LCOS/LCOS-LX Fast-Roaming Domain-ID

[rotwang]

Im Gegensatz zum 1302acn, der die AKM Suite 00:0f:ac:09 (FT using SAE) propagiert, schickt der LW600 ein 00:0f:ac:08 (SAE) raus.
Und das obwohl die Konfiguration des LW600 für die fragliche SSID so aussieht:

Es würde mich nicht wundern, wenn das LCOS-LX FT-SAE noch überhaupt nicht unterstützt...

[geppi]

Es würde mich nicht wundern, wenn das LCOS-LX FT-SAE noch überhaupt nicht unterstützt...

Tja, das kann letztendlich nur Lancom aufklären.

Ich habe auf Grund des Beitrags lancom-wireless-aktuelle-accesspoints-f ... ml#p115133 von DirkK ja immer noch die Hoffnung, dass es vielleicht doch geht.

@DirkK Kannst Du bitte mal prüfen ob bei Deinem 802.11i(WPA)-PSK Setup mit LCOS und LX das Fast-Roaming (FT-SAE) wirklich funktioniert?

Dazu bitte einfach mal bei beiden APs auf der Konsole den Befehl 'ls /Status/WLAN/IAPP-Table' eingeben und überprüfen ob die 'Domain-ID' der betreffenden SSID auf beiden APs identisch ist. Damit wäre schon mal viel gewonnen.

Eigentlich solltest Du für Stationen, die erfolgreiches Fast-Roaming vom LX AP zum LCOS AP vollziehen mit dem Befehl 'ls /Status/WLAN/Log-Table' auf der Konsole des LCOS APs (beim LX gibt's den Eintrag nicht), auch noch Einträge mit dem 'Event' "Fast transition for WLAN station xx:xx:xx:xx:xx:xx succeeded" finden.

[DirkK]

@DirkK Kannst Du bitte mal prüfen ob bei Deinem 802.11i(WPA)-PSK Setup mit LCOS und LX das Fast-Roaming (FT-SAE) wirklich funktioniert?

Eigentlich solltest Du für Stationen, die erfolgreiches Fast-Roaming vom LX AP zum LCOS AP vollziehen mit dem Befehl 'ls /Status/WLAN/Log-Table' auf der Konsole des LCOS APs (beim LX gibt's den Eintrag nicht), auch noch Einträge mit dem 'Event' "Fast transition for WLAN station xx:xx:xx:xx:xx:xx succeeded" finden.

Bei mir sind die IAPP-Tabellen leer, verstehe auch nicht, warum da was drinstehen sollte, weil ich das ja über WLC machen lasse.

In der Log-Tabelle sehe ich aber Einträge mit "Fast transition for WLAN station...". Insofern gehe ich wie schon geschrieben davon aus, dass es funktioniert, ob aber auch komplett richtig konfiguriert kann ich nicht verifizieren.

VG Dirk

[geppi]

Bei mir sind die IAPP-Tabellen leer, verstehe auch nicht, warum da was drinstehen sollte, weil ich das ja über WLC machen lasse.

Ja, entschuldigung, mein Fehler. Wenn der WLC im Spiel ist läuft das natürlich nicht über IAPP.

In der Log-Tabelle sehe ich aber Einträge mit "Fast transition for WLAN station...". Insofern gehe ich wie schon geschrieben davon aus, dass es funktioniert, ob aber auch komplett richtig konfiguriert kann ich nicht verifizieren.

Danke für's überprüfen!
Dann scheint ja LX nicht grundsätzlich ein Problem mit der Unterstützung von FT-SAE zu haben.
Sieht für mich eher danach aus als wäre das ohne WLC ein Konfigurationsproblem.

[geppi]

Hab' mir zum Wochenende mal den Spass gemacht und den vRouter mit Demolizenz in einer KVM installiert.
Dann den vRouter als WLC konfiguriert und ein Logisches WLAN-Netzwerk mit WPA3 802.11i(WPA)-PSK und Fast-Roaming eingerichtet.
Dieses Netzwerk dann an den 1302acn und den LW600 ausgerollt.

Auf dem 1302acn sehe ich in den Beacons wie er brav "FT using SAE" propagiert und auch eine Mobility Domain dazu liefert:

Code: Alles auswählen

Tag: RSN Information
    Tag Number: RSN Information (48)
    Tag length: 20
    RSN Version: 1
    Group Cipher Suite: 00:0f:ac (Ieee 802.11) AES (CCM)
	Group Cipher Suite OUI: 00:0f:ac (Ieee 802.11)
	Group Cipher Suite type: AES (CCM) (4)
    Pairwise Cipher Suite Count: 1
    Pairwise Cipher Suite List 00:0f:ac (Ieee 802.11) AES (CCM)
	Pairwise Cipher Suite: 00:0f:ac (Ieee 802.11) AES (CCM)
	    Pairwise Cipher Suite OUI: 00:0f:ac (Ieee 802.11)
	    Pairwise Cipher Suite type: AES (CCM) (4)
    Auth Key Management (AKM) Suite Count: 1
    Auth Key Management (AKM) List 00:0f:ac (Ieee 802.11) FT using SAE (SHA256)
	Auth Key Management (AKM) Suite: 00:0f:ac (Ieee 802.11) FT using SAE (SHA256)
	    Auth Key Management (AKM) OUI: 00:0f:ac (Ieee 802.11)
	    Auth Key Management (AKM) type: FT using SAE (SHA256) (9)
    RSN Capabilities: 0x00fc
	.... .... .... ...0 = RSN Pre-Auth capabilities: Transmitter does not support pre-authentication
	.... .... .... ..0. = RSN No Pairwise capabilities: Transmitter can support WEP default key 0 simultaneously with Pairwise key
	.... .... .... 11.. = RSN PTKSA Replay Counter capabilities: 16 replay counters per PTKSA/GTKSA/STAKeySA (0x3)
	.... .... ..11 .... = RSN GTKSA Replay Counter capabilities: 16 replay counters per PTKSA/GTKSA/STAKeySA (0x3)
	.... .... .1.. .... = Management Frame Protection Required: True
	.... .... 1... .... = Management Frame Protection Capable: True
	.... ...0 .... .... = Joint Multi-band RSNA: False
	.... ..0. .... .... = PeerKey Enabled: False
	..0. .... .... .... = Extended Key ID for Individually Addressed Frames: Not supported

Tag: Mobility Domain
    Tag Number: Mobility Domain (54)
    Tag length: 3
    Mobility Domain Identifier: 0x6559
    FT Capability and Policy: 0x00
	.... ...0 = Fast BSS Transition over DS: 0x0
	.... ..0. = Resource Request Protocol Capability: 0x0
	0000 00.. = Reserved: 0x00

Im Gegensatz dazu bleibt es beim LW600, wie schon im Fall ohne WLC, bei plain vanilla "SAE" ohne Mobillity Domain:

Code: Alles auswählen

Tag: RSN Information
    Tag Number: RSN Information (48)
    Tag length: 20
    RSN Version: 1
    Group Cipher Suite: 00:0f:ac (Ieee 802.11) AES (CCM)
	Group Cipher Suite OUI: 00:0f:ac (Ieee 802.11)
	Group Cipher Suite type: AES (CCM) (4)
    Pairwise Cipher Suite Count: 1
    Pairwise Cipher Suite List 00:0f:ac (Ieee 802.11) AES (CCM)
	Pairwise Cipher Suite: 00:0f:ac (Ieee 802.11) AES (CCM)
	    Pairwise Cipher Suite OUI: 00:0f:ac (Ieee 802.11)
	    Pairwise Cipher Suite type: AES (CCM) (4)
    Auth Key Management (AKM) Suite Count: 1
    Auth Key Management (AKM) List 00:0f:ac (Ieee 802.11) SAE (SHA256)
	Auth Key Management (AKM) Suite: 00:0f:ac (Ieee 802.11) SAE (SHA256)
	    Auth Key Management (AKM) OUI: 00:0f:ac (Ieee 802.11)
	    Auth Key Management (AKM) type: SAE (SHA256) (8)
    RSN Capabilities: 0x00fc
	.... .... .... ...0 = RSN Pre-Auth capabilities: Transmitter does not support pre-authentication
	.... .... .... ..0. = RSN No Pairwise capabilities: Transmitter can support WEP default key 0 simultaneously with Pairwise key
	.... .... .... 11.. = RSN PTKSA Replay Counter capabilities: 16 replay counters per PTKSA/GTKSA/STAKeySA (0x3)
	.... .... ..11 .... = RSN GTKSA Replay Counter capabilities: 16 replay counters per PTKSA/GTKSA/STAKeySA (0x3)
	.... .... .1.. .... = Management Frame Protection Required: True
	.... .... 1... .... = Management Frame Protection Capable: True
	.... ...0 .... .... = Joint Multi-band RSNA: False
	.... ..0. .... .... = PeerKey Enabled: False
	..0. .... .... .... = Extended Key ID for Individually Addressed Frames: Not supported

Ich bekomme also leider auch mit WLC bei WPA3-Personal kein Fast-Roaming zwischen dem 1302acn mit LCOS und dem LW600 mit LX hin.

.....
Es würde mich nicht wundern, wenn das LCOS-LX FT-SAE noch überhaupt nicht unterstützt...

Nachdem der letzte Hoffnungsschimmer mit dem WLC auch verblasst ist, schließe ich mich dieser Vermutung an.

Bin mal gespannt wann ich dazu ein offizielles Statement von Lancom im Rahmen meines Support-Tickets LCSUP-154593 bekomme.

[geppi]

Und jetzt versteh' ich gar nix mehr.

Auf dem WLC hab' ich auch noch ein Logisches WLAN-Netzwerk mit WPA3 802.11i(WPA)-802.1x und Fast-Roaming eingerichtet.
Ohne WLC hatte die FT ja zwischen dem 1302acn mit LCOS 10.34.0308 und dem LW600 mit LCOS-LX 6.12.0024Rel funktioniert.

Die vom WLC mit LCOS 10.80.0155Rel ausgerollte SSID liefert folgende Beacons.

Der 1302acn:

Code: Alles auswählen

Tag: RSN Information
    Tag Number: RSN Information (48)
    Tag length: 20
    RSN Version: 1
    Group Cipher Suite: 00:0f:ac (Ieee 802.11) AES (CCM)
	Group Cipher Suite OUI: 00:0f:ac (Ieee 802.11)
	Group Cipher Suite type: AES (CCM) (4)
    Pairwise Cipher Suite Count: 1
    Pairwise Cipher Suite List 00:0f:ac (Ieee 802.11) AES (CCM)
	Pairwise Cipher Suite: 00:0f:ac (Ieee 802.11) AES (CCM)
	    Pairwise Cipher Suite OUI: 00:0f:ac (Ieee 802.11)
	    Pairwise Cipher Suite type: AES (CCM) (4)
    Auth Key Management (AKM) Suite Count: 1
    Auth Key Management (AKM) List 00:0f:ac (Ieee 802.11) FT over IEEE 802.1X
	Auth Key Management (AKM) Suite: 00:0f:ac (Ieee 802.11) FT over IEEE 802.1X
	    Auth Key Management (AKM) OUI: 00:0f:ac (Ieee 802.11)
	    Auth Key Management (AKM) type: FT over IEEE 802.1X (3)
    RSN Capabilities: 0x00fc
	.... .... .... ...0 = RSN Pre-Auth capabilities: Transmitter does not support pre-authentication
	.... .... .... ..0. = RSN No Pairwise capabilities: Transmitter can support WEP default key 0 simultaneously with Pairwise key
	.... .... .... 11.. = RSN PTKSA Replay Counter capabilities: 16 replay counters per PTKSA/GTKSA/STAKeySA (0x3)
	.... .... ..11 .... = RSN GTKSA Replay Counter capabilities: 16 replay counters per PTKSA/GTKSA/STAKeySA (0x3)
	.... .... .1.. .... = Management Frame Protection Required: True
	.... .... 1... .... = Management Frame Protection Capable: True
	.... ...0 .... .... = Joint Multi-band RSNA: False
	.... ..0. .... .... = PeerKey Enabled: False
	..0. .... .... .... = Extended Key ID for Individually Addressed Frames: Not supported

Tag: Mobility Domain
    Tag Number: Mobility Domain (54)
    Tag length: 3
    Mobility Domain Identifier: 0xf797
    FT Capability and Policy: 0x00
	.... ...0 = Fast BSS Transition over DS: 0x0
	.... ..0. = Resource Request Protocol Capability: 0x0
	0000 00.. = Reserved: 0x00

Der LW600:

Code: Alles auswählen

Tag: RSN Information
    Tag Number: RSN Information (48)
    Tag length: 20
    RSN Version: 1
    Group Cipher Suite: 00:0f:ac (Ieee 802.11) AES (CCM)
	Group Cipher Suite OUI: 00:0f:ac (Ieee 802.11)
	Group Cipher Suite type: AES (CCM) (4)
    Pairwise Cipher Suite Count: 1
    Pairwise Cipher Suite List 00:0f:ac (Ieee 802.11) AES (CCM)
	Pairwise Cipher Suite: 00:0f:ac (Ieee 802.11) AES (CCM)
	    Pairwise Cipher Suite OUI: 00:0f:ac (Ieee 802.11)
	    Pairwise Cipher Suite type: AES (CCM) (4)
    Auth Key Management (AKM) Suite Count: 1
    Auth Key Management (AKM) List 00:0f:ac (Ieee 802.11) FT over IEEE 802.1X
	Auth Key Management (AKM) Suite: 00:0f:ac (Ieee 802.11) FT over IEEE 802.1X
	    Auth Key Management (AKM) OUI: 00:0f:ac (Ieee 802.11)
	    Auth Key Management (AKM) type: FT over IEEE 802.1X (3)
    RSN Capabilities: 0x00fc
	.... .... .... ...0 = RSN Pre-Auth capabilities: Transmitter does not support pre-authentication
	.... .... .... ..0. = RSN No Pairwise capabilities: Transmitter can support WEP default key 0 simultaneously with Pairwise key
	.... .... .... 11.. = RSN PTKSA Replay Counter capabilities: 16 replay counters per PTKSA/GTKSA/STAKeySA (0x3)
	.... .... ..11 .... = RSN GTKSA Replay Counter capabilities: 16 replay counters per PTKSA/GTKSA/STAKeySA (0x3)
	.... .... .1.. .... = Management Frame Protection Required: True
	.... .... 1... .... = Management Frame Protection Capable: True
	.... ...0 .... .... = Joint Multi-band RSNA: False
	.... ..0. .... .... = PeerKey Enabled: False
	..0. .... .... .... = Extended Key ID for Individually Addressed Frames: Not supported

Tag: Mobility Domain
    Tag Number: Mobility Domain (54)
    Tag length: 3
    Mobility Domain Identifier: 0x97f7
    FT Capability and Policy: 0x00
	.... ...0 = Fast BSS Transition over DS: 0x0
	.... ..0. = Resource Request Protocol Capability: 0x0
	0000 00.. = Reserved: 0x00

Diese sind bis auf den "Mobility Domain Identifier" identisch. Auf dem 1302acn lautet er 0xf797 und auf dem LW600 0x97f7.
Hier sind offensichtlich die Bytes vertauscht.

Kann sich das jemand erklären

Im Log des 1302acn sieht das Roaming für einen Client der definitiv FT kann jetzt so aus:

Code: Alles auswählen

ls Status/WLAN/Log-Table/

Index Time                  Interface  Event                                                            Address           Reason
======-----------------------------------------------------------------------------------------------------------------------------------------------------
1052  10/23/2023 10:37:28   WLAN-2     Determined IPv4 address for station <client-MAC-addr>            <client-MAC-addr> <client-IP4-addr>
1051  10/23/2023 10:37:28   WLAN-2     Determined IPv6 address for station <client-MAC-addr>            <client-MAC-addr> <client-IP6-addr>
1050  10/23/2023 10:37:28   WLAN-2     Completed handover for WLAN station <client-MAC-addr>            <client-MAC-addr> (old BSSID is <LCOS-MAC-addr>)
1049  10/23/2023 10:37:28   WLAN-2     Connected WLAN station <client-MAC-addr>                         <client-MAC-addr>
1048  10/23/2023 10:37:28   WLAN-2     Key handshake with peer <client-MAC-addr> successfully completed <client-MAC-addr>
1047  10/23/2023 10:37:28   WLAN-2     WLAN station <client-MAC-addr> authenticated via 802.1X          <client-MAC-addr> user name is <cert-subject>
1046  10/23/2023 10:37:27   WLAN-2     Associated WLAN station <client-MAC-addr>                        <client-MAC-addr>
1045  10/23/2023 10:37:27   WLAN-2     Authenticated WLAN station <client-MAC-addr>                     <client-MAC-addr>
1044  10/23/2023 10:36:22   WLAN-2     WLAN station <client-MAC-addr> roamed away                       <client-MAC-addr> (new BSSID is <LCOS-LX-MAC-addr>)
1043  10/23/2023 10:33:51   WLAN-2     Determined IPv4 address for station <client-MAC-addr>            <client-MAC-addr> <client-IP4-addr>
1042  10/23/2023 10:33:51   WLAN-2     Determined IPv6 address for station <client-MAC-addr>            <client-MAC-addr> <client-IP6-addr>
1041  10/23/2023 10:33:51   WLAN-2     Completed handover for WLAN station <client-MAC-addr>            <client-MAC-addr> (old BSSID is <LCOS-MAC-addr>)
1040  10/23/2023 10:33:51   WLAN-2     Connected WLAN station <client-MAC-addr>                         <client-MAC-addr>
1039  10/23/2023 10:33:51   WLAN-2     Key handshake with peer <client-MAC-addr> successfully completed <client-MAC-addr>
1038  10/23/2023 10:33:51   WLAN-2     WLAN station <client-MAC-addr> authenticated via 802.1X          <client-MAC-addr> user name is <cert-subject>
1037  10/23/2023 10:33:50   WLAN-2     Associated WLAN station <client-MAC-addr>                        <client-MAC-addr>
1036  10/23/2023 10:33:50   WLAN-2     Authenticated WLAN station <client-MAC-addr>                     <client-MAC-addr>

In der funktionierenden FT Konfiguration ohne WLC waren da noch Events "Fast transition for WLAN station xx:xx:xx:xx:xx:xx succeeded" zu finden.
Davon ist mit WLC nix zu sehen.

Bezüglich der WLC Thematik dieses Beitrags habe ich im entsprechenden Unterforum einen neuen Thread eröffnet: https://lancom-forum.de/alles-zum-lanco ... 20177.html

[geppi]

Die Experimente mit dem WLC haben jetzt aber die Ursache des Problems zu Tage gefördert aus dem dieser Thread entstanden ist lancom-wireless-aktuelle-accesspoints-f ... ml#p115101.

Zur Erinnerung: Die Änderung des AKM von "Fast-Roaming" auf "Standard & Fast-Roaming" verwandelte eine Konfiguration zweier standalone APs mit funktionierendem FT in ein, bezüglich FT dysfunktionales Setup.

In den Packet Captures der beiden APs fällt auf, dass der 1302acn folgende AKM Suites propagiert:

Code: Alles auswählen

    Auth Key Management (AKM) Suite Count: 2
    Auth Key Management (AKM) List 00:0f:ac (Ieee 802.11) WPA 00:0f:ac (Ieee 802.11) FT over IEEE 802.1X
	Auth Key Management (AKM) Suite: 00:0f:ac (Ieee 802.11) WPA
	    Auth Key Management (AKM) OUI: 00:0f:ac (Ieee 802.11)
	    Auth Key Management (AKM) type: WPA (1)
	Auth Key Management (AKM) Suite: 00:0f:ac (Ieee 802.11) FT over IEEE 802.1X
	    Auth Key Management (AKM) OUI: 00:0f:ac (Ieee 802.11)
	    Auth Key Management (AKM) type: FT over IEEE 802.1X (3)

der LW600 hingegen diese:

Code: Alles auswählen

    Auth Key Management (AKM) Suite Count: 2
    Auth Key Management (AKM) List 00:0f:ac (Ieee 802.11) FT over IEEE 802.1X 00:0f:ac (Ieee 802.11) WPA (SHA256)
	Auth Key Management (AKM) Suite: 00:0f:ac (Ieee 802.11) FT over IEEE 802.1X
	    Auth Key Management (AKM) OUI: 00:0f:ac (Ieee 802.11)
	    Auth Key Management (AKM) type: FT over IEEE 802.1X (3)
	Auth Key Management (AKM) Suite: 00:0f:ac (Ieee 802.11) WPA (SHA256)
	    Auth Key Management (AKM) OUI: 00:0f:ac (Ieee 802.11)
	    Auth Key Management (AKM) type: WPA (SHA256) (5)

Hoppala, für den 1302acn bedeutet "Standard" offensichtlich "Auth Key Management (AKM) type: WPA (1)",
für den LW600 hingegen bedeutet "Standard" offensichtlich "Auth Key Management (AKM) type: WPA (SHA256) (5)".

Großartig. Keine Ahnung ob man das jetzt mit irgendwelchen RFCs oder WFA Spezifikationen begründen kann. Die Tatsache, dass es in sämtlichen Konfigurations-Interfaces so aus sieht, als hätte man auf beiden APs die gleiche AKM Einstellung, ist gelinde gesagt etwas ungeschickt.

Daher hier nochmal die Anregung von Dr. Einstein:

Für mich klingt es so, dass eine Art show wlan (roaming?) Befehl fehlt, der sowohl bei LCOS als auch bei LX die Parameter eines WLANs vor allem bezogen auf Roaming untereinander auflistet sodass man schnell die Unterschiede identifizieren kann. Ich kenne jetzt nicht die RFC bzw IEEE zu dem Thema aber der Entwickler, der das aktuell gebaut hat, dem müssen ja alle notwendigen Parameter bekannt sein, die Einfluss auf die Domain-ID haben.

Vielleicht erledigen sich durch einen solchen Show Befehl diverse Fragen direkt.

Die Lösung des Problems ist jetzt übrigens ganz einfach:
Auf dem LW600 als AKM "Standard & Fast-Roaming" belassen, aber auf dem 1302acn auf "Fast-Roaming & SHA256" umstellen
und schon klappt's auch mit dem Nachbarn.

[geppi]

Inzwischen stellt sich mir aber etwas nachdrücklicher die Frage was denn nun eigentlich der "Standard" gemäß Spezifikation ist?

Ich hab hier nämlich zwei alte Clients die können mit SHA256 gar nix anfangen und darunter macht's der LW600 mit LCOS-LX ja nicht.

Ich hab' dazu mal lieber einen neuen Thread aufgemacht: lancom-wireless-aktuelle-accesspoints-f ... ml#p115339