Wifree android instellingen

[Marnes]

Ik probeer te verbinden met telenet wifree maar mijn toestel wordt altijd geweigerd. Lineageos (libre android) 7.1.2. Als username en wachtwoord vul ik steeds dezelfde in die werken om in te loggen op Mijn Telenet. Certificaat validatie laat ik leeg omdat voor "use system certs" ik een of ander domein zou moeten invullen dat ik niet weet. Zou wel leuk zijn dit te kunnen invullen want ik heb liever meer dan minder security... Voor authenticatie heb ik al combinaties geprobeerd van peap, ttls, mschapv2, en none.

Weet iemand exact wat hier vandaag de dag moet ingevuld worden? Ik lees ook hier en daar iets over een eap instelling in de telenet accounts, maar die vind ik nergens terug. Daar zal het redesign van de site van een tijd geleden voor iets tussen zitten.

Zou leuk zijn dat telenet (en alle andere bedrijven) dat eens gewoon publiceerde ipv zo gierig te zijn met dit soort technische benodigdheden... En die app van hen kan ook de boom in, dat ding doet ofwel helemaal niks (met de app ingesteld en draaiende kon ik nog altijd niet verbinden) of maakt de werking van mijn wifi een pak slechter (constant verbinding veranderen tussen verschillende netwerken ipv te blijven op wat werkt op dat moment, en het nalaten te verbinden).

Merci als iemand de antwoorden weet.

[bruma]

Ik heb hetzelfde probleem. Ondertussen gevonden als je de Telenet mobile app installeert je wel connectie kan maken met je account

[Marnes]

als je de Telenet mobile app installeert

Ik had in m'n post vermeld dat die niets doet bij mij... En ik wil geen app installeren om maar ocharme een wifi netwerk in te stellen, zeker niet als die app zich dan ook begint te moeien met de rest van de werking van mijn wifi.

[bruma]

Die moeite zich toch enkel met alle versies van wifree in de EU.

[ubremoved_539]

WiFree is gewoon WPA-Enterprise.

[Marnes]

Die moeite zich toch enkel met alle versies van wifree in de EU.

Als die app zich alleen maar bezighield met het mogelijk maken van een verbinding met die netwerken (en dat deed op een correcte manier), zou die dat moeten doen door een configuratieprofiel aan te maken in het systeem zoals dat gebeurt voor alle andere wifiverbindingen, en zou ik dus gewoon via de wifi settings moeten kunnen verbinden, zelfs nadat de app verwijderd is. Dat dat niet gebeurt, maakt mij duidelijk dat die app onnodige dingen doet.

Losstaand daarvan, de bedoeling is te verbinden met wat feitelijk maar een wifi netwerk is als een ander. In android gebeurt zoiets via het wifi instellingen menu en het achterliggend configuratiesysteem, niet met speciale apps die het warm water opnieuw uitvinden onder een andere naam en je onnodig van hen afhankelijk maken. Ik wil dus ook maar gewoon met wifree verbinden door zoals voor alle wifi netwerken de configuratie in te geven en zo zonder tierelantijnen en externe apps altijd te kunnen verbinden.

--

Concreet vraag ik dus of iemand weet:
EAP methode: peap? tls?
Fase 2: mschapv2?
Cert validatie: welk domein?
Anon identity: blanco?
Identity: zelfde als Mijn Telenet?

Ik heb zitten proberen maar vind geen werkende combinatie van instellingen. Er wordt ook online gesproken over een EAP instelling in Mijn Telenet: op de site heb ik de indicator gevonden die zegt dat EAP actief is voor de hoofdaccount (met als naam 7 letters en cijfers) en ik heb ook met die account geprobeerd in te loggen op wifree ipv met mijn persoonlijke account, maar het baat niet.

--

Update: het lijkt toch te beginnen werken door met de hoofdaccount in te loggen ipv mijn persoonlijke account (en met peap/none). Het heeft gewoon een paar pogingen nodig voor een of andere reden, het werkt niet onmiddelijk wanneer ik hem doe verbinden. Ik weet nu wel nog niet wat het domein moet zijn voor de cert validatie; weet iemand wat dat moet zijn?

[ubremoved_539]

Volgende zou moeten werken (kan het niet testen want de enige Wifree die ik hier zie is veel te zwak).

EAP methode: peap
Fase 2: mschapv2
Cert validatie: use system certificates
Anon identity: blanco
Identity: a123456

[Marnes]

Fase 2: mschapv2
Cert validatie: use system certificates

Mschapv2 werkt inderdaad ook. Je zegt "use system certs" maar met welk domein? Ik kan die optie niet gebruiken zonder een domein in te vullen.

[ubremoved_539]

Het domein slaat niet op het system certificate volgens mij (in typisch Windows omgeving is dat de AD)... ik denk dus dat het niet uitmaakt wat je erin zet in dit geval.

[Marnes]

Als ik er eender wat invul (foo), dan denk ik dat de validatie geprobeerd wordt en mislukt want ik geraak niet meer verbonden... Zou ook maar vreemd zijn dat die optie er is maar voor niks dient he?

[Horrorist]

Vreemd, hier een nieuwere Android, versie 8.0.0, maar geen "Use system certificates" optie of Domain veld. Enkel "Select certificate" en "Don't validate". Ik moet helaas het laatste gebruiken want ik heb geen idee welke CA ik moet installeren voor Telenet's RADIUS server certificaat te authenticeren, die informatie is nergens te zien of te vinden.

Een potentieel onveilige situatie i.v.m. rogue access points die login gegevens verzamelen van smartphones die automatisch proberen te verbinden met TelenetWiFree en ingesteld zijn om het certificaat niet te valideren (dat zullen er vast wel een hele hoop zijn).

In 2015 was de CA in ieder geval "GlobalSign Root CA" en de SAN "authentic.telenet.be".

Edit: Na wat wiresharken via een laptop erachter gekomen dat dit nog steeds het geval is. Meer specifiek gaat het om het "GlobalSign Root R1" certificaat met serial 04:00:00:00:00:01:15:4b:5a:c3:94 en is hier te vinden. Na het installeren van dit certificaat via de geavanceerde wireless instellingen ("Install network certificates") kan ik deze nu selecteren en verbinden zonder problemen. De rode waarschuwingstekst "No certificate specified. Your connection won't be private." is nu uiteraard ook verdwenen.

Mijn instellingen zijn:
EAP-method: TTLS
Phase 2 authentication: MSCHAPV2
CA certificate: TelenetWiFree GlobalSign Root R1 (heb dit zo genoemd toen Android een naam vroeg om toe te kennen aan dit certificaat)
Identity: Telenet username
Anonymous identity: dit leeg laten
Password: ja...

Ik kan vanaf nu dus in zekere zin veilig verbinden met TelenetWiFree aangezien mijn smartphone nu de RADIUS server certificate kan valideren en bij problemen hiermee zal hij geen login gegevens versturen. Ik zeg in zekere zin, want iemand met een geldig, ondertekende certificaat van GlobalSign kan zich vermoedelijk nog steeds voordoen als een TelenetWiFree AP want meer dan een geldigheidscontrole van het certificaat doet deze Android versie denk ik niet. Vermoedelijk gaat het simpelweg zo: Ah, een geldig GlobalSign-ondertekende certificaat, dat was wat ik verwachtte, laten we nu maar inloggen ongeacht wat er in de SAN staat (bv een totaal andere domeinnaam). 't Zou leuk zijn als ik in Android een SAN kon invullen die te verwachten is bij TelenetWiFree ter extra controle (Windows heeft zoiets in de instellingen), maar ja, nog steeds beter dan niks zeker... Wellicht dat een selfsigned certificate van Telenet in dit geval beter zou zijn.

Als ik er eender wat invul (foo), dan denk ik dat de validatie geprobeerd wordt en mislukt want ik geraak niet meer verbonden... Zou ook maar vreemd zijn dat die optie er is maar voor niks dient he?

Aangezien jij die "Use system certificates" optie wel hebt, selecteer die eens en vul als Domain dit in: authentic.telenet.be en probeer dan eens te verbinden? Benieuwd of het dan wel lukt.

[ubremoved_539]

Edit: Na wat wiresharken via een laptop erachter gekomen dat dit nog steeds het geval is. Meer specifiek gaat het om het "GlobalSign Root R1" certificaat met serial 04:00:00:00:00:01:15:4b:5a:c3:94 en is hier te vinden. Na het installeren van dit certificaat via de geavanceerde wireless instellingen ("Install network certificates") kan ik deze nu selecteren en verbinden zonder problemen.

Waarom zou je het Globalsign root certificaat moeten installeren... ieder deftig OS moet dit gewoon standaard in z'n trust list hebben !

[Marnes]

@Horrorist: no cigar :/

[Horrorist]

Waarom zou je het Globalsign root certificaat moeten installeren... ieder deftig OS moet dit gewoon standaard in z'n trust list hebben !

Hoezo "waarom"? Heb je mijn volledige post gelezen (en begrepen)? Ik heb vreemd genoeg geen keuze. Het is dit, of geen enkele validatie. Dit apparaat heeft weldegelijk dat specifiek certificaat reeds in zijn trust list, maar aangezien ik geen "Use system certificates" optie heb is dit de enige manier om toch validatie te kunnen doen.

@Horrorist: no cigar :/

Ah, thanks for trying, though.

[ubremoved_539]

Hoezo "waarom"? Heb je mijn volledige post gelezen (en begrepen)?

Sorry, verwarde je even met de TS.

maar aangezien ik geen "Use system certificates" optie heb

Welke Android versie heb je dan ? (al heb ik de indruk dat dit soms een rommeltje is binnen Android).

[Horrorist]

Welke Android versie heb je dan ? (al heb ik de indruk dat dit soms een rommeltje is binnen Android).

Versie 8.0.0, en ja ik heb zo'n vermoeden dat het naast de versie mogelijk ook nog eens afhankelijk is van de fabrikant, Samsung in mijn geval.

[Marnes]

afhankelijk is van de fabrikant

Fabrikanten moeien zich inderdaad (veel te) veel met de inhoud van de OS. Motorola bv haalt gesture control (flip to mute e.d.) eruit en biedt die dan apart terug aan als externe apps, zodat het lijkt alsof zij die features zelf gemaakt hebben. Andere features halen ze dan weer gewoon compleet weg, zoals het kunnen aanpassen van de virtual button bar. Gewoon schandalig wat ze allemaal doen, ze verkopen bewust gehandicapte versies van android en doen alsof ze zelf sommige van de features gemaakt hebben, om de gebruikers van de domme te houden. Daarbovenop installeren ze dan ook al die bloatware rommel die je alleen kan verwijderen met root, zoals de volledige google waaier en backup programma's die nutteloze backups maken waarmee je in een echte situatie helemaal niks kan herstellen. Upstream android installeren is echt een must (of bv oneplus kopen, zij passen naar 't schijnt de OS niet veel aan).

[iceke]

. En ik wil geen app installeren om maar ocharme een wifi netwerk in te stellen, zeker niet als die app zich dan ook begint te moeien met de rest van de werking van mijn wifi.

Bij mij gooit hij de wifi verbinding eruit om 00h,, die app trekt echt pp niks.

[bruma]

Is het de app die de wifi eruit gooit of het OS de app?

[ubremoved_539]

Upstream android installeren is echt een must (of bv oneplus kopen, zij passen naar 't schijnt de OS niet veel aan).

Gewoon een Android One toestel... https://www.android.com/one/

[Marnes]

Daarstraks de telenet app nog eens geprobeerd, dat ding verstoorde de werking van mijn wifi nog steeds, dus direct terug weg ermee.

Het heeft wel de wifi instellingen laten staan voor wifree: ttls, none, novalidate, telenet/username, paswoord. Lijkt ok te werken ook zonder app.

Wel ben ik teleurgesteld, al had ik het al van kilometers ver zien komen: hun app stelt geen cert validation in. Volgens mij is dus iedereen die die app installeert, een makkelijk doelwit voor fake hotspots. Stel de naam gewoon in als "Telenet WiFree", laat de mensen pogen te verbinden, en voila, ge hebt hun username en wachtwoord. Of is beveiliging tegen zo'n zaken ingebouwd in de protocollen, wordt de authentication salted en hashed of zo? Als dat niet zo is, zou dit echt ronduit illegaal moeten zijn. De gdpr bijvoorbeeld maakt dit volgens mij letterlijk illegaal omdat telenet zo gebruikersgegevens te grabbel gooit en niet de minimale moeite doet om ze te beschermen.

[Ontheronix]

Hoe lang kunnen jullie verbonden blijven? Ik heb een RPi draaien met Openwrt en na een aantal uur tot ~36u (willekeurig, en op elk moment van de dag/nacht) krijg ik geen lease meer:

Code: Selecteer alles

Sun Aug  5 03:46:48 2018 daemon.notice netifd: wwan (762): udhcpc: sending renew
Sun Aug  5 03:46:48 2018 daemon.notice netifd: wwan (762): udhcpc: lease of 10.123.XXX.XX obtained, lease time 600
Sun Aug  5 03:50:11 2018 daemon.info odhcpd[339]: Using a RA lifetime of 0 seconds on br-lan
Sun Aug  5 03:51:48 2018 daemon.notice netifd: wwan (762): udhcpc: sending renew
Sun Aug  5 03:51:48 2018 daemon.notice netifd: wwan (762): udhcpc: lease of 10.123.XXX.XX obtained, lease time 600
Sun Aug  5 03:55:06 2018 daemon.info odhcpd[339]: Using a RA lifetime of 0 seconds on br-lan
Sun Aug  5 03:56:48 2018 daemon.notice netifd: wwan (762): udhcpc: sending renew
Sun Aug  5 03:56:53 2018 daemon.notice netifd: wwan (762): udhcpc: lease of 10.123.XXX.XX obtained, lease time 600
Sun Aug  5 04:01:28 2018 daemon.info odhcpd[339]: Using a RA lifetime of 0 seconds on br-lan
Sun Aug  5 04:01:53 2018 daemon.notice netifd: wwan (762): udhcpc: sending renew
Sun Aug  5 04:01:53 2018 daemon.notice netifd: wwan (762): udhcpc: lease of 10.123.XXX.XX obtained, lease time 600
Sun Aug  5 04:06:53 2018 daemon.notice netifd: wwan (762): udhcpc: sending renew
Sun Aug  5 04:06:53 2018 daemon.notice netifd: wwan (762): udhcpc: lease of 10.123.XXX.XX obtained, lease time 600
Sun Aug  5 04:09:02 2018 daemon.info odhcpd[339]: Using a RA lifetime of 0 seconds on br-lan
Sun Aug  5 04:11:53 2018 daemon.notice netifd: wwan (762): udhcpc: sending renew
Sun Aug  5 04:11:58 2018 daemon.notice netifd: wwan (762): udhcpc: lease of 10.123.XXX.XX obtained, lease time 600
Sun Aug  5 04:16:58 2018 daemon.notice netifd: wwan (762): udhcpc: sending renew
Sun Aug  5 04:16:59 2018 daemon.notice netifd: wwan (762): udhcpc: sending renew
Sun Aug  5 04:17:00 2018 daemon.notice netifd: wwan (762): udhcpc: sending renew
Sun Aug  5 04:17:01 2018 daemon.notice netifd: wwan (762): udhcpc: sending renew
Sun Aug  5 04:17:02 2018 daemon.notice netifd: wwan (762): udhcpc: sending renew
Sun Aug  5 04:17:03 2018 daemon.notice netifd: wwan (762): udhcpc: sending renew
Sun Aug  5 04:17:04 2018 daemon.notice netifd: wwan (762): udhcpc: sending renew

Het valt ook op dat de leasetime 10min is, maar er na 5min al een renew gevraagd wordt.

[ubremoved_539]

Het valt ook op dat de leasetime 10min is, maar er na 5min al een renew gevraagd wordt.

Dat is hoe DHCP werkt... lease renewals gebeuren op 50% van de lease time (en lukt het niet weer op 50% en zo verder).

[Pidgey]

Vreemd, hier een nieuwere Android, versie 8.0.0, maar geen "Use system certificates" optie of Domain veld. Enkel "Select certificate" en "Don't validate". Ik moet helaas het laatste gebruiken want ik heb geen idee welke CA ik moet installeren voor Telenet's RADIUS server certificaat te authenticeren, die informatie is nergens te zien of te vinden.

Een potentieel onveilige situatie i.v.m. rogue access points die login gegevens verzamelen van smartphones die automatisch proberen te verbinden met TelenetWiFree en ingesteld zijn om het certificaat niet te valideren (dat zullen er vast wel een hele hoop zijn).

In 2015 was de CA in ieder geval "GlobalSign Root CA" en de SAN "authentic.telenet.be".

Edit: Na wat wiresharken via een laptop erachter gekomen dat dit nog steeds het geval is. Meer specifiek gaat het om het "GlobalSign Root R1" certificaat met serial 04:00:00:00:00:01:15:4b:5a:c3:94 en is hier te vinden. Na het installeren van dit certificaat via de geavanceerde wireless instellingen ("Install network certificates") kan ik deze nu selecteren en verbinden zonder problemen. De rode waarschuwingstekst "No certificate specified. Your connection won't be private." is nu uiteraard ook verdwenen.

Mijn instellingen zijn:
EAP-method: TTLS
Phase 2 authentication: MSCHAPV2
CA certificate: TelenetWiFree GlobalSign Root R1 (heb dit zo genoemd toen Android een naam vroeg om toe te kennen aan dit certificaat)
Identity: Telenet username
Anonymous identity: dit leeg laten
Password: ja...

Ik kan vanaf nu dus in zekere zin veilig verbinden met TelenetWiFree aangezien mijn smartphone nu de RADIUS server certificate kan valideren en bij problemen hiermee zal hij geen login gegevens versturen. Ik zeg in zekere zin, want iemand met een geldig, ondertekende certificaat van GlobalSign kan zich vermoedelijk nog steeds voordoen als een TelenetWiFree AP want meer dan een geldigheidscontrole van het certificaat doet deze Android versie denk ik niet. Vermoedelijk gaat het simpelweg zo: Ah, een geldig GlobalSign-ondertekende certificaat, dat was wat ik verwachtte, laten we nu maar inloggen ongeacht wat er in de SAN staat (bv een totaal andere domeinnaam). 't Zou leuk zijn als ik in Android een SAN kon invullen die te verwachten is bij TelenetWiFree ter extra controle (Windows heeft zoiets in de instellingen), maar ja, nog steeds beter dan niks zeker... Wellicht dat een selfsigned certificate van Telenet in dit geval beter zou zijn.

Als ik er eender wat invul (foo), dan denk ik dat de validatie geprobeerd wordt en mislukt want ik geraak niet meer verbonden... Zou ook maar vreemd zijn dat die optie er is maar voor niks dient he?

Aangezien jij die "Use system certificates" optie wel hebt, selecteer die eens en vul als Domain dit in: authentic.telenet.be en probeer dan eens te verbinden? Benieuwd of het dan wel lukt.

Schandalig dat je Wireshark nodig hebt om een (ietwat) veilige verbinding te kunnen opzetten met die WiFree. Bedankt ook voor dit bericht. Voor mij althans de enige juiste informatiebron (als je smartphone geen systeemcertificaten heeft).
Ondertussen heeft Telenet blijkbaar ook hun certicaat geupdatet, en nu heb je het GlobalSign Root R3 certificate nodig! https://support.globalsign.com/customer ... rtificates