WPA3-Enterprise - EAP-TLS v1.3 funktioniert nicht

[GrandDixence]

Ich habe vor mir zwei neue Samsung Smartphones:

- 1x Samsung Galaxy S22
- 1x Samsung Galaxy S24

auf beiden Smartphones wurde die gesamte Software auf den neusten Stand gebracht (Android 14). Das Samsung S22 verbindet sich einwandfrei mit dem WLAN (LCOS 10.50 RU14). Das vom LANCOM L-321agn (R2) bereit gestellte WLAN wird von Android als WPA3-Enterprise ausgewiesen. Für die Anmeldung im WLAN wird EAP-TLS eingesetzt. Der Radius-Server läuft auf einem LANCOM 1781EF+ (LCOS 10.50 RU14). Es kommt RADSEC zum Einsatz. Gemäss den Android-Einstellungen unterstützt das Samsung S22 EAP-TLS bis und mit Version 1.2.

Der WLAN-Verbindungsaufbau vom Samsung S22 läuft mit EAP-TLS v1.2 einwandfrei durch.

EAP-TLSv1_2_Samsung_S22.png

Das Samsung S24 kann sich nicht mit dem WLAN verbinden. Gemäss den Android-Einstellungen unterstützt das Samsung S24 EAP-TLS bis und mit Version 1.3. In den Wireshark-Aufzeichnungen der Luftschnittstelle ist klar ersichtlich, dass das Samsung S24 den WLAN-Verbindungsaufbau mit EAP-TLS v1.3 bei "Key (Message 1 of 4)" abbricht.

EAP-TLSv1_3_Samsung_S24.png

Der relevante LCOS-Konfigurationsparameter:

LCOS-Menübaum > Setup > RADIUS > Server > EAP > EAP-TLS > Versionen

ist mit:

TLSv1.2
TLSv1.3

konfiguriert. In der LCOS-Menüreferenz taucht TLSv1.3 überhaupt nicht auf!?
https://www.lancom-systems.de/docs/LCOS ... _19_2.html

Wenn ich im LCOS die Unterstützung von TLSv1.3 für EAP-TLS abschalte, verbindet sich auch das Samsung Galaxy S24 einwandfrei per EAP-TLS v1.2 mit dem WLAN. Handelt es hierbei um einen Mangel auf Seite LANCOM oder Samsung/Google?

[rotwang]

konfiguriert. In der LCOS-Menüreferenz taucht TLSv1.3 überhaupt nicht auf!?
https://www.lancom-systems.de/docs/LCOS ... _19_2.html

Tja, das dauert leider manchmal ein wenig mit der Doku...

Wenn ich im LCOS die Unterstützung von TLSv1.3 für EAP-TLS abschalte, verbindet sich auch das Samsung Galaxy S24 einwandfrei per EAP-TLS v1.2 mit dem WLAN. Handelt es hierbei um einen Mangel auf Seite LANCOM oder Samsung/Google?

Das ist ohne Nachstellmöglichkeit auf meiner Seite schwer zu beurteilen. EAP-PEAP mit TLS 1.3 ist erst unlängst getestet worden, mit einem aktuellen WPAsupplicant auf der Client-Seite, und dafür ist auch noch ein Fix in die RU14 reingekommen. Funktioniert denn das mit dem S24?

[GrandDixence]

Danke für die Antwort. Gemäss der Tabelle unter:
https://www.heise.de/ratgeber/WLAN-und- ... 79513.html
ist EAP-TLS das einzige, akzeptabel sichere und realisierbare EAP-Anmeldeverfahren für WLAN. Somit interessiert mich (EAP-)PEAP nicht. Falls keine Lösung für das EAP-TLS v1.3 in Sicht ist, bleibe ich halt einfach bei EAP-TLS v1.2.

[rotwang]

Tja, schade. Es ging darum, das (mögliche) Problem einzukreisen, weil ich Dein Setup nicht habe. Nicht darum, Dir allgemein die Verwendung von PEAP statt TLS nahezulegen. Aber dann halt nicht. Dann wird das Problem eben nicht weiter untersucht...

[GrandDixence]

Tja, wenn LANCOM nicht gewillt ist, an 0815-Standardkunden mindestens 10 Jahre Sicherheitsupdates für ihre Produkte zu geben, dann bin ich halt auch nicht gewillt, Beta-Softwaretester für LANCOM zu spielen...

Der LANCOM 1781EF+ ist praktisch EoL

Die Hardware von LANCOM ist zu kurzlebig, um da noch ernsthaft Zeit in die Softwarebugsuche zu investieren!