Hallo,
ich habe mir einen Wireless Print Server gekauft (TROY-200 Wireless), der WPA (TKIP) und WPA2 (CCMP = AES) beherrscht. Mit WPA habe ich den Print Server ans Laufen bekommen, wenn ich WPA2 mit der AES-Verschlüsselung auswähle, bekomme ich aber keine Verbindung, d.h. die WLAN-LED bleibt aus.
Beherrscht der 1511 kein WPA2?
Gruß
Tom
LC-1511: WPA2 ?
Moderator: Lancom-Systems Moderatoren
LC-1511: WPA2 ?
Lancom 1511 Wireless DSL | LCOS 7.56
Moin,
Alle 54er-LANCOMs beherrschen AES (was die wichtigste
Eigenschaft von WPA2/802.11i ist). Bei WPA2 haben sich
im Key-Exchange-Protokoll einige Details geändert, die
ab LCOS 5.00 berücksichtigt sein werden.
Die Unterschiede zwischen WPA und WPA2 bezüglich
des Key-Exchange sind in keinster Weise sicherheits-
relevant, es sind eher Optimierungen in dem Sinne,
daß der Key-Exchange nur noch 4 Pakete statt derer 6
benötigt.
Leider scheint es Hardware zu geben, die stur AES mit
WPA2 und TKIP mit WPA(1) verbindet, was völlig
unnötig ist - AES läßt sich auch problemlos mit WPA(1)
aushandeln, wie LANCOMs und die AirLancer-Treiber
demonstrieren. Besitzer solcher Hardware müssen
sich bis zum Erscheinen von LCOS 5.00 mit WPA/TKIP
begnügen - oder den Hersteller mal fragen, warum er
denn kein WPA/AES unterstützt...
Gruß Alfred
Alle 54er-LANCOMs beherrschen AES (was die wichtigste
Eigenschaft von WPA2/802.11i ist). Bei WPA2 haben sich
im Key-Exchange-Protokoll einige Details geändert, die
ab LCOS 5.00 berücksichtigt sein werden.
Die Unterschiede zwischen WPA und WPA2 bezüglich
des Key-Exchange sind in keinster Weise sicherheits-
relevant, es sind eher Optimierungen in dem Sinne,
daß der Key-Exchange nur noch 4 Pakete statt derer 6
benötigt.
Leider scheint es Hardware zu geben, die stur AES mit
WPA2 und TKIP mit WPA(1) verbindet, was völlig
unnötig ist - AES läßt sich auch problemlos mit WPA(1)
aushandeln, wie LANCOMs und die AirLancer-Treiber
demonstrieren. Besitzer solcher Hardware müssen
sich bis zum Erscheinen von LCOS 5.00 mit WPA/TKIP
begnügen - oder den Hersteller mal fragen, warum er
denn kein WPA/AES unterstützt...
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Doch tut er. Du kannst ja aber mal noch bei den WPA-/WEP-Einzeileinstellungen "spielen". vielleicht hilft dir das eine Kombination zu finden, mit der die Geräte miteinander sprechen...Beherrscht der 1511 kein WPA2?
Ansonsten brauchen wir hier ein paar mehr Infos: Den WLAN-Trace des 1511er beim Einbuchungsversuch deines Printservers zum Beispiel...
Gruß
Gaaaz
Moin,
bei der 4.12 gibt's einen kleinen Bug im WLAN-Trace.
Es gibt da neu eine MAC-Adresse, auf die man Traces
einschränken kann (Setup/WLAN/Trace-MAC), die in
der 4.12 wegen einer doppelt vergebenen SNMP-Id
nach dem Start immer mit einem falschen Wert hoch
kommt. Diese Adresse einfach auf Null oder die WLAN-MAC
des Print-Servers setzen.
Aber wie gesagt, ich kann mir schon vorstellen, was da noch
nicht klappt...
Gruß Alfred
bei der 4.12 gibt's einen kleinen Bug im WLAN-Trace.
Es gibt da neu eine MAC-Adresse, auf die man Traces
einschränken kann (Setup/WLAN/Trace-MAC), die in
der 4.12 wegen einer doppelt vergebenen SNMP-Id
nach dem Start immer mit einem falschen Wert hoch
kommt. Diese Adresse einfach auf Null oder die WLAN-MAC
des Print-Servers setzen.
Aber wie gesagt, ich kann mir schon vorstellen, was da noch
nicht klappt...
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Hallo,
ich habe gerade die neue Firmware 5.02 erfolgreich installiert, aber leider immer noch Probleme mit WPA2. Folgende Einstellungen im 1511 habe ich getestet:
WPA2
AES
WPA1/2
AES
WPA2
TKIP/AES
WPA1/2
TKIP/AES
Das Ergebnis ist immer das gleiche: Im WLAN Monitor wird der Printserver erkannt, als WPA-Version "2" angegeben und als Verschlüsselung AES. Als letztes Ereignis wird "Assoziierung erfolgreich" aufgeführt. Aber: Es ersheint nicht die zugewiesene IP (10.0.0.10) und ich habe keinen Zugriff auf den Printserver. Auch die Transferraten werden nicht angezeigt.
Im Printserver habe ich folgendes getestet:
WPA2
PSK
WPA1/2
PSK
Mehr Möglichkeiten habe ich nicht. Bei WPA2 wird AES als Verschlüsselung benutzt, bei WPA ist es TKIP. Mit WPA (ohne WPA2) habe ich keine Probleme.
Was kann ich noch tun?
Falls Ihr Logs braucht, dann gebt bitte kurz an, wie ich an diese komme.
Vielen Dank:)
Gruß
Tom
ich habe gerade die neue Firmware 5.02 erfolgreich installiert, aber leider immer noch Probleme mit WPA2. Folgende Einstellungen im 1511 habe ich getestet:
WPA2
AES
WPA1/2
AES
WPA2
TKIP/AES
WPA1/2
TKIP/AES
Das Ergebnis ist immer das gleiche: Im WLAN Monitor wird der Printserver erkannt, als WPA-Version "2" angegeben und als Verschlüsselung AES. Als letztes Ereignis wird "Assoziierung erfolgreich" aufgeführt. Aber: Es ersheint nicht die zugewiesene IP (10.0.0.10) und ich habe keinen Zugriff auf den Printserver. Auch die Transferraten werden nicht angezeigt.
Im Printserver habe ich folgendes getestet:
WPA2
PSK
WPA1/2
PSK
Mehr Möglichkeiten habe ich nicht. Bei WPA2 wird AES als Verschlüsselung benutzt, bei WPA ist es TKIP. Mit WPA (ohne WPA2) habe ich keine Probleme.
Was kann ich noch tun?
Falls Ihr Logs braucht, dann gebt bitte kurz an, wie ich an diese komme.
Vielen Dank:)
Gruß
Tom
Lancom 1511 Wireless DSL | LCOS 7.56
Hallo Alfred,
der EAP-Trace hört überhaupt nicht mehr auf, ich musste die Ausgabe manuell abbrechen.
Hier mal eine exemplarische Ausgabe:
Und hier die erste Seite des WLAN Log:
Gruß
Tom
der EAP-Trace hört überhaupt nicht mehr auf, ich musste die Ausgabe manuell abbrechen.
Hier mal eine exemplarische Ausgabe:
Code: Alles auswählen
[EAP] 2005/08/04 19:00:50,320
***Received EAP packet:
-->EAPOL Header
Protocol Version : 1
Packet Type : Key
Packet Length : 117
Key Type : 2
-->802.11i RSN Key Descriptor
Key Information : Version 2 Pairwise Key-Index 0 MIC
Key Length : 16
Replay Counter : 0000000000000001
Nonce : ac a5 f0 6f d7 84 18 1f ...o....
c1 1c 04 9d 7c b0 7f 45 ....|..E
00 c9 54 15 03 76 e1 5a ..T..v.Z
13 47 0e 76 ab 55 01 25 .G.v.U.%
Key IV : 00 00 00 00 00 00 00 00 ........
00 00 00 00 00 00 00 00 ........
Key RSC : 00 00 00 00 00 00 00 00 ........
Key ID : 00 00 00 00 00 00 00 00 ........
Key MIC : 55 b2 8d 4c 11 50 35 22 U..L.P5"
23 ed 3b 0d e5 83 3b f1 #.;...;.
Key Data Length : 22
Key Data : 30 14 01 00 00 0f ac 02 0.......
01 00 00 0f ac 04 01 00 ........
00 0f ac 02 00 00 ......
-->Received properly sequenced packet from supplicant for phase 2
-->Computing PTK
-->RSN/WPA info element mismatch - deauthenticating client, terminating negotiation
Code: Alles auswählen
> dir /st/wl/log
Index Time Interface Event Address
Reason
------------------------------------------------------------------------------------------------------------------------
------------------------------------------------------
2250 8/4/2005 19:03:57 WLAN-1 Associated WLAN station 00:40:17:8c:a5:7d [] 0040178ca57d
2249 8/4/2005 19:03:57 WLAN-1 Authenticated WLAN station 00:40:17:8c:a5:7d [] 0040178ca57d
2248 8/4/2005 19:03:57 WLAN-1 Key exchange with peer 00:40:17:8c:a5:7d failed 0040178ca57d
2247 8/4/2005 19:03:57 WLAN-1 Associated WLAN station 00:40:17:8c:a5:7d [] 0040178ca57d
2246 8/4/2005 19:03:57 WLAN-1 Authenticated WLAN station 00:40:17:8c:a5:7d [] 0040178ca57d
2245 8/4/2005 19:03:56 WLAN-1 Key exchange with peer 00:40:17:8c:a5:7d failed 0040178ca57d
2244 8/4/2005 19:03:56 WLAN-1 Associated WLAN station 00:40:17:8c:a5:7d [] 0040178ca57d
2243 8/4/2005 19:03:56 WLAN-1 Authenticated WLAN station 00:40:17:8c:a5:7d [] 0040178ca57d
2242 8/4/2005 19:03:56 WLAN-1 Key exchange with peer 00:40:17:8c:a5:7d failed 0040178ca57d
2241 8/4/2005 19:03:55 WLAN-1 Associated WLAN station 00:40:17:8c:a5:7d [] 0040178ca57d
2240 8/4/2005 19:03:55 WLAN-1 Authenticated WLAN station 00:40:17:8c:a5:7d [] 0040178ca57d
2239 8/4/2005 19:03:55 WLAN-1 Key exchange with peer 00:40:17:8c:a5:7d failed 0040178ca57d
2238 8/4/2005 19:03:54 WLAN-1 Associated WLAN station 00:40:17:8c:a5:7d [] 0040178ca57d
2237 8/4/2005 19:03:54 WLAN-1 Authenticated WLAN station 00:40:17:8c:a5:7d [] 0040178ca57d
2236 8/4/2005 19:03:54 WLAN-1 Key exchange with peer 00:40:17:8c:a5:7d failed 0040178ca57d
2235 8/4/2005 19:03:54 WLAN-1 Associated WLAN station 00:40:17:8c:a5:7d [] 0040178ca57d
2234 8/4/2005 19:03:54 WLAN-1 Authenticated WLAN station 00:40:17:8c:a5:7d [] 0040178ca57d
2233 8/4/2005 19:03:54 WLAN-1 Key exchange with peer 00:40:17:8c:a5:7d failed 0040178ca57d
2232 8/4/2005 19:03:53 WLAN-1 Associated WLAN station 00:40:17:8c:a5:7d [] 0040178ca57d
2231 8/4/2005 19:03:53 WLAN-1 Authenticated WLAN station 00:40:17:8c:a5:7d [] 0040178ca57d
2230 8/4/2005 19:03:53 WLAN-1 Key exchange with peer 00:40:17:8c:a5:7d failed 0040178ca57d
MORE [Q(uit)]>q
Tom
Lancom 1511 Wireless DSL | LCOS 7.56
Moin,
zum Weitersuchen. Die Schlüsselverhandlung läuft an
und mittendrin meint der AP, daß da jemand
dazwischengehauen hat. Um einzukreisen, wer da
etwas falsch macht, bräuchte ich noch die Ausgabe
eines
trace + wlan @ assocreq
- da kann man sehen, was der Client als Verschlüsselung
bei der Assoziation angefordert hatte. Dann wissen
wir hoffentlich mehr
Gruß & Dank
Alfred
OK, das ist schon mal gut und gibt einen AnhaltspunktKey Data : 30 14 01 00 00 0f ac 02 0.......
01 00 00 0f ac 04 01 00 ........
00 0f ac 02 00 00 ......
-->Received properly sequenced packet from supplicant for phase 2
-->Computing PTK
-->RSN/WPA info element mismatch - deauthenticating client, terminating negotiation
zum Weitersuchen. Die Schlüsselverhandlung läuft an
und mittendrin meint der AP, daß da jemand
dazwischengehauen hat. Um einzukreisen, wer da
etwas falsch macht, bräuchte ich noch die Ausgabe
eines
trace + wlan @ assocreq
- da kann man sehen, was der Client als Verschlüsselung
bei der Assoziation angefordert hatte. Dann wissen
wir hoffentlich mehr
Gruß & Dank
Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Hallo Alfred,
hier ist die Ausgabe. (Auch hier erscheint die Ausgabe immer wieder, so dass ich manuell abbrechen musste. Ich habe 2 "Phasen" mal angehängt.)
Gruß
Tom
hier ist die Ausgabe. (Auch hier erscheint die Ausgabe immer wieder, so dass ich manuell abbrechen musste. Ich habe 2 "Phasen" mal angehängt.)
Vielen Dank!root@LC-1511:/
> trace + wlan @ assocreq
WLAN ON @ assocreq
root@LC-1511:/
>
[WLAN] 2005/08/06 07:57:46,360
WLAN frame dumped length = 102 bytes
-->Full Length: 102 Bytes
-->Rate(s): 1M
-->11b Preamble: Long
-->Antenna: 1
-->Signal: -29dBm
-->Noise: -93dBm
-->IEEE 802.11 Header
Protocol Version : 0
Flags :
Type : Mgmt
Subtype : AssocReq
Duration : 013a
Address1 [DA ] : 00:0f:a3:11:08:4f (Alpha Networks 11:08:4f)
Address2 [SA ] : 00:40:17:8c:a5:7d
Address3 [BSS] : 00:0f:a3:11:08:4f (Alpha Networks 11:08:4f)
Sequence Number : 27
Fragment Number : 0
-->802.11 Management Frame:
Capabilities : Privacy ESS ShortSlot
Listen Interval : 5
SSID : zero
Supported Rates : [1.0M] [2.0M] [5.5M] [11.0M]
Ext. Supp. Rates : [6.0M] [9.0M] [12.0M] [18.0M] [24.0M] [36.0M] [48.0M] [54.0M]
Aironet Info : Load 0
Hops 0
Device Type unknown (0)
Refresh 0
CWMin 0
CWMax 0
Flags CKIP-MIC CKIP-KP
Distance 0
Name
RSN Cipher Info : Version 1
Group Cipher TGI-CSE-TKIP
Pairwise Ciphers TGI-CSE-CCM
Authentication Selectors TGI-802.1x-PSK
Capabilities: 2 PTKSA replay counters 2 GTKSA replay counters
[WLAN] 2005/08/06 07:57:48,800
WLAN frame dumped length = 102 bytes
-->Full Length: 102 Bytes
-->Rate(s): 1M
-->11b Preamble: Long
-->Antenna: 1
-->Signal: -29dBm
-->Noise: -93dBm
-->IEEE 802.11 Header
Protocol Version : 0
Flags :
Type : Mgmt
Subtype : AssocReq
Duration : 013a
Address1 [DA ] : 00:0f:a3:11:08:4f (Alpha Networks 11:08:4f)
Address2 [SA ] : 00:40:17:8c:a5:7d
Address3 [BSS] : 00:0f:a3:11:08:4f (Alpha Networks 11:08:4f)
Sequence Number : 32
Fragment Number : 0
-->802.11 Management Frame:
Capabilities : Privacy ESS ShortSlot
Listen Interval : 5
SSID : zero
Supported Rates : [1.0M] [2.0M] [5.5M] [11.0M]
Ext. Supp. Rates : [6.0M] [9.0M] [12.0M] [18.0M] [24.0M] [36.0M] [48.0M] [54.0M]
Aironet Info : Load 0
Hops 0
Device Type unknown (0)
Refresh 0
CWMin 0
CWMax 0
Flags CKIP-MIC CKIP-KP
Distance 0
Name
RSN Cipher Info : Version 1
Group Cipher TGI-CSE-TKIP
Pairwise Ciphers TGI-CSE-CCM
Authentication Selectors TGI-802.1x-PSK
Capabilities: 2 PTKSA replay counters 2 GTKSA replay counters
Gruß
Tom
Lancom 1511 Wireless DSL | LCOS 7.56
Moin,
OK, jetzt wissen wir, woran wir sind - auch wenn die Antwort Dich nicht freuen wird:
Das ist das 11i-Infoelement, das der Client während der Assoziation an den AP schickt:
wiederholt:
angeben: Während des Schlüsselaustauschs behauptet der
Client auf einmal nur noch, jeweils einen Replay-Couter zu haben.
Während der Assoziation meinte er noch, er hätte deren zwei (das
wäre binär dargestellt 14 00).
Sowohl WPA als auch 802.11i verlangen jedoch strikt, daß das vom
Client geschickte Infoelement in beiden Paketen Bit für Bit identisch
sein muß - wenn es das nicht ist, muß von einer Man-in-the-middle-
Attacke ausgegangen werden und der AP bricht sofort die Verbindung
ab.
Ich denke, das ist ein Fall für den Support des Herstellers Deines
Print-Servers - auch wenn Du Probleme haben dürftest, denen zu
erklären, was sie da falsch gemacht haben...
Gruß Alfred
OK, jetzt wissen wir, woran wir sind - auch wenn die Antwort Dich nicht freuen wird:
Das ist das 11i-Infoelement, das der Client während der Assoziation an den AP schickt:
Und das ist das Infoelement, wie er es während des SchlüsselaustauschsRSN Cipher Info : Version 1
Group Cipher TGI-CSE-TKIP
Pairwise Ciphers TGI-CSE-CCM
Authentication Selectors TGI-802.1x-PSK
Capabilities: 2 PTKSA replay counters 2 GTKSA replay counters
wiederholt:
Der Hund liegt in den letzten zwei Bytes begraben, die die 'Capabilities'Key Data : 30 14 01 00 00 0f ac 02 0.......
01 00 00 0f ac 04 01 00 ........
00 0f ac 02 00 00 ......
angeben: Während des Schlüsselaustauschs behauptet der
Client auf einmal nur noch, jeweils einen Replay-Couter zu haben.
Während der Assoziation meinte er noch, er hätte deren zwei (das
wäre binär dargestellt 14 00).
Sowohl WPA als auch 802.11i verlangen jedoch strikt, daß das vom
Client geschickte Infoelement in beiden Paketen Bit für Bit identisch
sein muß - wenn es das nicht ist, muß von einer Man-in-the-middle-
Attacke ausgegangen werden und der AP bricht sofort die Verbindung
ab.
Ich denke, das ist ein Fall für den Support des Herstellers Deines
Print-Servers - auch wenn Du Probleme haben dürftest, denen zu
erklären, was sie da falsch gemacht haben...
Gruß Alfred