1
Vraag
2
Reacties
3
Oplossing
AdriaanB

Level 5
  • 41Posts
  • 4Oplossingen
  • 17Likes

Ziggo Hotspots WiFi en Linux Debian (buster)

Ik probeer de Hotspot Ziggo te koppelen met een Raspberry Zero WiFi Bluetooth. Op zich lukt dat wel maar het certificaat dat ik gedownload heb wordt afgekeurd. Ik heb verschillende certificaten gedownload (Win7+8+10) geprobeerd maar steeds dezelfde foutmelding. Het accesspoint (de Hotspot Ziggo) wordt wel geassocieerd en gekoppeld en blijft gekoppeld. Ik krijg dus ook een ipadres. Hieronder een stukje logging van wpa_supplicant, zie de foutmelding bij --->>>>> :

 

wlan0: CTRL-EVENT-EAP-STARTED EAP authentication started
wlan0: CTRL-EVENT-EAP-PROPOSED-METHOD vendor=0 method=25
--->>>>> OpenSSL: tls_connection_ca_cert - Failed to load root certificates error:0B084088:x509 certificate routines:X509_load_cert_crl_file:no certificate or crl found
wlan0: CTRL-EVENT-EAP-METHOD EAP vendor 0 method 25 (PEAP) selected
wlan0: CTRL-EVENT-EAP-PEER-CERT depth=2 subject='/O=Ziggo B.V./C=NL/CN=Ziggo Public RootCA - G1' hash=8e9fd840bf8739cd6723a0c7a3a5986e5b5aeb7e63e3763dc8a948638f89ec09
wlan0: CTRL-EVENT-EAP-PEER-CERT depth=1 subject='/C=NL/O=Ziggo B.V./CN=Ziggo Public Wifi IssuingCA - G1' hash=18e48704738970d0f2af41636e26abff071b94886f748b5dbfcec06f4a00c337
wlan0: CTRL-EVENT-EAP-PEER-CERT depth=0 subject='/C=NL/ST=Utrecht/O=Ziggo B.V./OU=SOC/CN=WifiSpots/emailAddress=dnsadmin@as9143.net' hash=2e485f6a2157661b607a82413bdf02e6f54befcb0d833dfa75054f132132c8fd
EAP-MSCHAPV2: Authentication succeeded
EAP-TLV: TLV Result - Success - EAP-TLV/Phase2 Completed
wlan0: CTRL-EVENT-EAP-SUCCESS EAP authentication completed successfully
wlan0: PMKSA-CACHE-ADDED 92:00:4e:0f:6c:2a 0
wlan0: WPA: Key negotiation completed with 92:00:4e:0f:6c:2a [PTK=CCMP GTK=CCMP]
wlan0: CTRL-EVENT-CONNECTED - Connection to 92:00:4e:0f:6c:2a completed [id=0 id_str=]

 

Hoe kom ik aan een correct werkend certificaat om een veilige koppeling te realiseren?

In de foutmelding komt X.509 voor en dat duidt op een DER certificaat. Ik heb dus een DER certificaat nodig en geen .crt.
DER (Distinguished Encoding Rules) is a binary encoding for X.509 certificates

Oplossingen

Geaccepteerde oplossingen
AdriaanB
Topicstarter
Level 5
  • 41Posts
  • 4Oplossingen
  • 17Likes

Omzetten van het Ziggo certificaat van crt naar der en der naar pem is 100% gelukt.

Het certificaat toepassen in wpa_supplicant levert nog wat foutmeldingen op, kost wel even tijd om dat uit te zoeken.  Wordt vervolgd

 

Overigens:

Het omzetten van het certificaat lukte niet op Linux, ik krijg een 64bits foutmelding van OpenSSL. Ik heb dit omzetten op Windows10-64bits probleemloos kunnen uitvoeren met de exacte statements van hierboven.

Bekijk in context

AdriaanB
Topicstarter
Level 5
  • 41Posts
  • 4Oplossingen
  • 17Likes

WPA_SUPPLICANT Ziggo Hotspot Connectie gelukt !!

-------------------------------------------------------------------------------------------------------------------

Onderstaand de logfile en daaronder de wpa_supplicant.conf voor de liefhebber:

-------------------------------------------------------------------------------------------------------------------

wlan0: Trying to associate with 66:27:37:78:22:99 (SSID='Ziggo' freq=2462 MHz)
wlan0: Associated with 66:27:37:78:22:99
wlan0: CTRL-EVENT-EAP-STARTED EAP authentication started
wlan0: CTRL-EVENT-EAP-PROPOSED-METHOD vendor=0 method=25
wlan0: CTRL-EVENT-EAP-METHOD EAP vendor 0 method 25 (PEAP) selected
wlan0: CTRL-EVENT-EAP-PEER-CERT depth=2 subject='/O=Ziggo B.V./C=NL/CN=Ziggo Public RootCA - G1' hash=8e9fd840bf8739cd6723a0c7a3a5986e5b5aeb7e63e3763dc8a948638f89ec09
wlan0: CTRL-EVENT-EAP-PEER-CERT depth=1 subject='/C=NL/O=Ziggo B.V./CN=Ziggo Public Wifi IssuingCA - G1' hash=18e48704738970d0f2af41636e26abff071b94886f748b5dbfcec06f4a00c337
wlan0: CTRL-EVENT-EAP-PEER-CERT depth=0 subject='/C=NL/ST=Utrecht/O=Ziggo B.V./OU=SOC/CN=WifiSpots/emailAddress=dnsadmin@as9143.net' hash=2e485f6a2157661b607a82413bdf02e6f54befcb0d833dfa75054f132132c8fd
EAP-MSCHAPV2: Authentication succeeded
EAP-TLV: TLV Result - Success - EAP-TLV/Phase2 Completed
wlan0: CTRL-EVENT-EAP-SUCCESS EAP authentication completed successfully
wlan0: PMKSA-CACHE-ADDED 66:27:37:78:22:99 0
wlan0: WPA: Key negotiation completed with 66:27:37:78:22:99 [PTK=CCMP GTK=CCMP]
wlan0: CTRL-EVENT-CONNECTED - Connection to 66:27:37:78:22:99 completed [id=0 id_str=]

-------------------------------------------------------------------------------------------------------------------

wpa_supplicant.conf file op Linux Debian Buster met RaspberryPI Zero

-------------------------------------------------------------------------------------------------------------------

ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=netdev
update_config=1
country=NL

network={
                ssid="Ziggo"
                identity="ZiggoHotspotUsername"
               password="ZiggoHotspotPassword"
               pairwise=CCMP TKIP
               group=CCMP TKIP
               scan_ssid=0
               key_mgmt=WPA-EAP
               eap=PEAP
               ca_cert="/etc/wpa_supplicant/ZiggoPem.pem"
               phase1="peapver=0"
               phase2="auth=MSCHAPV2"
}

 

 

Bekijk in context

AdriaanB
Topicstarter
Level 5
  • 41Posts
  • 4Oplossingen
  • 17Likes

TKIP kan verwijderd worden uit de config, de authenticatie verloopt bij WPA2-Enterprise altijd met CCMP:

pairwise=CCMP
group=CCMP

 

Verder is het zo dat er ook zonder certificaat gekoppeld kan worden met Ziggo-Hotspots:

https://www.ziggo.nl/klantenservice/internet-wifi/wifispots/instellen#/ga-verder/ga-verder/overige/

Eerste alinea is zonder certificaat en de tweede alinea is met certificaat echter de .crt werkt niet in Linux WPA_SUPPLICANT, moet geconverteerd worden naar een .pem certificaat (zie ook deze topic boven)
Werken met het certificaat is veiliger maar niet verplicht.

 

Bekijk in context

13 Reacties 13
Meldingen
Aan Uit
AdriaanB
Topicstarter
Level 5
  • 41Posts
  • 4Oplossingen
  • 17Likes

Ter aanvulling nog mijn wpa_supplicant.conf
Het certificaat bestand staat op de juiste plaats, er is geen sprake van file-not-found !!

 

ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=netdev
update_config=1
country=NL

network={
ssid="Ziggo"
identity="userid"
password="wachtwoord"
ca_cert="/etc/wpa_supplicant/MyCertZiggo.crt"
pairwise=CCMP TKIP
group=CCMP TKIP
scan_ssid=0
key_mgmt=WPA-EAP
eap=PEAP
phase1="peapver=0"
phase2="auth=MSCHAPV2"
}

 

Maud
Oud Community Moderator
Oud Community Moderator
  • 2197Posts
  • 230Oplossingen
  • 415Likes

Goedemorgen @AdriaanB!
 

Wat jammer dat het certificaat wordt afgewezen. Goed dat je je vraag hier hebt gesteld. @Bert of @RoWi, hebben jullie misschien tips?

Bert

Level 21
T.E.A.M.
  • 78825Posts
  • 5324Oplossingen
  • 23553Likes

Geen idee wat deze besturingssystemen betreft.

AdriaanB
Topicstarter
Level 5
  • 41Posts
  • 4Oplossingen
  • 17Likes

Bert, dank voor je reactie en het is gewoon Linux, bedoel je dat je geen idee hebt omtrent Linux?

Bert

Level 21
T.E.A.M.
  • 78825Posts
  • 5324Oplossingen
  • 23553Likes

Geen idee wat betreft Linux.

Die is alleen hier in gebruik op kant en klare rescue media.🙂

AdriaanB
Topicstarter
Level 5
  • 41Posts
  • 4Oplossingen
  • 17Likes

Bert wederom dank voor je reactie. Misschien kan je iets verhelderen over de certificaten. Ik zie op de Ziggo website dat er per OS (Windows, Apple, Android e.d.)  gekozen kan worden om het certificaat door te voeren. Wat zijn de verschillen? Zijn de certificaten allemaal hetzelfde en alleen de implementatie per OS anders of zijn er ook verschillen in de certificaten (per OS) ?

Bert

Level 21
T.E.A.M.
  • 78825Posts
  • 5324Oplossingen
  • 23553Likes

@AdriaanB Ik heb geen antwoord op deze vragen, omdat ik de wifispots niet gebruik en me er niet in verdiept heb.

Hopelijk komt er snel iemand langs die hier meer van weet.

Jiri
Oud Community Moderator
Oud Community Moderator
  • 2539Posts
  • 345Oplossingen
  • 1002Likes

Het blijkt een lastige kwestie, @AdriaanB
Hopelijk kan @Jan F. je hiermee helpen. 

Karel.

Level 16
  • 2401Posts
  • 292Oplossingen
  • 1646Likes

In 2014 is hier een oplossing gegeven maar dan met een .pem certificaat

https://community.ziggo.nl/t5/Internet/Ziggo-WifiSpots-i-c-m-Linux/m-p/321#M296

 

Edit: Ik zag dat je bovenstaande link zelf ook al had gevonden.

 

Omzetten van een certificaat van crt naar der en der naar pem:

openssl x509 -in input.crt -out input.der -outform DER
openssl x509 -in input.der -inform DER -out output.pem -outform PEM

 

Ik heb het zelf niet geprobeerd maar hopelijk helpt het je opweg.

AdriaanB
Topicstarter
Level 5
  • 41Posts
  • 4Oplossingen
  • 17Likes

Dank, ik ga het proberen met het omzetten. Ik kom later met het resultaat.

AdriaanB
Topicstarter
Level 5
  • 41Posts
  • 4Oplossingen
  • 17Likes

Omzetten van het Ziggo certificaat van crt naar der en der naar pem is 100% gelukt.

Het certificaat toepassen in wpa_supplicant levert nog wat foutmeldingen op, kost wel even tijd om dat uit te zoeken.  Wordt vervolgd

 

Overigens:

Het omzetten van het certificaat lukte niet op Linux, ik krijg een 64bits foutmelding van OpenSSL. Ik heb dit omzetten op Windows10-64bits probleemloos kunnen uitvoeren met de exacte statements van hierboven.

AdriaanB
Topicstarter
Level 5
  • 41Posts
  • 4Oplossingen
  • 17Likes

WPA_SUPPLICANT Ziggo Hotspot Connectie gelukt !!

-------------------------------------------------------------------------------------------------------------------

Onderstaand de logfile en daaronder de wpa_supplicant.conf voor de liefhebber:

-------------------------------------------------------------------------------------------------------------------

wlan0: Trying to associate with 66:27:37:78:22:99 (SSID='Ziggo' freq=2462 MHz)
wlan0: Associated with 66:27:37:78:22:99
wlan0: CTRL-EVENT-EAP-STARTED EAP authentication started
wlan0: CTRL-EVENT-EAP-PROPOSED-METHOD vendor=0 method=25
wlan0: CTRL-EVENT-EAP-METHOD EAP vendor 0 method 25 (PEAP) selected
wlan0: CTRL-EVENT-EAP-PEER-CERT depth=2 subject='/O=Ziggo B.V./C=NL/CN=Ziggo Public RootCA - G1' hash=8e9fd840bf8739cd6723a0c7a3a5986e5b5aeb7e63e3763dc8a948638f89ec09
wlan0: CTRL-EVENT-EAP-PEER-CERT depth=1 subject='/C=NL/O=Ziggo B.V./CN=Ziggo Public Wifi IssuingCA - G1' hash=18e48704738970d0f2af41636e26abff071b94886f748b5dbfcec06f4a00c337
wlan0: CTRL-EVENT-EAP-PEER-CERT depth=0 subject='/C=NL/ST=Utrecht/O=Ziggo B.V./OU=SOC/CN=WifiSpots/emailAddress=dnsadmin@as9143.net' hash=2e485f6a2157661b607a82413bdf02e6f54befcb0d833dfa75054f132132c8fd
EAP-MSCHAPV2: Authentication succeeded
EAP-TLV: TLV Result - Success - EAP-TLV/Phase2 Completed
wlan0: CTRL-EVENT-EAP-SUCCESS EAP authentication completed successfully
wlan0: PMKSA-CACHE-ADDED 66:27:37:78:22:99 0
wlan0: WPA: Key negotiation completed with 66:27:37:78:22:99 [PTK=CCMP GTK=CCMP]
wlan0: CTRL-EVENT-CONNECTED - Connection to 66:27:37:78:22:99 completed [id=0 id_str=]

-------------------------------------------------------------------------------------------------------------------

wpa_supplicant.conf file op Linux Debian Buster met RaspberryPI Zero

-------------------------------------------------------------------------------------------------------------------

ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=netdev
update_config=1
country=NL

network={
                ssid="Ziggo"
                identity="ZiggoHotspotUsername"
               password="ZiggoHotspotPassword"
               pairwise=CCMP TKIP
               group=CCMP TKIP
               scan_ssid=0
               key_mgmt=WPA-EAP
               eap=PEAP
               ca_cert="/etc/wpa_supplicant/ZiggoPem.pem"
               phase1="peapver=0"
               phase2="auth=MSCHAPV2"
}

 

 

AdriaanB
Topicstarter
Level 5
  • 41Posts
  • 4Oplossingen
  • 17Likes

TKIP kan verwijderd worden uit de config, de authenticatie verloopt bij WPA2-Enterprise altijd met CCMP:

pairwise=CCMP
group=CCMP

 

Verder is het zo dat er ook zonder certificaat gekoppeld kan worden met Ziggo-Hotspots:

https://www.ziggo.nl/klantenservice/internet-wifi/wifispots/instellen#/ga-verder/ga-verder/overige/

Eerste alinea is zonder certificaat en de tweede alinea is met certificaat echter de .crt werkt niet in Linux WPA_SUPPLICANT, moet geconverteerd worden naar een .pem certificaat (zie ook deze topic boven)
Werken met het certificaat is veiliger maar niet verplicht.