Tach Zusammen,
im Rahmen einer Umkonfiguration im WLAN (1310 und 1781er als WLC) habe ich bei der SSID "Fastroaming" eingeschaltet.
An dieser SSID konnten sich die Eiföns nicht anmelden, bei der 802.1x-Auth kam noch die Frage nach dem Zertifikat und sprangen die Dinger wieder zurück, getestet mit 6s und 7 mit aktuellem IOS.
Ausprobiert hatte ich "Standard & Fastroaming" sowie Standard & Fastroaming & SHA256". Lt. Beschreibung muss bei Fastroaming noch ein Key für IAPP gesetzt werden aber den Parameter gibt es beim WLC-Betrieb wohl nich (an sich logisch, da Keycashing Aufgabe des Controllers sein sollte.
Vielleicht macht ich ja ein kolossalen Denkfehler und mich bringt jemand auf die Spur ...
Einen schönen Restsonntag und Grüße aus OBC
Udo
Tante Edit: Kurze Frage: Welchen Gewinn setzte ich bei den physikalischen WLAN-Parametern für internen Antennen des 1310 ein?
Im Kopf habe ich 3db?
802.11r und IOS ??
Moderator: Lancom-Systems Moderatoren
802.11r und IOS ??
... das Netz ist der Computer ...
n* LC und vieles mehr...
n* LC und vieles mehr...
Re: 802.11r und IOS ??
Moin,
hast Du auf der SSID zufällig auch Management Frame Protection an? Wenn auf einer SSID sowohl 802.11r (Fast Roaming) als auch 802.11w (Management Frame Protection) an sind, dann bauen bisherige LCOS-Releases an ein paar Stellen Infoelemente falsch zusammen und das kann solche Effekte haben, wenn ein Client 11r benutzen will. Die 9.24RU3 hat den Fehler noch, die RU4 (wann immer die kommt.. ) wird zumindest diesen Fehler nicht mehr haben. Ob 11r danach mit allen Apple-Clients tut, insbesondere älteren, die kein MFP unterstützen, ist aber noch eine andere Frage. Mir fehlen da auch die Geräte zum Testen und ein Vergleich mit anderen APs, wie sie bestimmte Dinge in so einem Fall handhaben.
Gruß Alfred
hast Du auf der SSID zufällig auch Management Frame Protection an? Wenn auf einer SSID sowohl 802.11r (Fast Roaming) als auch 802.11w (Management Frame Protection) an sind, dann bauen bisherige LCOS-Releases an ein paar Stellen Infoelemente falsch zusammen und das kann solche Effekte haben, wenn ein Client 11r benutzen will. Die 9.24RU3 hat den Fehler noch, die RU4 (wann immer die kommt.. ) wird zumindest diesen Fehler nicht mehr haben. Ob 11r danach mit allen Apple-Clients tut, insbesondere älteren, die kein MFP unterstützen, ist aber noch eine andere Frage. Mir fehlen da auch die Geräte zum Testen und ein Vergleich mit anderen APs, wie sie bestimmte Dinge in so einem Fall handhaben.
Korrekt, im gemanagten Betrieb verteilt der WLC die PMKs über die APs.Lt. Beschreibung muss bei Fastroaming noch ein Key für IAPP gesetzt werden aber den Parameter gibt es beim WLC-Betrieb wohl nich (an sich logisch, da Keycashing Aufgabe des Controllers sein sollte.
Sollte passen, ist AFAIK auch der Konfig-Default.Tante Edit: Kurze Frage: Welchen Gewinn setzte ich bei den physikalischen WLAN-Parametern für internen Antennen des 1310 ein?
Im Kopf habe ich 3db?
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Re: 802.11r und IOS ??
Hallo Alf,
auf der SSID ist Mmgt.-Frame Protection auf optional gesetzt, reicht das schon?
Werde es mal ausschalten und testen, an sich würde ich es gern auf erzwingen setzen...
Sollte ein remotes Deauth (Cisco und Meraki meinen "contain") normalerweise verhindern.
Viele Grüße
Udo
auf der SSID ist Mmgt.-Frame Protection auf optional gesetzt, reicht das schon?
Werde es mal ausschalten und testen, an sich würde ich es gern auf erzwingen setzen...
Sollte ein remotes Deauth (Cisco und Meraki meinen "contain") normalerweise verhindern.
Viele Grüße
Udo
... das Netz ist der Computer ...
n* LC und vieles mehr...
n* LC und vieles mehr...
Re: 802.11r und IOS ??
Moin,
Gruß Alfred
Ja.auf der SSID ist Mmgt.-Frame Protection auf optional gesetzt, reicht das schon?
Weiß ich nicht, ob Du damit glücklich wirst. Dazu gbit es noch zu viele Clients, die kein MFP können.Werde es mal ausschalten und testen, an sich würde ich es gern auf erzwingen setzen...
Das ist der Hauptzweck von MFP, solche Deauth-Attacken abzuwehren. Gibt aber leider noch genug andere Methoden, ein WLAN auf der Ebene zu stören, z.B. gefakte Beacons oder Probe Responses. MFP sichert bei weitem nicht alle Management-Frames ab, u.a. auch weil es logisch nicht geht.Sollte ein remotes Deauth (Cisco und Meraki meinen "contain") normalerweise verhindern.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Re: 802.11r und IOS ??
Hallo Alf,
hier die versprochene Rückmeldung:
Your're right! (Habe acuh nichts anderes erwartet ....
).
Management-Frame Protection aus- und fast-roaming eingeschaltet -> IOS-Device meldet sich an, im WLAN-Monitor wird fast-roaming für diesen Klient auch angezeigt.
Mgmt-Frame Protection auch zu nutzen wäre nicht schlecht, kann in "fiesen" Umgebungen schon mal ein bißchen helfen, jedoch habe ich auch schon die interessantesten Störer und Störungen gesehen (bzw. gemessen).
Viele Grüße aus OBC
Udo
hier die versprochene Rückmeldung:
Your're right! (Habe acuh nichts anderes erwartet ....
).Management-Frame Protection aus- und fast-roaming eingeschaltet -> IOS-Device meldet sich an, im WLAN-Monitor wird fast-roaming für diesen Klient auch angezeigt.
Mgmt-Frame Protection auch zu nutzen wäre nicht schlecht, kann in "fiesen" Umgebungen schon mal ein bißchen helfen, jedoch habe ich auch schon die interessantesten Störer und Störungen gesehen (bzw. gemessen).
Viele Grüße aus OBC
Udo
... das Netz ist der Computer ...
n* LC und vieles mehr...
n* LC und vieles mehr...
Re: 802.11r und IOS ??
Moin,
wie gesagt, mit dem nächsten RU (egal ob 9.24 oder 10.00) sollte zumindest ein Fehler weniger drin sein. Würde mich mal interessieren, ob's dann tut.
Gruß Alfred
wie gesagt, mit dem nächsten RU (egal ob 9.24 oder 10.00) sollte zumindest ein Fehler weniger drin sein. Würde mich mal interessieren, ob's dann tut.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Re: 802.11r und IOS ??
Also auch schon in den aktuellen 9.24er und 10.00er Betas die ich auf den FTP geladen habe. 
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Re: 802.11r und IOS ??
Tach Zusammen,
mit 10.00.0101 auf den 1310er und 460er und 10.00.075 auf dem 1781EF (ist WLC per Lizenz und wird anscheinend nicht mehr unterstütz !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!, grummel, maul, fauch) funktioniert es nicht. Iphone macht Dauerschleife (anmelden, Abwurf u.v.v.).
Trotzdem viele Grüße und ein schönes WE
Udo
Tante Edith: Die .106 habe ich eben erst gesehen, werde ich mal auf die AP werfen und testen. Für den 1781EF habt Ihr ja nichts mehr über ...
mit 10.00.0101 auf den 1310er und 460er und 10.00.075 auf dem 1781EF (ist WLC per Lizenz und wird anscheinend nicht mehr unterstütz !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!, grummel, maul, fauch) funktioniert es nicht. Iphone macht Dauerschleife (anmelden, Abwurf u.v.v.).
Trotzdem viele Grüße und ein schönes WE
Udo
Tante Edith: Die .106 habe ich eben erst gesehen, werde ich mal auf die AP werfen und testen. Für den 1781EF habt Ihr ja nichts mehr über ...
... das Netz ist der Computer ...
n* LC und vieles mehr...
n* LC und vieles mehr...
Re: 802.11r und IOS ??
Moin,
Hm, schade, dann liegt da wohl noch irgend etwas anderes im argen. Kann ich nur mangels Masse im Moment nicht untersuchen, mein einziges iOS-Gerät ist ein IPad 3, das nicht mehr von iOS10 unterstützt wird. Irgendwelche I-Anträge für neuere Geräte in der Firma laufen wohl, aber die Leute haben das nicht so eilig und ich auch noch genug andere Sachen um die Ohren
Den Frust mit der Abkündigung verstehe ich, und ich weiß im Moment ehrlich gesagt auch nicht warum. Ich erinnere mich duster, daß auf einem Update von neuen Support-Policies die Rede war, daß ein Gerät nach Verkaufsende nur noch soundsoviele Jahre neue LCOS-(Feature-)Releases bekommt und weitere soundsoviele Jahre Bugfix-Releases (also RUs der letzten LCOS-Version). Früher war das ja mehr oder weniger zufallsbedingt, ob das nächste Release in dieses oder jenes Gerät noch reinpaßt oder nicht, und viele der großen und Projektkunden wollen wohl so etwas wie 'berechenbare' Support-Zeiträume, so ähnlich wie bei Microsoft mit den Support-Fristen für eine bestimmte Windows-Version. Kann sein, daß das jetzt der Grund für diese 'Abkündigungswelle' mit der 10.00 ist, kann aber auch alles ganz anders sein, also bitte noch nicht losmarschieren, bevor ich nachgefragt habe...
Grüße & schönes Wochenende
Alfred
Hm, schade, dann liegt da wohl noch irgend etwas anderes im argen. Kann ich nur mangels Masse im Moment nicht untersuchen, mein einziges iOS-Gerät ist ein IPad 3, das nicht mehr von iOS10 unterstützt wird. Irgendwelche I-Anträge für neuere Geräte in der Firma laufen wohl, aber die Leute haben das nicht so eilig und ich auch noch genug andere Sachen um die Ohren
Den Frust mit der Abkündigung verstehe ich, und ich weiß im Moment ehrlich gesagt auch nicht warum. Ich erinnere mich duster, daß auf einem Update von neuen Support-Policies die Rede war, daß ein Gerät nach Verkaufsende nur noch soundsoviele Jahre neue LCOS-(Feature-)Releases bekommt und weitere soundsoviele Jahre Bugfix-Releases (also RUs der letzten LCOS-Version). Früher war das ja mehr oder weniger zufallsbedingt, ob das nächste Release in dieses oder jenes Gerät noch reinpaßt oder nicht, und viele der großen und Projektkunden wollen wohl so etwas wie 'berechenbare' Support-Zeiträume, so ähnlich wie bei Microsoft mit den Support-Fristen für eine bestimmte Windows-Version. Kann sein, daß das jetzt der Grund für diese 'Abkündigungswelle' mit der 10.00 ist, kann aber auch alles ganz anders sein, also bitte noch nicht losmarschieren, bevor ich nachgefragt habe...
Grüße & schönes Wochenende
Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Re: 802.11r und IOS ??
Moin,
ist in der tat so wie ich in Erinnerung hatte. Die neue 'Software Lifecycle' Regel besagt, daß für ein Gerät nach End-of-Sale noch zwei Jahre neue Feature-Releases bereit gestellt werden, und noch für weitere drei Jahre Security-Updates. Das 1781EF ist im März 2013 'end of sale' gegangen, d.h. das ist nach dieser neuen Policy schon mehr als zwei Jahre her und deshalb gibt's kein LCOS 10.00 für dieses Gerät. Security-Updates wird es bis März 2018 geben.
Ich gebe das hier nur wieder und mache damit explizit keine Aussage darüber, ob mir selber das gefällt oder nicht. Beschwerden über diese Policy bitte ausschließlich an das LANCOM-Management...
In einer ersten Version des Posings hatte ich von 'Bugfix-Releases' gesprochen, in dem Dokument steht jedoch von 'Security-Updates zur Behebung kritischer Sicherheitslücken' - da war wohl der Wunsch Vater des Gedankens :-/
Gruß Alfred
ist in der tat so wie ich in Erinnerung hatte. Die neue 'Software Lifecycle' Regel besagt, daß für ein Gerät nach End-of-Sale noch zwei Jahre neue Feature-Releases bereit gestellt werden, und noch für weitere drei Jahre Security-Updates. Das 1781EF ist im März 2013 'end of sale' gegangen, d.h. das ist nach dieser neuen Policy schon mehr als zwei Jahre her und deshalb gibt's kein LCOS 10.00 für dieses Gerät. Security-Updates wird es bis März 2018 geben.
Ich gebe das hier nur wieder und mache damit explizit keine Aussage darüber, ob mir selber das gefällt oder nicht. Beschwerden über diese Policy bitte ausschließlich an das LANCOM-Management...
In einer ersten Version des Posings hatte ich von 'Bugfix-Releases' gesprochen, in dem Dokument steht jedoch von 'Security-Updates zur Behebung kritischer Sicherheitslücken' - da war wohl der Wunsch Vater des Gedankens :-/
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Re: 802.11r und IOS ??
Hallo Alf,
Dank für die Rückmeldung, hatte gar nicht im Kopf daß die Kiste schon so alt ist ... (fachlich schon 28 Jahre (1 Menschenjahr hat bekannterweise 7 Netzwerkjahre)), werde mal unseren mal darauf ansprechen.
Hier noch die Rückmeldung zum Ursprungsthema: Mit der aktuellsten Version flattert das IOS immer noch bei den aktivierte Managementframes.
Viele Grüße
Udo
Dank für die Rückmeldung, hatte gar nicht im Kopf daß die Kiste schon so alt ist ... (fachlich schon 28 Jahre (1 Menschenjahr hat bekannterweise 7 Netzwerkjahre)), werde mal unseren mal darauf ansprechen.
Hier noch die Rückmeldung zum Ursprungsthema: Mit der aktuellsten Version flattert das IOS immer noch bei den aktivierte Managementframes.
Viele Grüße
Udo
... das Netz ist der Computer ...
n* LC und vieles mehr...
n* LC und vieles mehr...