Unitymedia: WifiSpot - Der erste Kontakt
Seit kurzem hat Unitymedia vielen Kunden ein öffentliches Wifi mit der SSID Unitymedia WifiSpot in die Unitymediabox konfiguriert. Dieses Vorgehen ist sehr umstritten.
Hintergrund
Über die Intention der Unitymedia für diesen Schritt kann man viel Spekulieren und Pressemitteilungen wälzen. Fakt ist, dass ich mit diesem WifiSpot beglückt wurde.
Aus den FAQs konnte ich entnehmen, dass
- auf WPA2-Enterprise gesetzt wird
- man mit Geräten, die einmal erfolgreich mit dem eigenen Wifi verbunden waren, nicht mehr auf WifiSpot zugreifen kann
- eigenes internes Netz und WifiSpot-Netz getrennt behandelt werden
- die im gebuchten Tarif erlaubten Datenraten durch WifiSpot-Aktivität nicht beeinflusst werden
- sich Unitymediakunden kostenfrei Zugangsdaten anlegen können, um mit hohen Datenraten ohne Volumenbegrenzung in fremden WifiSpots aufs Internet zugreifen zu können
- sich Nicht-Kunden Zugangsdaten per SMS zusenden lassen können, um mit begrenztem Datenvolumen und niedrigen Datenraten aufs Internet zugreifen zu können
Beobachtungen
Kanäle
Meine erste Feststellung war, dass vom WifiSpot und meinem eigenen Wifi der selbe Kanal belegt wird. Dies hat selbstverständlich zur Folge, dass WifiSpot-Aktivität meine maximal möglichen Datenraten einschränkt. In einem solchen Kanal und den umliegenden Kanälen kann zu einem Zeitpunkt x schließlich immer nur ein Teilnehmer senden. Lediglich die per LAN-Kabel an die Unitymediabox angeschlossenen Geräte mögen also von WifiSpot-Aktivität unbeeinträchtigt bleiben.
Schön wäre es, wenn man z.B. das eigene Wifi ins 2,4 Ghz und den WifiSpot ins 5Ghz-Band packen könnte. So würden sich beide nicht beeinflussen.
Deaktivierung
Nach weiterer Recherche habe ich herausgefunden, dass falls man den WifiSpot anderen nicht zur Verfügung stellen möchte, man sich ins Kundencenter auf der Website von Unitymedia einloggen und dort unter Meine Produkte - Internet den Haken bei WifiSpot entfernen muss. Die Kabelbox wird dann innerhalb von 24h von Unitymedia aus umkonfiguriert und neugestartet. Weiter wird der eigene Premiumzugang zu fremden WifiSpots gesperrt.
Nur schwer kann ich mir erklären, warum man das nicht im Webinterface der Box vom lokalen Netz aus einstellen kann. Ich kann mir nur vorstellen, dass dann eine Firmware eingespielt wird, die diese Funktionalität garnicht erst mitbringt. Auch ist es möglich, dass die Box den Zugang zum zentralen WifiSpot-Authentifikationssystem entzogen bekommt.
WPA2-Enterprise
In einem FAQ wird bereits darauf hingewiesen, dass kein allgemein akzeptiertes Zertifikat eingesetzt wird. Leider wird aber das Zertifikat der ausstellenden CA nicht zum Download angeboten. Alternativ fehlt auch der Fingerprint des Zertifikats, um es selbsttätig bestätigen zu können. Somit kann kein Nutzer sicherstellen, dass die Kommunikation wirklich mit der potentiell vertrauenswürdigen Gegenstelle bei Unitymedia stattfindet.
Mein wpa_supplicant lässt deshalb die Verbindung beim TLS-Handshake berechtigterweise sterben. Das hier hat der Journald aufgefangen.
NetworkManager[402]: device (wlan1): supplicant interface state: associating -> associated wpa_supplicant[470]: wlan1: CTRL-EVENT-EAP-PROPOSED-METHOD vendor=0 method=25 wpa_supplicant[470]: wlan1: CTRL-EVENT-EAP-METHOD EAP vendor 0 method 25 (PEAP) selected wpa_supplicant[470]: TLS: Certificate verification failed, error 19 (self signed certificate in certificate chain) depth 2 for '/C=NL/O=Liberty Global Oper wpa_supplicant[470]: wlan1: CTRL-EVENT-EAP-TLS-CERT-ERROR reason=1 depth=2 subject='/C=NL/O=Liberty Global Operations B.V./OU=Root CA0001/CN=Liberty Global wpa_supplicant[470]: SSL: SSL3 alert: write (local SSL3 detected an error):fatal:unknown CA wpa_supplicant[470]: OpenSSL: openssl_handshake - SSL_connect error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed wpa_supplicant[470]: wlan1: CTRL-EVENT-EAP-FAILURE EAP authentication failed kernel: wlan1: deauthenticated from c6:xx:ca:fe:ba:be (Reason: 23=IEEE8021X_FAILED)
Es riecht in den Standardeinstellungen auf Clientseite sogar nach SSLv3, was mich sehr beunruhigt.
Fazit
Ohne eine Möglichkeit, die Gegenstelle als vertrauenswürdig einstufen zu können, kann man das so nicht benutzen. Zum Schutz der Leute in meiner Nähe habe ich den WifiSpot nun im Kundencenter deaktiviert. Das hat nach fünf Minuten und einem automatischen Neustart der Unitymediabox auch wunderbar geklappt.
Nachtrag
10.07.2016: Das Fehlen des Fingerprints und des CA-Cert-Files habe ich Unitymedia bereits heute gemeldet.
11.07.2016: Meine Unitymediabox hat sich heute ohne Ankündigung neugestartet und der WifiSpot war wieder da. Im Kundencenter steht, dass WifiSpot bei mir deaktiviert ist. Das ist doch eine Frechheit. - Die Unitymediabox habe ich einmal von Strom getrennt, um zu sehen, ob das wirklich mein WifiSpot ist und nicht der eines Nachbarn. - Nein, der WifiSpot wird eindeutig von meiner Box erzeugt. - Ich schalte WifiSpot im Kundencenter jetzt nochmal ein und aus. - Das hat geklappt.
12.07.2016: Wieder wurde der WifiSpot ohne meine Genehmigung aktiviert. Ich hab angerufen und vom Berater die Nummer 0800-7001177 bekommen. Weiter hat er gesagt, dass ich dort richtig Randale machen soll. - Laut Techniker ist der WifiSpot deaktiviert und sollte nicht da sein. - viele Warteschleifen, mehrere Weiterleitungen in die "Technik" - Techniker2 empfiehlt einen Reset des Gerätes mit dem Knopf an der Rückseite, ich bin gespannt. Der Reset dauerte eine Stunde bis das Modem wieder da war und man es im LAN ansprechen konnte. Die Wifi-Einstellungen meines privaten Netzes und das Adminpasswort habe ich geändert. Jetzt noch ein Blick in die umliegenden Netze. - Der WifiSpot ist noch da.
13.07.2016: Ich habe diesen Blogbeitrag an @UnitymediaHilfe getwittert, weil ich gerade keine Zeit und Lust auf Warteschleifen und Telefonieren habe.
14.07.2016: Heute hat sich @UnitymediaHilfe gemeldet, dass sie diese Angelegenheit prüfen.
17.07.2016: Der WifiSpot ist nun nicht mehr da. Entsprechend der Uptimeanzeige, wurde das Gerät gestern um 16:00 Uhr neugestartet. Vermutlich hat Unitymedia die Konfiguration korrigiert. Ich bin mal vorsichtig optimistisch, dass das nun gelöst ist.
Kommentare