Voice-WLAN-SSID / Fast Roaming

Forum zum LANCOM WLC-4100, WLC-4025+, WLC-4025 und WLC-4006 WLAN-Controller

Moderator: Lancom-Systems Moderatoren

Antworten
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Voice-WLAN-SSID / Fast Roaming

Beitrag von Jirka »

Hallo zusammen,

ich wollte auf einem WLC-4100 eine Voice-SSID erstellen. APs sind von L-322agn-R2 bis LN-830acn das gesamte LANCOM-Portfolio (außer LX-APs), wobei mittlerweile die schnelleren APs überwiegen. Es gibt aber auch ältere/nicht mehr unterstützte Geräte wie L-1310acn.

Eigentlich habe ich nur wenige Fragen, aber evt. sind die nicht alle einfach zu beantworten:

1) Kann ich Fast Roaming auch mit WPA3 verwenden? Offensichtlich nicht.
2) Sollte ich dann lieber WPA2 mit Fast Roaming verwenden oder doch eher WPA3? Der Anmeldeprozess ist bei WPA3 ja etwas ausführlicher, hat das zeitliche Konsequenzen? Mal abgesehen von der Sicherheit, ist WPA2 dann besser für VoIP bei Roaming?
3) Welche Einstellungen würdet Ihr für eine Voice-SSID empfehlen? Clients werden hauptsächlich Android-Smartphones sein.

Letztlich geht es darum, mögliche Probleme durch Roaming der Clients zu minimieren und eine stabile, zuverlässige Übertragung der VoIP-Daten zu ermöglichen.

Vielen Dank und viele Grüße
Jirka
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: Voice-WLAN-SSID / Fast Roaming

Beitrag von tstimper »

Jirka hat geschrieben: 17 Feb 2023, 13:12 Hallo zusammen,

ich wollte auf einem WLC-4100 eine Voice-SSID erstellen. APs sind von L-322agn-R2 bis LN-830acn das gesamte LANCOM-Portfolio (außer LX-APs), wobei mittlerweile die schnelleren APs überwiegen. Es gibt aber auch ältere/nicht mehr unterstützte Geräte wie L-1310acn.

Eigentlich habe ich nur wenige Fragen, aber evt. sind die nicht alle einfach zu beantworten:

1) Kann ich Fast Roaming auch mit WPA3 verwenden? Offensichtlich nicht.
2) Sollte ich dann lieber WPA2 mit Fast Roaming verwenden oder doch eher WPA3? Der Anmeldeprozess ist bei WPA3 ja etwas ausführlicher, hat das zeitliche Konsequenzen? Mal abgesehen von der Sicherheit, ist WPA2 dann besser für VoIP bei Roaming?
3) Welche Einstellungen würdet Ihr für eine Voice-SSID empfehlen? Clients werden hauptsächlich Android-Smartphones sein.

Letztlich geht es darum, mögliche Probleme durch Roaming der Clients zu minimieren und eine stabile, zuverlässige Übertragung der VoIP-Daten zu ermöglichen.

Vielen Dank und viele Grüße
Jirka
Hallo Jirka,

zu 2)
wenn WPA3, dann nur WPA3 Only und kein WPA3/WPA2 Mischbetrieb wegen
https://support.lancom-systems.com/know ... d=36456922

Da es bestimmt immernoch irgendein Smartphone gibt, das dann kein WPA3 kann, bleibt nur WPA2 only.

zu 3) interessieren mich auch Eure Meinungen, auch bei LX APs

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: Voice-WLAN-SSID / Fast Roaming

Beitrag von Dr.Einstein »

Jirka hat geschrieben: 17 Feb 2023, 13:12 1) Kann ich Fast Roaming auch mit WPA3 verwenden? Offensichtlich nicht.
Ja, mir wäre nicht bekannt, wieso es bei Lancom nicht gehen sollte.
Jirka hat geschrieben: 17 Feb 2023, 13:12 2) Sollte ich dann lieber WPA2 mit Fast Roaming verwenden oder doch eher WPA3? Der Anmeldeprozess ist bei WPA3 ja etwas ausführlicher, hat das zeitliche Konsequenzen? Mal abgesehen von der Sicherheit, ist WPA2 dann besser für VoIP bei Roaming?
WPA3 PSK + 802.11r negiert grob die beiden zusätzlichen Frames, die WPA3 PSK benötigt im Vergleich zu WPA2. Der Sicherheitsgewinn sollte hier im Vordergrund stehen.
Jirka hat geschrieben: 17 Feb 2023, 13:12 3) Welche Einstellungen würdet Ihr für eine Voice-SSID empfehlen? Clients werden hauptsächlich Android-Smartphones sein.
Vielleicht wieder an Gott glauben? Sowohl Android als auch iOS haben so tolle Eigenschaften wie Telefoniefunktionen/Dienste dem Betriebssystem mitzuteilen / speziell zu markieren. Das hat ganz tolle Effekte wie ein deaktiviertes clientseitiges Roaming, sodass das Endgerät so lange wie möglich auf einem AP fest kleben bleibt. Meiner Erfahrung nach probiert man händisch so lange an den Einstellungen rum, bis man zufrieden ist oder aufgibt. Ich habe bisher keine Blaupause gefunden, die immer funktioniert für VoWLAN. Mal habe ich die Basisrate angepasst, mal die Kanalbreite, mal die Roaming Funktion negiert, mal von PSK auf 1x umgestellt, obwohl dieses extrem langsamer ist, aber dann vllt wieder besser mit 802.11r in Einklang gebracht wird durch die Clients. VoWLAN ist einfach nur die Pest. DECT over IP und alle sind happy.
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Voice-WLAN-SSID / Fast Roaming

Beitrag von Jirka »

tstimper hat geschrieben: 17 Feb 2023, 18:16 Da es bestimmt immernoch irgendein Smartphone gibt, das dann kein WPA3 kann, bleibt nur WPA2 only.
Also die Smartphones werden größtenteils neu, relativ neu oder zumindest nicht so alt sein, Android 10 oder höher also drauf sein und damit auch WPA3-Kompatibilität vorhanden sein.
Den Mischbetrieb halte ich hauptsächlich nicht wegen der von Dir verlinkten Sicherheit für ein Problem (was ja eigentlich auch irgendwo logisch ist, solange ich WPA2 eben noch anbiete), sondern eher noch wegen Kompatibilitätsproblemen mit älteren iPhones (https://support.lancom-systems.com/know ... d=32985832).
Fazit: Deswegen ja Frage 2...
Dr.Einstein hat geschrieben: 18 Feb 2023, 22:08 Ja, mir wäre nicht bekannt, wieso es bei Lancom nicht gehen sollte.
Habe ich anfangs auch gedacht, aber der Menüpunkt dazu heißt "WPA2 Key Management". Nun könnte man auf der Konsole noch annehmen, dass das Menü oder die Menüstruktur aus Kompatibilitätsgründen nicht angepasst wird (damit z. B. Scripte noch laufen), aber auch in LANconfig und in der Hilfe ist auch immer nur von WPA2 die Rede. Dazu kommt, dass wenn WPA3 denn nun so schön sicher ist, sowas vielleicht auch gar nicht mehr möglich ist. Und dazu kommen dann auch noch Google-Suchergebnisse wie sowas hier https://wlan1nde.wordpress.com/2018/09/ ... -security/, da steht: "There is no use of SAE/ECC in WPA3-Enterprise and no standard support for fast roaming (802.11r)." oder "For the future, it would be great to see more upgrades for the enterprise market, especially since “Fast Roaming” (802.11r) was left out of the current WPA3-“Standard” (for personal and enterprise networks)."
Dr.Einstein hat geschrieben: 18 Feb 2023, 22:08 WPA3 PSK + 802.11r negiert grob die beiden zusätzlichen Frames, die WPA3 PSK benötigt im Vergleich zu WPA2. Der Sicherheitsgewinn sollte hier im Vordergrund stehen.
Das mit der Sicherheit sehe ich grundsätzlich ja auch so. Allerdings nicht, wenn es mir im Gegenzug dann Probleme bereitet, weil das Roaming langsamer ist oder irgendwie eben zu Verzögerungen führt, die vielleicht nicht nötig sind.
Wenn man sich das gesamte Drama anschaut, dann ist alles was man bezüglich Fast Roaming weiß, schon wieder für die Mülltonne... :?
Dr.Einstein hat geschrieben: 18 Feb 2023, 22:08 Vielleicht wieder an Gott glauben?
:roll:
Dr.Einstein hat geschrieben: 18 Feb 2023, 22:08 Sowohl Android als auch iOS haben so tolle Eigenschaften wie Telefoniefunktionen/Dienste dem Betriebssystem mitzuteilen / speziell zu markieren. Das hat ganz tolle Effekte wie ein deaktiviertes clientseitiges Roaming, sodass das Endgerät so lange wie möglich auf einem AP fest kleben bleibt. Meiner Erfahrung nach probiert man händisch so lange an den Einstellungen rum, bis man zufrieden ist oder aufgibt. Ich habe bisher keine Blaupause gefunden, die immer funktioniert für VoWLAN. Mal habe ich die Basisrate angepasst, mal die Kanalbreite, mal die Roaming Funktion negiert, mal von PSK auf 1x umgestellt, obwohl dieses extrem langsamer ist, aber dann vllt wieder besser mit 802.11r in Einklang gebracht wird durch die Clients.
Oh je. Vielen Dank auf alle Fälle für den ausführlichen Erfahrungsbericht - ich werde ihn weiterleiten an den Geschäftsführer.
Dr.Einstein hat geschrieben: 18 Feb 2023, 22:08 VoWLAN ist einfach nur die Pest. DECT over IP und alle sind happy.
Ich habe grundsätzlich auch abgeraten, aber das bestehende DECT über eine NEC-Telefonanlage (insgesamt relativ groß) ist seit längerer Zeit anfällig (muss dann mal neu gestartet werden, damit wieder alles geht) und auch schon nicht mehr im Support und war zudem immer extrem teuer, wenn an der gesamten Telefonanlage mal was gemacht werden musste, am Ende (letztes Jahr um diese Zeit) musste gar ein (richtiger) Session Border Controller vorgesetzt werden, der ein "user=phone" in die Paket schmuggelte, damit der Provider sie akzeptierte. Es müsste dann wohl alles erneuert werden und wäre dann auch nicht so flexibel, wie gewünscht, von den Kosten völlig abgesehen. Die Geschäfte sind rückläufig, man hat sich schon verkleinert, nun noch mehrere tausend Euro für eine Telefonanlage hat man keine Lust mehr drauf. Es wird auch einige schnurgebundene Telefone geben, wenn es arg schlecht ist, dann muss vielleicht anschließend doch noch was gemacht werden, es ist ein Versuch. Kündigunsfristen sind sehr kurzfristig.
Irgendwie habe ich jetzt nach Jahren doch eher erwartet, dass VoWLAN inzwischen besser funktioniert, aber offensichtlich bleibt es wie es ist - ein Kompromiss.

P. S.: Ich musste gerade feststellen, dass wenn man bei dem von mir oben angegebenen Link auf "About me" klickt, dass das jemand von LANCOM Systems geschrieben hat - schade, dass derjenige nicht auch hier im Forum aktiv ist.
P. P. S.: Ich musste gerade feststellen (Xing u. ä.), dass derjenige seit einem halben Jahr nicht mehr bei LANCOM ist - sehr schade!
jfuchs
Beiträge: 63
Registriert: 19 Feb 2023, 00:20
Wohnort: Plauen i.V.

Re: Voice-WLAN-SSID / Fast Roaming

Beitrag von jfuchs »

SAE+FT (WPA3-PSK + IEEE-802.11r) funktioniert grundsätzlich im LCOS. Zumindest als ich damals noch selbst für LANCOM tätig war, und die LCOS Test-Automatisierung dafür entwickelt und bedient habe. wpa_supplicant unterstützt dies bspw. auch auf Client Seite. Wie das mit anderen Endgeräten (iOS, Android) aussieht, weiß ich gerade nicht mehr. WPA3-Enterprise ist erst einmal das gleiche wie WPA2-Enterprise mit PMF (Suite-B mal ausgenommen), d.h. Fast-Roaming ist ebenso möglich. Man muss hierbei beachten, dass WPA3 von der Wi-Fi Alliance und nicht von der IEEE kommt. Diese hat meines Wissens keinen Testplan/Zertifizierung die WPA3 mit 802.11r testet bzw. abdeckt ("WPA3-SAE Certification does not require to have FT support." https://mrncciew.com/2019/11/29/wpa3-sae-mode/). Da Hersteller in der Regel nur das implementieren, was für eine Zertifizierung benötigt wird, fehlt das meist bei eben diesen Endgeräten. Allerdings schließt das wiegesagt nicht grundsätzlich eine Kombination von WPA3 mit 802.11r aus.
Allerdings nicht, wenn es mir im Gegenzug dann Probleme bereitet, weil das Roaming langsamer ist oder irgendwie eben zu Verzögerungen führt, die vielleicht nicht nötig sind.
Wieso sollte das Roaming langsamer sein bei WPA3? Bei deiner Erst-Authentifizierung (sei es PSK oder 1X) handelst deinen u.a. PMK aus. Dieser wird dann für die Fast-Transition genutzt.
Habe ich anfangs auch gedacht, aber der Menüpunkt dazu heißt "WPA2 Key Management".
Das hat rein historische Gründe. Als der LCOS 802.11r Support rein kam, gab es nur WPA2.

Zu deinem P.S.: Die angesprochene Person ist leider mittlerweile nicht mehr für LANCOM tätig. Ich glaube, dass Sie das Forum ab und an verfolgt hat. Weiß aber gerade nicht ob auch als angemeldeter Benutzer.
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: Voice-WLAN-SSID / Fast Roaming

Beitrag von Dr.Einstein »

Jirka hat geschrieben: 18 Feb 2023, 23:24 Habe ich anfangs auch gedacht, aber der Menüpunkt dazu heißt "WPA2 Key Management". Nun könnte man auf der Konsole noch annehmen, dass das Menü oder die Menüstruktur aus Kompatibilitätsgründen nicht angepasst wird (damit z. B. Scripte noch laufen), aber auch in LANconfig und in der Hilfe ist auch immer nur von WPA2 die Rede. D
Du konvertierst wohl immer noch deine LanConfig Installation von vor 10 Jahren?
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Voice-WLAN-SSID / Fast Roaming

Beitrag von Jirka »

Hallo,
jfuchs hat geschrieben: 19 Feb 2023, 00:54 SAE+FT (WPA3-PSK + IEEE-802.11r) funktioniert grundsätzlich im LCOS.
vielen herzlichen Dank für die Info. Manchmal ist es immer wieder überraschend, was für kompetente Leute hier im Forum plötzlich und unerwartet auftauchen. Schon beim letzten Posting war ich erstaunt wie klein die Welt ist, und jetzt setzt Du noch mal einen oben drauf und hast Dich offenbar sogar extra angemeldet hier. Erstaunlich - und dann schon nicht mehr bei LANCOM. Danke auf alle Fälle für Deine Zeit und die Infos. Irgendwie scheint mir, dass Du Dich offensichtlich mit den LX-APs bei LANCOM gut auskennen solltest. Interessant... Offenbar deswegen liest Du hier im Forum (bisher still) mit?
Meine erste Frage, für was FT eigentlich steht, konnte ich rausfinden: Fast Basic Service Set (BSS) Transition.
Ich kannte bisher nur FR, dieses Kürzel für Fast Roaming hatte ich an die SSIDs hintenrangehängt, die mit FR waren...

Ok, also funktioniert das doch. Na dann bin ich ja mit der bisherigen Einstellung WPA3 und Fast Roaming genau richtig. Bis 1. März muss es einigermaßen laufen, derzeit ist alles noch Test...
jfuchs hat geschrieben: 19 Feb 2023, 00:54 Man muss hierbei beachten, dass WPA3 von der Wi-Fi Alliance und nicht von der IEEE kommt. Diese hat meines Wissens keinen Testplan/Zertifizierung die WPA3 mit 802.11r testet bzw. abdeckt ("WPA3-SAE Certification does not require to have FT support."
Aha.
jfuchs hat geschrieben: 19 Feb 2023, 00:54 Da Hersteller in der Regel nur das implementieren, was für eine Zertifizierung benötigt wird, fehlt das meist bei eben diesen Endgeräten. Allerdings schließt das wiegesagt nicht grundsätzlich eine Kombination von WPA3 mit 802.11r aus.
Oha. Na ja, wenn es am Ende nur LANCOM kann, die Clients aber nicht, habe ich davon natürlich auch nichts.
jfuchs hat geschrieben: 19 Feb 2023, 00:54 Wieso sollte das Roaming langsamer sein bei WPA3? Bei deiner Erst-Authentifizierung (sei es PSK oder 1X) handelst deinen u.a. PMK aus. Dieser wird dann für die Fast-Transition genutzt.
Ja, wenn denn die Fast Transition (hier tauchte der Begriff für FT also auch auf) funktioniert, ist alles gut! Aber wenn nicht, dann ist für WPA3 ja offensichtlich eine geringfügig längerere Aushandlung bis zur Anmeldung nötig.
jfuchs hat geschrieben: 19 Feb 2023, 00:54 Zu deinem P.S.: Die angesprochene Person ist leider mittlerweile nicht mehr für LANCOM tätig.
Ja, Du müsstest "die angesprochene Person" dann ja ganz gut kennen. Das hatte ich dann auch noch rausgefunden, nachdem da irgendwo ein Vortrag auf der Seite war, den ich anschaute (und anschließend noch etwas schaute).

Zu Dr. Einstein:
Dr.Einstein hat geschrieben: 19 Feb 2023, 12:28 Du konvertierst wohl immer noch deine LanConfig Installation von vor 10 Jahren?
Ja, natürlich! Da kommen die neuen Beschreibungsdateien rein und alles läuft perfekt. Da ich die Beschreibungsdateien teilweise aber noch anpasse, so dass ich z. B. die Telekom-Geräte auch in der Liste der neu zu erstellenden Geräte-Konfigs habe, bin ich aus Faulheit auch nicht immer auf dem allerneuesten Stand, aber schon so, dass ich jetzt eine 10.72 auch öffnen könnte.
Wie auch immer, Dein Screenshot ist schön, aber genau das sehe ich auch, wenn ich mir einen AP direkt anschaue, was ich bisher allerdings zugegeben nicht gemacht hatte. Ich hatte immer nur in einen WLAN-Controller geschaut, hier, wie oben geschrieben, WLC-4100, aber da der leider keine Updates mehr bekommt, eben auch in einem Offline-WLC-30 mit neuester 10.72. Und da steht nirgends was von WPA3 Key Management. Oder wie sieht es da bei Dir aus? (Konfiguration -> WLAN-Controller -> Profile -> Logische WLAN-Netzwerke (SSIDs) -> WPA2 Key Management + Hilfe)

Vielen Dank und viele Grüße
Jirka
jfuchs
Beiträge: 63
Registriert: 19 Feb 2023, 00:20
Wohnort: Plauen i.V.

Re: Voice-WLAN-SSID / Fast Roaming

Beitrag von jfuchs »

Jirka hat geschrieben: 20 Feb 2023, 17:25 Offenbar deswegen liest Du hier im Forum (bisher still) mit?
Offtopic: ich habe das Forum ab und an (auch damals) schon verfolgt. Die Frage schien mir jetzt geeignet mich doch endlich mal anzumelden. Mit den LX-APs kenn ich mich bedingt gut aus. Ich bin zum Launch des LX-64xx bei LANCOM aus privaten Gründen ausgeschieden. Zuvor kam ja aber schon der LW-500 mit LCOS-LX auf den Markt. Ich setze privat und beruflich zum Teil weiterhin LCOS-, LX-Geräte und Switches ein. Die angesprochene Person kenne ich sehr gut, ja. Ab und an pflegt man auch seine Kontakte zu eben diesem, oder anderen dir bekannten Personen (u.a. alf29) noch.
Jirka hat geschrieben: 20 Feb 2023, 17:25 Ich kannte bisher nur FR, dieses Kürzel für Fast Roaming hatte ich an die SSIDs hintenrangehängt, die mit FR waren...
Die Abkürzung FR für Fast-Roaming ist mir nicht geläufig und noch nicht in der "Szene" so untergekommen. FT bezeichnet insbesondere die Fast-Transition, d.h. den "Übergang" von einem AP zum Anderen, korrekt.
Jirka hat geschrieben: 20 Feb 2023, 17:25 Oha. Na ja, wenn es am Ende nur LANCOM kann, die Clients aber nicht, habe ich davon natürlich auch nichts.
Du musst das leider selber testen, ob Apple und Android Geräte IEEE-802.11r mit WPA3 unterstützen (Packet Capture!). Leider sind beide nicht einfach so in eine Test-(Voll)-Automatisierung zu integrieren, weswegen man da auf Linux-PCs mit wpa_supplicant setzt. Dies ist übrigens beim Wi-Fi Alliance Testbed überwiegend auch so.
Jirka hat geschrieben: 20 Feb 2023, 17:25 Aber wenn nicht, dann ist für WPA3 ja offensichtlich eine geringfügig längerere Aushandlung bis zur Anmeldung nötig.
Da ich gerade selber kein Packet-Capture zur Hand habe: Im Beispiel [0] (Authentication Request Timestamp 10.488525, WPA-Handshake Message 4/4 10.524787) komme ich jetzt für eine SAE-Authentifizierung auf 36ms. Das ist nicht wirklich viel länger meiner Meinung nach wie bei einer WPA2-PSK Anmeldung. Ich sehe die Bedenken bezüglich einer längeren "Anmeldezeit" jetzt nicht so wirklich. In einem Falle kommen hier sogar 42ms für eine WPA2-PSK Authentifizierung zustande [1].

[0]: https://mrncciew.files.wordpress.com/20 ... .jpg?w=529
[1]: https://mrncciew.files.wordpress.com/20 ... ryp-01.png
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Voice-WLAN-SSID / Fast Roaming

Beitrag von Jirka »

jfuchs hat geschrieben: 20 Feb 2023, 20:27 Die Frage schien mir jetzt geeignet mich doch endlich mal anzumelden.
Boah, toll. Da habe ich wohl doch eine nicht ganz dumme Frage gestellt. Schön. Hyperjojo (jemand aus dem Forum hier) setzt sich viel dafür ein, dass kompetente Leute sich im Forum "wohlfühlen", oder fragt sich, was man machen kann, damit hier wieder eine Atmosphäre wie früher herrscht (was sicher nicht mehr erreichbar ist, aber ein Versuch ist es ja sicher wert). Qualifiziertere Fragen gehören offenbar dazu.
jfuchs hat geschrieben: 20 Feb 2023, 20:27 Mit den LX-APs kenn ich mich bedingt gut aus.
Aha. Ich dachte jetzt Du kennst Dich mit den LX-APs etwas besser aus, nachdem was Du derzeit beruflich tust :)
jfuchs hat geschrieben: 20 Feb 2023, 20:27 Ich bin zum Launch des LX-64xx bei LANCOM aus privaten Gründen ausgeschieden.
Ok.
jfuchs hat geschrieben: 20 Feb 2023, 20:27 Ab und an pflegt man auch seine Kontakte zu eben diesem, oder anderen dir bekannten Personen (u.a. alf29) noch.
Jo, der namentlich erwähnte alf29 ist mir in der Tat gut bekannt, auch wenn er es mit mir nicht immer leicht hatte und hat.
jfuchs hat geschrieben: 20 Feb 2023, 20:27 Die Abkürzung FR für Fast-Roaming ist mir nicht geläufig und noch nicht in der "Szene" so untergekommen. FT bezeichnet insbesondere die Fast-Transition, d.h. den "Übergang" von einem AP zum Anderen, korrekt.
Das liegt daran, dass Du aus der theoretischen Ecke kommst und ich aus der praktischen, die (durch LANCOM) mit dem Begriff Fast Roaming geprägt wurde. (Siehe Screenshot von Dr. Einstein oben oder sämliche LANCOM-Unterlagen)
jfuchs hat geschrieben: 20 Feb 2023, 20:27 Du musst das leider selber testen, ob Apple und Android Geräte IEEE-802.11r mit WPA3 unterstützen (Packet Capture!).
Packet Capture muss ich auch machen? Ich dachte man merkt es daran, dass sich ein Client mit dem WLAN verbindet und ggf. auch noch problemlos roamt und wenn das alles funktioniert, dann war es erfolgreich und wenn nicht, dann wird ja wohl wahrscheinlich sein, woran es liegt.
jfuchs
Beiträge: 63
Registriert: 19 Feb 2023, 00:20
Wohnort: Plauen i.V.

Re: Voice-WLAN-SSID / Fast Roaming

Beitrag von jfuchs »

Jirka hat geschrieben: 20 Feb 2023, 22:41 Packet Capture muss ich auch machen? Ich dachte man merkt es daran, dass sich ein Client mit dem WLAN verbindet und ggf. auch noch problemlos roamt und wenn das alles funktioniert, dann war es erfolgreich und wenn nicht, dann wird ja wohl wahrscheinlich sein, woran es liegt.
Naja, wie stellst du sonst ohne Packet-Capture (oder auch ausführliches Log) fest, ob der Client sich für ein erfolgreiches Fast-Roaming (gar over-the-DS) entschieden hat, und nicht einfach ein stinknormales Roaming gemacht hat (legacy, ohne FT)? Richtig ist auch, dass im LCOS unter "/Status/WLAN/Log-Table" (bzw. WLAN-Trace "WLAN-FT", wenn ich mich nicht irre) die Fast-Transition des Clients korrekt vermerkt wird. Ich bin nur grundsätzlich ein Freund von "PCAP or it didn't happen", bzw. "Packets Don’t Lie" - was möglicherweise aber eine Berufskrankheit ist.
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Voice-WLAN-SSID / Fast Roaming

Beitrag von Jirka »

jfuchs hat geschrieben: 21 Feb 2023, 19:48 Naja, wie stellst du sonst ohne Packet-Capture (oder auch ausführliches Log) fest, ob der Client sich für ein erfolgreiches Fast-Roaming (gar over-the-DS) entschieden hat, und nicht einfach ein stinknormales Roaming gemacht hat (legacy, ohne FT)?
Genau, ausführliches Log. Ansonsten bin ich davon ausgegangen, dass ein Client, der kein FT kann, sich dann gar nicht anmelden kann. So war es doch damals (WPA2-Only-Zeiten), man musste eine SSID mit FT machen und eine ohne, weil die Clients, die FT nicht unterstützten, sich sonst nicht hätten anmelden können. Und nun dachte ich, es sei hier genauso.
Aber wenn ich einen Trace machen muss, mache ich den natürlich. Zunächst wollte ich aber erst mal schauen, was so schon zu erkennen ist.
jfuchs hat geschrieben: 21 Feb 2023, 19:48 Richtig ist auch, dass im LCOS unter "/Status/WLAN/Log-Table" die Fast-Transition des Clients korrekt vermerkt wird.
Weiter unten mal Logs aus 3 APs (WLAN-Log-Table, von unten nach oben zeitlich sortiert), ein FT sehe ich da jetzt leider noch nicht.

Was ich da sehe sind eher üble Sachen wie "Association request rejected temporarily; try again later" oder "SA query failed". Das sieht alles nicht gut aus und deckt sich auch mit den Beobachtungen des Kunden:
Kurzer Status: Bin heute etwas rumgelaufen und musste mich öfter mal neu anmelden. Er wollte dann das Passwort, hab ich abgebrochen und er ist wieder rein... Denke das liegt an dem Schlüsselweitergeben...
Leider bin ich noch nicht dazu gekommen, alle APs zu updaten. Wobei die größten Probleme derzeit offensichtlich die L-452 machen, die auf dem offiziell neuesten Firmwarestand sind (10.20-SU11). Da werde ich dann die 10.42-RU9 probieren.
jfuchs hat geschrieben: 21 Feb 2023, 19:48 (bzw. WLAN-Trace "WLAN-FT", wenn ich mich nicht irre)
WLAN-FT und WLAN-SAE sehe ich hier ab Firmware 10.34

jfuchs hat geschrieben: 21 Feb 2023, 19:48 Ich bin nur grundsätzlich ein Freund von "PCAP or it didn't happen", bzw. "Packets Don’t Lie" - was möglicherweise aber eine Berufskrankheit ist.
:D
Daher liebe ich ja die schnellen Trace-Möglichkeiten am LANCOM.

So, hier die Logs (Spalte Index gelöscht aus Platzgründen und die restlichen Spalten möglichst klein gemacht):

Code: Alles auswählen

Time                Interface Event                                                                     Address      Reason 
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
02/21/2023 17:53:05 WLAN-2-6  WLAN station e0:dc:ff:f0:27:67 roamed away                                e0dcfff02767 (new BSSID is 00:a0:57:29:53:c1)
02/21/2023 17:52:19 WLAN-2-6  Determined IPv6 address for station e0:dc:ff:f0:27:67                     e0dcfff02767 fe80::88a6:d5b0:f532:9d60
02/21/2023 17:52:18 WLAN-2-6  Determined IPv4 address for station e0:dc:ff:f0:27:67                     e0dcfff02767 192.168.3.184
02/21/2023 17:52:18 WLAN-2-6  Connected WLAN station e0:dc:ff:f0:27:67                                  e0dcfff02767        
02/21/2023 17:52:18 WLAN-2-6  Key handshake with peer e0:dc:ff:f0:27:67 successfully completed          e0dcfff02767        
02/21/2023 17:52:18 WLAN-2-6  Associated WLAN station e0:dc:ff:f0:27:67                                 e0dcfff02767        
02/21/2023 17:52:18 WLAN-2-6  WLAN station e0:dc:ff:f0:27:67 has cached PMK, SAE key derivation skipped e0dcfff02767        
02/21/2023 17:52:18 WLAN-2-6  Authenticated WLAN station e0:dc:ff:f0:27:67                              e0dcfff02767        
02/21/2023 17:31:56 WLAN-2-6  WLAN station e0:dc:ff:f0:27:67 roamed away                                e0dcfff02767 (new BSSID is 00:a0:57:1e:62:96)
02/21/2023 17:30:56 WLAN-2-6  Determined IPv6 address for station e0:dc:ff:f0:27:67                     e0dcfff02767 fe80::88a6:d5b0:f532:9d60
02/21/2023 17:30:55 WLAN-2-6  Determined IPv4 address for station e0:dc:ff:f0:27:67                     e0dcfff02767 192.168.3.184
02/21/2023 17:30:55 WLAN-2-6  Connected WLAN station e0:dc:ff:f0:27:67                                  e0dcfff02767        
02/21/2023 17:30:55 WLAN-2-6  Key handshake with peer e0:dc:ff:f0:27:67 successfully completed          e0dcfff02767        
02/21/2023 17:30:55 WLAN-2-6  Associated WLAN station e0:dc:ff:f0:27:67                                 e0dcfff02767        
02/21/2023 17:30:55 WLAN-2-6  Authenticated WLAN station e0:dc:ff:f0:27:67                              e0dcfff02767        

Time                Interface Event                                                                     Address      Reason                                        
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
02/21/2023 17:51:54 WLAN-2-6  WLAN station e0:dc:ff:f0:27:67 roamed away                                e0dcfff02767 (new BSSID is 00:a0:57:24:42:dc)              
02/21/2023 17:51:20 WLAN-2-6  Determined IPv6 address for station e0:dc:ff:f0:27:67                     e0dcfff02767 fe80::88a6:d5b0:f532:9d60                     
02/21/2023 17:51:18 WLAN-2-6  Determined IPv4 address for station e0:dc:ff:f0:27:67                     e0dcfff02767 192.168.3.184                                 
02/21/2023 17:51:18 WLAN-2-6  Connected WLAN station e0:dc:ff:f0:27:67                                  e0dcfff02767                                               
02/21/2023 17:51:18 WLAN-2-6  Key handshake with peer e0:dc:ff:f0:27:67 successfully completed          e0dcfff02767                                               
02/21/2023 17:51:18 WLAN-2-6  Associated WLAN station e0:dc:ff:f0:27:67                                 e0dcfff02767                                               
02/21/2023 17:51:18 WLAN-2-6  WLAN station e0:dc:ff:f0:27:67 has cached PMK, SAE key derivation skipped e0dcfff02767                                               
02/21/2023 17:51:18 WLAN-2-6  Authenticated WLAN station e0:dc:ff:f0:27:67                              e0dcfff02767                                               
02/21/2023 17:51:16 WLAN-2-6  Disassociated WLAN station e0:dc:ff:f0:27:67 due to supervision           e0dcfff02767 SA query failed                               
02/21/2023 17:51:15 WLAN-2-6  Rejected Association from WLAN station e0:dc:ff:f0:27:67                  e0dcfff02767 Association request rejected temporarily; try again later
02/21/2023 17:51:15 WLAN-2-6  WLAN station e0:dc:ff:f0:27:67 has cached PMK, SAE key derivation skipped e0dcfff02767                                               
02/21/2023 17:51:15 WLAN-2-6  Authenticated WLAN station e0:dc:ff:f0:27:67                              e0dcfff02767                                               
02/21/2023 17:48:19 WLAN-2-6  Determined IPv6 address for station e0:dc:ff:f0:27:67                     e0dcfff02767 fe80::88a6:d5b0:f532:9d60                     
02/21/2023 17:48:18 WLAN-2-6  Determined IPv4 address for station e0:dc:ff:f0:27:67                     e0dcfff02767 192.168.3.184                                 
02/21/2023 17:48:18 WLAN-2-6  Connected WLAN station e0:dc:ff:f0:27:67                                  e0dcfff02767                                               
02/21/2023 17:48:18 WLAN-2-6  Key handshake with peer e0:dc:ff:f0:27:67 successfully completed          e0dcfff02767                                               
02/21/2023 17:48:17 WLAN-2-6  Associated WLAN station e0:dc:ff:f0:27:67                                 e0dcfff02767                                               
02/21/2023 17:48:17 WLAN-2-6  WLAN station e0:dc:ff:f0:27:67 has cached PMK, SAE key derivation skipped e0dcfff02767                                               
02/21/2023 17:48:17 WLAN-2-6  Authenticated WLAN station e0:dc:ff:f0:27:67                              e0dcfff02767                                               
02/21/2023 17:48:16 WLAN-2-6  Rejected Association from WLAN station e0:dc:ff:f0:27:67                  e0dcfff02767 association request received from nonauthenticated station
02/21/2023 17:48:16 WLAN-2-6  WLAN station e0:dc:ff:f0:27:67 has cached PMK, SAE key derivation skipped e0dcfff02767                                               
02/21/2023 17:48:16 WLAN-2-6  Disassociated WLAN station e0:dc:ff:f0:27:67 due to supervision           e0dcfff02767 SA query failed                               
02/21/2023 17:48:15 WLAN-2-6  Rejected Association from WLAN station e0:dc:ff:f0:27:67                  e0dcfff02767 Association request rejected temporarily; try again later
02/21/2023 17:48:15 WLAN-2-6  WLAN station e0:dc:ff:f0:27:67 has cached PMK, SAE key derivation skipped e0dcfff02767                                               
02/21/2023 17:48:15 WLAN-2-6  Authenticated WLAN station e0:dc:ff:f0:27:67                              e0dcfff02767                                               
02/21/2023 17:31:57 WLAN-2-6  Determined IPv6 address for station e0:dc:ff:f0:27:67                     e0dcfff02767 fe80::88a6:d5b0:f532:9d60                     
02/21/2023 17:31:56 WLAN-2-6  Determined IPv4 address for station e0:dc:ff:f0:27:67                     e0dcfff02767 192.168.3.184                                 
02/21/2023 17:31:56 WLAN-2-6  Connected WLAN station e0:dc:ff:f0:27:67                                  e0dcfff02767                                               
02/21/2023 17:31:56 WLAN-2-6  Key handshake with peer e0:dc:ff:f0:27:67 successfully completed          e0dcfff02767                                               
02/21/2023 17:31:56 WLAN-2-6  Associated WLAN station e0:dc:ff:f0:27:67                                 e0dcfff02767                                               
02/21/2023 17:31:56 WLAN-2-6  Authenticated WLAN station e0:dc:ff:f0:27:67                              e0dcfff02767                                               

Time                Interface Event                                                                     Address      Reason                                        
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
02/21/2023 18:41:36 WLAN-2-6  Disassociated WLAN station e0:dc:ff:f0:27:67 due to idle timeout          e0dcfff02767                                               
02/21/2023 17:53:05 WLAN-2-6  Determined IPv6 address for station e0:dc:ff:f0:27:67                     e0dcfff02767 fe80::88a6:d5b0:f532:9d60                     
02/21/2023 17:53:04 WLAN-2-6  Determined IPv4 address for station e0:dc:ff:f0:27:67                     e0dcfff02767 192.168.3.184                                 
02/21/2023 17:53:04 WLAN-2-6  Connected WLAN station e0:dc:ff:f0:27:67                                  e0dcfff02767                                               
02/21/2023 17:53:04 WLAN-2-6  Key handshake with peer e0:dc:ff:f0:27:67 successfully completed          e0dcfff02767                                               
02/21/2023 17:53:03 WLAN-2-6  Associated WLAN station e0:dc:ff:f0:27:67                                 e0dcfff02767                                               
02/21/2023 17:53:03 WLAN-2-6  Authenticated WLAN station e0:dc:ff:f0:27:67                              e0dcfff02767                                               
Vielen Dank und viele Grüße
Jirka
P. S.: Ich bin jetzt zwei Tage unterwegs.
jfuchs
Beiträge: 63
Registriert: 19 Feb 2023, 00:20
Wohnort: Plauen i.V.

Re: Voice-WLAN-SSID / Fast Roaming

Beitrag von jfuchs »

Jirka hat geschrieben: 21 Feb 2023, 22:50 So war es doch damals (WPA2-Only-Zeiten), man musste eine SSID mit FT machen und eine ohne, weil die Clients, die FT nicht unterstützten, sich sonst nicht hätten anmelden können. Und nun dachte ich, es sei hier genauso.
Das war in der Tat "Best-Practice". Ich bin davon ausgegangen:
a) dass du nur moderne Clients einsetzt, die immerhin nicht gleich komplett die Verbindung versagen, nur weil sie was mit "Fast-Roaming" sehen und dann damit gar nichts mehr anfangen können
b) dass du unter "WPA2-Key-Management: Standard,Fast-Roaming" konfiguriert hast. Dann kann sich der Client auswählen ob er Fast-Roaming kann, oder eben nicht. Im letzten Falle kann er sich aber trotzdem verbinden und verwendet dann halt legacy-Roaming ohne 802.11r Beschleunigungs-Schnick-Schnack.
Jirka hat geschrieben: 21 Feb 2023, 22:50 Weiter unten mal Logs aus 3 APs (WLAN-Log-Table, von unten nach oben zeitlich sortiert), ein FT sehe ich da jetzt leider noch nicht.
Ich auch nicht. Ich sehe nur legacy-Roamings die auch korrekt funktionieren. Die APs kommunizieren erfolgreich untereinander über IAPP und tauschen sich aus wer den Client jetzt bedient, bspw. wie im folgenden:
Jirka hat geschrieben: 21 Feb 2023, 22:50

Code: Alles auswählen

02/21/2023 17:31:56 WLAN-2-6  WLAN station e0:dc:ff:f0:27:67 roamed away                                e0dcfff02767 (new BSSID is 00:a0:57:1e:62:96)
Kannst du mal die korrespondierende Zeile aus /Status/WLAN/Station-Table posten, um zu sehen, was da u.a. bei "WPA2-Key-Management" für diesen Client drin steht?

Noch ein paar Einschätzungen zu weiteren Auszügen:
Jirka hat geschrieben: 21 Feb 2023, 22:50

Code: Alles auswählen

02/21/2023 17:51:18 WLAN-2-6  Connected WLAN station e0:dc:ff:f0:27:67                                  e0dcfff02767                                               
02/21/2023 17:51:18 WLAN-2-6  Key handshake with peer e0:dc:ff:f0:27:67 successfully completed          e0dcfff02767                                               
02/21/2023 17:51:18 WLAN-2-6  Associated WLAN station e0:dc:ff:f0:27:67                                 e0dcfff02767                                               
02/21/2023 17:51:18 WLAN-2-6  WLAN station e0:dc:ff:f0:27:67 has cached PMK, SAE key derivation skipped e0dcfff02767                                               
02/21/2023 17:51:18 WLAN-2-6  Authenticated WLAN station e0:dc:ff:f0:27:67                              e0dcfff02767                                               
02/21/2023 17:51:16 WLAN-2-6  Disassociated WLAN station e0:dc:ff:f0:27:67 due to supervision           e0dcfff02767 SA query failed                               
02/21/2023 17:51:15 WLAN-2-6  Rejected Association from WLAN station e0:dc:ff:f0:27:67                  e0dcfff02767 Association request rejected temporarily; try again later
02/21/2023 17:51:15 WLAN-2-6  WLAN station e0:dc:ff:f0:27:67 has cached PMK, SAE key derivation skipped e0dcfff02767                                               
02/21/2023 17:51:15 WLAN-2-6  Authenticated WLAN station e0:dc:ff:f0:27:67                              e0dcfff02767                                               
02/21/2023 17:48:19 WLAN-2-6  Determined IPv6 address for station e0:dc:ff:f0:27:67                     e0dcfff02767 fe80::88a6:d5b0:f532:9d60                     
02/21/2023 17:48:18 WLAN-2-6  Determined IPv4 address for station e0:dc:ff:f0:27:67                     e0dcfff02767 192.168.3.184                                 
02/21/2023 17:48:18 WLAN-2-6  Connected WLAN station e0:dc:ff:f0:27:67                                  e0dcfff02767                                               
02/21/2023 17:48:18 WLAN-2-6  Key handshake with peer e0:dc:ff:f0:27:67 successfully completed          e0dcfff02767                                               
02/21/2023 17:48:17 WLAN-2-6  Associated WLAN station e0:dc:ff:f0:27:67                                 e0dcfff02767                                               
02/21/2023 17:48:17 WLAN-2-6  WLAN station e0:dc:ff:f0:27:67 has cached PMK, SAE key derivation skipped e0dcfff02767                                               
02/21/2023 17:48:17 WLAN-2-6  Authenticated WLAN station e0:dc:ff:f0:27:67                              e0dcfff02767 
Das "SA Query failed" und das "Association request rejected temporarily; try again later" gehören zusammen, wofür 802.11w (Protected Management Frames / PMF, siehe dazu auch im Vergleich "AP Scenario 1 (No Attack)" in [0]) verantwortlich ist. 802.11w ist bei WPA3 (ergo SAE) Pflicht. Das Verhalten des APs erscheint mir aber soweit korrekt, worauf ich im folgenden eingehe.

Ablauf-Beschreibung:
e0dcfff02767 (Xiaomi) verbindet sich um 17:48:17 erfolgreich mit der BSSID.
17:51:15 versucht sich dieser erneut anzumelden. Um eine vorgetäuschte Anmeldung auszuschließen, und da sein letzter Stand noch die erfolgreiche vorherige Assoziierung des Clients ist, setzt der AP eine weitere Behandlung in Gang:
1. er _muss_ den Client mit dem genannten Reason Code per Association Response ablehnen
2. ebenso ist er gezwungen eine SA Query (verschlüsseltes PMF "spezial" Paket, wobei nur der richtige Client den passenden Schlüssel wissen kann) wiederholt rauszusenden und auf Antwort vom Client warten bis ein Comeback Timer abläuft. Antwortet der Client per SA Query Response ist die Associaton Response hinfällig und als Attacke zu werten.

In der Ablehnung mit dem Reason Code (Association Response) steht normalerweise auch die Zeitspanne drin, wielange der Client warten muss bis er sich wieder verbinden kann (Comeback Timeout, üblicherweise dachte ich 300 TUs/Transmission Units, also grob 30 Sekunden). Kurz darauf (1 Sekunde) schlägt dann schon die "Supervision" im LANCOM zu, und kickt den Client raus, weil er keine Antwort auf die SA Query erhalten hat. Hier werde ich auch wieder etwas schwammig und weiß nicht genau wer die auslöst, und besonders warum schon so schnell. Möglicherweise ist der Comback Timer aber runtergedreht (hardcoded, kann man glaube nicht im LCOS konfigurieren), was man nur mit einem Packet Capture feststellen könnte - dann wäre das Verhalten des LANCOMs auch komplett korrekt. alf29 könnte uns hier wieder mal mit seiner Expertise erhellen. Anschließend um 17:51:18 funktioniert die erneute vollständige Assoziierung dann des Xiaomi Gerätes wieder fehlerfrei. Grob gesagt: hier hat der Client meiner Meinung nach Mist gebaut und die Verbindung "verloren", den AP darüber aber nicht in Kenntnis gesetzt und die Zustandsdiagramme der beiden Instanzen unterschiedlich.
Jirka hat geschrieben: 21 Feb 2023, 22:50

Code: Alles auswählen

02/21/2023 17:48:16 WLAN-2-6  Rejected Association from WLAN station e0:dc:ff:f0:27:67                  e0dcfff02767 association request received from nonauthenticated station
02/21/2023 17:48:16 WLAN-2-6  WLAN station e0:dc:ff:f0:27:67 has cached PMK, SAE key derivation skipped e0dcfff02767
Hier bin ich mir über die Meldung vom LCOS-AP nicht ganz im Klaren, entweder:
a) scheint das Xiaomi Gerät vor den Association Frames keine Authentication (die Pflicht ist) rausgesendet zu haben. Vielleicht ist das Paket aber auch verloren gegangen - kann passieren. Mund abputzen und anschließend nochmal probieren.
b) der Access-Point hat trotz lediglich einer vorherigen "Disassoziierung" den Client deauthenticated/komplett rausgeworfen. Dagegen spricht aber, das er die "SAE key derivation" übersprungen hat und folglich noch ein PMK für den Client gespeichert hat.

Handelt es sich bei dem Client um einen, den der Kunde auch einsetzt? Weißt du ob das Gerät von der Wi-Fi Alliance WPA3 oder 802.11w/PMF zertifiziert ist?

[0]: https://wlan1nde.wordpress.com/2014/10/ ... s-802-11w/
Antworten

Zurück zu „Alles zum LANCOM WLC-4100, WLC-4025+, WLC-4025 und WLC-4006 WLAN-Controller“