Rete wifi eduroam: perchè è così complicato accedere?

edom · 2021-10-26T22:41:07+00:00

Spesso mi capita di recarmi in biblioteche universitarie coperte da eduroam, la rete wifi federata degli atenei europei (gestita in Italia da GARR). L’autent...

itsmatteomanf

ag23900 Nel caso in cui l’utente non possa identificarsi a livello nazionale che è in loco

A livello della singola istituzione, poi sale al nazionale, poi europeo, ecc., l'università di turno gestisce l'autenticazione dei propri domini.

ag23900 Al PoliMi consigliano e praticamente ti obbligano a usare il certificato, l’autenticazione tramite WPA2 Enterprise chiede comunque un certificato e chiede quasi ogni volta la password.

Con la configurazione con WPA Enterprise serve un solo certificato, con un altro metodo ne servono due

Al PoliTO bastano username e password, non esiste nemmeno il certificato (sarà sicuramente supportato) come opzione, almeno lato studenti.

Hai un certificato sempre presentato dal server (che puoi accettare, o meno rifiutando la connessione) che è normalmente self-signed (volendo si può fare valido, usando un host per l'autenticazione e non un IP, ma è più raro come configurazione e spesso non è supportata lato server) e uno volendo lato device, che può richiedere anche le credenziali.

lore20 Nella mia esperienza solo Windows a volte è un po' rognoso nello stabilire la connessione la prima volta, e per qualche motivo circa il 30/40% delle volte fallisce senza dare motivazioni. In quel caso serve manualmente cancellare la rete tra reti note e riaggungerla a mano. Con gli altri OS mi è sempre bastato solo cliccare sulla rete, inserire username (col dominio dell'ente di affiliazione) e password, e via!

Ho visto anche la configurazione di Android essere incasinata, ma poi forse funziona correttamente, tranne ovviamente Windows, ma è Windows e si sa già come andrà a finire...

ag23900

itsmatteomanf A livello della singola istituzione, poi sale al nazionale, poi europeo, ecc., l'università di turno gestisce l'autenticazione dei propri domini.

Sì me lo sono dimenticato mentre scrivevo 😂

itsmatteomanf Hai un certificato sempre presentato dal server (che puoi accettare, o meno rifiutando la connessione) che è normalmente self-signed (volendo si può fare valido, usando un host per l'autenticazione e non un IP, ma è più raro come configurazione e spesso non è supportata lato server) e uno volendo lato device, che può richiedere anche le credenziali.

Questi sono i profili che ho sul telefono:

Il primo contiene le credenziali e mi pare sia self-signed visto che il telefono dice che non è verificato.

Il secondo dentro ha altri certificati:

Penso che i primi quattro servano per l’accesso WPA Enterprise, c’è il certificato di root e poi non so gli altri a cosa servano di preciso.

Fatto sta che senza entrambi i profili non si riesce ad accedere.

Sull’iPad invece accedo con le credenziali e infatti ho solo il secondo certificato, quello eduroam

itsmatteomanf Ho visto anche la configurazione di Android essere incasinata, ma poi forse funziona correttamente, tranne ovviamente Windows, ma è Windows e si sa già come andrà a finire...

Ho avuto più difficoltà a configurare il MacBook di un mio amico che il mio portatile Windows 😂 mio pc configurato in 10 minuti, il suo MacBook un’ora di bestemmie

itsmatteomanf

ag23900 Il primo contiene le credenziali e mi pare sia self-signed visto che il telefono dice che non è verificato.

Concordo.

ag23900 Il secondo dentro ha altri certificati:

Non sono certificati, hai i 4 network Wi-Fi (eduroam, polimi-protected, i due con nomi particolari per accessi specifici), il certificato root del certificato presentato dal server, una configurazione per il cablato, che mi pare strana, ma c'è e i certificati che firmano il profilo.

I primi 4 semplicemente dicono al device che quei 4 SSID sono noti e di collegarcisi.

Curiosando sul sito dell'area ICT di PoliMi dice che con iOS 14.7+ si deve usare solo le credenziali senza profilo.
Ho visto anche che siete limitati a 30 Mbps per utente, su Wi-Fi. PoliTO non ha limiti, solo quello dell'effettivo AP (che sono tutti Cisco top di gamma, 4x4 Wi-Fi 5 con MI-MO).

ag23900

itsmatteomanf Non sono certificati, hai i 4 network Wi-Fi (eduroam, polimi-protected, i due con nomi particolari per accessi specifici), il certificato root del certificato presentato dal server, una configurazione per il cablato, che mi pare strana, ma c'è e i certificati che firmano il profilo.

Sì chiaro, non riesco a spiegarmi bene. Comunque per WPA Enterprise non serve installare un certificato che verifichi anche il server? Ricordo male?

itsmatteomanf Curiosando sul sito dell'area ICT di PoliMi dice che con iOS 14.7+ si deve usare solo le credenziali senza profilo.

Mi trovo meglio col profilo 😂 sull’iPad, senza profilo, mi chiede ogni 2x3 le credenziali, due palle ahahah

itsmatteomanf Ho visto anche che siete limitati a 30 Mbps per utente

È già tanto, fino a dicembre 2019 era 8Mbps 😂

itsmatteomanf

ag23900 Comunque per WPA Enterprise non serve installare un certificato che verifichi anche il server? Ricordo male?

Puoi farlo manualmente, te lo propone al primo login.

ag23900 Mi trovo meglio col profilo 😂 sull’iPad, senza profilo, mi chiede ogni 2x3 le credenziali, due palle ahahah

Devo dire che a me non capita, ma sono reti diverse.

ag23900 dicembre 2019

Primo test che ho trovato, tra 5G e 1Gbps a casa non sono più così monstre come erano nel 2019 e precedenti. Wi-Fi, iPhone.

https://www.speedtest.net/my-result/i/3090126592

Dani25

A differenza di Windows e iOS/MacOS dove basta inserire le credenziali, il dispositivo più complicato da collegare è Android, perché bisogna andare ma manualmente ad inserire come metodo EAP: PEAP e come autenticazione fase 2:MSCHAPV2. Se non lo so si fa non si connette proprio

matteocontrini

Dani25 c'è l'app di configurazione che imposta tutto correttamente inclusi i certificati

https://play.google.com/store/apps/details?id=uk.ac.swansea.eduroamcat

Idem su desktop.

https://cat.eduroam.org/

edofullo

Ne parlavo qualche giorno fa su Telegram.

Io sono tre anni che vado avanti di 4G e connessione temporanea con captive portal perchè è sempre una gran rottura di scatole configurare seriamente la connessione WiFi. La app che ha menzionato matteo sul mio telefono crasha (sarà Android11? Boh)

Possibile che non si poteva qualcosa di più semplice? La sparo lì... autenticarsi con email istituizionale (senza stramaledetti certificati) ed usare il DNS per trovare i server di autenticazione della specifica istituzione?

Giann

edofullo a pavia ci fanno usare l'email istituzionale, però la copertura di eduroam è pessima, ogni 2x3 va malissimo o non va proprio. Senza contare che sinceramente della sicurezza dell'unipv mi fido ben poco dato che quando mi immatricolai mi mandarono la mia password in chiaro nella email di avvenuta immatricolazione, e in più devi per forza metterla tutta in maiuscolo. su Linux Mint Cinnamon una volta capiti i parametri da impostare non è troppo complicato connettersi.

simonebortolin

edom ma scusa io non ho mai avuto problemi con eduroam nel tuo stesso ateneo, ma hai installato il certificato tramite eduroam CAT?

itsmatteomanf La rete eduroam usa un'autenticazione di tipo WPA2 Enterprise (forse ora anche WPA3 Enterprise), che permette l'accesso tramite username e password (o volendo un certificato, ma è più raro come implementazione, magari più in azienda con device managed).

La rete eduroam usa i certificati per evitare di mandare in chiaro la password dell'sso di ateneo

edofullo strano a me non ha mai dato problemi, in caso di problemi ricordo che il certificato di login viene trasferito da un telefono all'altro in caso di migrazione e credo pure sincronizzato con G drive

Nick1997

edofullo Università di Venezia per collegarsi si utilizza la mail istituzionale. Il certificato viene scaricato in automatico una volta inserite le credenziali corrette. Se il certificato non viene scaricato in automatico è presente la procedura per il download manuale, ma tra tutti i miei dispositivi che ho avuto in questi anni non mi è mai capitato.

Giann quando mi immatricolai mi mandarono la mia password in chiaro nella email di avvenuta immatricolazione, e in più devi per forza metterla tutta in maiuscolo.

Non puoi cambiarla? La mia università obbliga il cambiamento ogni 6 mesi altrimenti l'account viene disabilitato e la nuova password non deve essere simile ad una utilizzata in precedenza.

itsmatteomanf

edofullo Possibile che non si poteva qualcosa di più semplice? La sparo lì... autenticarsi con email istituizionale (senza stramaledetti certificati) ed usare il DNS per trovare i server di autenticazione della specifica istituzione?

Ma non esiste il protocollo gestibile così. O hai una password unica (la versione Personal, quella standard) o hai questo metodo (quello Enterprise). L’alternativa è una rete aperta, che non è nemmeno cifrata nell’invio dei dati ed è terribile.

Giann però la copertura di eduroam è pessima, ogni 2x3 va malissimo o non va proprio

Questo è un problema dell’Università però, appena entrai a PoliTO il Wi-Fi era pessimo, avevano ancora AP 802.11g, che però sostituirono a breve con i sopra citati Cisco Wi-Fi 5, con una densità parecchio alta.

simonebortolin La rete eduroam usa i certificati per evitare di mandare in chiaro la password dell'sso di ateneo

Assolutamente, ma per fare ciò ne basta uno, quello lato server, che come una connessione HTTPS permette di stabilire una connessione cifrata. Il certificato lato utente permette al server di rifiutare la connessione in mancanza di ciò (credenziali compromesse, ma device non aziendale e quindi senza certificato distribuito tramite AD).

Nick1997 La mia università obbliga il cambiamento ogni 6 mesi

Anche la mia, anche se al giorno d’oggi è sconsigliato il cambio password obbligato.

edom

simonebortolin ma scusa io non ho mai avuto problemi con eduroam nel tuo stesso ateneo, ma hai installato il certificato tramite eduroam CAT?

ho installato il certificato della Sapienza (non sono iscritto a UniPD) tramite eduroam CAT e a volte non riesce a connettersi alla rete (mi mostra la rotellina del caricamento per diversi minuti per poi dirmi che è impossibile connettersi)

Giann

Nick1997 Non puoi cambiarla? La mia università obbliga il cambiamento ogni 6 mesi altrimenti l'account viene disabilitato e la nuova password non deve essere simile ad una utilizzata in precedenza.

si ma mi pare che te la mandino in chiaro anche dopo averla cambiata (l'avevo fatto dopo aver visto che mi avevano mandato in chiaro la prima, ma non ricordo poi se me la mandarono in chiaro di nuovo) e no a noi non fanno storie su ogni quanto devi cambiare la password (infatti per me in fatto di sicurezza informatica sono piuttosto indietro).

Giann

itsmatteomanf Questo è un problema dell’Università però

sisi, qua è un mix di un edificio particolarmente vecchio e coi muri molto spessi (perlomeno la sede centrale), di AP abbastanza vecchi (dei motorola ma non saprei dirti il modello adesso)

[cancellato]

itsmatteomanf L’alternativa è una rete aperta, che non è nemmeno cifrata nell’invio dei dati ed è terribile.

Salvo avere WPA3 e OWE, ma siamo abbondantemente nelle cardinalità considerabili l'eccezione.

Giann Mammamia, reperto storico!

itsmatteomanf Le Università e le PA non pagano neanche lontanamente l'hardware a listino. Puoi pure togliere uno zero, e sbagli di poco alla fine sull'effettivo prezzo pagato. 😉

itsmatteomanf

Giann mandino in chiaro anche dopo averla cambiata

Wow. Degno dei peggiori servizi di internet.

Nick1997

Giann Anche a me la prima password era stata mandata in chiaro, ma al primo login ti costringevano a cambiarla. Dopo la modifica della password viene comunicato solo il cambiamento tramite mail/sms ma non viene inviata alcuna password in chiaro.

itsmatteomanf

Giann al PoliTO hanno messo un AP ogni circa 100 posti, facendo quindi una rete decisamente buona e stabile. Velocità ottime (come sopra nel link, li oltretutto avevano ancora il limite di 1Gbps per la rete studenti, che è stato tolto).

Giann

itsmatteomanf no qua a malapena ne trovi uno per aula, o quando lo trovi anche a 4-5m dall'AP il segnale è pessimo! ad esempio qua ho visuale diretta sull'AP in biblioteca e sarò nemmeno a 7m da esso, e la navigazione è peggio ancora

Questi sono gli AP

Dani25

itsmatteomanf 400mbps down/up freschi freschi fatti ora ahah

itsmatteomanf

Giann purtroppo è comune, il Wi-Fi ha un costo di installazione e spesso non è molto importante per le università. Quegli AP che PoliTO ha montato, di listino, sono ben oltre i 1000€ l’uno, poi loro comprandone a centinaia avranno pagato meno, ma comunque tra installazione e configurazione la spesa non è indifferente.

Giann

itsmatteomanf ma no infatti per carità non è che se non abbiamo la gigabit tutti quanti ci lamentiamo... però dato che si vantano di aver predisposto tutte le aulee per la DAD, almeno potenziare la rete in modo da fornire un collegamento quantomeno stabile (anche una 10/10 a testa per la sede dove ci sono tutti i vari studi umanistici basta e avanza, dato anche il ritorno al 100% in presenza e l'abbandono dello streaming) però se poi la metà delle volte che ti colleghi e provi anche solo a registrare la presenza nella lezione non va, è ovvio che poi usi l'hotspot del telefono (cosa difficile anche quella dato che in alcune aulee dove faccio lezione i muri sono spessissimi e a malapena prende il segnale, tanto che pure l'università ci consigliò di usare eduroam)

simonebortolin

edom E questo nelle biblioteche di Padova?

Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile