Moin,
Wir setzen einen 1781VA mit WLC-Option und LN-862- / LN-1702-APs ein. Gestern habe ich alles auf die 10.20.0175Rel upgedatet (lief bisher mit 10.12).
Jetzt sehe ich im LANmonitor bei einigen Clients "WPA-Version: 3"! An den WLC-Einstellungen habe ich jedoch nichts verändert und laut LANconfig ist nur WPA2 aktiviert. Was läuft hier falsch? Ich möchte WPA3 in den Produktiv-Netzen noch nicht aktivieren. Scheint ja noch Probleme mit bestimmten Clients / Konstellationen zu geben. Alles neu gestartet habe ich natürlich auch schon.
WPA3 nicht abschaltbar?
Moderator: Lancom-Systems Moderatoren
WPA3 nicht abschaltbar?
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Re: WPA3 nicht abschaltbar?
Moin,
ich vermute, das ist eine SSID mit 802.1X, der Text ist leider abgeschnitten. Wenn man die SuiteB-Sachen mit >=192 Bit Schlüssellänge außen vor läßt, dann unterscheiden sich WPA2 und WPA3 für 802.1X nur darin, daß WPA3 Protected Management Frames fordert - was es bei WPA2 optional schon bisher gab. Dieses Feature hast Du optional zugelassen, und die Clients, die es nutzen, erfüllen damit de facto die Anforderungen von WPA3-Enterprise. Deshalb zeigt das LCOS im Status sie so an.
Bei WPA3-Personal sieht die Sache anders aus, da kommt als gänzlich neues Protokoll SAE hinzu, und das wird vom LCOS erst angeboten, wenn man WPA3 im Setup zuläßt. Und ja, das optionale Anbieten von SAE macht im Moment bei einigen Clients Probleme, deren Entwickler mal wieder gepennt haben
Viele Grüße
Alfred
ich vermute, das ist eine SSID mit 802.1X, der Text ist leider abgeschnitten. Wenn man die SuiteB-Sachen mit >=192 Bit Schlüssellänge außen vor läßt, dann unterscheiden sich WPA2 und WPA3 für 802.1X nur darin, daß WPA3 Protected Management Frames fordert - was es bei WPA2 optional schon bisher gab. Dieses Feature hast Du optional zugelassen, und die Clients, die es nutzen, erfüllen damit de facto die Anforderungen von WPA3-Enterprise. Deshalb zeigt das LCOS im Status sie so an.
Bei WPA3-Personal sieht die Sache anders aus, da kommt als gänzlich neues Protokoll SAE hinzu, und das wird vom LCOS erst angeboten, wenn man WPA3 im Setup zuläßt. Und ja, das optionale Anbieten von SAE macht im Moment bei einigen Clients Probleme, deren Entwickler mal wieder gepennt haben
Viele Grüße
Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Re: WPA3 nicht abschaltbar?
Danke, das ist schlüssig. Richtig, ist eine SSID mit 802.1X. Wenn man sich im LANmonitor die Clients direkt auf den APs anschaut wird auch der jeweilige PMF-Status angezeigt. Und da korreliert "Protected-Management-Frames: Ja" mit "WPA-Version: 3".
Falls ich das richtig verstehe würde daher nichts dagegen sprechen, auf dieser SSID die WPA-Version auf "WPA2/3" zu stellen? Da das nichts anderes tut als PMFs optional zuzulassen (was bisher schon der Fall war)?
Wir haben noch eine andere SSID mit WPA2-PSK und da habe ich trotz PMF noch kein WPA3 gesehen. Soweit dann auch plausibel.
Dort sollte ich vorerst kein WPA3 zulassen, da sonst manche kaputten Clients Probleme bekommen können, richtig?
Das ist mein erster Kontakt mit WPA3. Wird noch interessant.
Falls ich das richtig verstehe würde daher nichts dagegen sprechen, auf dieser SSID die WPA-Version auf "WPA2/3" zu stellen? Da das nichts anderes tut als PMFs optional zuzulassen (was bisher schon der Fall war)?
Wir haben noch eine andere SSID mit WPA2-PSK und da habe ich trotz PMF noch kein WPA3 gesehen. Soweit dann auch plausibel.
Dort sollte ich vorerst kein WPA3 zulassen, da sonst manche kaputten Clients Probleme bekommen können, richtig?
Das ist mein erster Kontakt mit WPA3. Wird noch interessant.
Re: WPA3 nicht abschaltbar?
Moin,
Viele Grüße
Alfred
Korrekt. Wenn man WPA2/3 einstellt, wird die PMF-Einstellung zwangsweise auf mindestens "optional" angehoben. Bei nur-WPA3 würde sie zwangsweise auf "mandatory" gesetzt.Falls ich das richtig verstehe würde daher nichts dagegen sprechen, auf dieser SSID die WPA-Version auf "WPA2/3" zu stellen? Da das nichts anderes tut als PMFs optional zuzulassen (was bisher schon der Fall war)?
Wir habe hier zumindest im Haus durchgängig bei iOS-Clients gesehen, daß sie sich an einer PSK-SSID mit WPA2+3 nicht mehr anmelden wollen. Das ganze ist bei Apple gemeldet, aber wann die sich rühren...offensichtlich sind die AP-Hersteller bei WPA3 deutlich weiter als die von Clients.Dort sollte ich vorerst kein WPA3 zulassen, da sonst manche kaputten Clients Probleme bekommen können, richtig?
Oh ja. Aber das ist wohl der Preis, wenn man (nach langer Zeit mal wieder) bei einem Feature ganz vorne dabei ist...Das ist mein erster Kontakt mit WPA3. Wird noch interessant.
Viele Grüße
Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015