WPA 1/2 bzw. WPA 2 und Mac OS 10.3

[ischilling]

Hi,

nach dem Update auf FW 5.02 beim 1511er gibts ja nun die Moeglichkeit WAP 1/2 bzw. WPA 2 zu nutzen.

Supi, nur leider kommen unsere Windows- PCs damit super klar (und entscheiden sich trotz geupdater Treiber fuer WPA 1!).

!!! Selbst bei WPA 2 Einstellung entscheiden sich die Kisten (lt. Treiber und LAN Monitor) fuer WPA 1

Die Macs sind kurzerhand der Meinung gar nicht mehr mit dem 1511er zu wollen und machen nur mit wenn sie WPA 1 serviert bekommen.

--> Entweder das Aushandeln in WPA 1/2 klappt nicht zwischen OS 10.3 und 1511er, oder aber WPA 2 beim OS 10.3 nicht. Letzteres konnte ich nun mit anderen Geraeten (nicht LANCOM) testen und laeuft.

--> Folgende Fragestellungen:
a) Was haengt, wie finde ichs raus und was kann ich dagegen machen?
b) Nebenkriegsschauplatz: Wieso gehen die Windows SP SP2 Kisten trotz Treiberudpate nicht auf WPA 2, sondern entscheiden sich immer fuer WPA 1
c) Wieso geht b) auch bei eingeschaltetem WPA 2 im Lancom

Vielleicht kann mir ja jmd. auf die Spruenge helfen

Liebe Gruesse aus Berlin,

Ingo

[alf29]

Moin,

a) Was haengt, wie finde ichs raus und was kann ich dagegen machen?

Das mußt Du Apple fragen. Zum einen muß der Supplicant überhaupt das
bei 11i/WPA2 leicht geänderte Format der EAPOL-Pakete unterstützen.
Zum anderen haben viele WLAN-Clients recht merkwürdige und unmotivierte
Vorstellungen, was zusammen geht: WPA nur mit TKIP, dafür AES nur mit WPA2,
und Mischbetrieb schon gar nicht...dafür gibt es alles keine sachlichen
Begründungen, außer daß der Client-Programmierer offensichtlich nicht über
den Tellerrand der drei APs hinausdenken konnte, die bei ihm auf dem Tisch
standen...

Das Zeroconfig in älteren XP- und CE-Versionen hat ja zum Beispiel auch die
Macke, daß man das Anbieten von AES explizit abschalten muß, damit die
Anmeldung durchläuft. Ist eigentlich auch ein klarer Bug im ZeroConfig...aber
was hilft's...

b) Nebenkriegsschauplatz: Wieso gehen die Windows SP SP2 Kisten trotz Treiberudpate nicht auf WPA 2, sondern entscheiden sich immer fuer WPA 1

Stand bei dem Update denn auch explizit dabei, daß der Treiber damit WPA2
unterstützt? Bedenke, damit WPA2 klappt, müssen Treiber, Zeroconfig und ein
eventuell vom Kartenhersteller mitgebrachter WPA-Supplicant am gleichen
Strang ziehen...

c) Wieso geht b) auch bei eingeschaltetem WPA 2 im Lancom

Du meinst, WPA1 war explizit abgeschaltet? Das würde mich wundern, denn
in dieser Betriebsart bietet das LANCOM das 'alte' WPA1-Infoelement gar nicht
mehr an - ein nicht-WPA2-fähiger Client sollte bestenfalls versuchen, mit WEP
reinzukommen...

Generell ist die WPA2-Unterstützung aber nicht kriegsentscheidend, weil sich
mit WPA1 genauso AES und/oder TKIP aushandeln lassen. Viele aktuelle
Clients können noch kein WPA2, für viele wird's auch keine Updates mehr geben,
die das nachliefern, nicht ohne Grund ist der Konfig-Default nur-WPA(1). Wir
haben WPA2-Support im wesentlichen deswegen in die 5.0 reingenommen,
weil es einige hirnverbrannte Clients gibt, die AES nur im Zusammenhang mit
WPA2 aushandeln wollen...

Gruß Alfred

[ischilling]

Hi Alf,

Das mußt Du Apple fragen. Zum einen muß der Supplicant überhaupt das
bei 11i/WPA2 leicht geänderte Format der EAPOL-Pakete unterstützen.
Zum anderen haben viele WLAN-Clients recht merkwürdige und unmotivierte
Vorstellungen, was zusammen geht: WPA nur mit TKIP, dafür AES nur mit WPA2,
und Mischbetrieb schon gar nicht...dafür gibt es alles keine sachlichen
Begründungen, außer daß der Client-Programmierer offensichtlich nicht über
den Tellerrand der drei APs hinausdenken konnte, die bei ihm auf dem Tisch
standen...

Sehe ich auch so, nur - wie ich auch geschrieben hatte - an den CISCO- WLAN- Points an denen ich das (im Labor) ausprobieren konnte liefs ja (und beide Geraete versichern das sie WPA2 machen).

Ob dem so ist kann natuerlich bei beiden Kandidaten aus Erfahrung angezweifelt werden, ich hab' aber ohnehin einen Support- Thread bei Apple eroeffnet... so ich da was rausbekomme an dieser Stelle gerne mehr zum Thema.

Das Zeroconfig in älteren XP- und CE-Versionen hat ja zum Beispiel auch die
Macke, daß man das Anbieten von AES explizit abschalten muß, damit die
Anmeldung durchläuft. Ist eigentlich auch ein klarer Bug im ZeroConfig...aber
was hilft's...

b) Nebenkriegsschauplatz: Wieso gehen die Windows SP SP2 Kisten trotz Treiberudpate nicht auf WPA 2, sondern entscheiden sich immer fuer WPA 1

Stand bei dem Update denn auch explizit dabei, daß der Treiber damit WPA2
unterstützt? Bedenke, damit WPA2 klappt, müssen Treiber, Zeroconfig und ein
eventuell vom Kartenhersteller mitgebrachter WPA-Supplicant am gleichen
Strang ziehen...

Tja, wer lesen kann ist klar im Vorteil - stand dort natuerlich nicht, hatte mich schlicht in der Zeile verlesen

c) Wieso geht b) auch bei eingeschaltetem WPA 2 im Lancom

Du meinst, WPA1 war explizit abgeschaltet?

Yep, genau das meine ich...

Das würde mich wundern, denn

Willkommen im Club

Aber - der LAN- und der WLAN- Monitor sagen mir das es sich tatsaechlich um eine WPA 1 Verbindung fuer die Verbindung der ich exklusiv WPA 2 zugesagt hatte, sei...

Ich stimme insgesamt zu das WPA 2 nicht kriegsentscheidend ist - ist natuerlich spannend mal direkt zu sehen was geht / nicht geht ... und mangels Windows- Treiber werde ich das Thema erst weiter verfolgen wenn Apple sich aeussert... Somit harre ich der Dinge die da (evt.) kommen...

Danke fuer die prompte Antwort,

Ingo

[alf29]

Aber - der LAN- und der WLAN- Monitor sagen mir das es sich tatsaechlich um eine WPA 1 Verbindung fuer die Verbindung der ich exklusiv WPA 2 zugesagt hatte, sei...

Dann hätte ich gerne mal WLAN- und EAP-Trace für diesen Fall...

Gruß Alfred

[alf29]

Moin,

in der 5.02 haben wir einen Bug gefunden, der u.U. einen
Teil Deiner Beobachtungen bezüglich WPA1 bzw. 2
erklären könnte. In bestimmten Fällen hat das Gerät für
die logischen Netze 3..8 die WPA-Versionseinstellung
von Netz 2 genommen. Ich kann Dir eine Version zum
Testen schicken.

Gruß Alfred