LOADING

載入過慢請啟用快取 瀏覽器預設啟用

我與 eduroam 的愛恨情仇:第貳篇 - 特規接入點應對手冊

2025/5/16 eduroam eduroam

2025/05/16 更新

其實這個東西已經過時了,個人建議也不要依照以下步驟去連線,會有很高可能使你暴露在帳密洩漏的風險下。

如果你有發現到類似的單位有發生 eduroam 伺服器回傳的憑證不對、或者使用網頁認證等,個人建議直接寄信給 TANet 無線網路漫遊交換中心 (TANRC) (請參見以下資訊)。

信箱:roamingcenter@gms.ndhu.edu.tw
Title: <位置> 的 eduroam 熱點設定錯誤
內文請提及:
1. 使用的帳號 (如 tomorin@mail.edu.tw)
2. 認證方式 (如 PEAP-MSCHAPv2)
3. 發生的問題 (如伺服器憑證錯誤,或者該熱點使用 Web 認證,而非 802.1x EAP 認證)
4. 測試過程的紀錄 (盡可能詳細,但不要給密碼)

前言

下列所述的設定內容,僅適用於進階使用者。

除了步驟很麻煩以外,大多數還會產生一些安全性問題,如果不是沒網路一定要連的話,建議就不要嘗試了。

這些設定請先確認前一章節的標準設定無法使用後,再進行嘗試。

部分單位已經測試通過的設定檔,會一併附於下方,供各位參考,如有要補充,歡迎於下方留言補充。

然後這一篇基本上只講操作,原理分析和造成風險的原因會流到資後再說。

TL;DR:關閉 CA 驗證,分別測 PEAP-MSCHAPv2, PEAP-GTC, TTLS-PAP 看連不連得上。

免責聲明

以下設定會關閉或繞過 WPA2-Enterprise 各種驗證基地台是否可信任的防護機制,請先確定:

  1. 你無法使用正常的設定檔連線
  2. 你所在的位置出現 eduroam 是合理的

這樣可以最大限度防止你連上 Fake AP。

連線方法

Android

首先將 CA 憑證 (CA certificate) 欄位設為 首次使用時驗證 (Trust on First Use)不驗證

如果沒有以上兩個設定,只有 使用系統憑證 的,請換台手機。

接著先使用教育雲帳號,把設定依序改為 PEAP-MSCHAPv2, PEAP-GTC, TTLS-PAP,測試是否可以連線。

如果都無法測通,則使用國資圖帳號,一樣,把設定依序改為 PEAP-MSCHAPv2, PEAP-GTC, TTLS-PAP,測試是否可以連線。

如果還是都無法測通,則使用自己學校帳號,一樣,把設定依序改為 PEAP-MSCHAPv2, PEAP-GTC, TTLS-PAP,測試是否可以連線。

如果都不能連線,則失敗。

eduroam

選擇測試帳號

PAP only: 國資圖 (@nlpi.edu.tw)

教育雲阻擋: 教育雲 (@mail.edu.tw)

一般帳號:台灣各校帳號

測試流程

Hint

  • 優先測試連通性
  • Android 手機須在匿名身分再次填寫帳號,避免因系統實作差異,導致無法判斷路由
  • 建議測試裝置使用 Android 13+ Google Pixel / Samsung,才能啟用 TOFU (Trust On First Use)

測試是否為標準設定

  1. 測試連通性,使用教育雲,認證方式為 EAP-PEAP-MSCHAPv2
  2. 紀錄伺服器憑證資訊
  3. 紀錄 Server Name
  4. 觀察是否可以連線成功
  5. 判斷結果,
    • 如果 Server Name 為 wifi.sso.edu.tw 且可連線成功,則為標準設定
    • 如果 Server Name 為其他域名,且可連線成功,則受到 MiTM 攻擊
    • 如果連線失敗,請繼續下列測試

測試是否啟用 EAP-Offload

  1. 把認證方式更改為 EAP-PEAP-GTC 以及 EAP-TTLS-PAP 後連線
  2. 紀錄伺服器憑證資訊
  3. 紀錄 Server Name
  4. 觀察是否可以連線成功
  5. 判斷結果,
    • 如果 Server Name 為 wifi.sso.edu.tw 且可連線成功,則為標準設定
    • 如果 Server Name 為其他網域,但可連線成功,則 SP 啟用 EAP-Offload,請紀錄 Server Name 與連線成功的連線方式。
    • 如果還是連線失敗,請繼續下列測試

EAP-Offload 國資圖

  1. 測試連通性,使用國資圖帳號,認證方式為先前測試的連線成功的方法組合
  2. 紀錄伺服器憑證資訊
  3. 紀錄 Server Name
  4. 觀察是否可以連線成功
  5. 判斷結果,
    • 如果可連線成功,則為 EAP-Offload,且支援 PAP only 帳號
    • 如果連線失敗,則伺服器不支援 EAP-Offload,為 MiTM 攻擊。

測試是否為教育雲屏蔽

前提:你有學校帳號,且確定該帳號應可以連 eduroam,

  1. 測試連通性,使用”自己學校的帳號”,認證方式為”自己學校的提供的認證方式”。設定完成後連線。
  2. 紀錄伺服器憑證資訊
  3. 紀錄 Server Name
  4. 觀察是否可以連線成功
  5. 判斷結果,
    • 如果 Server Name 為自己學校的域名,且可連線成功,則為標準設定。
    • 如果 Server Name 為其他域名,且可連線成功,則受到 MiTM 攻擊。
    • 如果連線失敗,那可能那個 SP 的接入點爛了

做完這些,你應該可以得出幾個答案:

  1. 接入點是否為標準設定
  2. 如果接入點啟用 EAP-Offload,該 EAP-Offload 的連線設定

最後

做完這些,如果該校有啟用 EAP-Offload,請把以上測試資訊回報給 TANet 無線網路漫遊交換中心 (TANRC)。