Fast Roaming via IAPP: R0KH unreachable

Forum zu den aktuellen LANCOM Wireless Accesspoint Serien

Moderator: Lancom-Systems Moderatoren

hagicgn
Beiträge: 67
Registriert: 21 Jun 2019, 12:26

Fast Roaming via IAPP: R0KH unreachable

Beitrag von hagicgn »

Hallo zusammen,

ich habe hier 2 Access-Points, 1 x LN-1302 und 1 x LN 1700 sowie einen 1781VA, auf dem der Radius Server läuft, kein WLC im Netz.
Beide APs strahlen sowohl auf 2,4 als auch auf 5Ghz die gleiche SSID aus, die Konfigurationen sind identisch.
WPA3 only, Key management: Standard & Fast & SHA256.
Alle SSIDs haben definitiv die gleiche IAPP-Passphrase. Im WLan/IAPP-Table sehe ich auch den jeweils anderen AP mit dem entsprechenden Radiokanal.
Das Client-Mangement ist mit Band-Steering aktiv.
LCOS 10.32 ist auf allen Geräten installiert, es hat aber auch mit Vorgängerversionen nicht funktioniert.

Ein Laptop ohne Fast-Roaming meldet sich beim Roaming ganz normal über den kompletten 801.1X Handshake beim AP an.
Zickig verhalten sich zwei IOS-Geräte: Ein aktuelles Ipad Pro 11 und ein Iphone XS, beide mit IOS 12.4.1
Hat sich der Client einmal angemeldet, ist die Verbindung ohne Aussetzer stabil.
Edit: Ein Test mit einem Samsung Galaxy, welches Fastroaming unterstützt, zeigt das gleiche Verhalten.

1) In o.g. Konfiguration verweigert beim Roaming der Ziel-AP immer die Anmeldung mit dem Log-Eintag "Rejected Authentication from WLAN Station <MAC>, Grund: R0KH unreachable. Als Folge schaltet der Client erstmal auf LTE bevor einige Zeit später der normale 802.1X Handshake durchläuft und der Client sich anmeldet.
Ein Abschalten des Client-Management ändert nichts.

2) Schalte ich z.B. bei den APs die SSID im 2,4 GHz-Band ab, so dass die IOS Clients nur zwischen den 5 GHz-SSIDs roamen können,
funktioniert das Fast-Roaming so gut wie immer. Im Log-Eintrag sehe ich Fast transition for WLAN station <MAC> succeeded.
Gleiches gilt, wenn ich die 5 GHz-SSIDs abschalte und die Clients nur zwischen den 2,4 GHz-SSIDs roamen können.

Es scheint also ein Problem zu geben, wenn die Clients von 5Ghz auf 2,4 GHz zwischen den APs wechseln.

3) Schalte ich das Key-Management auf Standard oder Standard & SHA256 können sich die IOS-Gerät nicht mehr anmelden.
Der 802.1X-Handshake läuft durch, die VLAN-ID wird zugewiesen, aber die Clients erreichen nicht den Status connected.
(Bei WPA2 funktioniert die Anmeldung noch).

Ich bin mitlerweile etwas ratlos. Wer hat eine Idee?

VG
Hagi

Edit: Test mit Samsung Galaxy ebenfalls erfolglos, LCOS Versionsinfo hinzugefügt
hagicgn
Beiträge: 67
Registriert: 21 Jun 2019, 12:26

Re: Fast Roaming via IAPP: R0KH unreachable

Beitrag von hagicgn »

Nachtrag:
Ich habe gestern die Demooption WLC für Router auf dem 1781VA ausprobiert.
Das Client-Management-Profil habe ich auf Default gestellt.
Die APs beziehen ihr Profil vom WLC, das klappt soweit.

Möchte der Client innerhalb eines APs von 5 (wlan-2) auf 2,4 GHz (wlan-1) wechseln, sehe ich häufig o.g. Meldung ROKH unreachable im Log.
Muss ich im WLC-Betrieb IAPP noch deaktivieren oder eine zusätzliche Einstellung vornehmen?
Ich habe erstmal nur die Wlan-Betriebsart für jedes Funkmodul auf managed gestellt.

VG
Hagi
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: Fast Roaming via IAPP: R0KH unreachable

Beitrag von alf29 »

Moin,

"R0KH unreachable" ist grundsätzlich erstmal die Fehlermeldung, daß das vom Client benutzte PMK nicht verfügbar ist. Das IAPP bzw. der WLC sorgen dafür, daß es nach der initialen Anmeldung (mit 802.1X-Authentisierung) auf alle anderen APs verteilt wird. Das gilt auch für das andere Modul in einem Dual-Radio-AP. Dort müssen also unter Status/WLAN/PMK-Caching/Contents zwei Einträge stehen, mit gleicher Supplicant-Adresse, aber unterschiedlicher Authenticator-Adresse.

Kontrolliere weiterhin, ob die Verschlüsselungseinstellungen für 5 und 2.4 GHz wirklich Punkt für Punkt gleich sind. Damit Fast Roaming funktioniert, muß auf beiden Bändern in den Beacons das gleiche RSN-IE ausgestrahlt werden. Bei dem von Dir benutzten L-1302 unterstützt das WLAN-2 z.B. keine andere AES-Variante als CCMP128, selbst wenn Du versuchst es einzuschalten.
3) Schalte ich das Key-Management auf Standard oder Standard & SHA256 können sich die IOS-Gerät nicht mehr anmelden.
Der 802.1X-Handshake läuft durch, die VLAN-ID wird zugewiesen, aber die Clients erreichen nicht den Status connected.
(Bei WPA2 funktioniert die Anmeldung noch).
Du meinst jetzt die 802.1X-Verhandlung, die von WPA-Key-Handshake gefolgt wird? Dann klemmt's wohl irgendwo im Key Handshake, ein EAP-Trace würde da mehr Infos liefern.

Leider habe ich keinen der von Dir genannten Clients im Zugriff und kann daher nichts nachstellen.

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
hagicgn
Beiträge: 67
Registriert: 21 Jun 2019, 12:26

Re: Fast Roaming via IAPP: R0KH unreachable

Beitrag von hagicgn »

"R0KH unreachable" ist grundsätzlich erstmal die Fehlermeldung, daß das vom Client benutzte PMK nicht verfügbar ist. Das IAPP bzw. der WLC sorgen dafür, daß es nach der initialen Anmeldung (mit 802.1X-Authentisierung) auf alle anderen APs verteilt wird. Das gilt auch für das andere Modul in einem Dual-Radio-AP. Dort müssen also unter Status/WLAN/PMK-Caching/Contents zwei Einträge stehen, mit gleicher Supplicant-Adresse, aber unterschiedlicher Authenticator-Adresse.
Ich sehe pro Client 2 Einträge, jeweils gleiche Supplicant Adresse (MAC des Clients), aber wie von dir beschrieben, mit unterschiedlichem Authenticator.
Bei den PMKs, die als Quelle Authentisierung haben, wird ein ROKH sowie eine Mobility Domain angezeigt.
Bei den PMKs mit Quelle Controller jedoch nicht.

Die Konfiguration der SSIDs habe ich überprüft. CCMP128 ist eingestellt, hatte ich auch nicht geändert.
Gibt es noch spezielle Parameter, die Probleme machen können? WMM-Powersafe und QOS 802.11e hatte ich testweise aus- und wieder eingeschaltet.
Die Basisgeschwindigkeit ist auf 12mbit/s gestellt
Das Roamingproblem besteht gast immer zwischen den Modulen Wlan-1 und Wlan-2 mit der Fehlermeldung R0KH unreachable.
Sogar auf den gleichen AP.
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: Fast Roaming via IAPP: R0KH unreachable

Beitrag von alf29 »

Moin,
Ich sehe pro Client 2 Einträge, jeweils gleiche Supplicant Adresse (MAC des Clients), aber wie von dir beschrieben, mit unterschiedlichem Authenticator.
Gut, so hatte ich es erwartet. Auch daß als Quelle Controller steht, der WLC schaltet IAPP implizit ab.
Bei den PMKs, die als Quelle Authentisierung haben, wird ein ROKH sowie eine Mobility Domain angezeigt.
Bei den PMKs mit Quelle Controller jedoch nicht.
Das ist unschön, sollte aber keine Rolle spielen, da der AP bei einer Fast Transition die beiden Werte aus seiner lokalen Konfig nimmt.
Die Konfiguration der SSIDs habe ich überprüft. CCMP128 ist eingestellt, hatte ich auch nicht geändert.
Gibt es noch spezielle Parameter, die Probleme machen können? WMM-Powersafe und QOS 802.11e hatte ich testweise aus- und wieder eingeschaltet.
QoS/11e ist zwangsweise an, wenn ein Modus mit 11n und/oder 11ac an ist. Spielt aber so oder so keine Rolle, hier geht es nur um die Krypto-Einstellungen.
Das Roamingproblem besteht gast immer zwischen den Modulen Wlan-1 und Wlan-2 mit der Fehlermeldung R0KH unreachable.
Sogar auf den gleichen AP.
Tja, tut mir leid, da bin ich jetzt erstmal am Ende meiner Vorschläge. Ich müßte das Szenario hier bei mir auf dem Tisch zum Nachvollziehen haben.

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
hagicgn
Beiträge: 67
Registriert: 21 Jun 2019, 12:26

Re: Fast Roaming via IAPP: R0KH unreachable

Beitrag von hagicgn »

Hallo Alfred,

besten Dank für deine Unterstützung.
Ich habe die IOS-Geräte auf IOS13.1 aktualisiert, das Roamingverhalten hat sich ein bisschen gebessert. Dahingehend, dass die Geräte
sich eher und länger mit dem 5 GHz Wlan verbinden.

Ich habe ein weiteres Experiment gestartet.
Die Konfiguration wird jeweils vom WLC bezogen.

Nur der LN 1302 ist mit Wlan-1 (2,4 GHz) und Wlan-2 (5 GHz) aktiv.
Wenn ich mich langsam aus dem 5 Ghz Bereich herausbewege (Zwischenwände), bekomme ich schon auf dem gleichen AP die Meldung R0KH unreachable, wenn der Client auf das 2,4 GHz-Band wechseln möchte. Fast Roaming funktioniert also nicht einmal beim Wechsel innerhalb eines APs von Wlan-2 auf Wlan-1.
Den Clients wird vom Radius-Server (1781VA) die VLAN-ID pro Nutzer zugewiesen.

Nächste Experiment:
Den LC1302 habe ich per Reset-Taster auf Werkseinstellung gesetzt (bis beide LEDs rot leuchten).
Ich habe über den LanConfig-Assistenten nur den Gerätenamen, das Passwort, den Zeitserver und DHCP auf Client eingestellt.
Danach habe ich Wlan-1 und Wlan-2 auf managed gestellt.
-> Der APs hat seine Konfig vom WLC bezogen, VLAN-Modul ist in den APs aktviert.
Ansonsten gleiches Verhalten wie oben. Beim Wechsel von Wlan-2 auf Wlan-1 -> R0KH unreachable mit Verbindungsbbruch des Clients.
Der Client kann sich nach kurzer Zeit wieder erneut verbinden.

Die Verschlüsselung ist WPA3 only, Key.Management: Standard & Fast & und SHA 256.

- Beim Versuch mit WPA2 only gleiches Verhalten.
- Beim Versuch mit WPA2 und Fast-Roaming only -> gleiches Verhalten
(hier Managementframes nicht verschlüsselt)
- Ohne aktiviertes Vlan-Modul gleiches Verhalten (vorher AP am Switch auf einen untagged Port gesteckt)

Ich habe o.g. Szenario mit dem LN 1700 durchgeführt und komme zum gleichen Ergebnis.
Beim Wechsel von Wlan-2 auf Wlan-1 o.g. Fehlermeldung.
(Auch von Wlan-1 -> WLan-2 habe ich das gleiche Verhalten)

Kann das wirklich an den IOS-Geräten liegen?
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: Fast Roaming via IAPP: R0KH unreachable

Beitrag von alf29 »

Moin,

es tut mir leid, ich kann Dir aktuell nicht weiter helfen. Ich habe keine iOS-Geräte zum Testen zur Verfügung und kann Deine Probleme nicht nachvollziehen. Versuche, Dich offiziell an den LANCOM-Support zu wenden, eventuell ist auf dem Weg etwas zu machen.

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
Henri
Beiträge: 401
Registriert: 23 Jul 2005, 01:42

Re: Fast Roaming via IAPP: R0KH unreachable

Beitrag von Henri »

Hallo Alfred,

eine Frage, ich habe auch ab und zu Probleme damit, kann es denn korrekt sein, wenn für ein MacBook 2018 (mb) hier einmal SHA256 und einmal Standard steht? GGf. kommen die Probleme auch von älteren APs, habe hier L-460agn, L-1310, 1783VAW und 1780EW-3G im Einsatz. Die Geräte buchen sich über alle APs ein, es können alle Geräte ac. Alles mit 2*WLC-4006+ gemanaged.

P.S. Wieso stehen hier so viele Einträge mit 0, die aber nicht expired sind?

Danke

Henri

Authenticator Supplicant Source PMKID WPA2-Key-Management User-Name VLAN-Id Lifetime Expired
============================================================--------------------------------------------------------------------------------------------------------------------------------
00a0571c03d5 f01898298d8d Controller 00000000000000000000000000000000 SHA256 mb 1 0 No
00a0571c015e f01898298d8d Controller 00000000000000000000000000000000 SHA256 mb 1 0 No
00a0571c015e f099b624f659 Controller 00000000000000000000000000000000 Fast-Roaming iphonex 1 0 No
00a0571c03d5 f099b624f659 Controller 00000000000000000000000000000000 Fast-Roaming iphonex 1 0 No
00a0571c015e f099b624f659 Authentication 00000000000000000000000000000000 Fast-Roaming iphonex 1 0 No
00a0571c03d5 f099b624f659 Authentication 00000000000000000000000000000000 Fast-Roaming iphonex 1 0 No
00a0571c03d5 54e43ae22f0c Authentication 00000000000000000000000000000000 Fast-Roaming ipadmini 1 0 No
00a0571c03d5 f018988f3390 Controller 00000000000000000000000000000000 SHA256 mba 1 0 No
00a0571c015e f018988f3390 Controller 00000000000000000000000000000000 SHA256 mba 1 0 No
00a0571c015e c0d012ba87ea Controller 00000000000000000000000000000000 Fast-Roaming iphoner 1 0 No
00a0571c03d5 c0d012ba87ea Controller 00000000000000000000000000000000 Fast-Roaming iphoner 1 0 No
00a0571c015e c0d012ba87ea Authentication 00000000000000000000000000000000 Fast-Roaming iphoner 1 0 No
00a0571c015e 4c569d3db930 Authentication 00000000000000000000000000000000 Fast-Roaming ipadpro 1 0 No
00a0571c03d5 4c569d3db930 Authentication 00000000000000000000000000000000 Fast-Roaming ipadpro 1 0 No
00a0571c015e f01898298d8d Authentication 3eb37176697d3daf4xxxxxxxxxxxxxxx SHA256 mb 1 0 No
00a0571c03d5 c0d012ba87ea Authentication 00000000000000000000000000000000 Fast-Roaming iphoner 1 0 No
00a0571c03d5 4c569d3db930 Controller 00000000000000000000000000000000 Fast-Roaming ipadpro 1 0 No
00a0571c015e 4c569d3db930 Controller 00000000000000000000000000000000 Fast-Roaming ipadpro 1 0 No
00a0571c015e 54e43ae22f0c Authentication 00000000000000000000000000000000 Fast-Roaming ipadmini 1 0 No
00a0571c03d5 1865909f2910 Controller 00000000000000000000000000000000 Fast-Roaming iphone7 1 0 No
00a0571c015e 1865909f2910 Controller 00000000000000000000000000000000 Fast-Roaming iphone7 1 0 No
00a0571c015e 1865909f2910 Authentication 00000000000000000000000000000000 Fast-Roaming iphone7 1 0 No
00a0571c03d5 f01898298d8d Authentication 604b57aba8285236cxxxxxxxxxxxxxxx Standard mb 1 0 No
00a0571c03d5 54e43ae22f0c Controller 00000000000000000000000000000000 Fast-Roaming ipadmini 1 0 No
00a0571c015e 54e43ae22f0c Controller 00000000000000000000000000000000 Fast-Roaming ipadmini 1 0 No
00a0571c015e 784f437c62d7 Controller 00000000000000000000000000000000 Standard mbp 1 0 No
00a0571c03d5 784f437c62d7 Controller 00000000000000000000000000000000 Standard mbp 1 0 No
00a0571c015e 784f437c62d7 Authentication ea5cf5aeb6f174299xxxxxxxxxxxxxxx Standard mbp 1 0 No
00a0571c03d5 784f437c62d7 Authentication f2571d215c22a67daxxxxxxxxxxxxxxx Standard mbp 1 0 No
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: Fast Roaming via IAPP: R0KH unreachable

Beitrag von alf29 »

eine Frage, ich habe auch ab und zu Probleme damit, kann es denn korrekt sein, wenn für ein MacBook 2018 (mb) hier einmal SHA256 und einmal Standard steht? GGf. kommen die Probleme auch von älteren APs, habe hier L-460agn, L-1310, 1783VAW und 1780EW-3G im Einsatz. Die Geräte buchen sich über alle APs ein, es können alle Geräte ac. Alles mit 2*WLC-4006+ gemanaged.
Wenn Du auf den APs beides anbietest,dann können die Clients sich frei aussuchen, was sie benutzen. Prinzipiell gilt wohl, daß die Variante mit SHA256 zur Schlüsselableitung benutzt werden sollte, sobald PMF verwendet wird, das LCOS erzwingt so eine Abhängigkeit aber nicht. Sowohl PMF als auch SHA256 werden von allen von Dir genannten Geräten auf allen Radios unterstützt.
P.S. Wieso stehen hier so viele Einträge mit 0, die aber nicht expired sind?
Eine Lifetime von Null steht für eine unbegrenzte Gültigkeit.

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
hagicgn
Beiträge: 67
Registriert: 21 Jun 2019, 12:26

Re: Fast Roaming via IAPP: R0KH unreachable

Beitrag von hagicgn »

Hallo zusammen,

zu diesem Thema hatte ich von Oktober 2019 bis März 2020 Kontakt mit dem offiziellen Lancomsupport. Das (Fehl-)Verhalten wurde als Bug eingestuft.
Das Ticket wurde darauf richrigerweise geschlossen.
Ich bin jetzt aber neugierig, ob ein Fix schon in Aussicht ist.

Danke und Grüße
Dirk
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: Fast Roaming via IAPP: R0KH unreachable

Beitrag von alf29 »

Moin,

der Support und ich haben eine ganze Weile probiert, das nachzustellen, aber das hat sich als nicht ganz so einfach herausgestellt...wie Murphy so will, funktioniert's bei einem selber natürlich immer...

Bei den Tests habe ich einen Fehler im LCOS gefunden, der bei einem Dual-Radio-AP dazu führen kann, daß die Fast Transition nur auf eines der beiden Radios funktioniert. Ob das auch das Problem bei den Kunden ist, bin ich mir ehrlich gesagt aber nicht 100% sicher.

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
hagicgn
Beiträge: 67
Registriert: 21 Jun 2019, 12:26

Re: Fast Roaming via IAPP: R0KH unreachable

Beitrag von hagicgn »

Hallo Alfred,

zumindest war das auch ein Teil meiner Beobachtung.
Das Fast-Roaming klappte bei mir selbst mit einem testweise eingerichteten WLC nur auf einem Radio.

Ist die Korrektur denn schon eingeflossen oder in Aussicht?

VG
Dirk
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: Fast Roaming via IAPP: R0KH unreachable

Beitrag von alf29 »

Moin,
zumindest war das auch ein Teil meiner Beobachtung.
Das Fast-Roaming klappte bei mir selbst mit einem testweise eingerichteten WLC nur auf einem Radio.
Zumindest bei dem Fehler geht's erstmal nur um den Betrieb ohne WLC und mit Übertragung per IAPP.
Ist die Korrektur denn schon eingeflossen oder in Aussicht?
Ich habe sie in alle Release-Stände bis zurück zur 9.24 eingepflegt. Die nächsten RUs - so zu diesen Ständen noch mal welche erscheinen - werden sie enthalten.

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
hagicgn
Beiträge: 67
Registriert: 21 Jun 2019, 12:26

Re: Fast Roaming via IAPP: R0KH unreachable

Beitrag von hagicgn »

Hallo zusammen,

diese Woche kam das Release Update 10.32RU10 heraus. Das habe ich auf dem L-1302 installiert. Und was soll ich sagen, jetzt klappt alles. :D
Auf dem LN-1700 läuft die aktuelle Beta 10.42.91.
Die IOS Clients roamen jetzt von einem AP zu anderen, die Meldung ROKH unreachable habe ich in den Logs nicht mehr gesehen. (WPA3 only, std, fast-roaming und SHA256)
Das Iphone XS erzeugt gelegentlich ein SA query failed im Log, das iPad macht das nicht. (beide IOS 13.5.1).

Ein Lenovo Laptop mit Intel Wireless-AC 8265 erzeugt auf dem 1700 AP bei Erstanmeldung ein AKMP not valid und klebt dann für eine kurze Zeit am weiter entfernten 1302er, bevor es dann zum 1700er wechselt.

Viele Grüße
Dirk
hagicgn
Beiträge: 67
Registriert: 21 Jun 2019, 12:26

Re: Fast Roaming via IAPP: R0KH unreachable

Beitrag von hagicgn »

Hallo zusammen,

„einen habe ich noch“:

Über Nacht liegt das ipad odet iphone im Arbeitszimmer und ist dort am AP (L-1302) eingebucht (Radio 2, 5GHz).
Um 3h läuft der DFS-Scan, die Geräte roamen dann zu Radio 1 (2,4 GHz).
Nach Abschluss des DFS-Scans wechseln sie wieder zu Radio 2. Beide Trasisitions laufen mit der Meldung „fast transisiton for wlan statio MAC succeeded“. Also soweit OK.
Nehme ich morgens das Gerät mit ins Wohnzimmer, schlägt der erste Anmeldeversuch am dortigen AP (LN-1700) immer mit der Meldung
„Invalid pairwise master key identifier (PMKID)“ fehl.
Danach läuft die Standard-Anmeldung über 802.1X ab.
Die dann folgenden Roamingversuche werden wieder alle mit „ Fast transition for WLAN station MAC succeeded“ ab, also OK.

Verschlüsselung ist nach wie vor WPA3 only, Key management Standard & Fast & SHA256.
Die IOS Clients haben die aktuelle Version 13.5.1.
Auf dem L-1302 läuft 10.32RU10, auf dem LN-1700 10.42.091.

Woran könnte das noch liegen, bzw. wo kann ich suchen?

VG
Dirk
Antworten