Fedora32升级至Fedora33无法连接网络的问题

1. 问题描述

在2020年10月27日，Fedora 33正式发布了。作为一名忠实的Fedora用户，我在10月31日决定正式从Fedora 32升级到Fedora 33。

升级后发现无法连接公司内的无线网络，而有线网络在关闭802.1x Security后，可以连接，但无法访问内网，若启用802.1x Security，则无法连接网络。

有线网络和无线网络采用的认证方式均为：WPA2/PEAP/MSCHAPv2/no CA certificate.

具体如下图所示意：

11.png

2. 问题排查

分析：从问题描述来看是系统升级后的网络驱动应该没有问题，猜测是加密认证出了问题。考虑使用Wireshark进行抓包分析有线网络加密认证的过程。

抓包结果如下图所示(为保护隐私，去除了Source和Destination两列)：

Screenshot from 2020-10-31 19-18-14.png

可从上述图片中看到，问题出在升级后的系统使用的TLS版本和认证服务器的版本对不上。Fedora 33使用比较新的TLSv1.2版本，而认证服务器貌似是cisco的设备使用的是TLSv1的版本。

同时根据相关信息搜索，在Ubuntu的network-manager的bug报告中找到了同样的问题。(见参考链接3)

接着去翻了下Fedora 33的改动记录，发现了这么一条。

Screenshot from 2020-11-02 20-24-28.png

啊这，原来是更新了系统级的加密策略，禁用了老旧的TLS 1.0和TLS 1.1。

3. 问题解决

在参考链接5中发现了问题的解决办法：

Screenshot from 2020-11-02 20-27-33.png

我选择了第二个命令，也就是使用sudo update-crypto-policies --set LEGACY命令来确保与老旧系统的最大兼容性。

Screenshot from 2020-11-02 20-05-31.png

执行完成后，重启系统就可以正常连接认证了。

参考连接

1. IEEE 802.1X-PEAP认证过程分析(抓包)
2. 企业级无线渗透之PEAP
3. Problem to connect to WPA2/PEAP WIFI - gnome-shell
4. Releases/33/ChangeSet
5. Fedora Changes/StrongCryptoSettings2
6. System-wide crypto policies in RHEL 8
7. CHAPTER 3. USING SYSTEM-WIDE CRYPTOGRAPHIC POLICIES
8. update-crypto-policies (8) - Linux Man Pages