Klient kann sich nich sofort wiedser anmelden (802.1x,AKMP)

Forum zu den aktuellen LANCOM Wireless Accesspoint Serien

Moderator: Lancom-Systems Moderatoren

ua
Beiträge: 704
Registriert: 29 Apr 2005, 12:29

Klient kann sich nich sofort wiedser anmelden (802.1x,AKMP)

Beitrag von ua »

Tach Zusammen,

anbei ein m.E. seltsames Phänomen.

AP: 1700 mit 10.12.0378RU7 (unter RU6 identisches Verhalten)
Klient: Win10 m. Intel WLAN Chipsatz (AC7265)

Folgendes Verhalten:
Klient kann sich nach Reboot (auch komplett mit Strom wech) nicht per 802.1x anmelden, erst nach einiger Zeit (lt. Trace etwa 3 Minuten).
Im WLAN Trace sieht es so aus:

Code: Alles auswählen

### client ist assoziiert

[WLAN-STATUS] 2018/05/28 09:46:04,792  Devicetime: 2018/05/28 09:46:04,690
[WLAN-2] Disassociated WLAN station 1c:**:**:**:9f:ea due to station request: Unspecified Reason

[WLAN-STATUS] 2018/05/28 09:46:04,792  Devicetime: 2018/05/28 09:46:04,691
[WLAN-2] Deauthenticated WLAN station 1c:**:**:**:9f:ea: Unspecified Reason

### reboot des client

[WLAN-STATUS] 2018/05/28 09:46:44,831  Devicetime: 2018/05/28 09:46:44,729
[WLAN-2] Authenticated WLAN station 1c:**:**:**:9f:ea: algorithm is open-system

[WLAN-STATUS] 2018/05/28 09:46:44,831  Devicetime: 2018/05/28 09:46:44,730
[WLAN-2] Rejected Association from WLAN station 1c:**:**:**:9f:ea: AKMP is not valid

[WLAN-STATUS] 2018/05/28 09:46:44,874  Devicetime: 2018/05/28 09:46:44,748
[WLAN-2] Authenticated WLAN station 1c:**:**:**:9f:ea: algorithm is open-system

[WLAN-STATUS] 2018/05/28 09:46:44,874  Devicetime: 2018/05/28 09:46:44,749
[WLAN-2] Rejected Association from WLAN station 1c:**:**:**:9f:ea: AKMP is not valid

[WLAN-STATUS] 2018/05/28 09:46:44,875  Devicetime: 2018/05/28 09:46:44,767
[WLAN-2] Authenticated WLAN station 1c:**:**:**:9f:ea: algorithm is open-system

[WLAN-STATUS] 2018/05/28 09:46:44,875  Devicetime: 2018/05/28 09:46:44,769
[WLAN-2] Rejected Association from WLAN station 1c:**:**:**:9f:ea: AKMP is not valid

[WLAN-STATUS] 2018/05/28 09:46:44,915  Devicetime: 2018/05/28 09:46:44,787
[WLAN-2] Authenticated WLAN station 1c:**:**:**:9f:ea: algorithm is open-system

[WLAN-STATUS] 2018/05/28 09:46:44,915  Devicetime: 2018/05/28 09:46:44,788
[WLAN-2] Rejected Association from WLAN station 1c:**:**:**:9f:ea: AKMP is not valid

[WLAN-STATUS] 2018/05/28 09:46:46,554  Devicetime: 2018/05/28 09:46:46,452
[WLAN-2] Authenticated WLAN station 1c:**:**:**:9f:ea: algorithm is open-system

[WLAN-STATUS] 2018/05/28 09:46:46,554  Devicetime: 2018/05/28 09:46:46,453
[WLAN-2] Reassociated WLAN station 1c:**:**:**:9f:ea


[WLAN-STATUS] 2018/05/28 09:46:54,816  Devicetime: 2018/05/28 09:46:54,713
[WLAN-2] Disassociated WLAN station 1c:**:**:**:9f:ea due to station request: unknown (5888)

[WLAN-STATUS] 2018/05/28 09:46:54,816  Devicetime: 2018/05/28 09:46:54,713
[WLAN-2] Deauthenticated WLAN station 1c:**:**:**:9f:ea: unknown (5888)


[WLAN-STATUS] 2018/05/28 09:47:45,916  Devicetime: 2018/05/28 09:47:45,812
[WLAN-2] Authenticated WLAN station 1c:**:**:**:9f:ea: algorithm is open-system

[WLAN-STATUS] 2018/05/28 09:47:45,916  Devicetime: 2018/05/28 09:47:45,814
[WLAN-2] Rejected Association from WLAN station 1c:**:**:**:9f:ea: AKMP is not valid

[WLAN-STATUS] 2018/05/28 09:47:45,956  Devicetime: 2018/05/28 09:47:45,834
[WLAN-2] Authenticated WLAN station 1c:**:**:**:9f:ea: algorithm is open-system

[WLAN-STATUS] 2018/05/28 09:47:45,956  Devicetime: 2018/05/28 09:47:45,838
[WLAN-2] Rejected Association from WLAN station 1c:**:**:**:9f:ea: AKMP is not valid

[WLAN-STATUS] 2018/05/28 09:47:45,996  Devicetime: 2018/05/28 09:47:45,856
[WLAN-2] Authenticated WLAN station 1c:**:**:**:9f:ea: algorithm is open-system

[WLAN-STATUS] 2018/05/28 09:47:45,996  Devicetime: 2018/05/28 09:47:45,857
[WLAN-2] Rejected Association from WLAN station 1c:**:**:**:9f:ea: AKMP is not valid

[WLAN-STATUS] 2018/05/28 09:47:45,997  Devicetime: 2018/05/28 09:47:45,874
[WLAN-2] Authenticated WLAN station 1c:**:**:**:9f:ea: algorithm is open-system

[WLAN-STATUS] 2018/05/28 09:47:45,997  Devicetime: 2018/05/28 09:47:45,875
[WLAN-2] Rejected Association from WLAN station 1c:**:**:**:9f:ea: AKMP is not valid

[WLAN-STATUS] 2018/05/28 09:47:47,764  Devicetime: 2018/05/28 09:47:47,661
[WLAN-2] Authenticated WLAN station 1c:**:**:**:9f:ea: algorithm is open-system

[WLAN-STATUS] 2018/05/28 09:47:47,764  Devicetime: 2018/05/28 09:47:47,662
[WLAN-2] Reassociated WLAN station 1c:**:**:**:9f:ea


[WLAN-STATUS] 2018/05/28 09:47:55,904  Devicetime: 2018/05/28 09:47:55,801
[WLAN-2] Disassociated WLAN station 1c:**:**:**:9f:ea due to station request: unknown (5888)

[WLAN-STATUS] 2018/05/28 09:47:55,904  Devicetime: 2018/05/28 09:47:55,801
[WLAN-2] Deauthenticated WLAN station 1c:**:**:**:9f:ea: unknown (5888)


[WLAN-STATUS] 2018/05/28 09:48:47,004  Devicetime: 2018/05/28 09:48:46,902
[WLAN-2] Authenticated WLAN station 1c:**:**:**:9f:ea: algorithm is open-system

[WLAN-STATUS] 2018/05/28 09:48:47,004  Devicetime: 2018/05/28 09:48:46,903
[WLAN-2] Rejected Association from WLAN station 1c:**:**:**:9f:ea: AKMP is not valid

[WLAN-STATUS] 2018/05/28 09:48:47,046  Devicetime: 2018/05/28 09:48:46,925
[WLAN-2] Authenticated WLAN station 1c:**:**:**:9f:ea: algorithm is open-system

[WLAN-STATUS] 2018/05/28 09:48:47,046  Devicetime: 2018/05/28 09:48:46,927
[WLAN-2] Rejected Association from WLAN station 1c:**:**:**:9f:ea: AKMP is not valid

[WLAN-STATUS] 2018/05/28 09:48:47,088  Devicetime: 2018/05/28 09:48:46,949
[WLAN-2] Authenticated WLAN station 1c:**:**:**:9f:ea: algorithm is open-system

[WLAN-STATUS] 2018/05/28 09:48:47,088  Devicetime: 2018/05/28 09:48:46,950
[WLAN-2] Rejected Association from WLAN station 1c:**:**:**:9f:ea: AKMP is not valid

[WLAN-STATUS] 2018/05/28 09:48:47,088  Devicetime: 2018/05/28 09:48:46,972
[WLAN-2] Authenticated WLAN station 1c:**:**:**:9f:ea: algorithm is open-system

[WLAN-STATUS] 2018/05/28 09:48:47,088  Devicetime: 2018/05/28 09:48:46,974
[WLAN-2] Rejected Association from WLAN station 1c:**:**:**:9f:ea: AKMP is not valid

[WLAN-STATUS] 2018/05/28 09:48:48,755  Devicetime: 2018/05/28 09:48:48,651
[WLAN-2] Authenticated WLAN station 1c:**:**:**:9f:ea: algorithm is open-system

[WLAN-STATUS] 2018/05/28 09:48:48,755  Devicetime: 2018/05/28 09:48:48,653
[WLAN-2] Reassociated WLAN station 1c:**:**:**:9f:ea


[WLAN-STATUS] 2018/05/28 09:48:56,982  Devicetime: 2018/05/28 09:48:56,880
[WLAN-2] Disassociated WLAN station 1c:**:**:**:9f:ea due to station request: unknown (5888)

[WLAN-STATUS] 2018/05/28 09:48:56,982  Devicetime: 2018/05/28 09:48:56,880
[WLAN-2] Deauthenticated WLAN station 1c:**:**:**:9f:ea: unknown (5888)

## client ist wieder assoziert 

[WLAN-STATUS] 2018/05/28 09:49:48,115  Devicetime: 2018/05/28 09:49:48,012
[WLAN-2] Authenticated WLAN station 1c:**:**:**:9f:ea: algorithm is open-system

[WLAN-STATUS] 2018/05/28 09:49:48,115  Devicetime: 2018/05/28 09:49:48,013
[WLAN-2] Associated WLAN station 1c:**:**:**:9f:ea

[WLAN-STATUS] 2018/05/28 09:49:48,601  Devicetime: 2018/05/28 09:49:48,499
[WLAN-2] WLAN station 1c:**:**:**:9f:ea authenticated via 802.1x: user name is username

[WLAN-STATUS] 2018/05/28 09:49:48,643  Devicetime: 2018/05/28 09:49:48,536
[WLAN-2] Key handshake with peer 1c:**:**:**:9f:ea successfully completed

[WLAN-STATUS] 2018/05/28 09:49:48,643  Devicetime: 2018/05/28 09:49:48,536
[WLAN-2] Connected WLAN station 1c:**:**:**:9f:ea

[WLAN-STATUS] 2018/05/28 09:49:48,750  Devicetime: 2018/05/28 09:49:48,648
[WLAN-2] Determined IPv6 address for station 1c:**:**:**:9f:ea: fe80::xx

[WLAN-STATUS] 2018/05/28 09:49:48,792  Devicetime: 2018/05/28 09:49:48,660
[WLAN-2] Determined IPv4 address for station 1c:**:**:**:9f:ea: xx.xx.xx.145
Wenn ich es richtig lese, steht "AKMP" für "Authentication and Key Management Protocol".
D.h. der AP kann den Klient nicht authentifizieren, dieses funktioniert erst wieder nach etwa 3 Minuten, irgendeein Timer läuft wohl ab.
Trenne ich die Verbindugn per Hand und melde mich wieder an dem Netz an, geht es sofort. Als ob der Radius die Abmeldung nicht mitbekommt.
Der Klient meldet sich aber ab (im Trace ganz oben), habe die Gegenprobe mit einer anderern Windowsschüssel gemacht, dort funktioniert es.
Wo kann ich ggf. weitersuchen?
Es handelt sich leider um Bedienpanels, die automatisch in eine Bedienoberfläche booten und dann hängenbleiben.

Heiße Grüße (30,6°C) aus OBC

Udo
... das Netz ist der Computer ...
n* LC und vieles mehr...
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: Klient kann sich nich sofort wiedser anmelden (802.1x,AK

Beitrag von alf29 »

Moin,

da müßte ich den Association Request vom Client sehen, den der AP ablehnt.

Wenn ich es richtig lese, steht "AKMP" für "Authentication and Key Management Protocol".
D.h. der AP kann den Klient nicht authentifizieren,

Genauer gesagt geht es dabei um die Art und Weise, wie der AP den Client authentisiert, z.B. PSK versus 802.1X oder 802.1X mit oder ohne Fast Transistion.

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: Klient kann sich nich sofort wiedser anmelden (802.1x,AK

Beitrag von alf29 »

Moin,

ich habe den LCOS-Source auf diese Fehlermeldung mal durchgeschaut und eine Assoziation wird (wie in 802.11 vorgesehen) in folgenden Fällen mit dem Status-Code "AKMP is not valid" abgelehnt:

-> Der Client hat eine AKMP mit Fast Transition (802.11r) gewählt, aber in seinen Association Request keine Mobility Domain reingeschrieben, oder er hat umgekehrt eine AKMP ohne 11r gewählt und eine Mobility Domain übermittelt -> inkonsistente Anmeldedaten
-> Der Client versucht eine Fast Transition von einem AP zu einem anderen, hat aber gar keine AKMP gewählt, die Fast Transition beinhaltet.

Hat also wieder alles mit Fast Roaming zu tun...

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: Klient kann sich nich sofort wiedser anmelden (802.1x,AK

Beitrag von alf29 »

Moin,

welche Version des Intel-Treibers läuft eigentlich auf dem Notebook?

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
ua
Beiträge: 704
Registriert: 29 Apr 2005, 12:29

Re: Klient kann sich nich sofort wiedser anmelden (802.1x,AK

Beitrag von ua »

Hallo Alfred,

hier die Daten des WLAN-Adapters:
Intel Dual Band Wireless-AC 7265, 19.51.7.2
Edit: Identisches Verhalten unter 19.51.12.3 (aktuellste Version von der Intel-Seite)
(ist ein Intel-Compute-Stick).

Die Traces sind aufgrund der Beschränk des Post in der Zipp-Datei, Zeiten sind korreliert.

Folgende Anmerkungen dazu:
17:36:36,276 Client ist frisch gestartet / Reboot
-> Der Radius antwortet nicht
17:37:47,376 Client wird per Hand neu assoziiert (WLAN Verbinden)
-> Jetzt antwortet der Radius erst
17:40:30,410 Client hing, Anmeldung wurde abgebrochen und neu gestartet.
... dann ging es auch.



Dank und Gruß

Udo
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
... das Netz ist der Computer ...
n* LC und vieles mehr...
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: Klient kann sich nich sofort wiedser anmelden (802.1x,AK

Beitrag von alf29 »

Hallo Udo,

vielen Dank für den Trace, aber ich hätte den Association Request gebraucht (den der AP ablehnt), das wäre im WLAN-Data Trace drin gewesen.

Die Info mit der Version gebe ich mal morgen weiter, mal sehen ob der Kollege das nachbauen kann. Die Sache mit dem Code 5888 haben wir hier auch, aber zu selten, um es zu fassen zu kriegen.

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
ua
Beiträge: 704
Registriert: 29 Apr 2005, 12:29

Re: Klient kann sich nich sofort wiedser anmelden (802.1x,AK

Beitrag von ua »

Hallo Alfred,

anbei der WLAn-DATA-Trace.

Der Trace beginnt mit dem Reboot des Klient,
nach einiger Zeit war er kurz da (erster DHCP-Request),
flog dann noch mal raus und war nach dem zweiten DHCP-Request stabil da.

Wusste gar nicht, daß Ihr die Aironet-Extensions eingebaut habt. Dabei ist es schon lustig, wie sich beide Devices gegenseitig als Uralt-Hardware vorstellen. Der 350er ist doch bestimmt schon fast 15 Jahre alt, neben dem IL11 meine ersten WLAN-Geräte... :
[WLAN-DATA] 2018/05/29 22:08:01,086 Devicetime: 2018/05/29 22:08:01,390
Aironet Info Device Type AP350
[WLAN-DATA] 2018/05/29 22:08:01,104 Devicetime: 2018/05/29 22:08:01,405
Aironet Info Device Type Generic Atheros Card

Viele Grüße und guts Nächtle

Udo
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
... das Netz ist der Computer ...
n* LC und vieles mehr...
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: Klient kann sich nich sofort wiedser anmelden (802.1x,AK

Beitrag von alf29 »

Hallo Udo,

OK, vielen Dank nochmal. Das ist jetzt genau das, was ich mir gedacht hatte. Ausschnitt aus dem Associate Request:

Code: Alles auswählen

RSN Cipher Info     : Version 1
                      Group Cipher TGI-CSE-CCM
                      Pairwise Ciphers TGI-CSE-CCM
                      Authentication Selectors TGI_AUTHSE_8021X_UNSPEC_SHA256
                      Capabilities: Mgmt-Frame-Prot-Supp 16 PTKSA replay counters 16 GTKSA replay counters
Mobility Domain     : ID 0xa5fb
Die Mobility Domain ist für 802.11r (Fast Roaming) quasi ein Identifier für die Menge der APs, zwischen denen der Client "schnell roamen" kann. Der Client meldet sich aber gar nicht mit der Option zum Fast Roaming an, sondern benutzt "normales" 802.1X (mit SHA256 statt SHA1 zur Schlüsselableitung, aber eben ohne 11r). Für eine Anmeldung mit 11r müßte in der Zeile "Authentication Selectors" TGI_AUTHSE_FT_8021X_UNSPEC stehen.

Dein Client scheint also irgendwie den Betrieb mit und ohne 11r durcheinanderzuwürfeln. Vielleicht hst Du in der Umgebung des Clients APs, die die gleiche SSID mit und ohne 11r-Support ausstrahlen, das könnte Clients verwirren. Ansonsten mußt Du Dich mit dem Fehler aber an den Hersteller des Clients wenden. Wenn der argumentiert, der AP müßte so etwas annehmen, hier das Zitat aus dem 802.11-Standard:

Code: Alles auswählen

IEEE 802.11-2016, Section 13.4.2: FT initial mobility domain association in an RSN

If an MDE is present in the (Re)Association Request frame and the contents of
the RSNE do not indicate a negotiated AKM of fast BSS transition (suite type
00-0F-AC:3, 00-0F-AC:4, or 00-0F-AC:9), the AP shall reject the (Re)Association
Request frame with status code STATUS_INVALID_AKMP.
Die vom Client benutzte AKMP hat übrigens den numerischen Wert 00-0F-AC:5. Selbst wenn ich so etwas tolerieren würde, der Client ist offensichtlich "durch den Wind" und es ist fraglich, ob man mit so einem Würgaraound nennenswert weiter kommen würde.
Wusste gar nicht, daß Ihr die Aironet-Extensions eingebaut habt. Dabei ist es schon lustig, wie sich beide Devices gegenseitig als Uralt-Hardware vorstellen. Der 350er ist doch bestimmt schon fast 15 Jahre alt, neben dem IL11 meine ersten WLAN-Geräte... :
Das ist schon seit ewigen Zeiten drin. Wir benutzen das im wesentlichen, um den Gerätenamen und die IP-Adresse zu propagieren. Doku von Cisco zu den Extensions gibt es ja nicht öffentlich, deshalb kenne ich nur die Werte, die ich mir damals per Reverse Engineering aus den Atheros-Referenz-Sourcen ableiten konnte. Man kann die Extensions auch pro SSID abschalten (in den Netzwerk-Einstellungen).

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
ua
Beiträge: 704
Registriert: 29 Apr 2005, 12:29

Re: Klient kann sich nich sofort wiedser anmelden (802.1x,AK

Beitrag von ua »

Hallo Alfred,

Dank für die Infos.
Die SSID ist über einen WLC konfigiriert, und wird auf 4 AP (3*1700, 1*OAP830 m. CAPWAP) ausgerollt:

Code: Alles auswählen

add  "1-8021X"                    
	{Parent-Name}  ""                              
	{Local-Values}  0000f5f2fcfd 
	{SSID}  "SSIDa"                           
	{Operating}  Yes       
	{VLAN-Mode}  untagged   
	{VLAN-Id}  2        
	{Encryption}  802.11i-WPA-802.1x  
	{WPA1-Session-Keytypes}  TKIP                    
	{WPA2-Session-Keytypes}  AES                     
	{WPA-Version}  WPA2        
	{Key}  ""                                                              
	{Radio-Band}  5GHz        
	{Continuation-Time}  9999              
	{Min-Tx-Rate}  Auto
        {Max-Tx-Rate}  Auto    
	{Basic-Rate}  18M    
	{11b-Preamble}  Auto  
	{MAC-Filter}  No           
	{Cl.-Brg.-Support}  Yes 
	{Max-Stations}  0 
        {SSID-Broadcast}  Yes        
	{Min-HT-MCS}  Auto        
	{Max-HT-MCS}  Auto        
	{Short-Guard-Interval}  No                       
	{Max-Spatial-Streams}  Auto                  
	{Send-Aggregates}  Yes                
	{RADIUS-Accounting}  No                
	{Connect-SSID-to}  LAN                    
	{Inter-Station-Traffic}  Yes                    
	{RADIUS-Profile}  "EAP-LOCAL"      
	{STBC-activated}  Yes            
	{LDPC-activated}  Yes            
	{Min-Client-Strength}  0                        
	{IEEE802.11u-Network-Profile}  ""                                 
	{OKC}  Yes      
	{WPA2-Key-Management}  Fast-Roaming,SHA256,Standard      
	{APSD}  Yes      
	{Prot.-Mgmt-Frames}  optional             
	{Tx-Limit}  0          
	{Rx-Limit}  0          
	{LBS-Tracking}  No                    
	{LBS-Tracking-List}  ""                               
	{11ac-Beamforming}  Auto                              
	{Convert-to-Unicast}  DHCP
add  "1-8021X-CAPWAP"                
	# Alles identisch bis auf:
	{Connect-SSID-to}  WLC-TUNNEL-1 
Client Steering ist m.E. recht moderat:

Code: Alles auswählen

add  "DEFAULT"                       
	{Preferred-Band}  5GHz                      
	{Frequency-Band-Weighting}  100                            
	{Signal-Strength-Weighting}  85                             
	{Associated-Clients-Weighting}  10                             
	{Tolerance-Level}  35                        
	{Disassociation-Threshold}  35                             
	{Time-to-Disassociation}  1
Zum Testzeitpunkt wurde die SSID nur über einen AP gesendet, der Rest war aus.
Mit der Zeit fallen mir mit den Intel-Klienst weitere "Spezialitäten" auf:
1) Klient hat sich angemeldet, meldet sich nach ein paar Sekunden ab und "kommt nicht mehr rein.
2) Klient meldet sich an, erhält aber keine IP
3) Klient meldt sich auf einem "schlechten" (in Bezug auf die Feldstärke) an, wird abgeworfen (Client-Steering) und hat die bekannten Schwierigkeiten beim Re-Connect.

Werde mal versuchen, die verschiedenen Symtome mal über alle AP zeitgleich zu tracen.

Viele Grüße

Udo
... das Netz ist der Computer ...
n* LC und vieles mehr...
ua
Beiträge: 704
Registriert: 29 Apr 2005, 12:29

Re: Klient kann sich nich sofort wiedser anmelden (802.1x,AKMP)

Beitrag von ua »

Hallo Alfred,

habe den alten Faden noch einmal hochgeholt:
Habe jetzt einen Broadcom-Chipsatz, der sich ebenfalls merkwürdig verhält:

Code: Alles auswählen

[WLAN-STATUS] 2019/06/02 21:34:01,942  Devicetime: 2019/06/02 21:33:59,539
[WLAN-2] Authenticated WLAN station 60:6d:xxxxxxxxxxxxxxx: algorithm is open-system

[WLAN-STATUS] 2019/06/02 21:34:01,942  Devicetime: 2019/06/02 21:33:59,540
[WLAN-2] Rejected Association from WLAN station 60:6d:xxxxxxxxxxxxxxx: AKMP is not valid


[WLAN-STATUS] 2019/06/02 21:34:05,021  Devicetime: 2019/06/02 21:34:02,618
[WLAN-2] Authenticated WLAN station 60:6d:xxxxxxxxxxxxxxx: algorithm is open-system

[WLAN-STATUS] 2019/06/02 21:34:05,021  Devicetime: 2019/06/02 21:34:02,619
[WLAN-2] Rejected Association from WLAN station 60:6d:xxxxxxxxxxxxxxx: AKMP is not valid

[WLAN-STATUS] 2019/06/02 21:34:05,490  Devicetime: 2019/06/02 21:34:03,087
[WLAN-2] Authenticated WLAN station 60:6d:xxxxxxxxxxxxxxx: algorithm is open-system

[WLAN-STATUS] 2019/06/02 21:34:05,490  Devicetime: 2019/06/02 21:34:03,088
[WLAN-2] Rejected Association from WLAN station 60:6d:xxxxxxxxxxxxxxx: AKMP is not valid

[WLAN-STATUS] 2019/06/02 21:34:08,605  Devicetime: 2019/06/02 21:34:06,203
[WLAN-2] Authenticated WLAN station 60:6d:xxxxxxxxxxxxxxx: algorithm is open-system

[WLAN-STATUS] 2019/06/02 21:34:08,605  Devicetime: 2019/06/02 21:34:06,203
[WLAN-2] Rejected Association from WLAN station 60:6d:xxxxxxxxxxxxxxx: AKMP is not valid

[WLAN-STATUS] 2019/06/02 21:34:09,074  Devicetime: 2019/06/02 21:34:06,672
[WLAN-2-3] Authenticated WLAN station 60:6d:xxxxxxxxxxxxxxx: algorithm is open-system

[WLAN-STATUS] 2019/06/02 21:34:09,074  Devicetime: 2019/06/02 21:34:06,673
[WLAN-2-3] Rejected Association from WLAN station 60:6d:xxxxxxxxxxxxxxx: mobility domain mismatch

[WLAN-STATUS] 2019/06/02 21:34:09,153  Devicetime: 2019/06/02 21:34:06,750
[WLAN-1-2] Authenticated WLAN station 60:6d:xxxxxxxxxxxxxxx: algorithm is open-system

[WLAN-STATUS] 2019/06/02 21:34:09,153  Devicetime: 2019/06/02 21:34:06,751
[WLAN-1-2] Rejected Association from WLAN station 60:6d:xxxxxxxxxxxxxxx: mobility domain mismatch


[WLAN-STATUS] 2019/06/02 21:34:13,938  Devicetime: 2019/06/02 21:34:11,536
[WLAN-2] Authenticated WLAN station 60:6d:xxxxxxxxxxxxxxx: algorithm is open-system

[WLAN-STATUS] 2019/06/02 21:34:13,938  Devicetime: 2019/06/02 21:34:11,537
[WLAN-2] Rejected Association from WLAN station 60:6d:xxxxxxxxxxxxxxx: AKMP is not valid

[WLAN-STATUS] 2019/06/02 21:34:14,450  Devicetime: 2019/06/02 21:34:12,046
[WLAN-2-3] Authenticated WLAN station 60:6d:xxxxxxxxxxxxxxx: algorithm is open-system

[WLAN-STATUS] 2019/06/02 21:34:14,450  Devicetime: 2019/06/02 21:34:12,047
[WLAN-2-3] Rejected Association from WLAN station 60:6d:xxxxxxxxxxxxxxx: mobility domain mismatch

[WLAN-STATUS] 2019/06/02 21:34:14,530  Devicetime: 2019/06/02 21:34:12,126
[WLAN-1-2] Authenticated WLAN station 60:6d:xxxxxxxxxxxxxxx: algorithm is open-system

[WLAN-STATUS] 2019/06/02 21:34:14,530  Devicetime: 2019/06/02 21:34:12,127
[WLAN-1-2] Rejected Association from WLAN station 60:6d:xxxxxxxxxxxxxxx: mobility domain mismatch

Riecht ein bißchen hiernach:
-> Der Client hat eine AKMP mit Fast Transition (802.11r) gewählt, aber in seinen Association Request keine Mobility Domain reingeschrieben, oder er hat umgekehrt eine AKMP ohne 11r gewählt und eine Mobility Domain übermittelt -> inkonsistente Anmeldedaten
-> Der Client versucht eine Fast Transition von einem AP zu einem anderen, hat aber gar keine AKMP gewählt, die Fast Transition beinhaltet.
Eingestellt ist Standard, Fast-Roaming und SHA-256, auch mit Standard und Fast-Roaming only geht es nicht.
Sollte es Bedarf an bestimmten Traces geben bitte melden

Viele Grüße aus OBC

Udo
... das Netz ist der Computer ...
n* LC und vieles mehr...
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: Klient kann sich nich sofort wiedser anmelden (802.1x,AKMP)

Beitrag von alf29 »

Moin,

Du kannst mir wieder den association Request zuschicken, aber ich wette, das läuft auf das gleiche Client-Fehlverhalten heraus, und daß ich so eine nicht standardkonforme Anmeldung ablehnen muß, hatte ich ja schonmal erwähnt. Wenn's auch Windows ist: letzten Endes wird wie unter Linux auch ein großer Teil der Anmeldung nicht vom Code im Treiber gesteuert, sondern einer Schicht darüber (bei Linux ist das der wpasupplicant, bei Windows ein vergleichbares Stück Software). Wenn die Macke da drin ist, ist es völlig egal, ob "darunter" ein WLAN-Chipsatz von Intel, Broadcom, Marvell, Realtek, QCA, oder wem auch immer arbeitet.

Wegen der andern Meldung "mobility domain mismatch": die Meldung sagt eigentlich schon alles. Die Mobility-Domain ist eine 16-Bit-Zahl, die bei allen APs, zwischen denen ein Client "schnell roamen" darf, gleich ist. Der Client hat sich also mit der Id einer anderen Domain angemeldet, zu der dieser AP nicht gehört. Mögliche Ursachen: Es werden im gleichen Umfeld zwei Controller-gesteuerte Netze betrieben, die die gleiche SSID verwenden (aber unterschiedliche MDIDs haben, weil selbige vom jeweiligen Controller auf die APs ausgerollt wird). Ansonsten fiele mir nur ein exotischer Grund ein: Irgendwo in der Gegend betreibt jemand ein Wireless-Intrusion-System, welches versucht mit Hilfe gefälschter Pakete ihm unbekannte und als "Rogue" eingestufte Netze mutwillig zu stören. Die gibt's leider immer noch, und Admins, die so etwas für eine gute Sache halten...

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
ua
Beiträge: 704
Registriert: 29 Apr 2005, 12:29

Re: Klient kann sich nich sofort wiedser anmelden (802.1x,AKMP)

Beitrag von ua »

Hallo Alfred,

Dank für Deine Antwort, der Trace ist anbei, sollte mehr Details nötig sein bitte melden.
Mögliche Ursachen: Es werden im gleichen Umfeld zwei Controller-gesteuerte Netze betrieben, die die gleiche SSID verwenden (aber unterschiedliche MDIDs haben, weil selbige vom jeweiligen Controller auf die APs ausgerollt wird).
Also LC-WLAN gibt es hier definitiv nur (m)eins! :mrgreen: (sonst nur Consumer-Sch…)
Ansonsten fiele mir nur ein exotischer Grund ein: Irgendwo in der Gegend betreibt jemand ein Wireless-Intrusion-System, welches versucht mit Hilfe gefälschter Pakete ihm unbekannte und als "Rogue" eingestufte Netze mutwillig zu stören.
Hätte ich gesehen, bei den restlichen Geräten funktioniert es ohne Probleme.

Achso, noch so am Rande: Nach dem Update des Routers/WLC von 10.20 auf 10.30 ging 802.1x via LC-Radius nicht mehr, nach Fallback auf die alte FW war alles wieder gut (reproduzierbar). Ticket beim Service ist offen, bei Bedarf kann ich die Ticket-Nummer liefern.

Viele Grüße aus dem Rheinland

Udo
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
... das Netz ist der Computer ...
n* LC und vieles mehr...
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: Klient kann sich nich sofort wiedser anmelden (802.1x,AKMP)

Beitrag von alf29 »

Moin,
Dank für Deine Antwort, der Trace ist anbei, sollte mehr Details nötig sein bitte melden.
Also der erste Fall ist wieder wie oben. Client schickt eine Mobility Domain im Associate Request mit:

Code: Alles auswählen

Mobility Domain     : ID 0xa5fb
...obwohl er eine AKM ohne Fast Transition benutzen will:

Code: Alles auswählen

RSN Cipher Info     : Version 1
                      Group Cipher TGI-CSE-CCMP128
                      Pairwise Ciphers TGI-CSE-CCMP128
                      Authentication Selectors TGI-AUTHSE-8021X-SHA256
                      Capabilities: Mgmt-Frame-Prot-Supp 16 PTKSA replay counters 1 GTKSA replay counters
Die Begründung, warum ein AP das ablehnen muß, hatte ich oben geschrieben.

Für den Fall mit dem "mobility domain mismatch" sehe ich kein Beispiel in dem Trace.

Wegen der Sache mit dem 1X und der 10.30: Da gab es ein Thema mit der TLS-Versionsaushandlung. Stelle versuchsweise mal die Versionsauswahl unter Setup/RADIUS/Server/EAP/EAP-TLS auf TLS 1.0+TLS 1.1+TLS 1.2. Du hast dort von einer älteren Firmware her vermutlich noch den alten Konfig-Default (nur TLS 1.0) stehen.

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
ua
Beiträge: 704
Registriert: 29 Apr 2005, 12:29

Re: Klient kann sich nich sofort wiedser anmelden (802.1x,AKMP)

Beitrag von ua »

N'abend Alfred,

wie nicht anders zu erwarten war: Du hattest Recht! :M
Wegen der Sache mit dem 1X und der 10.30: Da gab es ein Thema mit der TLS-Versionsaushandlung. Stelle versuchsweise mal die Versionsauswahl unter Setup/RADIUS/Server/EAP/EAP-TLS auf TLS 1.0+TLS 1.1+TLS 1.2. Du hast dort von einer älteren Firmware her vermutlich noch den alten Konfig-Default (nur TLS 1.0) stehen.
Nach Umstellung auf TLS 1-1.2 geht es auch mit der 10.30, Traces davon gingen auch den Support, Ticket ist zu, Danke!
Vielleicht solltet Ihr das in die Release-Notes übernehmen oder wird der LC nicht so oft als Radius-Server für EAP genutzt.

Das andere Thema geht mit schon auf die Nüsse. Die Windows-Versionen sind vom Build her identisch, nur andere WiFi-Hardware. Werde es mal mit einem anderem Stück WLAN-HW (habe mittlerweile eine stattliche Sammlung an USB-Sticks ..) testen und berichten.

Viele Grüße

Udo
... das Netz ist der Computer ...
n* LC und vieles mehr...
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: Klient kann sich nich sofort wiedser anmelden (802.1x,AKMP)

Beitrag von alf29 »

n'Abend,
wie nicht anders zu erwarten war: Du hattest Recht! :M
Naja, wenn Du wüßtest, wie oft ich in der Firma auch mal daneben liege... ;-)
Nach Umstellung auf TLS 1-1.2 geht es auch mit der 10.30, Traces davon gingen auch den Support, Ticket ist zu, Danke!
Vielleicht solltet Ihr das in die Release-Notes übernehmen
Wird in der nächsten RU korrigiert sein, d.h. auch mit nur-TLS 1.0 kommt wieder eine Aushandlung zustande. Wobei es natürlich prinzipiell besser ist, TLS 1.2 und damit auch modernere Krypto zuzulassen. Das ist aber ein ewiges Diskussionsthema, ob man den Kunden ihre Konfig automatisch hochkonfigurieren darf/kann/soll oder nicht...

Der Fehler war beim Einbau von TLS 1.3 reingerutscht. Ja, in der 10.30 ist TLS 1.3 enthalten (wenn auch bisher nur im HTTP-Server), und bis auf die c't hat's keiner gemerkt. Was vielleicht auch daran liegt, daß das in den Release-Notes irgendwo weiter hinten in der Liste steht, zusammen mit den anderen Sachen, die man auch nicht ganz so wichtig findet. Aber ich fange schon wieder das Granteln an...
oder wird der LC nicht so oft als Radius-Server für EAP genutzt.
Ich kenne in der Tat nicht so viele Kunden, die ihn benutzen. Ich nehme an, die meisten Kunden benutzen den IAS, weil der auch gleich mit der Domänencontroller ist, und auf dem ohnehin die Benutzerdatenbank liegt. Im WLC wird der RADIUS-Server häufig nur als Forwarder/Proxy genutzt, so daß der Kunde nicht alle APs auf seinem IAS als RADIUS-Clients einpflegen muß.

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
Antworten