltige Hindernisse auf der dem
Zugangspunkt abgewandten Seite einen Funkschatten erzeugen können, in dem
überhaupt kein Empfang möglich ist!
Deshalb kann die tatsächliche Übertragungsrate, je nach örtlichen
Gegebenheiten, mehr oder minder stark nach unten abweichen! Die in der
Produktbeschreibung angegebene Übertragungsrate bezieht sich grundsätzlich auf
(nahezu) ideale Bedingungen – nur gibt es diese allzu oft nicht.
Wenn das WLAN Probleme bereitet
Ursachen für Probleme mit einem WLAN gibt es zuhauf. Dies umfaßt jedoch nicht
nur Fehler in der Konfiguration, sondern auch diverse technische Probleme
können einem einen gewaltigen Streich spielen.
Meist lassen sich diese Probleme jedoch recht schnell lösen.
Was funktioniert nicht? | ||
---|---|---|
Problem | Ursache | Lösung |
Das WLAN ist nicht aktiv. |
|
|
Das WLAN ist nicht zu erreichen. |
|
|
Die Verbindung bricht zusammen. | Das Signal ist zu schwach oder wird gestört. Sie befinden sich
möglicherweise zu weit vom Zugangspunkt entfernt oder in einem ungünstigen
Winkel zu diesem (ist immer dann der Fall, wenn sich Zugangspunkt und
Gegenstation in unterschiedlichen Stockwerken befinden). Beachten Sie außerdem,
daß sämtliche Wände, die sich zwischen dem Zugangspunkt und einer Gegenstation
befinden, das Signal zusätzlich dämpfen, so daß sich dessen Reichweite weiter
verkürzt. Zudem überlagern sich die Signale von Stationen, die auf der gleichen Frequenz arbeiten, so daß es hier zu Störungen kommt (dies kann in dicht besiedelsten Gebieten schnell der Fall sein). Eine weitere Störquelle sind Schaltnetzteile, deren Störfrequenzen einen WLAN-Router empfindlich negativ beeinflussen können und so für Verbindungsabbrüche sorgen. |
Versuchen Sie eine (oder mehrere) der folgenden Maßnahmen:
|
Die Bandbreite der Übertragung ist zu klein. | Wenn sich Stationen gegenseitig stören, so kann es passieren, daß diese von sich aus anfangen, die Bandbreite der Übertragung zu begrenzen, um allen Stationen die Arbeit zu ermöglichen. Dieses Phänomen tritt meist in Gebieten mit sehr vielen aktiven WLANs auf. | Wenden Sie die gleichen Maßnahmen an wie bei einer zusammenbrechenden Verbindung (mit Ausnahme einer Endstufe, da diese die Situation nur verschlimmert). |