WPA3 nicht abschaltbar?

Forum zum LANCOM WLC-4100, WLC-4025+, WLC-4025 und WLC-4006 WLAN-Controller

Moderator: Lancom-Systems Moderatoren

Antworten
Maurice
Beiträge: 131
Registriert: 18 Sep 2017, 12:38

WPA3 nicht abschaltbar?

Beitrag von Maurice »

Moin,

Wir setzen einen 1781VA mit WLC-Option und LN-862- / LN-1702-APs ein. Gestern habe ich alles auf die 10.20.0175Rel upgedatet (lief bisher mit 10.12).
Jetzt sehe ich im LANmonitor bei einigen Clients "WPA-Version: 3"! An den WLC-Einstellungen habe ich jedoch nichts verändert und laut LANconfig ist nur WPA2 aktiviert. Was läuft hier falsch? Ich möchte WPA3 in den Produktiv-Netzen noch nicht aktivieren. Scheint ja noch Probleme mit bestimmten Clients / Konstellationen zu geben. Alles neu gestartet habe ich natürlich auch schon.

LANmonitor_WPA3_10.20.png
LANconfig_WLC_10.20.png
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: WPA3 nicht abschaltbar?

Beitrag von alf29 »

Moin,

ich vermute, das ist eine SSID mit 802.1X, der Text ist leider abgeschnitten. Wenn man die SuiteB-Sachen mit >=192 Bit Schlüssellänge außen vor läßt, dann unterscheiden sich WPA2 und WPA3 für 802.1X nur darin, daß WPA3 Protected Management Frames fordert - was es bei WPA2 optional schon bisher gab. Dieses Feature hast Du optional zugelassen, und die Clients, die es nutzen, erfüllen damit de facto die Anforderungen von WPA3-Enterprise. Deshalb zeigt das LCOS im Status sie so an.

Bei WPA3-Personal sieht die Sache anders aus, da kommt als gänzlich neues Protokoll SAE hinzu, und das wird vom LCOS erst angeboten, wenn man WPA3 im Setup zuläßt. Und ja, das optionale Anbieten von SAE macht im Moment bei einigen Clients Probleme, deren Entwickler mal wieder gepennt haben :-(

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
Maurice
Beiträge: 131
Registriert: 18 Sep 2017, 12:38

Re: WPA3 nicht abschaltbar?

Beitrag von Maurice »

Danke, das ist schlüssig. Richtig, ist eine SSID mit 802.1X. Wenn man sich im LANmonitor die Clients direkt auf den APs anschaut wird auch der jeweilige PMF-Status angezeigt. Und da korreliert "Protected-Management-Frames: Ja" mit "WPA-Version: 3".
Falls ich das richtig verstehe würde daher nichts dagegen sprechen, auf dieser SSID die WPA-Version auf "WPA2/3" zu stellen? Da das nichts anderes tut als PMFs optional zuzulassen (was bisher schon der Fall war)?

Wir haben noch eine andere SSID mit WPA2-PSK und da habe ich trotz PMF noch kein WPA3 gesehen. Soweit dann auch plausibel.
Dort sollte ich vorerst kein WPA3 zulassen, da sonst manche kaputten Clients Probleme bekommen können, richtig?

Das ist mein erster Kontakt mit WPA3. Wird noch interessant.
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: WPA3 nicht abschaltbar?

Beitrag von alf29 »

Moin,
Falls ich das richtig verstehe würde daher nichts dagegen sprechen, auf dieser SSID die WPA-Version auf "WPA2/3" zu stellen? Da das nichts anderes tut als PMFs optional zuzulassen (was bisher schon der Fall war)?
Korrekt. Wenn man WPA2/3 einstellt, wird die PMF-Einstellung zwangsweise auf mindestens "optional" angehoben. Bei nur-WPA3 würde sie zwangsweise auf "mandatory" gesetzt.
Dort sollte ich vorerst kein WPA3 zulassen, da sonst manche kaputten Clients Probleme bekommen können, richtig?
Wir habe hier zumindest im Haus durchgängig bei iOS-Clients gesehen, daß sie sich an einer PSK-SSID mit WPA2+3 nicht mehr anmelden wollen. Das ganze ist bei Apple gemeldet, aber wann die sich rühren...offensichtlich sind die AP-Hersteller bei WPA3 deutlich weiter als die von Clients.
Das ist mein erster Kontakt mit WPA3. Wird noch interessant.
Oh ja. Aber das ist wohl der Preis, wenn man (nach langer Zeit mal wieder) bei einem Feature ganz vorne dabei ist...

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
Antworten

Zurück zu „Alles zum LANCOM WLC-4100, WLC-4025+, WLC-4025 und WLC-4006 WLAN-Controller“