LN-830acn nur "AES-CCMP-128" bei WLAN2 möglich !?!

[cpuprofi]

Hallo an Alle,

warum ist beim LN-830acn nur "AES-CCMP-128" bei WLAN2 möglich !?!

Wenn ich per WEBconfig "AES-CCMP-256, AES-GCMP-128, AES-GCMP-256" auswähle kommt "Ihre Eingabe 'dummy' für 'WPA2-3-Sitzungsschluessel' ist fehlerhaft. (Wert ist ungueltig)"... Warum?

Beim 452, 460, 862 geht es auszuwählen...

Grüße
Cpuprofi

[MariusP]

Hi,
Was sagt denn die CLI wenn du ein "set ?" auf dem Menüpunkt machst?
Gruß

[cpuprofi]

Hallo Marius,

Code: Alles auswählen

root@LancomLN830acn-1:/Setup/Interfaces/WLAN/Interpoint-Encryption/WLAN-2
> set ?

Possible input for columns in table 'Interpoint-Encryption':
[  1] Ifc                     : value fixed
[  2] Encryption              : No (0), Yes (2)
[  3] Default-Key             : 1 chars from 1234567890
[  4] Method                  : 802.11i-WPA-PSK (32), WEP-128-Bits (16), WEP-104-Bits (13), WEP-40-Bits (5)
[  9] WPA-Version             : WPA1 (2), WPA2 (4), WPA1/2 (6), WPA2/3 (12), WPA3 (8), WPA1/2/3 (14)
[ 12] WPA1-Session-Keytypes   : TKIP (1), AES (2), TKIP/AES (3)
[ 27] WPA2-3-Session-Keytypes : Bitmask: TKIP (1), AES-CCMP-128 (2), AES-CCMP-256 (4), AES-GCMP-128 (8), AES-GCMP-256 (16)
[ 11] WPA-Rekeying-Cycle      : 10 chars from 1234567890
[ 19] WPA2-Key-Management     : Bitmask: SHA256 (4), Standard (1)
[ 26] SAE-Groups              : Bitmask: secp256r1 (524288), secp384r1 (1048576), secp521r1 (2097152), secp192r1 (33554432), secp224r1 (67108864)
[ 14] Prot.-Mgmt-Frames       : No (0), mandatory (2), optional (1)
[ 15] PMK-Caching             : No (0), Yes (1)

root@LancomLN830acn-1:/Setup/Interfaces/WLAN/Interpoint-Encryption/WLAN-2
>

Grüße
Cpuprofi

[MariusP]

Hi,
Also ich hoffe ich gebe alles korrekt wieder.
Die beiden WLAN-Module sind nicht die selben. In dem Fall ein ac und ein n Modul. (Temperatur im Gehäuse spielt hier zum Beispiel eine Rolle)
Das n Modul kann alle 4 Varianten, das andere nur eins davon. (beim n Modul konnte Lancom einen Kniff anwenden um alle 4 anzubieten ,beim ac nicht mehr möglich)

Also immer darauf achten, welches Modul du gerade konfigurierst.

Anmerkung: Es gibt aktuell quasi keine Clients die 256bit Verschlüsselung beherrschen, weshalb es nicht viele Vorteile bringt 256bit schon anzubieten.
Gruß

[cpuprofi]

Hallo Marius,

erst mal Danke für Deine Bemühungen.

Zum Thema:

Der LN-830 hat folgende Module:

WLAN - 1: Atheros AR9382

WLAN - 2: QCA 9880

Der LN-862 (auch ein AC AP) hat folgende Module:

WLAN - 1: Atheros AR9382

WLAN - 2: QCA 9888

Beim LN-862 gibt es das "Problem" nicht, der kann "AES-CCMP-128, AES-CCMP-256, AES-GCMP-128, AES-GCMP-256", beim LN-830 schon, der kann nur "AES-CCMP-128". Und da ich darüber "nur" P2P nutze sollten idealerweise beide AP's die gleiche Standards können.

Oder hat Lancom "nur" vergessen beim LN-830 den "Kniff" zu implementieren...?

Grüße
Cpuprofi

[alf29]

Moin,

weil die Hardware/Firmware der Wave1-ac-Module leider AES-mäßig nichts anderes als CCMP-128 kann, und es ihr auch host-seitig nicht beizubiegen ist.

Die 11n-Module können zwar auch kein GCMP bzw. 256 Bit in Hardware, aber sie sind "dumm genug", daß man sie mit vom Host vorverschlüsselten Paketen füttern kann, die sie dann einfach durchreichen. Die im LANCOM eingesetzten Freescale-CPUs haben einen eigenen Krypto-Beschleuniger, der ansonsten für IPsec und SSL/TLS genutzt wird und auf den der Treiber im LCOS in diesem Fall zurückgreift. Deshalb hält sich der CPU-Overhead in Grenzen, zumindest solange Du kein CCMP-256 benutzt (da fehlt noch die Anbindung an den HW-Beschleuniger).

Die Wave2-ac-Module im LN-86x und LN17xx unterstützen alle AES-Varienten direkt in ihrer eigenen Hardware.

Zu der Darstellung im Menü: Es ist im LCOS nicht möglich, bei einer Tabelle im "set ?" anzuzeigen, daß für eine bestimmte Spalte die möglichen Werte von der Tabellenzeile abhängig sind. Es wird immer die Vereinigungsmenge aller Werte angezeigt und nicht erlaubte Werte werden dann bei der Eingabe abgelehnt. Das ist aber nichts neues und war z.B. auch schon bei den Ethernet-Ports an einem L-322 so - für den zweiten Port kann man kein GBit einstellen, es ist eben nur ein 100er-Port...

Viele Grüße

Alfred

[alf29]

Das ganze noch mal als Tabelle zur Klarstellung:

Code: Alles auswählen

Chipsatz            TKIP CCMP-128 CCMP-256 GCMP-128 GCMP-256

11n                 1    1        3        2        2
(AR9280, AR9382,
 AR9380, AR9390)

11ac Wave1          1    1        -        -        -
(QCA9880)

11ac Wave2
(QCA9888, QCA9984)  1    1        1        1        1

- -> keine Unterstützung
1 -> volle Unterstützung, kein Performance-Einfluß
2 -> host-seitige Unterstützung in Hardware, geringer
     Performance-Einfluß
3 -> host-seitige Unterstützung in Software, starker
     Performance-Einfluß

[MariusP]

Oder hat Lancom "nur" vergessen beim LN-830 den "Kniff" zu implementieren...?

Was ist an den Worten "nicht mehr möglich" so kompliziert?
Gruß

[cpuprofi]

@Alfred

Danke für Deine ausführlichen Erklärungen. Dadurch sind jetzt alle Unklarheiten gelöst.

@Marius

Was ist an den Worten "nicht mehr möglich" so kompliziert?

Na ja, die LN-86x und LN17xx unterstützen alle AES-Varianten und mir fehlten in Deiner Beschreibung halt die Informationen die Alfred geliefert hatte...

Grüße
Cpuprofi