Archive for April 2007

Mit PDA und Handy (VoIP-WLAN-Mobiltelefon) unterwegs im FernUni-Campus-WLAN


Mobiles VoIP / Internet im FernUNI-Campus WLAN-Netz.

Das campusweite FunkLAN der FernUniversität in Hagen ermöglicht, wie auch viele andere an das DFN-Roaming angeschlossene Campus-WLAN-Netze (auch international über eduroam), eine Radius- Authentifizierung über das Tino-CGI-Script ( Tino Is Not Oasis, tino.cgi) von Hannu Teulahti. Gegenüber der alten VPN-Lösung mit dem Cisco VPN 3000 Concentrator ist das schon ein schöner Schritt voran in Richtung Plattformunabhängigkeit (für Palm und Windows CE [PocketPC] basierte PDAs gab es nur die sehr teure Möglichkeit den dazu kompatiblen MovianVPN-Client oder unter Linux einen Sharp Zaurus mit vpnc einzusetzen [beides habe ich vor Jahren erfolgreich praktiziert]), die Standardeinstellung des
Tino-Scripts stößt aber jede Minute einen Reload der Authentifizierungsseite an. Das ist für Nutzer von PDAs mit Stifteingabe oder gar Nutzern von VoIP-WLAN-Telefonen viel zu kurz um die Account-Daten einzugeben.

Hier wird nun ein sehr komfortables Verfahren der Nutzung vorgeschlagen:

Ein kurzer Blick in den generierten HTML-Quellcode des Tino-Skriptes zeigt, dass die Formulardaten leider per POST-Methode übertragen werden. Die GET-Methode wäre für die Nutzung auf einem WLAN-Telefon sehr viel günstiger, da hier einfach der URL vorgelegt mit den Parametern (evt. gefährlich bei Verlust des WLAN-Handys bzw. PDA) in die Bookmarks (Lesezeichen/Favoriten) eingetragen werden könnte.

Ein Blick in den TINO-Sourcecode fördert aber zutage, dass dort das Perl-Modul CGI benutzt wird, welches POST und GET-Methode für die Übergabe unterstützt. Ein paar Experimente ergeben dann den vorbelegten Login-URL:

(an der FernUni Hagen)

https://roaming1.fernuni-hagen.de/tino.cgi?login=l&user=BENUTZERNAME%40fernuni-hagen.de&pass=SUPERGEHEIM

(Benutzernamen und Passwort mit einbauen, für andere Unis einfach adaptieren, das @-Zeichen muss als %40 kodiert werden.)

Erlaubt die direkte Anmeldung mit diesem URL! (als Favorit/Bookmark/Lesezeichen im Telefon/PDA speichen!)

Das Schöne daran: Auch wenn der Browser des Telefons kein vollständiges HTML interpretieren kann und
z.B. WAP 2.0 also XHTML erwartet, klappt die Anmeldung (auch wenn der Browser sich mit einer Fehlermeldung verabschiedet). Einzige Voraussetzung HTTPS also SSL muss vom Endgerät unterstützt werden. Die lästige Anmeldeprozedur entfällt. Das Passwort wird per SSL übertragen, lässt sich also nicht abhören, aber die SIP-Authentifizierung des Telefons geht dann leider, wie auch die Telefonate, unverschlüsselt über das WLAN. Ausprobiert habe ich das Ganze mit einem T-Com TC300 WLAN und VoIP-Mobiltelefon. (Baugleich dazu ist z.B. das twintel von Arcor) Ich verwende aber eine
andere Firmware von Pirelli mit welcher der SIP-Client zuverlässig funktioniert und auch ein richtiger Webbrowser an Bord ist, es sollte aber auch mit der originalen Firmware (die hat aber wie gesagt einen Fehler im SIP-Client, Verbindungsabbruch nach ca. 20 Sekunden z.B. mit Sipgate) funktionieren. Auch für PDAs und Notebooks kann der vorbelegte URL das
FernUni-WLAN komfortaber nutzbar machen. Das Ganze sollte auch mit z.B. Nokia N60 N70 N80 E90 Telefonen funktionieren. Reine WLAN-Telefone ohne (mindestens WAP 2.0) Browser leider funktionieren nicht direkt. Einige dieser Telefone ermöglichen jedoch die Änderung der MAC-Adresse des Gerätes. Dann kann mit Hilfe eines PC kurz die Authentifikation durchgeführt werden und das
Telefon dann mit der MAC des PCs (nicht gleichzeitig mit dem PC!) im Campus WLAN betrieben werden.

Im original Tino-Script findet sich übrigens noch ein Debug-Parameter
‘list’, damit gibt es noch eine sehr interessante Anwendung:

https://roaming1.fernuni-hagen.de/tino.cgi?list=true

:-)

Dieses Verfahren erlaubt u.A. auch ein automatisches Login für unseren Pioneer 3 AT Roboter in das FernUni-Campusnetz ohne lästige (fehleranfällige [und binäre]) VPN-Lösung.