Unitymedia WiFi Spot sicher?

[MartinP_Do]

Kann mir sagen was ich eintragen muss?

...

bei nicht validieren, ist die Verbindung ungeschützt und es kann keine Verbindug aufgebaut werden. Es erscheint immer die Meldung "Authentifizierungsproblem". Das scheint an einem fehlenden Zertifikat zu liegen. Diese ist zwar im Netz zu finden aber lässt sich nicht installieren. Bei Systemzertifikate muss eine Domain angegeben werden.

Bei mir läuft reines Android 8.1

Das habe ich vor ewigen Zeiten eingerichtet.
Soweit ich weiß, habe ich ein LGI-Zertifikat von irgendeiner UM-Internet-Hilfe-Seite heruntergeladen. Das Zertifikat ist aber nicht ganz astrein. Das Smartphone meckert jedenfalls jedesmal beim Starten über das Vorhandensein im Zertifikatsspeicher...

Hier gibt es noch ein paar Fäden, die man aufnehmen könnte ...
https://community.unitymedia.de/categories/internet/question/wifispot-ca-zertifikat-fuer-wifi-unterwegs-kann-man-nicht-mehr-einrichten

 

[FallenWitcher]

Danke, dieses habe ich bereits geladen, jedoch lässt es sich nicht installieren. Die Zertifikatsüberprüfung zu deaktivieren ist grob fahrlässig und kommt nicht in Frage. Kanndoch nicht sein das den Kunden die das Wifi Spot Angebot nutzen möchten solche Dinge zugemutet werden. Ich kenne mich eig. recht gut mit der Materie aus aber das ist definitiv sehr Kundenunfreundlich.

 

[FallenWitcher]

Das Zertifikat ließ sich installieren aber bei der Anmeldung bzw. zum abspeichern wird eine Domain verlangt. Wenn ich es ohne mache, kann sich nicht verbunden werden. Hat jemand eine Idee?

 

[Torsten1973]

unitymedia.de

 

[FallenWitcher]

Ja leider ist es nicht ganz so easy. Damit geht es jedenfalls nicht.

 

[Maurice]

Die Zertifikatsüberprüfung zu deaktivieren ist grob fahrlässig und kommt nicht in Frage.

Richtig, ist aber mittlerweile die einzige von UM offiziell unterstützte Methode. (Nur für iOS gibt es ein Profil mit Zertifikat.) Früher war die Installation des Zertifikats unter Android noch auf der UM-Website beschrieben, hat aber wohl zu viele Kunden und / oder die Hotline überfordert. :roll: Der Download-Link funktioniert aber noch und das Zertifikat ist nach wie vor gültig: https://www.unitymedia.de/content/dam/dcomm-unitymedia-de/Privatkunden/angebote/wifispot/LGI_Root_CA.cer

Das Zertifikat ließ sich installieren aber bei der Anmeldung bzw. zum abspeichern wird eine Domain verlangt.

Eine Domain sollte nur verlangt werden, wenn man "Systemzertifikate verwenden" auswählt (was beim WifiSpot nicht funktioniert, da keine öffentliche CA verwendet wird). Bei korrekt installiertem und ausgewähltem LGI-Root-CA-Zertifikat ist die Angabe einer Domain optional. (Zumindest unter Android 7.1. Denkbar, dass das bei 8.1 nochmal verschärft wurde.)

 

[FallenWitcher]

Richtig, bei allen Versionen ab Android 8 und aufwärts ist das angeben einer Domain zwingend erforderlich, da sich das ganze sonst nicht abspeichern lässt.

Es muss doch User geben die ein aktuelles Android mit dem WiFi Spot nutzen?!

 

[Andreas1969]

Ich hatte es in der Vergangenheit nur mit einem Note3 (Android 5) genutzt. Das lief soweit ohne Probleme.
Könnte es noch mal mit einem Note8 (Android 9) testen, aber ehrlich sehe ich da keinen Sinn mehr drin.
Die ganzen Spots waren eh teilweise quälend langsam bis nicht nutzbar.

 

[MartinP_Do]

https://www.libertyglobal.com/

Vielleicht sind es die hier ...

Wobei das https-Zertifikat ein anderes ist ...

 

[Maurice]

Es muss doch User geben die ein aktuelles Android mit dem WiFi Spot nutzen?!

Sicherlich, aber garantiert alle ohne Server-Validierung... "Funktioniert ja auch so".

Habe eben mal den EAPOL-Handshake mitgeloggt:
[pre]CN: Liberty Global WiFi 0001[/pre]
[pre]subjectAltName: DNS name wifi-auth.upc.biz[/pre]


Mit wifi-auth.upc.biz als Domain funktioniert es unter Android 7.1 (in Verbindung mit dem LGI-Root-CA-Zertifikat).

 

[FallenWitcher]

Es geht nicht mit Android 8 und aufwärts

 

[Maurice]

Woran scheitert es denn jetzt noch? Wann kommt welche Fehlermeldung?

Du hast geschrieben:

bei nicht validieren, ist die Verbindung ungeschützt und es kann keine Verbindug aufgebaut werden. Es erscheint immer die Meldung "Authentifizierungsproblem".

Ist das immer noch der Fall? Dann scheinen deine WifiSpot-Credentials grundsätzlich nicht zu funktionieren. Bei abgeschalteter Server-Validierung kann ein Authentifizierungsproblem eigentlich nur durch falschen Benutzernamen / Passwort (oder noch nicht freigeschalteten Account) verursacht werden. Funktioniert es denn auf einem anderen Gerät?

(Interessanterweise funktioniert es unter Windows nur mit "Liberty Global WiFi 0001" als Server-Name. Je nach Supplicant scheint entweder der CN oder der subjectAltName ausgewertet zu werden.)

 

[FallenWitcher]

Das Problem ist das ich bei nicht Angabe der Domain die Konfiguration nicht speichern kann.

Siehe hier

Alle anderen Einstellungen funktioniert nicht. Diese lassen sich zwar speichern aber es kann keine Verbindung aufgebaut werden. Das Zertifikat ist unter Oreo zwar installierbar aber es nicht nutzbar, da das System die Verbindung über dieses Zertifikat nicht zulässt, da es nicht sicher sei.

 

[Maurice]

Nochmal:

• "Systemzertifikate verwenden" kann grundsätzlich nicht funktionieren, da UM für WifiSpot keine öffentliche CA verwendet.
• "Nicht validieren" sollte immer funktionieren (birgt aber Risiken). Falls das nicht funktioniert liegt es an den Zugangsdaten (Benutzername falsch, Passwort falsch, WifiSpot noch nicht freigeschaltet).
• Die beste Methode ist, das Zertifikat der LGI Root CA zu installieren und zu verwenden (und, sofern es die Android-Version erfordert, die Domain "wifi-auth.upc.biz" anzugeben).

Das Zertifikat ist unter Oreo zwar installieren aber es nicht nutzbar, da das System die Verbindung über dieses Zertifikat nicht zulässt da es nicht sicher sei.

Kann ich mangels Oreo nicht testen. Nur soviel:

• Bei der Installation des Zertifikats als Verwendungszweck "WLAN" auswählen, nicht "VPN und Apps".
• Android muss mit einem Passwort geschützt sein, sonst lassen sich grundsätzlich keine benutzerdefinierten Zertifikate verwenden.

 

[Andreas1969]

Kann doch nicht sein.
Ich probiere es gleich mal auf einem Note8 mit Android 9 aus...

 

[Andreas1969]

Kann doch nicht sein.
Ich probiere es gleich mal auf einem Note8 mit Android 9 aus...

Geht tatsächlich nicht.
In den neueren Android Versionen fehlt der Punkt
"Phase 2 - Authentifizierung"
Dort muss man auf "MSCHAPV2" setzen

In Android 5 gab es diesen Punkt noch :kratz:

 

[Maurice]

In den neueren Android Versionen fehlt der Punkt
"Phase 2 - Authentifizierung"

Richtige EAP-Methode ausgewählt?

In Android 5 gab es diesen Punkt noch :kratz:

In Android 7.1 und 8.1 auch, siehe Screenshots in diesem Thread.

 

[Andreas1969]

Richtige EAP-Methode ausgewählt?

Ja klar, TTLS natürlich :winken:

In Android 7.1 und 8.1 auch, siehe Screenshots in diesem Thread.

In Android 9 nicht mehr :traurig:

 

[Maurice]

Merkwürdig. Mal mit PEAP versucht? Oder vielleicht wird die Phase-2-Authentifizierung unter Android 9 automatisch ausgehandelt?

Woran scheitert denn der Verbindungsaufbau zum WifiSpot?

 

[Andreas1969]

Woran scheitert denn der Verbindungsaufbau zum WifiSpot?

Falscher Benutzername oder Kennwort

Auf dem Note3 mit Android 5 läuft es aber einwandfrei
Gerade auch nochmal auf einem alten S4 probiert, geht einwandfrei. Auch ein Samsung TAB4 macht keine Probleme...

 

[nts]

Ich hab keinen WifiSpot in der Nähe, aber ich kann prinzipiell unter Android 9 bei EAP-TTLS immer noch MS-CHAPv2 als Phase-2-Authentifizierung auswählen und die Einstellungen dann auch ohne Angabe einer Domain speichern (wenn ein eigenes CA-Zertifikat ausgewählt ist).

 

[Andreas1969]

ich kann prinzipiell unter Android 9 bei EAP-TTLS immer noch MS-CHAPv2 als Phase-2-Authentifizierung auswählen

Der Punkt wird mir nicht angeboten :traurig:

 

[Menano]

Ich hab keinen WifiSpot in der Nähe, aber ich kann prinzipiell unter Android 9 bei EAP-TTLS immer noch MS-CHAPv2 als Phase-2-Authentifizierung auswählen und die Einstellungen dann auch ohne Angabe einer Domain speichern (wenn ein eigenes CA-Zertifikat ausgewählt ist).

Ich mit meinem Huawei Mate 20 Pro auch. An meinem geschäftlichen Samsung S8 geht es jedoch auch nicht. Das wird Samsung rausgepatcht haben.

 

[Andreas1969]

An meinem geschäftlichen Samsung S8 geht es jedoch auch nicht. Das wird Samsung rausgepatcht haben.

Wird wohl so sein, S8 und Note8 sind ja fast baugleich :winken:

 

[Menano]

Wird wohl so sein, S8 und Note8 sind ja fast baugleich

Ja beides Elektroschrott. :zwinker: