Fast-Roaming, IAPP-Passphrase, LEPS-U

Forum zu den aktuellen LANCOM Wireless Accesspoint Serien

Moderator: Lancom-Systems Moderatoren

Antworten
CyberT
Beiträge: 260
Registriert: 17 Apr 2005, 14:36

Fast-Roaming, IAPP-Passphrase, LEPS-U

Beitrag von CyberT »

Hallo zusammen,

ich habe hier 3 LN-1700 mit LCOS 10.42.0740RU6 (ohne WLC).

Jetzt wollte ich für beide Radios (WLAN-Interface 1: 2.4 GHz, WLAN-Interface 2: 5 GHz), die natürlich die selbe SSID konfiguriert haben, beim WPA2/3 Key Management Fast-Roaming aktivieren.

Jetzt ergeben sich folgende Fragen:

1. WPA2/3 Key Management
Was ist Eurer Erfahrung nach für eine Konfiguration am "kompatibelsten", damit zwar Fast-Roaming möglich ist, aber dennoch möglichst wenigen Clients die Authentifizierung (aus Kompatibilitäts- oder sonstigen Gründen) verweigert wird?
WPA2/3 Key Management: "Standard & Fast-Roaming"
oder
WPA2/3 Key Management: "Standard & Fast-Roaming & SHA256"

2. IAPP-Passphrase
Für Fast-Roaming muss ich dann ja auch eine IAPP-Passphrase festlegen und diese auf allen 3 APs äquivalent eintragen. Wenn Radio 1 und Radio 2 die gleiche SSID ausstrahlen und ebenfalls Client-Management (mit den Default-Einstellungen) aktiv ist, muss ich dann 2 verschiedenen IAPP-Passphrases konfigurieren (für Radio 1 auf allen APs die selbe und für Radio 2 auf allen APs ebenfalls die selbe, aber eine andere als für Radio 1) oder müssen dies IAPP-Passphrases für Radio 1 und 2 die selben sein?

3. LEPS-U und Fast-Roaming
Ich habe in der vorliegenden Umgebung seit geraumer Zeit LEPS-U aktiv (funktioniert seit Anbeginn problemlos). Beim ergänzenden Aktivieren von "Standard & Fast-Roaming" können sich die Clients nach einem Reboot des AP plötzlich nicht mehr per LEPS-U authentifizieren. Es scheint mir fast so, also ob Fast-Roaming in Verbindung mit LEPS-U irgendwie nicht funktioniert.
-> Kennt jemand das Problem oder hat eine Idee, woran das liegen könnte?


Vielen Dank vorab und
Gruß.
ittk
Beiträge: 1244
Registriert: 27 Apr 2006, 09:56

Re: Fast-Roaming, IAPP-Passphrase, LEPS-U

Beitrag von ittk »

Hi,

LEPS-U funktioniert nur mit WPA2, nicht aber mit WPA3!

LEPS-U funktioniert nicht, wenn die Option WPA2/3 Key Management (Access Point) bzw. WPA2 Key Management (WLAN-Controller) auf Fast Roaming gesetzt ist (oder eine Kombination, die Fast Roaming beinhaltet).
CyberT hat geschrieben: 28 Feb 2022, 15:35 Hallo zusammen,

ich habe hier 3 LN-1700 mit LCOS 10.42.0740RU6 (ohne WLC).

Jetzt wollte ich für beide Radios (WLAN-Interface 1: 2.4 GHz, WLAN-Interface 2: 5 GHz), die natürlich die selbe SSID konfiguriert haben, beim WPA2/3 Key Management Fast-Roaming aktivieren.

Jetzt ergeben sich folgende Fragen:

1. WPA2/3 Key Management
Was ist Eurer Erfahrung nach für eine Konfiguration am "kompatibelsten", damit zwar Fast-Roaming möglich ist, aber dennoch möglichst wenigen Clients die Authentifizierung (aus Kompatibilitäts- oder sonstigen Gründen) verweigert wird?
WPA2/3 Key Management: "Standard & Fast-Roaming"
oder
WPA2/3 Key Management: "Standard & Fast-Roaming & SHA256"

2. IAPP-Passphrase
Für Fast-Roaming muss ich dann ja auch eine IAPP-Passphrase festlegen und diese auf allen 3 APs äquivalent eintragen. Wenn Radio 1 und Radio 2 die gleiche SSID ausstrahlen und ebenfalls Client-Management (mit den Default-Einstellungen) aktiv ist, muss ich dann 2 verschiedenen IAPP-Passphrases konfigurieren (für Radio 1 auf allen APs die selbe und für Radio 2 auf allen APs ebenfalls die selbe, aber eine andere als für Radio 1) oder müssen dies IAPP-Passphrases für Radio 1 und 2 die selben sein?

3. LEPS-U und Fast-Roaming
Ich habe in der vorliegenden Umgebung seit geraumer Zeit LEPS-U aktiv (funktioniert seit Anbeginn problemlos). Beim ergänzenden Aktivieren von "Standard & Fast-Roaming" können sich die Clients nach einem Reboot des AP plötzlich nicht mehr per LEPS-U authentifizieren. Es scheint mir fast so, also ob Fast-Roaming in Verbindung mit LEPS-U irgendwie nicht funktioniert.
-> Kennt jemand das Problem oder hat eine Idee, woran das liegen könnte?


Vielen Dank vorab und
Gruß.
CyberT
Beiträge: 260
Registriert: 17 Apr 2005, 14:36

Re: Fast-Roaming, IAPP-Passphrase, LEPS-U

Beitrag von CyberT »

Hallo ittk,

vielen Dank.

ittk hat geschrieben: 01 Mär 2022, 08:52LEPS-U funktioniert nur mit WPA2, nicht aber mit WPA3!
Okay, das war mir auch noch nicht bekannt.

ittk hat geschrieben: 01 Mär 2022, 08:52LEPS-U funktioniert nicht, wenn die Option WPA2/3 Key Management (Access Point) bzw. WPA2 Key Management (WLAN-Controller) auf Fast Roaming gesetzt ist (oder eine Kombination, die Fast Roaming beinhaltet).
Ja, das hatte ich im Wesentlichen nach etlichen Stunden des Ausprobierens auch festgestellt, zumal sich für mich auf den ersten Blick kein Zusammenhang bzw. eine wie auch immer geartete Abhängigkeit zwischen den einzelnen Funktionen ergibt.

Nun stellen sich hierbei die Fragen, warum sich zum einen LEPS-U mit WPA3 und/oder Fast Roaming ausschließt und zum anderen wo das ganze dokumentiert ist? (Oder übersehe ich hier etwas?)


Vielleicht kann jemand noch etwas zu den LEPS-U unabhängigen Fragen sagen:

1. WPA2/3 Key Management
Was ist Eurer Erfahrung nach für eine Konfiguration am "kompatibelsten", damit zwar Fast-Roaming möglich ist, aber dennoch möglichst wenigen Clients die Authentifizierung (aus Kompatibilitäts- oder sonstigen Gründen) verweigert wird?
WPA2/3 Key Management: "Standard & Fast-Roaming"
oder
WPA2/3 Key Management: "Standard & Fast-Roaming & SHA256"

2. IAPP-Passphrase
Für Fast-Roaming muss ich dann ja auch eine IAPP-Passphrase festlegen und diese auf allen 3 APs äquivalent eintragen. Wenn Radio 1 und Radio 2 die gleiche SSID ausstrahlen und ebenfalls Client-Management (mit den Default-Einstellungen) aktiv ist, muss ich dann 2 verschiedenen IAPP-Passphrases konfigurieren (für Radio 1 auf allen APs dieselbe und für Radio 2 auf allen APs ebenfalls dieselbe, aber eine andere als für Radio 1) oder müssen dies IAPP-Passphrases für Radio 1 und 2 dieselben sein?


Vielen Dank vorab und
Gruß.
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: Fast-Roaming, IAPP-Passphrase, LEPS-U

Beitrag von tstimper »

CyberT hat geschrieben: 28 Feb 2022, 15:35 1. WPA2/3 Key Management
Der WPA2/3 Kombi Mode ist anfällig für Angriffe.
Grob erklärt, ein Client, eigentlich eine WPA3 Verbindung herstellen möchte, könnte von einem Fake AP in den WPA2 Mode gezwungen werden.
Dieser Wechsel ist als Angriff auf die Passphrase nutzbar.

Dieser Angriff wird als kritischer angesehen als wenn man mit den WPA2 Sicherheitslücken lebt.

Also entweder WPA3 only oder WPA2 only nutzen.
ittk hat geschrieben: 01 Mär 2022, 08:52 LEPS-U funktioniert nur mit WPA2, nicht aber mit WPA3!
Also bleibt nur WPA2 Only Mode zusammen mit LEPS-U

Und nur per VPN über WLAN ins Netz.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Antworten