Hostapd einfach

Listing 1 zeigt eine Minimal-Konfiguration. Das WLAN-Netzwerk arbeitet im Netzwerk 192.168.100.0/24 und vergibt dort die Adressen 192.168.100.100 bis 192.168.100.130. Der Accesspoint erhält die WLAN-IP-Adresse 192.168.100.200, seine LAN-IP-Adresse bezieht er gegebenenfalls per DHCP. Dazu erfolgt ein passender Eintrag in »/etc/network/interfaces«. Verbindet sich nun ein Client, erhält er die erste Adresse aus dem Pool 192.168.100.100. Damit er Onlinezugriff erhält, baucht er noch die IP eines DNS-Servers. Dessen Adresse übergibt der DHCP-Server mit der Zeile:

option domain-name-servers 192.168.0.1;

Außerdem leitet der Accesspoint die Anfragen des WLAN-Clients noch nicht weiter. Dazu bedarf es noch der Aktivierung von IP-Forwarding und natürlich NAT:

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -j MASQUERADE

Ab sofort können sich beliebige Clients verbinden. Wer das dauerhaft benötigt, schreibt die beiden letzten Befehle in ein Bootskript, sonst sind die Änderungen spätestens beim Reboot hinfällig.

01 ddns-update-style none;
02 option domain-name "example.org";
03 default-lease-time 600;
04 max-lease-time 7200;
05 log-facility local7;
06 
07 subnet 192.168.100.0 netmask 255.255.255.0 {
08   range 192.168.100.100 192.168.100.130;
09   option routers 192.168.100.200;
10 }

Die verbundenen Clients arbeiten auf der Basis dieser Lösung allerdings ohne jede WLAN-Verschlüsselung. Für erste Tests mag das eine praktikable Lösung darstellen, aber die Gesetzeslage in Deutschland verbietet wegen der Betreiberhaftung mittlerweile wohl jeglichen offenen Wifi-Betrieb. Für die gemeinhin als sicher geltende WPA2-Verschlüsselung ersetzt der Admin die Datei »min.conf« durch die Datei »/etc/hostapd/hostapd.conf« aus Listing 2.

01 interface=wlan0
02 driver=nl80211
03 ssid=L4A
04 logger_syslog=-1
05 logger_syslog_level=2
06 logger_stdout=-1
07 logger_stdout_level=2
08 dump_file=/tmp/hostapd.dump
09 ctrl_interface=/var/run/hostapd
10 ctrl_interface_group=0
11 country_code=DE
12 hw_mode=g
13 channel=10
14 auth_algs=1
15 macaddr_acl=0
16 ignore_broadcast_ssid=0
17 wpa=2
18 wpa_passphrase=OpenSourceRocks
19 wpa_key_mgmt=WPA-PSK
20 wpa_pairwise=TKIP
21 rsn_pairwise=CCMP

Nach einem Neustart mit »hostap -d /etc/hostapd/hostapd.conf« können sich die WLAN-Clients nach Eingabe des Schlüssels »OpenSourceRocks« aus Zeile 18 verbinden. Damit nicht genug: Hostapd kann auch erweiterte Konfigurationen wie eine MAC-Adressen-Reservierung und Radius-Integration ermöglichen und manchmal reicht ein einfacher Squid-Proxy für den WWW-Zugriff.

Real Life

So einfach ist es nicht immer, meist muckt Hostapd, die Hardware im Notebook passt nicht, der USB-Stick zickt (Abbildung 1). Was tun, wenn die im Beispiel verwendete PCI-Karte nicht in Frage kommt, zum Beispiel bei Notebooks? PCMCIA-, Onboard- oder USB-WLAN-Karten sind die Alternativen. Tabelle 1 zeigt die Ergebnisse bei elf Kandidaten des Linux-Magazin-Tests.

Abbildung 1: Eigentlich ist es so einfach, wenn die Hardware mitspielt. Aber meist erscheinen auf Notebooks Fehlermeldungen wie diese: Hostap weigert sich zu starten, weil die WLAN-Karte nicht in den AP-Mode wechseln kann. Dann muss eine USB- oder PCMCIA-Karte her.

Tabelle 1: Hostapd-WLAN unter Ubuntu

Die Aterm-PCMCIA-Karte mit externer Antenne hat sich vor allem bei Wardriving-Fans großer Beliebtheit erfreut, da sie hervorragend mit Kismet zusammenarbeitet. Sie ist jedoch nicht mehr neu erhältlich und neue Notebooks bringen auch nur noch selten ein PCMCIA-Interface mit. Die Karte funktionierte aber auf Anhieb, damit wird ein Notebook innerhalb weniger Minuten zum Accesspoint, auch ohne lästige Hersteller-Firmware.

Stand der mobilen Technik heute sind USB-WLAN-Sticks. Die waren aber lange Zeit typische Kandidaten, die den Monitoring- oder Accesspoint-Modus standhaft verweigerten. Von den vier getesteten Modellen ließen sich immerhin drei ohne weitere Modifikationen in Betrieb nehmen.

Den Digitus WL 150 erkennt Ubuntu 9.10 nicht, Lsusb listet das Device als »0bda:8181« und gibt als Produkt »RTL8188S« aus. Auch die Realtek-PCI-Karten ließen sich nicht als AP betreiben. Das in [3] getestete Acer-Ferrari-one-Netbook überzeugte dagegen, der Atheros-AR928X-Chipsatz funktioniert damit in zahlreichen Fällen problemlos.