Hallöchen,
bei mir klappt das mit Leps nicht wie beschrieben. Bei einer individuellen Passphrase bekomme ich keine Verbindung. Nur wenn ich den gleichen Key eingebe wie bei 802.11i. Das hatte ich ursprünglich gemacht, ist aber wohl nicht Sinn der Sache.
Gruß
Dietmar
LEPS funktioniert nicht mit individueller Passphrase
Moderator: Lancom-Systems Moderatoren
-
froeschi62
- Beiträge: 985
- Registriert: 13 Dez 2004, 10:44
Hi,
wie Alfred Dir ja auch schon im Router-Forum geschrieben hat, pruefen ob:
- die MAC Filter fuer diese SSID aktiv/eingeschaltet sind
- der Access Mode auf "positiv" geschaltet ist
Ciao
LoUiS
wie Alfred Dir ja auch schon im Router-Forum geschrieben hat, pruefen ob:
- die MAC Filter fuer diese SSID aktiv/eingeschaltet sind
- der Access Mode auf "positiv" geschaltet ist
Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
-
froeschi62
- Beiträge: 985
- Registriert: 13 Dez 2004, 10:44
Hi,
dann schau per SSH/Telnet nach was unter /Status/WLAN-statistics/Log-Table angezeigt wird. Dort wird angezeigt was beim einbuchen des Client passiert. Vergleiche die MAC Adressen noch einmal.
Ciao
LoUiS
dann schau per SSH/Telnet nach was unter /Status/WLAN-statistics/Log-Table angezeigt wird. Dort wird angezeigt was beim einbuchen des Client passiert. Vergleiche die MAC Adressen noch einmal.
Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
-
froeschi62
- Beiträge: 985
- Registriert: 13 Dez 2004, 10:44
-
froeschi62
- Beiträge: 985
- Registriert: 13 Dez 2004, 10:44
Hallo Louis,
hier meine Log-Files
552 14.12.2004 0:32:18 WLAN-1 Key exchange with peer 00:0f:66:c6:81:28 successfully 000f66c68128
551 14.12.2004 0:32:17 WLAN-1 Reassociated WLAN station 00:0f:66:c6:81:28 [] 000f66c68128
550 14.12.2004 0:32:17 WLAN-1 Authenticated WLAN station 00:0f:66:c6:81:28 [] 000f66c68128
549 14.12.2004 0:32:14 WLAN-1 Timeout in key exchange with peer 00:0f:66:c6:81:28 000f66c68128
548 14.12.2004 0:31:52 WLAN-1 Associated WLAN station 00:0f:66:c6:81:28 [] 000f66c68128
547 14.12.2004 0:31:52 WLAN-1 Authenticated WLAN station 00:0f:66:c6:81:28 [] 000f66c68128
546 14.12.2004 0:30:48 WLAN-1 Timeout in key exchange with peer 00:0f:66:c6:81:28 000f66c68128
545 14.12.2004 0:30:28 WLAN-1 Reassociated WLAN station 00:0f:66:c6:81:28 [] 000f66c68128
544 14.12.2004 0:30:28 WLAN-1 Authenticated WLAN station 00:0f:66:c6:81:28 [] 000f66c68128
Nur das Erste ohne Passphrase funktioniert.
Gruß
Dietmar
hier meine Log-Files
552 14.12.2004 0:32:18 WLAN-1 Key exchange with peer 00:0f:66:c6:81:28 successfully 000f66c68128
551 14.12.2004 0:32:17 WLAN-1 Reassociated WLAN station 00:0f:66:c6:81:28 [] 000f66c68128
550 14.12.2004 0:32:17 WLAN-1 Authenticated WLAN station 00:0f:66:c6:81:28 [] 000f66c68128
549 14.12.2004 0:32:14 WLAN-1 Timeout in key exchange with peer 00:0f:66:c6:81:28 000f66c68128
548 14.12.2004 0:31:52 WLAN-1 Associated WLAN station 00:0f:66:c6:81:28 [] 000f66c68128
547 14.12.2004 0:31:52 WLAN-1 Authenticated WLAN station 00:0f:66:c6:81:28 [] 000f66c68128
546 14.12.2004 0:30:48 WLAN-1 Timeout in key exchange with peer 00:0f:66:c6:81:28 000f66c68128
545 14.12.2004 0:30:28 WLAN-1 Reassociated WLAN station 00:0f:66:c6:81:28 [] 000f66c68128
544 14.12.2004 0:30:28 WLAN-1 Authenticated WLAN station 00:0f:66:c6:81:28 [] 000f66c68128
Nur das Erste ohne Passphrase funktioniert.
Gruß
Dietmar
Moin,
dann müßte man als nächstes mal genau sehen, was im Key-Exchange schief geht. Ein 'trace + eap' sollte
das notwendige liefern.
Mal ganz doof gefragt (nein, nicht hauen): Wenn Du
eine individuelle Passphrase benutzt, hast Du den
Client dann auch auf die andere Passphrase
umkonfiguriert?
Dein Client ist ja keine AirLancer-, sondern eine Linksys-
Karte, wenn die über ZeroConfig läuft, muß man da evtl.
erstmal die alte Konfig komplett löschen - Zeroconfig
kann da bisweilen etwas störrisch sein...
Gruß Alfred
dann müßte man als nächstes mal genau sehen, was im Key-Exchange schief geht. Ein 'trace + eap' sollte
das notwendige liefern.
Mal ganz doof gefragt (nein, nicht hauen): Wenn Du
eine individuelle Passphrase benutzt, hast Du den
Client dann auch auf die andere Passphrase
umkonfiguriert?
Dein Client ist ja keine AirLancer-, sondern eine Linksys-
Karte, wenn die über ZeroConfig läuft, muß man da evtl.
erstmal die alte Konfig komplett löschen - Zeroconfig
kann da bisweilen etwas störrisch sein...
Gruß Alfred
-
froeschi62
- Beiträge: 985
- Registriert: 13 Dez 2004, 10:44
Grußalf29 hat geschrieben:Moin,
Hallo Alfred,
erst einmal velen Dank, daß Du und Louis Euch jedesmal in den Forenso engagiert!
>dann müßte man als nächstes mal genau sehen, was im Key-Exchange schief geht. >Ein 'trace + eap' sollte
>das notwendige liefern.
hmm, wenn Du mir erklärst wie ich das am Router (lancom 1821) mache?:-)))
>Mal ganz doof gefragt (nein, nicht hauen): Wenn Du
>eine individuelle Passphrase benutzt, hast Du den
>Client dann auch auf die andere Passphrase
>umkonfiguriert?
Die Frage ist vollkommen berechtigt, denn genau an diesem Punkte bin ich mir vom Verständnis und Eurer Beschreibung her unsicher.
Es ist nämlich folgendes. Benutzt der Client und Leps (Passphraseeintrag in der ACL) den selben Key, dann funktioniert das nämlich einwandfrei. Das ist nach meinem Verständnis auch irgendwie logisch.
Laut Eurer Beschreibung wird aber am Client-Key nichts verändert.
>Dein Client ist ja keine AirLancer-, sondern eine Linksys-
>Karte, wenn die über ZeroConfig läuft, muß man da evtl.
>erstmal die alte Konfig komplett löschen - Zeroconfig
>kann da bisweilen etwas störrisch sein...
Gruß Alfred
Dietmar
-
froeschi62
- Beiträge: 985
- Registriert: 13 Dez 2004, 10:44
Nachtrag,
Alfred, die Passphrase, die der Client nutzt, habe ich im logischen Wlan-1 definiert.
Es sieht dann zum Verständnis so aus:
gleiche Passphrase in ACL+ gleiche Phasphrase logisches Wlan-1 + gleiche Phassphrase Clientkonfiguration = funktionierendes LEPS
Ich verstehe es auch so, daß man beim Client nur dijenige Passphrase benutzen kann, die über das logische Wlan-x des AP's definiert worden ist. Sonst würde die Verschlüsselung WPA2 doch nicht funktonieren...
Gruß
Dietmar
Alfred, die Passphrase, die der Client nutzt, habe ich im logischen Wlan-1 definiert.
Es sieht dann zum Verständnis so aus:
gleiche Passphrase in ACL+ gleiche Phasphrase logisches Wlan-1 + gleiche Phassphrase Clientkonfiguration = funktionierendes LEPS
Ich verstehe es auch so, daß man beim Client nur dijenige Passphrase benutzen kann, die über das logische Wlan-x des AP's definiert worden ist. Sonst würde die Verschlüsselung WPA2 doch nicht funktonieren...
Gruß
Dietmar
Lancom 1823 VOIP
Moin,
kurz zusammengefaßt: Bei WPA/PSK wird das
sogenannte 'PMK', die Grundlage der Schlüsselaushandlung zwischen AP und Client,
aus der SSID des verwendeten WLANs und aus der
Passphrase gebildet. Wenn auf AP- und Client-Seite
eines der beiden nicht übereinstimmt, dann scheitert
der Key-Exchange und der Client 'kommt nicht rein'.
Zumindest bei der Passphrase ist das ja auch der
Sinn der Sache
Die Passphrase wird niemals direkt benutzt,
um den eigentlichen TKIP- oder AES-Schlüssel zu
errechnen - sie dient eher dazu, eine Art 'Tunnel'
aufzubauen, in dem dann der eigentliche Schlüssel
ausgehandelt wird. Durch Verwendung von Zufallszahlen
kommt dabei bei jeder Anmeldung ein anderer
Schlüssel heraus.
Wenn Du auf einem AP mehrere Netze (Netz1, Netz2,
Netz3,...) ohne LEPS benutzt, dann gilt für einen Client
in jedem Netz die jeweils diesem Netz zugeordnete
Passphrase. In den Profilen eines Clients hätte man
also
Netz1 + Passphrase1
Netz2 + Passphrase 2
Netz3 + Passphrase 3
....
Sobald für einen Client aber LEPS definiert ist, benutzt
der AP für die PMK-Berechnung mit diesem Client immer
die in der ACL hinterlegte Passphrase, und zwar
<b>unabhängig</b> davon, an welchem Netz sich der
Client angemeldet hat. Die Profile auf einem Client,
für den per LEPS eine individuelle Passphrase konfiguriert
wurde, würden also so aussehen:
Netz1 + Passphrase aus ACL
Netz2 + Passphrase aus ACL
Netz3 + Passphrase aus ACL
...
Gruß Alfred
kurz zusammengefaßt: Bei WPA/PSK wird das
sogenannte 'PMK', die Grundlage der Schlüsselaushandlung zwischen AP und Client,
aus der SSID des verwendeten WLANs und aus der
Passphrase gebildet. Wenn auf AP- und Client-Seite
eines der beiden nicht übereinstimmt, dann scheitert
der Key-Exchange und der Client 'kommt nicht rein'.
Zumindest bei der Passphrase ist das ja auch der
Sinn der Sache
Die Passphrase wird niemals direkt benutzt,
um den eigentlichen TKIP- oder AES-Schlüssel zu
errechnen - sie dient eher dazu, eine Art 'Tunnel'
aufzubauen, in dem dann der eigentliche Schlüssel
ausgehandelt wird. Durch Verwendung von Zufallszahlen
kommt dabei bei jeder Anmeldung ein anderer
Schlüssel heraus.
Wenn Du auf einem AP mehrere Netze (Netz1, Netz2,
Netz3,...) ohne LEPS benutzt, dann gilt für einen Client
in jedem Netz die jeweils diesem Netz zugeordnete
Passphrase. In den Profilen eines Clients hätte man
also
Netz1 + Passphrase1
Netz2 + Passphrase 2
Netz3 + Passphrase 3
....
Sobald für einen Client aber LEPS definiert ist, benutzt
der AP für die PMK-Berechnung mit diesem Client immer
die in der ACL hinterlegte Passphrase, und zwar
<b>unabhängig</b> davon, an welchem Netz sich der
Client angemeldet hat. Die Profile auf einem Client,
für den per LEPS eine individuelle Passphrase konfiguriert
wurde, würden also so aussehen:
Netz1 + Passphrase aus ACL
Netz2 + Passphrase aus ACL
Netz3 + Passphrase aus ACL
...
Gruß Alfred
-
froeschi62
- Beiträge: 985
- Registriert: 13 Dez 2004, 10:44
Hallo Alfred,
danke! Das ist mir soweit klar. Sehe ich das richtig, um Leps aber nutzen zu können, muß ich die gleiche Phassphrase auch im Client eintragen, die als individuelle Passphrase vorher in der Stations-ACL definiert wurde.
Louis hat mir das Endergebnis so erklärt
Leps aktiviert, folgende 2 Clientprofile sollten laufen:
1. Clientprofil mit allgmeiner Passphrase (im logischien Wlan-x definiert und im Client eingetragen). Das funktioniert bei mir jedenfalls nicht, Anmeldung abgelehnt.
2. Clientprofil
Client wird mit der gleichen Passphrase konfiguriert, die in der Stationen-ACL für LEPS vorher eingetragen wurde.
Das habe ich noch nicht getestet!
Liebe Grüße
Dietmar
danke! Das ist mir soweit klar. Sehe ich das richtig, um Leps aber nutzen zu können, muß ich die gleiche Phassphrase auch im Client eintragen, die als individuelle Passphrase vorher in der Stations-ACL definiert wurde.
Louis hat mir das Endergebnis so erklärt
Leps aktiviert, folgende 2 Clientprofile sollten laufen:
1. Clientprofil mit allgmeiner Passphrase (im logischien Wlan-x definiert und im Client eingetragen). Das funktioniert bei mir jedenfalls nicht, Anmeldung abgelehnt.
2. Clientprofil
Client wird mit der gleichen Passphrase konfiguriert, die in der Stationen-ACL für LEPS vorher eingetragen wurde.
Das habe ich noch nicht getestet!
Liebe Grüße
Dietmar
Lancom 1823 VOIP
-
froeschi62
- Beiträge: 985
- Registriert: 13 Dez 2004, 10:44
-
froeschi62
- Beiträge: 985
- Registriert: 13 Dez 2004, 10:44
Hallo Alfred,
meine Verständnisfrage deshalb:
Verwendung allgemeine Passphrase (WPA2)
1. Nur konfiguration des logischen Wlan Interfaces Wlan-x mit Pasphrase, die ich dann anschließend im Client eintrage
2. In der ACL trage ich nichts ein oder lösche den vorhanden ACL-Passphraseeintrag???
Verwendung LEPS
1. Eintrag Passphrase in der Stationen-ACL
2. Konfiguraton Client mit der Passphrase der Stationen-ACL
3. Löschen des Schlüssels im logischen Wlan-x Eintrag oder so lassen?
Gruß
Dietmar
meine Verständnisfrage deshalb:
Verwendung allgemeine Passphrase (WPA2)
1. Nur konfiguration des logischen Wlan Interfaces Wlan-x mit Pasphrase, die ich dann anschließend im Client eintrage
2. In der ACL trage ich nichts ein oder lösche den vorhanden ACL-Passphraseeintrag???
Verwendung LEPS
1. Eintrag Passphrase in der Stationen-ACL
2. Konfiguraton Client mit der Passphrase der Stationen-ACL
3. Löschen des Schlüssels im logischen Wlan-x Eintrag oder so lassen?
Gruß
Dietmar
Lancom 1823 VOIP
-
froeschi62
- Beiträge: 985
- Registriert: 13 Dez 2004, 10:44
Hallo Alfred,
so jetzt habe ich gerade mal im Client die Passphrase eingetragen, die ich mit dem aktivierten LEPS (Passphrase-Eintrag ACL Stationen) verwende. Und sie da, Verbindung hat sofort geklappt.
Will ich aber die allgemeine Passphrase (logisches Wlan-1, WPA-AES und Client ebenfalls auf diese Passphrase konfiguriert) verwenden, muss ich die Passphrase in der ACL wieder löschen.
Fazit bei mir:
LEPS hat immer Vorrang!
Wenn LEPS konfiguriert, muss Client gleiche Passphrase enthalten.
Bei Nutzung der allgemeinen Passphrase muss LEPS deaktiviert (Passphrase in der ACL gelöscht) werden. Client dabei auf allgemeine Passphrase umkonfigurieren.
Sollten meine Ergebnisse so richtig sein, sollten Eure Dokumente dementsprechend nochmals umgeschrieben werden.
Zumindest folgende Verständnisprobleme gab es bei mir:
1. LEPS wir nur im AP konfiguriert, Client nicht angefasst
2. LEPS funktioniert auch in Verbindung mit allgemeiner Passphrase, die zusätzlich als zweite Sicherung dient. Ich habe mich gefragt, wie das funktionieren soll. Der Client indentifiziert sich entweder mit der Passphrase, die in der ACL eingetragen ist, oder mit der Passphrase, die über den allgemeinen Key definiert wird. Aber nicht beides.
Gruß
Dietmar
so jetzt habe ich gerade mal im Client die Passphrase eingetragen, die ich mit dem aktivierten LEPS (Passphrase-Eintrag ACL Stationen) verwende. Und sie da, Verbindung hat sofort geklappt.
Will ich aber die allgemeine Passphrase (logisches Wlan-1, WPA-AES und Client ebenfalls auf diese Passphrase konfiguriert) verwenden, muss ich die Passphrase in der ACL wieder löschen.
Fazit bei mir:
LEPS hat immer Vorrang!
Wenn LEPS konfiguriert, muss Client gleiche Passphrase enthalten.
Bei Nutzung der allgemeinen Passphrase muss LEPS deaktiviert (Passphrase in der ACL gelöscht) werden. Client dabei auf allgemeine Passphrase umkonfigurieren.
Sollten meine Ergebnisse so richtig sein, sollten Eure Dokumente dementsprechend nochmals umgeschrieben werden.
Zumindest folgende Verständnisprobleme gab es bei mir:
1. LEPS wir nur im AP konfiguriert, Client nicht angefasst
2. LEPS funktioniert auch in Verbindung mit allgemeiner Passphrase, die zusätzlich als zweite Sicherung dient. Ich habe mich gefragt, wie das funktionieren soll. Der Client indentifiziert sich entweder mit der Passphrase, die in der ACL eingetragen ist, oder mit der Passphrase, die über den allgemeinen Key definiert wird. Aber nicht beides.
Gruß
Dietmar
Lancom 1823 VOIP
Moin,
ja, so ist es, und ich wüßte auch nicht, daß wir es je anders
dokumentiert hätten. Sobald in der ACL eine Passphrase für
einen Client definiert ist, muß dieser Client für die Anmeldung
auch genau diese Passphrase verwenden, und zwar unabhängig
davon an welchem logischem Netz sich der Client anmeldet -
die für dieses Netz eingetragene 'globale' Passphrase spielt
dann für diesen Client keine Rolle mehr.
WPA/PSK ist - wie die Abkürzung sagt - ein Pre-Shared-Key-
Verfahren, d.h. beide Seiten müssen vorab Kenntnis über
den verwendeten Schüssel haben, und das ist bei WPA/PSK
eben die Passphrase.
Ursprünglich hatten sich IEEE und Wifi-Alliance WPA/PSK nur
für kleine Heimnetze gedacht, wo es in Ordnung ist, überall
auf allen Clients die gleiche Passphrase zu verwenden - es
sind ja nur ein paar, da ist ein Wechsel einfach. Es hat sich
aber in der Praxis gezeigt, daß auch mittelgroße Firmen
vor der Installation des für 802.1x notwendigen RADIUS-Servers
zurückscheuen und stattdessen WPA/PSK benutzen. Mit
einer globalen Passphrase hat man aber nun das Problem,
daß man
(a) ab einer bestimmten Firmengröße die Passphrase genauso
gut ans schwarze Brett hängen könnte, zu viele kennen sie
und sie ist damit nicht mehr wirklich geheim.
(b) man auf *sämtlichen* Rechnern eine neue Passphrase
einrichten muß, nur wenn ein Mitarbeiter die Firma (im
Steit) verläßt.
Diese Probleme löst LEPS, denn jeder Benutzer kennt nur noch
seine Passphrase, die ihm auch nur mit seiner WLAN-Karte etwas
nutzt, nur der Admin kennt alle Passphrases, und wenn ein
Mitarbeiter die Firma verläßt, braucht er nur noch diesen
einen Eintrag zu löschen oder zu ändern.
Ob Du diese Vorteile zu Hause brauchst, wiß ich natürlich nicht
Gruß Alfred
ja, so ist es, und ich wüßte auch nicht, daß wir es je anders
dokumentiert hätten. Sobald in der ACL eine Passphrase für
einen Client definiert ist, muß dieser Client für die Anmeldung
auch genau diese Passphrase verwenden, und zwar unabhängig
davon an welchem logischem Netz sich der Client anmeldet -
die für dieses Netz eingetragene 'globale' Passphrase spielt
dann für diesen Client keine Rolle mehr.
WPA/PSK ist - wie die Abkürzung sagt - ein Pre-Shared-Key-
Verfahren, d.h. beide Seiten müssen vorab Kenntnis über
den verwendeten Schüssel haben, und das ist bei WPA/PSK
eben die Passphrase.
Ursprünglich hatten sich IEEE und Wifi-Alliance WPA/PSK nur
für kleine Heimnetze gedacht, wo es in Ordnung ist, überall
auf allen Clients die gleiche Passphrase zu verwenden - es
sind ja nur ein paar, da ist ein Wechsel einfach. Es hat sich
aber in der Praxis gezeigt, daß auch mittelgroße Firmen
vor der Installation des für 802.1x notwendigen RADIUS-Servers
zurückscheuen und stattdessen WPA/PSK benutzen. Mit
einer globalen Passphrase hat man aber nun das Problem,
daß man
(a) ab einer bestimmten Firmengröße die Passphrase genauso
gut ans schwarze Brett hängen könnte, zu viele kennen sie
und sie ist damit nicht mehr wirklich geheim.
(b) man auf *sämtlichen* Rechnern eine neue Passphrase
einrichten muß, nur wenn ein Mitarbeiter die Firma (im
Steit) verläßt.
Diese Probleme löst LEPS, denn jeder Benutzer kennt nur noch
seine Passphrase, die ihm auch nur mit seiner WLAN-Karte etwas
nutzt, nur der Admin kennt alle Passphrases, und wenn ein
Mitarbeiter die Firma verläßt, braucht er nur noch diesen
einen Eintrag zu löschen oder zu ändern.
Ob Du diese Vorteile zu Hause brauchst, wiß ich natürlich nicht
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015