Fast Roaming via IAPP: R0KH unreachable

Forum zu den aktuellen LANCOM Wireless Accesspoint Serien

Moderator: Lancom-Systems Moderatoren

Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: Fast Roaming via IAPP: R0KH unreachable

Beitrag von alf29 »

Moin,
Nehme ich morgens das Gerät mit ins Wohnzimmer, schlägt der erste Anmeldeversuch am dortigen AP (LN-1700) immer mit der Meldung
„Invalid pairwise master key identifier (PMKID)“ fehl.
Das ist die gleiche Situation wie früher der "R0KH unreachable" (ich habe den Satuscode aktuellen Builds auf den korrigiert, den 802.11 für die Situation vorsieht). Der Client versucht eim PMK (Master Secret) zu benutzen, das der AP nicht vorliegen hat, deshalb wird die Fast Transition abgelehnt. Unter Status/WLAN/PMK-Cache/Contents kann man sehen, welche PMKs der AP hat. Wenn das vom Client geforderte PMK fehlt, gibt's eine Reihe von Möglichkeiten:

-> Der AP hatte das PMK von dem AP, der die volle 1X-Verhandlung gemacht hat, mal bekommen, hat aber in der Zwischenzeit geboote (PMKs sind nicht bootpersistent und werden nach einem Neustart auch nicht neu synchronisiert)

-> Die initiale Anmeldung mit 1X erfolgte zu einem Zeitpunkt, wo die beiden APs sich (noch) nicht per IAPP kennengelernt hatten

--> IAPP zwischen den APs tut überhaupt nicht, z.B. weil irgendein Switch dazwischen die IAPP-Multicasts blockt.

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
hagicgn
Beiträge: 67
Registriert: 21 Jun 2019, 12:26

Re: Fast Roaming via IAPP: R0KH unreachable

Beitrag von hagicgn »

Hallo Alfred,

danke für deine schnelle Antwort.

Es scheint aber irgendwie tiefer zu liegen.
Das Fast-Roaming klappt seit der 10.32RU10 generell.
Es hat auch kein AP nach dem DFS Scan neu gebootet.

Wird bei jeder vollständigen Anmeldung über 802.1x ein neuer PMKID erzeugt? Oder geschieht das zeitgesteuert?
Hintergrund der Frage: Setze ich das Ipad in den Flugmodus, wenn es an einem AP hängt und reaktiviere ich dann am Ipad wieder die Verbindung,
läuft ja der vollständige 802.1x Handshake durch. Das lässt sich im Log einsehen.
Gehe ich dann mit dem Ipad und aktiver Wlan-Verbindung zum anderen AP, klappt das Fast-Roaming „fast-transisition ... succeeded“.
Das funktioniert in beide Richtungen, also egal an welchem AP ich starte.

Passiert nach der Trennung der Clients während und nach dem DFS-Scan noch etwas anderes?
Danach habe ich nämlich die Meldung, dass der PMKID nicht korrekt ist.

VG
Dirk

Edit:
Nachtrag: Ich habe o.g. Versuch wiederholt:

1. Das Ipad ist am LN-1700 einbucht
2. Das ipad in den Flugmode geschaltet
3. Den entfernten AP L1302 neu gebootet und ca 5min gewartet
4. Den Flugmodus am iPad wieder deaktiviert, das Ipad hat sich wieder am L1700 verbunden, kompletter 802.1x Handshake
5. Mit dem ipad zum L-1302 AP gegangen. Das Fast-Roaming hat funktioniert.
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: Fast Roaming via IAPP: R0KH unreachable

Beitrag von alf29 »

Moin,
Wird bei jeder vollständigen Anmeldung über 802.1x ein neuer PMKID erzeugt?
Ja.
Oder geschieht das zeitgesteuert?
Theoretisch könnte man an PMKs eine Lifetime hängen, so daß sie nach einer gewissen Zeit ungültig werden. Im Default ist die Lifetime aber unlimitiert.
Passiert nach der Trennung der Clients während und nach dem DFS-Scan noch etwas anderes?
Danach habe ich nämlich die Meldung, dass der PMKID nicht korrekt ist.
Ich müßte das nachschauen, aber ich meine, dadurch, daß während des DFS-Scans die SSIDs 'down' sind, werden sie auch nicht mehr im IAPP propagiert, d.h. nach Ende des DFS-Scans müssen die APs sich wieder neu "lernen". Wenn ein Client sich direkt nach Ende des DFS-Scans einbucht und der AP seine Nachbarn zu dem Zeitpunkt noch nicht wieder gelernt hat, dann kann er denen das PMK auch nicht mitteilen. Das wird auch nicht nachgeholt, wenn die anderen APs irgendwann danach wieder bekannt sind, weil das PMK als Teil des Handover-Requests übertragen wird.

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
hagicgn
Beiträge: 67
Registriert: 21 Jun 2019, 12:26

Re: Fast Roaming via IAPP: R0KH unreachable

Beitrag von hagicgn »

Hallo Alfred,

danke für die Antworten.
Theoretisch könnte man an PMKs eine Lifetime hängen, so daß sie nach einer gewissen Zeit ungültig werden. Im Default ist die Lifetime aber unlimitiert.
Was bedeutet in diesem Zusammenhang die Einstellung "Wireless-LAN->802.1X->Interfaces->WLAN-X Anmeldung regelmäßig erneuern?
Welche Schlüssel werden denn dort ausgetauscht / erneuert?

VG
Dirk
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: Fast Roaming via IAPP: R0KH unreachable

Beitrag von alf29 »

Moin,

das bedeutet, daß regelmäßig eine 802.1X-Reauthentisierung stattfindet, mit dem Intervall, das direkt daneben steht. Implizit gibt das auch eine Lifetime für die dabei abfallenden PMKs vor.

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
hagicgn
Beiträge: 67
Registriert: 21 Jun 2019, 12:26

Re: Fast Roaming via IAPP: R0KH unreachable

Beitrag von hagicgn »

Hallo Alfred,

ich habe nun etwas mit der regelmäßigen 802.1X-Reauthentisierung herumgespielt. Ich hatte die Vermutung, dass nach dem Ablauf dieser Lifetime das nächste Roaming-Event mit der Meldung "Invalid pairwise master key identifier (PMKID)" fehlschlägt.

Vielleicht habe ich auch etwas noch nicht verstanden, also folgender Versuch:

Ich habe alle Clients der Übersicht halber deaktiviert. Für den Versuch verwende ich nur das Iphone.

Ich habe bei beide APs auf allen SSIDs die 802.1X-Reauthentisierung ("802.1X, Anmeldung regelmäßig erneuern") testweise auf 120s gestellt.
Ich beobachte auf beiden APs die Tabellen Status->Wlan->PMK-Chaching.
Zunächst habe ich das IPhone in den Flugmodus geschaltet und alle Einträge der Tabellen PMK-Caching auf beiden APs gelöscht.

Nun schalte ich die Funkverbindungen des Iphones wieder im Arbeitszimmer (Az) ein, es bucht sich dort in den L-1302.
Ich sehe dort in der PMK-Caching Tabelle die Einträge für beide SSIDS (2,4 und 5 GHz), einmal Quelle Authentisierung und einmal IAPP.
Auf dem entfernten AP LN-1700 im Wohnzimmer (Wz) sehe ich ebenfalls zwei Einträge (2,4 und 5Ghz), beide mit Quelle IAPP.
Der Supplicant ist jeweils die MAC-Adresse des Iphones, das passt also.

Beim Beobachten der Tabellen tickert die Lebenszeit der PMKIDs von 120s herunter.
Wechsel ich mit dem Iphone innerhalb der 120s zum AP im Wz, funkioniert das Fast-Roaming, keine Fehlermeldung.

Warte ich jedoch die 120s ab, wechseln die Status aller PMKID-Einträge auf beiden APs zunächst auf abgelaufen, einige Sekunden später werden die Einträge automatisch aus den Tabellen entfernt.

Ein erneutes Roaming-Ereignis schlägt dann, wie erwartet, mit der o.g. Fehlermeldung fehl. Erst nachdem der Client wieder die normale Anmeldeprozedur durchlaufen hat, erscheinen die PMKIDs wieder wie oben beschrieben in den PMK-Chaching-Tabellen.

Müsste nach Ablauf der Lifetime nicht automatisch eine erneute Anmeldung mit Austausch der PMKIDs erfolgen?
Es bleiben aber die PMK-Caching-Tabellen auf beiden APs leer. Der Client hält seine Verbindung dennoch aufrecht.


L-1302: 10.32.0183RU10
LN-1700: 10.42.0091

VG
Dirk
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: Fast Roaming via IAPP: R0KH unreachable

Beitrag von alf29 »

Moin,

ich hab's hier gerade mal nachvollzogen und bei mir läuft die 1X-Reauthentisierung durch, aber das neue PMK landet nur auf der BSSID, mit der der Client aktuell verbunden ist. Da läuft im Fall der Reauthentisierung wohl wirklich noch etwas schief.

Wenn bei Dir bei gar keiner BSS ein neues PMK auftaucht, kann es vielleicht daran liegen, daß der Client keine Reauthentisierung machen will. Das LCOS hätte in so einem Fall die Möglichkeit, einen Client herauszuwerfen, wir haben uns damals aber entschieden, in dem Fall die bestehende Verbindung mit dem existierenden Schlüssel weiter laufen zu lassen.

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
hagicgn
Beiträge: 67
Registriert: 21 Jun 2019, 12:26

Re: Fast Roaming via IAPP: R0KH unreachable

Beitrag von hagicgn »

Hallo Alfred,
Wenn bei Dir bei gar keiner BSS ein neues PMK auftaucht, kann es vielleicht daran liegen, daß der Client keine Reauthentisierung machen will
Das kann natürlich sein, dass sich das iPhone etwas merkwürdig verhält.
Im Moment habe ich leider keinen anderen Client, der Fast-Roaming unterstützt. Das Lenovo-Notebook mit Intel-Wifi sollte es eigentlich können,
aber hier geht bei der Anmeldung etwas total schief ("AKMP is not valid").

Eine Frage habe ich interessehalber noch zum PMK-Caching:
Wenn die PMKs keine Lifetime haben, als die 1.x-Reauthensierung ausgestellt ist, wann werden denn die PMK-Caching-Tabellen "aufgeräumt"?
Ist z.B. ein Client 3 Tage nicht eingebucht und bucht sich dann wieder ein, werden die alten Einträge dann überschrieben oder werden die auch ohne Lifetime "von Zeit zu Zeit" gelöscht?

VG
Dirk
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: Fast Roaming via IAPP: R0KH unreachable

Beitrag von alf29 »

Moin,
Eine Frage habe ich interessehalber noch zum PMK-Caching:
Wenn die PMKs keine Lifetime haben, als die 1.x-Reauthensierung ausgestellt ist, wann werden denn die PMK-Caching-Tabellen "aufgeräumt"?
Ist z.B. ein Client 3 Tage nicht eingebucht und bucht sich dann wieder ein, werden die alten Einträge dann überschrieben oder werden die auch ohne Lifetime "von Zeit zu Zeit" gelöscht?
PMKs ohne Lifetime haben eine unendliche Laufzeit. Sie werden nur aus dem Cache gelöscht, wenn man das manuell mit einem 'del' auf die Tabelle macht oder die unter Setup/WLAN/PMK-Caching gesetzte Maximalzahl erreicht ist.

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
hagicgn
Beiträge: 67
Registriert: 21 Jun 2019, 12:26

Re: Fast Roaming via IAPP: R0KH unreachable

Beitrag von hagicgn »

Hallo zusammen,

tot gesagte leben ja bekanntlich länger...
Gleiche Konfiguration, nur neuere Firmwarestände im L-1302 und LN-1700:

L-1302: 10.34RU2
LN1700: 10.42.176
IOS: 14.1

Und das Fast-roaming klappt nicht mehr. Die IOS Clients roamen zwar zwischen den APs, aber es fehlt der Eintrag Fast-transistion succeeded. Stattdessen machen die Clients die komplette 801.x-Anmeldung.
Eine Fehlermeldung erscheint in der Wlan-Log-Tabelle jedoch nicht.
Die PMKs sehe ich in der Tabelle PMK-Caching auf beiden APs mit den jeweils beiden Radios (2,4 und 5 GHz).

Entweder hat Apple in der 14.x etwas verbaselt oder in einer Lcos-Version läuft jetzt wieder etwas andes.
Das Roaming innerhalb eines APs (also 2,4 nach 5 GHz wird mit der Meldung Fast-Transisstion succeeded erfolgreich bestätigt).

VG
Dirk

Edit:
Nachtrag: Die zufälligen MAC-Adressen aka "Private WLAN-Adresse" habe ich bei beiden IOS-Clients für dieses Wlan-Netzwerk ausgeschaltet.
hagicgn
Beiträge: 67
Registriert: 21 Jun 2019, 12:26

Re: Fast Roaming via IAPP: R0KH unreachable

Beitrag von hagicgn »

Nachtrag:

Mit IOS 14.2 gibt es keine Änderung. Die Clients melden sich zwar mit Fast-Roaming in der Stationstabelle, beim AP-Wechsel wird aber immer die
normale 801.x-Anmeldung durchgeführt.
Der Eintrag "fast transistion succeeded" erscheint nur beim Roaming zwischen den Radios innerhalb eines APs.

Auch die aktuelle Beta auf dem LN-1700 (10.42.0191) ändert nichts.

VG
Dirk
hagicgn
Beiträge: 67
Registriert: 21 Jun 2019, 12:26

Re: Fast Roaming via IAPP: R0KH unreachable

Beitrag von hagicgn »

Hallo zusammen,

ich krame diesen Thread nochmal heraus, da das Fast-Roaming leider nicht mehr funktioniert.
Ich habe auf dem AP LC 1302 und LN-1700 die aktuelle freigegeben Version installiert.
(10.34.0304 bzw 10.42.0383).

Beim Wechsel der IOS-Geräte zwischen den APs bekomme ich die Meldung:
PMK offered by WLAN station <MAC> not found, do not skip 802.1X
Danach läuft die normale 802.1x-Prozedur durch. Das funktioniert dann.
Aber Fast-Roaming klappt nicht mehr.
In der IAPP-Tabelle "sehen" sich die APs. Und auch in der Tabelle Wlan->PMK-Chaching sehe ich Einträge mit IAPP als Quelle.

Mit der 10.40.x auf dem LN-1700 hatte es noch funktioniert.
Die IOS- Clients haben die aktuelle Version 14.4, aber es gint auch mit älteren Versionen nicht.

VG
Dirk

PS: Ich habe sogar beide APs auf Werkseinstellungen gesetzt (Reset-Button gut 30s gedrückt) und per LANconfig neu ganz neu parametriert (ohne Skript/ Datei)
hagicgn
Beiträge: 67
Registriert: 21 Jun 2019, 12:26

Re: Fast Roaming via IAPP: Mobility Domain unterschiedlich

Beitrag von hagicgn »

Hallo zusammen,

ich habe mich nochmal mit dem Fast-Roaming-Problem beschäftigt und mir die Tabellen
Status/Wlan/IAPP-Tabelle und
Status/Wlan/PMK-Caching
angesehen.

Und da erscheint dann auch das Problem:
In der IAPP-Tabelle "sehen" sich beide APs, es werden alle SSIDs auf beiden Radios des jeweils entfernten APs angezeigt.
Aber in der Tabelle PMK-Caching finden kein Austausch statt. Der PMK wird nach einer Anmeldung eines Clients auf einem AP nicht auf den entfernten AP übertragen. Eine erneute Anmeldung auf dem entfernten AP resultiert in einer unterschiedlichen Mobility Domain. Die müssten doch auf beiden APs identisch sein, oder?
(Identisch sind die Mobility Domains nur innerhalb eines APs zwischen beiden Radios.)

Ich habe mehrfach alle SSID-Einstellungen überprüft, auch die IAPP-Passphrase. Die sind wirklich identisch. (Es hat ja auch mit einer älteren LCOS-Version funktioniert).
Im IAPP-Trace sehe ich auch den Austausch zwischen beiden APs.
Woran kann es noch liegen?
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: Fast Roaming via IAPP: R0KH unreachable

Beitrag von alf29 »

Moin,
Eine erneute Anmeldung auf dem entfernten AP resultiert in einer unterschiedlichen Mobility Domain. Die müssten doch auf beiden APs identisch sein, oder?
(Identisch sind die Mobility Domains nur innerhalb eines APs zwischen beiden Radios.)
Du meinst das, was in der Tabelle Status/WLAN/IAPP under "Domain-ID" angezeigt wird? Diese ID wird aus einem Hash über folgende Komponenten berechnet:

-> Roaming-Secret
-> SSID
-> Inhalt des vom AP in Beacons und Probe Requests ausgestrahlten WPA1-IEs (wenn vorhanden)
-> Inhalt des vom AP in Beacons und Probe Requests ausgestrahlten WPA2/RSN-IEs

Dieser Algorithmus ist auch seit diversen LCOS-Versionen unverändert (und wird auch im LCOS-LX so benutzt). Wenn auf zwei APs unterschiedliche Domain-IDs herauskommen, dann ist mindestens eine der gelisteten Komponenten auf den APs unterschiedlich. "Konfig ist gleich" heißt nicht zwingend, daß auf zwei APs das gleiche IE herauskommen muß, weil z.B. auch die Fähigkeiten der WLAN-Hardware bei den in den IEs gemeldeten Capabilities hineinspielen.

Dieses Konstrukt wurde übrigens bewußt so gemacht, weil auch 802.11r fordert, daß Fast Roaming nur zwischen zwei APs erlaubt ist, deren RSN-IEs identisch sind.

Im Zweifelsfall wirst Du Dir auf beiden APs einmal die Inhalte der Beacons per Sniffer oder Capture anschauen müssen.

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
hagicgn
Beiträge: 67
Registriert: 21 Jun 2019, 12:26

Re: Fast Roaming via IAPP: R0KH unreachable

Beitrag von hagicgn »

Hallo Alf,

danke für deine Rückmeldung.
Ich meinte die Mobility Domain in der Tabelle Status/Wlan/PMK-Caching.

Nun habe ich gerade eben den LN1700 auf LCOS 10.34.0304RU3 downgegraded. Beide APs haben nun identische FW-Stände.
Und nun werden die PMKs wieder über IAPP ausgetauscht und das Fast-Roaming funktioniert wieder korrekt.
Den LC 1302 habe ich nicht angetastet, sondern wirklich nur das Downgrade auf dem LN 1700 ausgeführt (ohne Werksreset).
(Vorher war die LCOS 10.42.038RU2 drin)

Jetzt werden auch bei beiden APs die Roamingmeldungen mit Fast transition for WLAN station <MAC> succeeded eingetragen.

Es scheint mit doch etwas im LCOS 10.4x. nicht ok zu sein.

VG
Dirk
Antworten