Fedora32升級至Fedora33無法連接網絡的問題

1. 問題描述

在2020年10月27日，F(xiàn)edora 33正式發(fā)布了。作為一名忠實的Fedora用戶，我在10月31日決定正式從Fedora 32升級到Fedora 33。

升級后發(fā)現(xiàn)無法連接公司內的無線網絡，而有線網絡在關閉802.1x Security后，可以連接，但無法訪問內網，若啟用802.1x Security，則無法連接網絡。

有線網絡和無線網絡采用的認證方式均為：WPA2/PEAP/MSCHAPv2/no CA certificate.

具體如下圖所示意：

11.png

2. 問題排查

分析：從問題描述來看是系統(tǒng)升級后的網絡驅動應該沒有問題，猜測是加密認證出了問題?？紤]使用Wireshark進行抓包分析有線網絡加密認證的過程。

抓包結果如下圖所示(為保護隱私，去除了Source和Destination兩列)：

Screenshot from 2020-10-31 19-18-14.png

可從上述圖片中看到，問題出在升級后的系統(tǒng)使用的TLS版本和認證服務器的版本對不上。Fedora 33使用比較新的TLSv1.2版本，而認證服務器貌似是cisco的設備使用的是TLSv1的版本。

同時根據(jù)相關信息搜索，在Ubuntu的network-manager的bug報告中找到了同樣的問題。(見參考鏈接3)

接著去翻了下Fedora 33的改動記錄，發(fā)現(xiàn)了這么一條。

Screenshot from 2020-11-02 20-24-28.png

啊這，原來是更新了系統(tǒng)級的加密策略，禁用了老舊的TLS 1.0和TLS 1.1。

3. 問題解決

在參考鏈接5中發(fā)現(xiàn)了問題的解決辦法：

Screenshot from 2020-11-02 20-27-33.png

我選擇了第二個命令，也就是使用sudo update-crypto-policies --set LEGACY命令來確保與老舊系統(tǒng)的最大兼容性。

Screenshot from 2020-11-02 20-05-31.png

執(zhí)行完成后，重啟系統(tǒng)就可以正常連接認證了。

參考連接

1. IEEE 802.1X-PEAP認證過程分析（抓包）
2. 企業(yè)級無線滲透之PEAP
3. Problem to connect to WPA2/PEAP WIFI - gnome-shell
4. Releases/33/ChangeSet
5. Fedora Changes/StrongCryptoSettings2
6. System-wide crypto policies in RHEL 8
7. CHAPTER 3. USING SYSTEM-WIDE CRYPTOGRAPHIC POLICIES
8. update-crypto-policies (8) - Linux Man Pages