Klient kann sich nich sofort wiedser anmelden (802.1x,AKMP)

Forum zu den aktuellen LANCOM Wireless Accesspoint Serien

Moderator: Lancom-Systems Moderatoren

GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Klient kann sich nich sofort wiedser anmelden (802.1x,AKMP)

Beitrag von GrandDixence »

ua hat geschrieben: 05 Jun 2019, 22:48 Vielleicht solltet Ihr das in die Release-Notes übernehmen oder wird der LC nicht so oft als Radius-Server für EAP genutzt.
Es ist Aufgabe und Pflicht des Netzwerkadministrators, die von ihm verwalteten Netzwerkkomponenten so zu konfigurieren, dass diese nur von den Kryptographie-Fachexperten als "sicher" erachtete Kryptographie einsetzen (Stichworte: SSL, TLS, IKEv2, IPSec, PKI, x509-Zertifikate, SSH, SIPS/SRTP, RADSEC, EAP-TLS, WPA2/WPA3).

Mindestens einmal pro Jahr sollte man die neusten Empfehlungen vom BSI zu den kryptographischen Verfahren beachten (und nach Möglichkeit umsetzen):
https://www.bsi.bund.de/DE/Publikatione ... x_htm.html

Weiter empfehlenswert ist die Beobachtung der Webseiten:

https://wiki.mozilla.org/Security/Server_Side_TLS

https://www.keylength.com/

https://infosec.mozilla.org/guidelines/openssh

Und gar mindestens einmal pro Woche sollte man einen Blick auf die Webseiten:

https://www.heise.de/security/news/7_tage_news/

https://www.golem.de/specials/security/

werfen, damit man als Netzwerkadministrator über die wichtigsten aktuellen "IT-Security"-Themen informiert ist.
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Klient kann sich nich sofort wiedser anmelden (802.1x,AKMP)

Beitrag von GrandDixence »

alf29 hat geschrieben: 05 Jun 2019, 23:44
oder wird der LC nicht so oft als Radius-Server für EAP genutzt.
Ich kenne in der Tat nicht so viele Kunden, die ihn benutzen. Ich nehme an, die meisten Kunden benutzen den IAS, weil der auch gleich mit der Domänencontroller ist, und auf dem ohnehin die Benutzerdatenbank liegt. Im WLC wird der RADIUS-Server häufig nur als Forwarder/Proxy genutzt, so daß der Kunde nicht alle APs auf seinem IAS als RADIUS-Clients einpflegen muß.
Das würde mir erklären, weshalb ich wohl der einzige bin, welcher sich über das "RADSEC-RAM-Speicherplatzfressproblem" ärgert.
https://www.lancom-systems.de/docs/conf ... 42468.html

Es sieht zur Zeit danach aus, dass beim Einsatz von RADSEC dem LANCOM Access Point (LCOS: 10.20 RU5 mit RADIUS-Client) langsam aber sicher der freie RAM-Speicherplatz ausgeht und dieser nach einigen Wochen Dauerbetrieb mangels freien RAM-Speicherplatz einen (unerwünschten) Reboot durchführt.

Dasselbe Problem hat auch der LANCOM 1781EF+ (LCOS 10.20 RU5), auf welchem der RADIUS-Server mit RADSEC läuft. Der LANCOM 1781EF+ verfügt aber über deutlich mehr RAM-Speicherplatz als der LANCOM Acces Point (L-321agn R2). Deshalb ist beim LANCOM 1781EF+ das "RADSEC-RAM-Speicherplatzfressproblem" weniger akut.

Leider krieg ich dieses "RADSEC-RAM-Speicherplatzfressproblem" nicht hieb- und stichfest gemäss:
aktuelle-lancom-router-serie-f41/router ... 16258.html
in den Kasten, damit ich ein entsprechendes LANCOM-Hotline-Ticket eröffnen kann...
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: Klient kann sich nich sofort wiedser anmelden (802.1x,AKMP)

Beitrag von alf29 »

Moin,
Das würde mir erklären, weshalb ich wohl der einzige bin, welcher sich über das "RADSEC-RAM-Speicherplatzfressproblem" ärgert.
Oh, interessant. Das bedeutet, daß ich jetzt nur noch drei weitere Kunden kennenlernen muß, die RADSEC benutzen, damit ich die zweite Hand dazunehmen muß, um sie abzuzählen 8-)

RADSEC ist noch einmal mindestens eine Größenordnung exotischer als der RADIUS-Server im LCOS für 802.1X - so exotisch, daß es in der Freigabe m.W. nicht regelmäßig getestet wird. Irgendwie hat es sich bisher nicht durchgesetzt...
Es sieht zur Zeit danach aus, dass beim Einsatz von RADSEC dem LANCOM Access Point (LCOS: 10.20 RU5 mit RADIUS-Client) langsam aber sicher der freie RAM-Speicherplatz ausgeht und dieser nach einigen Wochen Dauerbetrieb mangels freien RAM-Speicherplatz einen (unerwünschten) Reboot durchführt.
Also so einen schleichenden Speicherverlust müßte man doch mit einem gelegentlichen "show heap -v" eingegrenzt bekommen...

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
ua
Beiträge: 704
Registriert: 29 Apr 2005, 12:29

Re: Klient kann sich nich sofort wiedser anmelden (802.1x,AKMP)

Beitrag von ua »

N'Abend Alfred,
Werde es mal mit einem anderem Stück WLAN-HW (habe mittlerweile eine stattliche Sammlung an USB-Sticks ..) testen und berichten.
Es hängt wohl am Treiber des Broadcom, mit einem Linksys- oder Netgear USB-Dongle geht es sofort ….
Werde Win10 mal neu installieren lassen.

Viele Grüße
Udo
... das Netz ist der Computer ...
n* LC und vieles mehr...
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: Klient kann sich nich sofort wiedser anmelden (802.1x,AKMP)

Beitrag von alf29 »

Moin,

unterstützen der Linksys- und Netgear.Stick denn überhaupt 11r/Fast Roaming? Wenn nicht, dann läuft man nie in dieses Problem rein.

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
ua
Beiträge: 704
Registriert: 29 Apr 2005, 12:29

Re: Klient kann sich nich sofort wiedser anmelden (802.1x,AKMP)

Beitrag von ua »

Tach Auch,
unterstützen der Linksys- und Netgear.Stick denn überhaupt 11r/Fast Roaming?
Stimmt, mutmaßlich nicht, lässt sich zumindest nirgendwo einstellen.
Habe heute das heute mal kurz mit Cisco (ebenfalls via Controller und dem LC als Radius-Server) getestet:
Sobald ich 802.11r auf mandatory (Default ist adaptiv) stelle, kann sich die Schüssel nicht mehr anmelden.
Am LC kann sich das Ding nur bei deaktiviertem Fast-Roaming (Roaming steht bei sonst immer auf "Standard-Fast..-SHA.."),
also scheint es definitiv am Chipsatz zu liegen, das Win ist neu aufgesetzt und auf dem aktuellen Patchlevel (wie bei den funktionierende).

Viele Grüße

Udo
... das Netz ist der Computer ...
n* LC und vieles mehr...
hagicgn
Beiträge: 67
Registriert: 21 Jun 2019, 12:26

Re: Klient kann sich nich sofort wiedser anmelden (802.1x,AKMP)

Beitrag von hagicgn »

Hallo zusammen,
ich habe ein ähnliches Problem mit dem Roamen zwischen zwei Accesspoints.
Das Ganze ist eine etwas übertriebene Spielerei zu Hause, aber jeder hat ja so seine Hobbies ;).

Im Wohnzimmer ist ein LN 1700 und im Arbeitszimmer ein LN 1302 AP. Auf beiden ist 10.30.0075 installiert.
Beide sind über einen 1781VA Router mit dem Internet verbunden, dort läuft auch der Radius-Server für 802.11x.
(Kein WLC im Netz).
Beide AP senden jeweils auf 2,4 und 5 GHz die gleiche SSID, IAPP ist konfiguriert, die IAPP-Pakete sehe ich auch im Trace beider APs.
Alle Netzwerke mit der gleichen SSID haben Standard & Fast-Roaming & SHA 256 eingeschaltet.

Auf beiden APs ist Client-Management inkl. Band-Steering an. Dort sind die Default-Einstellungen aktiv, nur den RSSI-Threshold für das Lenken ins 5GHz-Band habe ich testweise von -65 auf -62dbm heraufgesetzt.

Die Clients sind ein aktuelles Ipad Pro und ein Iphone Xs (beide IOS 12.3.1). Zudem gibt es noch ein Notebook mit Intel AC8265-Wifi.
Wenn ich nun mit den IOS-Mobilgeäten zwischen den Räumen hin und her laufe, scheint der Handover häufig nicht richtig zu funktionieren.
Der Client springt zwischendurch sogar aufs LTE-Netz zurück, bevor er sich nach 30-40 Sekunden doch mit dem AP verbindet.

Im Trace der APs (IAPP + Wlan-Steering) bin ich auf die Nachricht gestoßen:

Handover: Old BSSId: 00:00:00:00:00:00
New BSSId: 00:a0:57:2e:15:7e (LANCOM 2e:15:7e)
found station on WLAN-2-1 but it's not associated here
PMKSA disassembly failed (replay detected)
PMKSA disassembly failed (replay detected)

Wo kann ich weitersuchen?

Viele Grüße aus Köln
Dirk
---
Edit: Hinweis zum Client-Management ergänzt.
Antworten