IPhone kann nicht zu WLAN/VLAN verbunden werden

[tar]

Hallo,

der Verzweiflung nahe, wende ich mich nun an euch.

Am Access Point (LW-500) habe ich 2 WLAN-Netzwerke mit VLAN-ID "0" und "4", da man sich via LEPS verbinden soll, wo die eigentliche VLAN-ID hinterlegt ist:

wlan.png

Anhand der MAC wird dann über den Router (1793VA) die zugehörige IP des entsprechenden VLANs zugewiesen:

vlan.png

Das funktioniert für alle WLAN-Geräte bis auf IPhones (und IoT-Geräte, aber das ist ein eigenständiges Thema), wo überhaupt keine Verbindung hergestellt wird. Nur wenn ich direkt zum Netzwerk verbinde (indem ich nicht das LEPS-Passwort, sondern das Netzwerk-Passwort eingebe), wird eine Verbindung hergestellt. Hierbei wird dann aber die BOOTP-Einstellung des Routers zur MAC übergangen und einfach eine dynamische IP zum Netzwerk 10.0.1.xxx zugewiesen. Konfus, aber liegt womöglich daran, weil das VLAN-Tag "0" gesetzt ist?

Ist das normal oder irgendeine Einstellung bei mir schief?

[Dr.Einstein]

Du verwendest WPA2/3. LEPS unter WPA3 geht nicht, und das iPhone kann WPA3.

[tar]

Du verwendest WPA2/3. LEPS unter WPA3 geht nicht, und das iPhone kann WPA3.

Boah, danke - mit WPA2 geht's!
Wie soll man aus dem Stehgreif denn darauf kommen?

[Dr.Einstein]

Gar nicht, leider nur durch Lesen des Handbuchs. Bin auch der Meinung, LanConfig bzw. die CLI sollte diese Kombination nicht zulassen. Macht keinen Sinn, eine SSID auf WPA2/WPA3 zu stellen, LEPS über WPA2 durchzulassen um dann WPA3 Clients gegen die Wand laufen zu lassen.

https://www.lancom-systems.de/docs/LCOS ... rames.html

Aus technischen Gründen ist LEPS-U nur mit der WPA-Version WPA2 kompatibel.

[tar]

Gar nicht, leider nur durch Lesen des Handbuchs.

Obendrein steht im Handbuch zwar bei LEPS-U, dass es nur zu WPA2 kompatibel ist, aber nicht bei LEPS-MAC und soweit ich das hier überblicke, wird beim LW-500 geradewegs LEPS-MAC angewandt.

[GrandDixence]

Aus Sicherheitsgründen sollte bekanntlich für jeden WLAN-Client ein individuelles Passwort (WPA-Personal) oder ein massgeschneidertes X.509-Zertifkat (WPA-Enterprise => EAP-TLS) verwendet werden.
alles-zum-lancom-wlc-4100-wlc-4025-wlc- ... tml#p98556

Auf meine Hotline-Anfrage an LANCOM vom 08.01.2023 zum Thema "LEPS-MAC mit WPA3-Personal":

Ich ersetzte einen Wireless Access Point Netgear WNDAP360 mit OpenWrt 19.07.9 durch einen neuen Lancom L-321agn (R2) mit LCOS 10.42 RU7. Auf dem WNDAP360 kam hostapd zum Einsatz, welches unter anderem eine SSID mit WPA3-Personal aufspannte. Die WLAN-Clients dieser SSID bekamen alle per MAC-Adresse ein eigenes SAE-Passwort für die Anmeldung im WLAN. Hier die relevanten Einträge in der hostapd.conf:

------------------------------------------------------------------------------------------------

Set of accepted key management algorithms (WPA-PSK, WPA-EAP, or both). The entries are separated with a space. WPA-PSK-SHA256 and WPA-EAP-SHA256 can be added to enable SHA256-based stronger algorithms.

WPA-PSK = WPA-Personal / WPA2-Personal

WPA-PSK-SHA256 = WPA2-Personal using SHA256

WPA-EAP = WPA-Enterprise / WPA2-Enterprise

WPA-EAP-SHA256 = WPA2-Enterprise using SHA256

SAE = SAE (WPA3-Personal)

WPA-EAP-SUITE-B-192 = WPA3-Enterprise with 192-bit security/CNSA suite

FT-PSK = FT with passphrase/PSK

FT-EAP = FT with EAP

FT-EAP-SHA384 = FT with EAP using SHA384

FT-SAE = FT with SAE

FILS-SHA256 = Fast Initial Link Setup with SHA256

FILS-SHA384 = Fast Initial Link Setup with SHA384

FT-FILS-SHA256 = FT and Fast Initial Link Setup with SHA256

FT-FILS-SHA384 = FT and Fast Initial Link Setup with SHA384

OWE = Opportunistic Wireless Encryption (a.k.a. Enhanced Open)

DPP = Device Provisioning Protocol

OSEN = Hotspot 2.0 online signup with encryption

(dot11RSNAConfigAuthenticationSuitesTable)

wpa_key_mgmt=SAE

The last matching (based on peer MAC address and identifier) entry is used to select which password to use. Setting sae_password to an empty string has a special meaning of removing all previously added entries. sae_password uses the following encoding:

#<password/credential>[|mac=<peer mac>][|vlanid=<VLAN ID>][|id=<identifier>]

Examples:

#sae_password=secret
#sae_password=really secret|mac=ff:ff:ff:ff:ff:ff
#sae_password=example secret|mac=02:03:04:05:06:07|id=pw identifier
#sae_password=example secret|vlanid=3|id=pw identifier

SAE-Passwort fuer den Firmenrechner

sae_password=123456789|mac=AA:BB:CC:DD:EE:FF

SAE-Passwort fuer NatelFirma

sae_password=987654321|mac=FF:EE:DD:CC:BB:AA

-------------------------------------------------------------------------------------------

Nach meinem Verständnis kann ich mit LEPS-MAC das gleiche auch mit LCOS realisieren. Siehe dazu:
https://www.lancom-systems.de/pdf/techp ... EPS_DE.pdf

Wenn ich diese SSID mit WPA2-Personal betreibe:

LCOS-Menübaum > Setup > Schnittstellen > WLAN > Verschluesselung := WPA2

funktioniert das WLAN mit LEPS-MAC einwandfrei. Wenn ich diese SSID mit einer einzigen Umkonfiguration:

LCOS-Menübaum > Setup > Schnittstellen > WLAN > Verschluesselung := WPA3

als WPA3-Personal mit LEPS-MAC betreibe, kann sich kein einziger WLAN-Client mehr im WLAN anmelden. Alle getesteten WLAN-Clients sind WPA3-Personal fähig, wie der Betrieb am Netgear WNDAP360 bewies.

Wenn ich auf LEPS-MAC mit individuellen SAE-Passwörter verzichte, sprich alle Einträge unter:

LCOS-Menübaum > Setup > WLAN-Management > Zugriffsregeln > WPA-Passphrase

lösche, funktioniert das WLAN auch mit WPA3-Personal einwandfrei.

Liegt hier ein Konfigurationsfehler vor oder unterstützt LCOS kein LEPS-MAC in Kombination mit WPA3-Personal?

bekam ich vom LANCOM-Support am 26.07.2023 folgende Antwort:

LEPS-MAC können Sie als reinen MAC-Filter (ohne benutzerdefiniertes Passwort) in Verbindung mit WPA-3 nutzen.
Ein benutzerdefiniertes Passwort können Sie nicht verwendet, da der WPA3 Standard dies nicht unterstützt.

Wer also aus Sicherheitsgründen zukunftssichere, individuelle Passwörter für alle WLAN-Clients einsetzen will, sollte ein auf der Open Source-Lösung "hostapd" basierendes Produkt einsetzen. Oder baut mit X.509-Zertifikaten eine eigene PKI auf und wechselt alle Wireless Access Points vom WPA2-/WPA3-Personal-Modus in den Betriebsmodus von WPA2- oder WPA3-Enterprise!

Ein Mischbetrieb von WPA2 mit WPA3 wird bekanntlich aus Sicherheitsgründen nicht empfohlen (LCOS-Menübaum > Setup > Schnittstellen > WLAN > Verschluesselung := WPA2/3)!
https://support.lancom-systems.com/know ... d=32989319