WLAN unter Windows XP /Vista an der Uni und FH Regensburg

Voraussetzungen - Vorbereitung des PCs - Installation/Konfiguration des WLAN Adapters
 Nutzung der Funknetzwerke - unifunk1 - 802.11i/1X - Weitere Infos - Adapterauswahl - SecureW2-Konfiguration
 

Voraussetzungen

• Sie benötigen einen eDirectory (NDS) Account - dieselben Kenndaten, mit denen Sie sich z B. im CIP-Pool anmelden - da ein Zugriff auf die Funknetz nur nach Authentisierung im eDirectory möglich ist.

• Ihre WLAN-Adapter muss an der Universität registriert sein. Um den Adapter zu registrieren, brauchen Sie nur Ihren Rechner nach der Installation nur mit dem Funknetz unifunk1 zu verbinden (für die Registrierung ist kein VPN Client nötig!) und einen WWW-Browser zu starten. Falls Ihr Adapter noch nicht registriert ist, wird automatisch die Startseite für die Anmeldung angezeigt. Bitte folgen Sie dann den Anweisungen, um den Adapter zu registrieren. Die so genannte physikalische Adresse Ihres WLAN-Adapters wird dabei automatisch ermittelt und ins Anmeldeformular übertragen; eine oft mit Schwierigkeiten verbundene Bestimmung der Adresse seitens des Benutzers ist nicht mehr nötig.

Vorbereitung des PCs

Voraussetzung für eine korrekte Funktion und Sicherheit ist ein "sauberer", "gepatchter" und virenfreier Computer. Das Wichtigste in Kürze:

• Windows XP sollte unbedingt Servicepack 2  (SP2) oder höher enthalten (Kontrolle über Systemsteuerung -> System).

• Kontrollieren Sie die über Systemsteuerung -> Sicherheitscenter die Sicherheitseinstellungen:

  • Windows-Update soll im Zustand "automatisch" sein.
  • Der in Windows XP SP2 enthaltene Firewall soll aktiviert sein und nur Ausnahmen, deren Wirkung Sie sich bewusst sind,  enthalten. Insbesondere darf für Windows XP Home Edition keine "Datei- und Druckerfreigabe" in der Ausnahmenliste aktiviert sein, wenn Sie am Funknetz der Uni Regensburg teilnehmen wollen.
  • Ein aktueller Virenscanner (unser Empfehlung: Sophos Antivirus) soll installiert sein.
     

• Ist nicht bekannt., ob Ihre Windows-Version auf aktuellen Stand ("Patch-Level") ist bzw. war Windows Update nicht im Zustand "automatisch" oder aber Ihr  Computer wurde noch nie an ein Netzwerk angeschlossen, sollten Sie dringend zuerst alle aktuellen Windows Updates installieren.
  Unser Service-CD für Windows enthält die mindestens erforderlichen Updates (Servicepack 2 und nachfolgende Updates) zur offline-Installation von CDROM.  Wichtig: Enthält Ihr Computer noch kein SP2, dürfen  Sie dies nicht online installieren, weil Ihr Computer andernfalls bereits während der Installation von Viren infiziert werden kann.

• Ist kein Virenscanner vorhanden  oder nicht bekannt, ob dieser in aktuellem Zustand ist, sollten sie bei Virenverdacht vor weiteren Arbeiten einen Virenscan ausführen. Unsere Service-CD für Windows XP enthält dazu eine geeigenete Virenscan-Funktion (vorausgesetzt, Ihr Computer verfügt bereits über einen Netzwerkanschluss). Noch besser bzw. sicherer ist es, den Virenscan vollkommen "offline" über WinPE auszuführen (der Computer muss dazu von WinPE CDROM gestartet werden).

• Falls ein anderer Personal-Firewall oder eine anderweitige "Sicherheitssoftware" installiert ist (Kontrolle über Systemsteuerung -> Software): Wenn Sie den Cisco VPN-Client (nur notwendig für das Funknetz "unifunk1") und/oder den Novell-Client installieren/verwenden wollen, empfehlen wir Ihnen dringend, solche Software vor weiteren Arbeiten über Systemsteuerung -> Software zu entfernen und stattdessen den in Windows XP SP2 bereits enthaltenen Firewall zu verwenden. Bekannt für Probleme/Wechselwirkungen mit dem VPN- und Novell-Client sind z.B. Symantec Firewall bzw. Internet Security in "Heimbenutzerkonfiguration". Unkritisch sind in der Regel anderweitige Virenscanner, so lange sie keine Firewallfunktionalität etc. mitbringen.  

• Kontrollieren Sie über Systemsteuerung -> Software außerdem, ob nicht etwa anderweitige "störende" Zusatzsoftware wie herstellerspezifische WLAN-Tools, Download-Beschleuniger, Einwählprogramme etc. installiert sind und entfernen Sie diese bei Problemen.

• Wichtig: Auch neue - von Herstellern vorinstallierte - Computer für Heimanwender kommen oftmals gar nicht in einem Zustand wie versprochen "Einschalten und loslegen...". Kontrollieren Sie auch hier die genannten Einstellungen und entfernen Sie zu allererst über Systemsteuerung -> Software alle unnötigen, möglicherweise störenden Programme.
   

Installation und Konfiguration eines WLAN-Adapters

Falls Ihr PC/Notebook noch keinen WLAN-Adapter ("Funknetz-Karte") enthält, finden Sie im Anhang "Auswahl eines WLAN-Adapters" Informationen, welche Typen/Fabrikate zweckmäßig sind. Falls ein solcher Adapter vorhanden und der zugehörige Treiber schon installiert ist, lesen Sie bitte bei Punkt 3 weiter. 

Wichtig! Die Treiberinstallation sollte wann immer möglich über die Plug&Play Hardwareerkennung von Windows erfolgen und nicht über ein herstellerspezifisches Setup (Setup.exe o. ä.). Andernfalls werden eventuell überflüssige, zum Teil fehlerbehaftete oder störende zusätzliche Komponenten installiert! Ignorieren Sie anders lautende Empfehlungen der Hersteller!

Wie im Anhang ""Auswahl eines WLAN-Adapters" beschrieben ist, sollte für die Treiberinstallation ein "reiner" WHQL-Treiber verfügbar sein, ohne herstellerspezifisches Setup.  Ein solcher Treiber besteht aus mindesten einer INF-Datei, SYS-Datei und CAT-Datei.  Auf den zu den Adaptern mitgelieferten CDs ist ein solcher Treiber leider nicht in jedem Fall vorhanden,  auch sind Installationshinweise oftmals falsch (Negativbeispiel: Netgear WG111T).  Auf unserer Service-CD für Windows XP sind deshalb korrekte WHQL-Treiber für gängige WLAN-Adapter enthalten. Alternativ können Sie solche Treiber von den Hersteller-Support-Seiten im Web herunterladen (und entpacken) oder aber über eine online-Suche in der Microsoft WHQL-Treiberdatenbank automatisch beziehen.

1. Stecken Sie den WLAN-Adapter (PC-Card, USB) ein. Die neue Hardware wird von Windows automatisch erkannt.
   
   
   
   Kurz darauf erscheint der "Assistent für das Suchen neuer Hardware" (Abbildungen für Windows XP):
   
   
   
   Falls Ihr PC/Notebook während der WLAN-Installation über eine andere Netzwerkverbindung (z. B. Ethernet) verfügt, können Sie eine (online) Verbindung zu Windows Update herstellen (erster Auswahlpunkt), um den passenden Treiber automatsich zu beziehen.
   In anderen Fällen (keine Onlineverbindung vorhanden) wählen Sie bitte den dritten Auswahlpunkt ("Nein,...").
   
   
    
    

2. Legen Sie nun eine CD (oder USB-Stick etc.) mit den passenden - entpackten - Treiber ein, wie z.B. unsere Service-CD für Windows XP, und wählen Sie dann den Punkt "Software automatisch installieren".
   Erfahrene BenutzerInnen können über den zweiten Auswahlpunkt den Pfad zum passenden Treiber angeben. Dies ist aber nur dann erforderlich, wenn sich der Treiber z. B. auf einem Netzlaufwerk etc. befindet. CD-ROMs werden automatisch durchsucht.
   
    Sobald der Treiber gefunden wurde, wird dieser automatisch installiert:
    
   
   
   Falls kein (signierter) WHQL-Treiber zur Verfügung steht, erhalten Sie vorher eine Sicherheitswarnung und können die Installation wahlweise abbrechen oder - nicht empfohlen -  auf eigene Gefahr fortsetzen.
   
   
    

3. Nach Fertigstellung der Installation erscheint in der Taskleiste rechts ein neues "Funknetz-Symbol". In nachfolgenden Bild ist das zugehörige Kontextmenü geöffnet (Rechtsklick auf das Funknetz-Symbol). Eventuell wird nach der Installation auch gleich eine Balloon-Infobox ("Funknetzwerk verfügbar....) gezeigt.
   
   
   
   Klicken Sie wahlweise in diese Balloon-Box oder auf den Punkt "Verfügbare Drahtlosnetzwerke anzeigen" im Kontextmenü, um die verfügbaren Funknetzwerke anzuzeigen:
   
   
    

4. WICHTIG! Aktivieren Sie jetzt noch keine Funkverbindung, sondern sorgen Sie erst für die erforderlichen Sicherheitseinstellungen!
   Wählen Sie dazu im Kontextmenü (siehe Punkt 3) den Punkt "Netzwerkverbindungen öffnen"
   
   
   
   
   
   Markieren Sie wie in obigem Bild den eben installierten Funknetzadapter und klicken Sie dann unter "Netzwerkaufgaben" auf "Einstellung dieser Verbindung ändern":
   
   
   
   Entfernen Sie hier  - wie in obigem Bild gezeigt - das Häkchen links neben "Datei und Druckerfreigabe für Microsoft-Netzwerke", um unerwünschten Zugriffe auf Ihren PC zu verhindern.
   Falls in der Liste IPX-Protokolleinträge erscheinen, haben Sie vermutlich eine ältere Novell-Client-Version installiert. Entfernen Sie dann den Novell-Client (markieren und auf "Deinstallieren" klicken) samt eventuell noch verbleibender IPX-Protokolleinträge und installieren Sie bei Bedarf eine aktuelle Version des Novell-Clients.

5. Einen manuelle Konfiguration für unser unverschlüsseltes Funknetzwerk "unifunk1" ist nicht mehr erforderlich.
   
    

Nutzung der Funknetzwerke an der Universität Regensburg

Eine detaillierte Beschreibung hierzu finden Sie unter http://www-wlan.uni-r.de/ (Funknetzwerk an der Universität Regensburg), das Wichtigste hier in Kürze:

• An der Universität Regensburg stehen zwei Arten von Funknetzwerken zur Verfügung:

  • Das Funknetz mit der Kennung unifunk1 (unverschlüsselt, ohne Authentifizierung):
    Es hat momentan noch die größte Verbreitung und erfordert nach dem Verbindungsaufbau eine VPN-Verbindung, um Zugang zum Datennetz der Universität zu erhalten.  Authentifizierung und Verschlüsselung erfolgen über den Cisco-VPN-Client, der hier zwingend erforderlich ist.

  • Die Funknetzwerke 802.11i (Studenten, Bedienstete) und 802.1X (Gäste) mit 801.1X-Authentifizierung und WPA-Verschlüsselung.
    Momentan bieten diese Funknetzwerke noch nicht denselben Versorgungsgrad wie unifunk1, der Ausbau erfolgt jedoch zügig.
    Für eine Verbindung zum Uni-Datennetz ist hier kein VPN-Client erforderlich, es muss lediglich (relativ unkritische) SecureW2-Client nachgerüstet werden.
     

• Falls ihr WLAN-Adapter im Datennetz der Universität Regenburg noch nicht registriert ist, verbinden Sie Ihn bitte (zunächst) mit dem Funknetz "unifunk1" (siehe folgender Punkt)  und starten Sie dann - es ist kein VPN-Client erforderlich - Ihren WWW-Browser. Es wird automatisch die Startseite für die Anmeldung angezeigt. Bitte folgen Sie dann den Anweisungen, um den Adapter zu registrieren. Die Nutzung des Funknetzes 802.11i ist erst nach der Registrierung (über unifunk1) möglich.
   

• Nutzung des Funknetzes unifunk1
  
  Klicken Sie in der Liste verfügbarer Drahtlosnetzwerke (siehe oben unter Punkt 3)  auf den Namen "unifunk1". Danach erhalten Sie eine Sicherheitswarnung:
  
  
  
  Wählen Sie hier "Trotzdem verbinden".
  
  Nach Herstellung der Funkverbindung müssen Sie den Cisco-VPN-Client (Version 4.6. oder höher) starten, um eine verschlüsselte Verbindung aufzubauen, andernfalls haben Sie keinen Zugang zum Datennetz der Universität (IP-Adressbereich 132.199.*.*). Vor Aufbau der VPN-Verbindung erhalten Sie eine IP-Adresse der Form 172.29.*.* ("Quarantänebereich" des Funknetzes unifunk1).
   

• Nutzung der Funknetzwerke 802.11i und 802.1X
  
  Installieren Sie dazu zunächst den so genannten SecureW2-Client: Download SecureW2-Client (neue Version vom 26.5.2009.
  
  
  
  Nach der Installation des SecureW2-Clients und Neustart des Computers erscheint - sofern keine anderen Profile für automatisch zu verbindende Funknetzwerke vorhanden sind - nach kurzer Zeit in der Taskleiste eine Ballon-Box zur Authentifizierungs-Aufforderung ("Anmeldeinformationen").
  
  
  
  Erscheint diese Aufforderung nicht,  klicken Sie bitte in der Liste verfügbarer Funknetzwerke (siehe oben Punkt 3) auf "802.11i" (für Studenten und Mitarbeiter der Universität Regensburg) bzw. 802.1X (für Gäste)
  
  
  
  Klicken Sie nun in in diese Ballon-Box "Drahtlose Netzwerkverbindung" (nicht auf das X und nicht auf das Drahtlos-Symbol!): Es erscheint ein Fenster zur Eingabe der 802.11i-Credentials.
  Unter Windows Vista können Sie alternativ im Startmenü die Option "Verbinden mit" verwenden.
  
  
  
  Geben Sie hier Ihren NDS-Kurznamen (8 Zeichen) und Ihr NDS-Passwort ein (das Feld "Domain" bliebt leer) und klicken Sie auf "OK". Die Checkbox zur Speicherung der Credentials sollte aus Sicherheitsgründen niemals aktiviert werden.
  
  Im Dialog "Drahtlose Netzwerkverbindung" (Liste verfügbarerer Drahtlosnetzwerke) erscheinen daraufhin neben dem Eintrag "802.11i" - auf den Sie geklickt hatten -  nacheinander  die Statusmeldungen "Authentifizierungsversuch", "Netzwerkadresse beziehen" und abschließend "Verbindung bereit". Sie sind "drin" und es wird anders als beim Funknetz "unifunk1" kein VPN-Client benötigt! Voraussetzung für eine Verbindung ist freilich - wie bisher - dass Ihr Funknetzadapter in unserem DHCP-Server registriert ist. Diese Registrierung muss jährlich erneuert werden.
   

Weitere Informationen

• Viele Hersteller fügen Ihren WLAN-Adaptern ein proprietäres "Funknetz-Tool" bei. Unter Windows XP ist solch ein Tool anders als bei Windows 98SE/ME/2000 nicht erforderlich, da der Wireless Zero Configuration Service (Registerkarte "Drahtlosnetzwerke" in den Eigenschaften der Netzwerkverbindung) diese Aufgaben übernimmt. Etliche herstellerspezifische Tools sind darüber hinaus fehlerbehaftet.
  Falls Sie eine genauere Feldstärkeanzeige sowie weitere technische Informationen über Verschlüsselungstyp, Authentifizierungstyp etc. wünschen, bieten wir dazu für Windows XP das neutrale Tool WLANINFO an, das keine Installation erfordert: Download WLANINFO.EXE - Beschreibung zu WLANINFO

• Die Treiber einiger Funknetzadapter - insbesondere solche mit Atheros-Chip kommen standardmäßig mit amerikanischen Funk-Kanal-Einstellungen. Dadurch ist der in Europa im 2.45 GHz-Band zugelassene Kanal 13 nicht verwendbar. Zur Nutzung von Kanal 13 müssen Sie die Ländereinstellungen für den jeweiligen Adapter korrigieren-  bei neuere Treibern ist dies in der Regel über die Eigenschaften des Adapters im Gerätemanager von Windows XP möglich.
  Für Atheros-basierende Adapter (z.B. Netgear WG111T) können Sie diese Einstellung auch über unser WLAN-Tool WLANINFO.EXE vornehmen.

• Viele Notebooks kommen mit Schaltern (oder Tastenkombinationen) für die Energiezufuhr des WLAN-Adapters (WLAN aus/ein). Informationen hierzu finden Sie in der Beschreibung zu Ihrem Computer. Stellen Sie sicher, dass der WLAN-Adapter eingeschaltet ist, bevor Sie versuchen,  eine Verbindung herzustellen!
   

Anhang: Auswahl eines WLAN-Adapters

Viele neuere Notebooks wie auch Desktop-PCs für privaten Einsatz enthalten bereits einen WLAN-Adapter ("Funknetz-Karte"). Für die Nachrüstung älterer Geräte hier eine kleine Auswahl-Hilfe:

• Welche Schnittstelle (PCI, PC-Card oder USB)?
  Universell- für Desktops und Notebooks - verwendbar sind USB-Adapter. Der PC/Notebook sollte dabei jedoch über eine USB2-Schnitstelle verfügen. Ist dies nicht der Fall, können Sie bei Desktop-PCs entweder eine USB2-PCI-Karte nachrüsten oder aber eine PCI-WLAN-Steckkarte verwenden. Bei Notebooks ohne USB2-Schnitstelle sind WLAN-Adapter mit PC-Card-Schnittstelle eine zweckmäßige Alternative.

• Welcher Funknetz-Standard?
  Die meisten Adapter unterstützen derzeit den 802.11b/g Standard im 2.45 GHz-Band ("b": 11Mbit/s, "g": 54MBit/s). Soll das momentan noch störungsfreiere 5GHz-Band verwendet werden, ist ein 802.11a-Adapter erforderlich. Derzeit wird an der Uni Regensburg über die neuen Access-Points (Funknetzname "802.11i") der 802.11g (und b)-Standard unterstützt, über die "alten" Access-Points (Funknetzname "unifunk1") nur 802.11b. Das 5 GHz-Band ("a") wird momentan noch nicht genutzt.
  Ein Adapter nach 802.11b/g ist daher ausreichend, für Kompatibilität mit dem zukünftig eventuell verwendeten 5-GHz-Band ist  ein - leider auch teuerer- 802.11a/b/g-Adapter ideal.

• Welches Fabrikat?
  Zum einen muss für das jeweilige Betriebssystem ein passender Treiber (Software) verfügbar sein. Im Fall von Windows bieten so genannte WHQL (Windows Hardware Quality Labs) -Treiber die beste Sicherheit für Qualität - unsaubere Treiber können nicht nur zu Fehlfunktionen, sondern auch zu Instabilitäten das ganze Betriebssystems führen. Am besten informieren Sie sich vor dem Kauf, z.B. anhand von Informationen auf den Hersteller-Support-Seiten im Web, ob für das jeweilige Modell ein WHQL-Treiber für die gewünschte Windows-Version (hier WinXP) verfügbar ist.  WHQL-Treiber erhalten sie auch über den Windows Update Katalog!
  Weiterhin soll der Adapter "WiFi" zertifiziert sein und den WPA2 (802.11i) Standard unterstützen, idealerweise mit AES-Verschlüsselung für bestmögliche Sicherheit.
  Schließlich soll der Adapter auch - dies ist leider in keiner Norm erfasst - gute "funktechnische Eigenschaften" (Empfindlichkeit, Unterstützung von Fast-Roaming etc.) aufweisen. Einen optimale Empfindlichkeit bieten z. B. Adapter mit Atheros-Chip.

• Ergebnis eigener Untersuchungen (Stand: Januar 2006, ergänzt: Januars 2007)

  • Intel 3945/2915/2200-Adapter (in Notebooks integriert): Gut geeignet, WHQL-Treiber ja, Empfindlichkeit mittel.
  • Adapter mit Broadcom-Chip (in Notebooks integriert): Gut geeignet, WHQL-Treiber ja, Empfindlichkeit mittel.
  • Atheros-basierende Adapter: Nicht für alle Fabrikate stehen WHQL-Treiber zur Verfügung.  Empfindlichkeit hoch.
    Sehr gut geeignet sind z.B.  Netgear WG111T, WG5111T (für beide WHQL-Treiber verfügbar).
  • Realtek 8180L (nur 802.11b) basierend: WHQL-Treiber verfügbar.
  • Realtek 8187L basierend: WHQL-Treiber verfügbar.
  • Ralink 2500 basierend  (viele Low-Cost-Adapter): HF-technisch gut,
    WHQL-Treiber kann aus Setup.exe extrahiert werden (Vorsicht: Setup installiert Zusatzkomponenten!)
  • Zydas 1211 basierend (viele Low-Cost-Adapter): Kein WQHL-Treiber verfügbar.
  • Orinoco/Avaya-Card: WHQL-Treiber verfügbar, jedoch nicht 802.11i Standard (nur WPA/TKIP)
    Aktuelle Treiber für Orinoco-Cards: http://www.agere.com/mobility/wireless_lan_drivers.html
  • DLINK DWL650+ (TI-Chip): Nur 802.11b, veraltet, WHQL-Treiber verfügbar.
  • Intersil Prism Javelin (ISL3886): Nur WPA/TKIP, Liste Funknetzwerke: WPA-Netzwerke erscheinen nicht immer,
    keine aktualisierten Treiber mehr verfügbar.
     

Anhang: Manuelle Profilkonfiguration für SecureW2

Falls über unser SecureW2-Installationsprogramm in Ausnahmefällen kein Profil 802.11i bzw. 802.11x eingerichtet wird, können Sie dies jederzeit manuell nachholen.

• Rufen Sie zuerst im Dialog "Drahtlose Netzwerkverbindung" (erscheint nach Klick auf Verfügbare Drahtlosnetzwerke anzeigen) die Option "Erweiterte Einstellungen ändern" auf:
  
  
  
  Es erscheint das Eigenschaftsfenster für die jeweilige Drahtlosnetzwerkbindungen, das sie alternativ auch auch über Systemsteuerung -> Netzwerkverbindungen -> Eigenschaften dieser Verbindung ändern erreichen. Wählen Sie hier die Registerkarte "Drahtlosnetzwerke".
  
  
  
  Falls in der Liste "Bevorzugte Netzwerke" das gewünschte Netzwerk (802.11i oder 802.1X) nicht vorhanden ist, wählen Sie hinzufügen, alternativ markieren Sie diesen Eintrag und klicken Sie auf "Eigenschaften".
   
• Geben Sie hier den Netzwerknamen (nur bei neuer Verbindung) sowie die Authentifizierungstyp und die Verschlüsselungsart wie in nachfolgender Abbildung ein. Für ältere Netzwerkadapter, die kein AES unterstützen, können sie alterativ TKIP wählen.
  
  
   
• In der Registerkarte "Authentifizierung" ist als EAP-Typ die Option"SecureW2" (EAP-TTLS) erfoderlich. Die Option "Als Computer authentifizieren, ..." sollte (anders als im Bild) deaktiviert werden.
  
  
   
• Klicken Sie nach Auswahl von "SecureW2" auf die Schaltfläche "Eigenschaften", es erscheint die SecureW2-Konfiguration. Wählen Sie hier das Profil "Uni Regensburg" oder -  falls nicht vorhanden - erstellen Sie es neu (Schaltfläche "New").
  
  
   
• In der Registerkarte "Connection" sind folgende Einstellungen erforderlich:
  
  
   
• Unter "Certificates" importieren Sie - falls nicht vorhanden - die drei Zertifikate für Uni Regensburg (DFN-Verein ...) sowie, falls gewünscht, für die Fachhochschule (aaa.fh-regensburg.de, FHR Root CA, FHR Server CA)
  
  
   
• Unter "Authentication" ist  sind folgende Einstellung erforderlich:
  
  
   
• Schließlich noch unter "User-account" folgende Einstellung:
  
  
   
• Die "Advanced" Einstellungen müssen nicht geändert werden, hier ist keine der Optionen aktiviert.

---

Wolfram Oestreicher, 29.3.2006, aktualisiert (neue SecureW2-Version): 26.5.2009