Настройка защищенного wi-fi в suse 11

Как заставить работать wifi карту с нормальным шифрованием? Статей по настройке беспроводной сети с wep шифрованием или вообще без шифрования в интернете полно. Да, yast позволяет настроить wep быстро и безболезненно, но что делать если хочется использовать WPA/WPA2 шифрование? Вот об этом сегодня и поговорим. Хочу сразу отметить эта статья писалась на «живую», только mac-адреса и ключи шифрования изменены.

Пациенты: 
1)ноутбук Asus A9Rp
2)wi-fi карта Linksys WPC-54G (PCIMCIA)

Сначала рассмотрим самый тяжелый случай поднятия карты, при условии что драйвера из Webpin не подошли и команда
ifconfig wlan0 up
выдает какую нибудь гадость вида
SIOCSIFFLAGS: Нет такого файла или каталога

Понятно, что нужны дрова; какие — сейчас узнаем. В консоли под рутом выполняем:
lspci | grep Wireless

Получаем
03:00.0 Network controller: Broadcom Corporation BCM4318 [AirForce One 54g] 802.11g Wireless LAN Controller (rev 02)

Ага, Broadcom, теперь вспоминаем версию ядра 
uname -r
Получаем
2.6.25.5-1.1-pae
Нам нужны драйвера для bcm43xx под ядро 2.6.25. Активно гуглим и находим то что нам нужно идти на mirror2.openwrt.org

Вот тут появляется небольшой подводный камень: чтобы поставить драйвера необходим b43-fwcutter. Поэтому ставим его.
wget http://bu3sch.de/b43/fwcutter/b43-fwcutter-011.tar.bz2

после установки распаковываем
tar xjf b43-fwcutter-011.tar.bz2

Затем переходим в распакованный каталог
cd b43-fwcutter-011

и собираем b43-fwcutter
make

после сборки поднимаемся на каталог выше. Теперь можно скачать и поставить драйвер. Создадим переменную окружения, которая будет содержать путь к папке, в которой хранится всякие проприетарные библиотеки в системе. В suse это каталог /lib/firmware . Итак, выполняем по очереди:

wget http://mirror2.openwrt.org/sources/broadcom-wl-4.150.10.5.tar.bz2

Если все прошло без ошибок, пробуем 
ifconfig wlan0 up

Не ругается! Пол дела сделано. Теперь будем настраивать карту. Сначала настроим карту на использование WPA шифрования, затем на WPA2.

Настройка WPA Personal

Сначала нужно обновить wpa_supplicant. Смотрим установленную версию
wpa_supplicant v0.6.4
Последняя стабильная версия 0.6.9 — обновляемся через webpin. По желанию ставим wpa_supplicant_gui.
Далее нам понадобится утилита iwlist, у меня она уже стояла, если у вас ее нет, воспользуйтесь Webpin.
Выполняем  
iwlist wlan0 scan
Видим свою точку доступа
wlan0     Scan completed :
Cell 01 - Address: 00:1D:13:1B:A6:EF
ESSID:"Cisco_ASR-9000"
Mode:Master
Channel:5
Frequency:2.432 GHz (Channel 5)
Quality=48/100  Signal level=-68 dBm  Noise level=-71 dBm
Encryption key:on
IE: WPA Version 1
Group Cipher : TKIP
Pairwise Ciphers (1) : TKIP
Authentication Suites (1) : PSK
Bit Rates:1 Mb/s; 2 Mb/s; 5.5 Mb/s; 11 Mb/s; 18 Mb/s
24 Mb/s; 36 Mb/s; 54 Mb/s; 6 Mb/s; 9 Mb/s
12 Mb/s; 48 Mb/s
Extra:tsf=00000000198ba3c4

Редактируем файл настроек /etc/wpa_supplicant/wpa_supplicant.conf . Заполнять его будем ориентируясь на то что выдал нам iwlist и на настройки в админке роутера. В моем случае получается вот так:
ctrl_interface=/var/run/wpa_supplicant
eapol_version=1
network={
ssid="Cisco_ASR-9000"
scan_ssid=1
proto=WPA
pairwise=TKIP
key_mgmt=WPA-PSK
pairwise=TKIP
group=TKIP
psk= Ваш пароль
}
где Ваш пароль — пароль от беспроводной сети.

Теперь необходимо запустить wpa_supplicant. Нам подходит вот такой вариант
wpa_supplicant -Dwext -iwlan0 -c/etc/wpa_supplicant/wpa_supplicant.conf

параметры означают следующее:
D — имя драйвера (
Возможные варианты:
otus = Otus 802.11 WPA support interface
wext = Linux wireless extensions (generic)
nl80211 = Linux nl80211/cfg80211
hostap = Host AP driver (Intersil Prism2/2.5/3)
prism54 = Prism54.org driver (Intersil Prism GT/Duette/Indigo)
atmel = ATMEL AT76C5XXx (USB, PCMCIA)
wired = wpa_supplicant wired Ethernet driver
ralink = Ralink Wireless Client driver
roboswitch = wpa_supplicant roboswitch driver)
i — интерфейс
с — путь к конфигурационному файлу.
Подробнее о параметрах можно узнать командой wpa_supplicant без параметров.

Поднимаем интерфейс командой ifup wlan0
У кого поднялся без ошибок — радуются, для них все закончилось. Остальные видят на экране нерадующую надпись вида
wlan0
wlan0     warning: WPA configured but may be unsupported
wlan0     warning: by this device
Что как бы намекает нам, что мы все делали правильно, но наша карточка «капризничает», и еще вот так может ругаться
wlan0     warning: wpa_supplicant already running on interface
в последнем случае убиваем папку /var/run/wpa_supplicant и пробуем снова.
В моем случае надпись не изменилась. Теперь попробуем воспользоваться утилитой wicd — аналог networkmanager с более гибкими настройками в плане wifi . Ставим с webpin, запускаем

Раскрываем сеть и жмем кнопку «дополнительные настройки».

Заполняем их, особенно уделяем внимание полям «Использовать шифрование» и «ключ».
Жмем «ОК», а затем в главном окне «Подключить». Подключение займет 10-15 секунд. После этого в консоли наберем для проверки
iwconfig wlan0
Получим
wlan0     IEEE 802.11g  ESSID:"Cisco_ASR-9000"
Mode:Managed  Frequency:2.432 GHz  Access Point: 00:1D:13:1B:A6:EF
Bit Rate=54 Mb/s   Tx-Power=27 dBm
Retry min limit:7   RTS thr:off   Fragment thr=2352 B
Encryption key:A894-FA01-866B-B657-147C-1BFC-5E2B-A89A-334A-E97D-979D-9BC7-3A34-F3C7-13D4-7D25 [2]
Link Quality=63/100  Signal level=-53 dBm  Noise level=-71 dBm
Rx invalid nwid:0  Rx invalid crypt:0  Rx invalid frag:0
Tx excessive retries:0  Invalid misc:0   Missed beacon:0

Ура, wicd справился с подключением. Теперь пробуем ping ya.ru
PING ya.ru (213.180.204.8) 56(84) bytes of data.
64 bytes from ya.ru (213.180.204.8): icmp_seq=1 ttl=55 time=56.7 ms
64 bytes from ya.ru (213.180.204.8): icmp_seq=2 ttl=55 time=59.7 ms
64 bytes from ya.ru (213.180.204.8): icmp_seq=3 ttl=55 time=61.2 ms
64 bytes from ya.ru (213.180.204.8): icmp_seq=4 ttl=55 time=52.7 ms
^C
--- ya.ru ping statistics ---
5 packets transmitted, 4 received, 20% packet loss, time 4017ms
rtt min/avg/max/mdev = 52.762/57.626/61.288/3.253 ms

WPA победили, теперь настроим роутер на WPA2 и настроим его.

Настройка WPA2 Personal

Итак, заменили на роутере WPA-Personal на WPA2-Personal, и оставили тот же алгоритм шифрования TKIP. Можно конечно использовать AES или TKIP+AES с сертификатами, но не каждая карта/роутер его поддерживают, т.к. это уже алгоритм WPA2-Enterprise, который я не рассматриваю по следующей причине:
для работы в этом режиме требуются такие регистрационные данные, как имя и пароль пользователя, сертификат безопасности или одноразовый пароль, аутентификация же осуществляется между рабочей станцией и центральным сервером аутентификации. Точка доступа или беспроводной контроллер проводят мониторинг подключений и направляют аутентификационные запросы на соответствующий сервер аутентификации (как правило, это сервер RADIUS, например Cisco ACS).

Для верности проверяем ping ya.ru
PING ya.ru (213.180.204.8) 56(84) bytes of data.
64 bytes from ya.ru (213.180.204.8): icmp_seq=1 ttl=55 time=54.7 ms
64 bytes from ya.ru (213.180.204.8): icmp_seq=2 ttl=55 time=59.9 ms
^C
--- ya.ru ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1006ms
rtt min/avg/max/mdev = 54.734/57.330/59.927/2.607 ms

Что за.. Интернета быть не должно! Мы сменили алгоритм шифрования и перезапустили роутер. Выполняем команду iwlist wlan0 scan
wlan0     Scan completed :
Cell 01 - Address: 00:1C:10:13:F6:DF
ESSID:"Cisco_ASR-9000"
Mode:Master
Channel:5
Frequency:2.432 GHz (Channel 5)
Quality=36/100  Signal level=-80 dBm  Noise level=-72 dBm
Encryption key:on
IE: IEEE 802.11i/WPA2 Version 1
Group Cipher : TKIP
Pairwise Ciphers (1) : TKIP
Authentication Suites (1) : PSK
Bit Rates:1 Mb/s; 2 Mb/s; 5.5 Mb/s; 11 Mb/s; 18 Mb/s
24 Mb/s; 36 Mb/s; 54 Mb/s; 6 Mb/s; 9 Mb/s
12 Mb/s; 48 Mb/s
Extra:tsf=0000000004836f52
Все нормально, действительно, wpa2 и все работает. На всякий случай перезапустим сеть rcnetwork restart

Видим что при запуске интерфейса по по-прежнему всплывают ругательства о невозможности работы с wpa_supplicant. Запускаем wicd, около нашей беспроводной сети жмем на кнопку «Подключиться». Действительно работает. После детального осмотра выяснилось, что wicd автоматически назначает правила сразу и для WPA и для WPA2, что очень удобно. А вот почему для wpa_supplicant нет разницы в режиме шифрования, для меня осталось загадкой, но без него ничего не работает.

UPD: на следующий вечер загадка wpa_supplicant разрешилась. Оказывается, алгоритм WPA2 имеет обратную совместимость с алгоритмом WPA, так что все закономерно и не выходит за рамки стандарта IEEE 802.11i.

Оригинал статьи