LCOS/LCOS-LX Fast-Roaming Domain-ID

[geppi]

Nach einigem Gefrickel scheint es mir gelungen zu sein Fast-Roaming zwischen einem 1302acn und einem LW600 einzurichten.
Allerdings verstehe ich folgendes Verhalten nicht.

Das Verschlüsselungsprofil der SSID ist 802.11i(WPA)-802.1x mit WPA3, Sitzungsschlüssel-Typ AES-CCMP-128 und Fast-Roaming Key-Management.
Auf der Konsole bekomme ich mit 'ls /Status/WLAN/IAPP-Table' folgende Domain-IDs:

Code: Alles auswählen

1302acn: 4ad820cd69025703
LW600:   4ad820cd69025703

Soweit so gut.

Wenn ich jetzt in WebConfig nix anderes mache, als auf beiden APs das Key-Management auf "Standard & Fast-Roaming" zu stellen sieht das dann so aus:

Code: Alles auswählen

1302acn: 2b0ba9acff301c04
LW600:   ddfbd02a72f8bd40

Wieso ändert sich die Domain-ID unterschiedlich obwohl ich auf beiden APs den gleichen Parameter auf den gleichen Wert geändert habe?

Wenn ich das richtig verstehe, kann damit auf keinen Fall Fast-Roaming funktionieren, selbst wenn der Client es unterstützt. Richtig?

Edit: Die Lösung findet sich in diesem Beitrag: lancom-wireless-aktuelle-accesspoints-f ... ml#p115271

[geppi]

Ich hab mich noch ein bisschen tiefer in die Materie reingegraben. Die Informationen in diesem Thread lancom-wireless-aktuelle-accesspoints-f ... 17692.html werfen allerdings weitere Fragen auf.

In diesem Beitrag lancom-wireless-aktuelle-accesspoints-f ... ml#p106105 aus besagtem Thread steht u.a.:

.....
Benutzt Du als WPA2/3-Key-Management nur Fast-Roaming oder auch Standard/SHA256? Das ist nämlich auch noch eine WFA-Forderung für WPA3-only-Enterprise, "Standard" als Key-Management ist nicht mehr erlaubt. Das erzwingt eine 10.34 noch nicht. Wenn Du dort alle drei Methoden (Standard/SHA256/Fast) eingestellt hattest, dann kommt bei einer 10.42 etwas anderes heraus als bei einer 10.34.
.....

Ich hatte vergessen die LCOS Versionen der verwendeten APs anzugeben.
Beim 1302acn ist es die letzte unterstützte LCOS Version 10.34.0308. Der Beitrag erklärt erstmal warum sich die Domain-ID beim 1302acn überhaupt ändert wenn man das Key-Management von "Fast-Roaming" auf "Standard & Fast-Roaming" umstellt, da erst ab der LCOS Version 10.42 die WFA-Forderung forciert wird.

Bedeutet dies aber auch, dass die aktuelle LCOS-LX Version 6.12.0024Rel, welche auf dem LW600 läuft, diese WFA-Forderung ebenfalls nicht forciert?

Würde sie dies tun, dürfte sich die Domain-ID ja bei der Änderung des Key-Managements gar nicht ändern. Tut sie aber.

Das erklärt aber immer noch nicht warum sich die Domain-IDs unterschiedlich ändern.

[geppi]

Also es wäre schon ganz hilfreich wenn mal jemand von Lancom etwas zum Verfahren der Domain-ID Erzeugung sagen könnte.

Mal abgesehen von der eingangs gestellten Frage, die man ja eventuell noch als akademisch abtuen könnte, weil sich das dadurch entstehende Problem mit dem Anlegen zweier getrennter SSIDs (eine mit Key-Management "Fast-Roaming" und die andere mit "Standard") lösen lässt, habe ich jetzt aber auch noch folgendes Problem.

Wenn ich ausgehend von der im ersten Post genannten WPA3-Enterprise Konfiguration mit identischer Domain-ID auf beiden APs an Stelle des Key-Managements die Verschlüsselungs-Methode von 802.1X auf PSK ändere und sonst alles gleich lasse, ändern sich die Domain-IDs ebenfalls unterschiedlich.

Damit ist es praktisch unmöglich eine funktionierende FT-SAE Konfiguration zwischen dem 1302acn und dem LW600 auf Basis von WPA3-Personal zu realisieren.

[rotwang]

Also es wäre schon ganz hilfreich wenn mal jemand von Lancom etwas zum Verfahren der Domain-ID Erzeugung sagen könnte.

Das ist hier ein inoffizielles Forum, hier ist niemand von LANCOM gezwungen, irgendwas zu irgendetwas zu sagen...aus dieser Formulierung könnte man heraus lesen, dass ob Du denkst, Du hättest einen Anspruch darauf, dass Dir hier geholfen wird.

Wenn ich das richtig verstehe, kann damit auf keinen Fall Fast-Roaming funktionieren, selbst wenn der Client es unterstützt. Richtig?

Er wird zumindest keine Fast Transition zwischen zwei APs machen, die eine unterschiedliche ID ausstrahlen, weil sie damit für ihn nicht zur gleichen Mobility-Domain gehören.

Wenn ich ausgehend von der im ersten Post genannten WPA3-Enterprise Konfiguration mit identischer Domain-ID auf beiden APs an Stelle des Key-Managements die Verschlüsselungs-Methode von 802.1X auf PSK ändere und sonst alles gleich lasse, ändern sich die Domain-IDs ebenfalls unterschiedlich.

Die Parameter in den WLAN-Verschlüsselungseinstellungen bedingen zum Teil einander gegenseitig, wenn Du an einem Wert etwas änderst ist es nicht unmöglich, daß ein Wert in einer anderen Spalte auf einmal ignoriert oder nicht mehr ignoriert wird. So einfach ist das leider nicht.

Die ID berechnet sich letzten Endes aus einem Hash über das vom AP ausgestrahlte RSNE, in dem alle Verschlüsselungs-bezogenen Einstellungen enthalten sind. Das sind die erlaubten Pairwise Ciphers, der Group Cipher, die AKMs, die PMF-Einstellungen und noch ein paar Capability-Bits (z.B. Pre-Authentication, die es nicht mehr gibt, sobald nur noch WPA3 gemacht wird). Wenn eines davon unterschiedlich ist, kommt ein anderer Hash dabei heraus.

Ich kenne mich mit LX nicht aus und kann Die daher nicht sagen, was man im LX einstellen muß, damit das gleiche RSN wie bei einer bestimmten Einstellung im LCOS herauskommt. Im Zweifelsfall schaue man sich das RSNE auf beiden APs per Sniffer oder auch per WLAN-Data-Trace auf dem LCOS an. Dann sieht man recht schnell, wo noch Unterschiede sind.

[geppi]

Das ist hier ein inoffizielles Forum, hier ist niemand von LANCOM gezwungen, irgendwas zu irgendetwas zu sagen...aus dieser Formulierung könnte man heraus lesen, dass ob Du denkst, Du hättest einen Anspruch darauf, dass Dir hier geholfen wird.

Also wenn meine Formulierung so rüberkam tut es mir leid, dass Du mich falsch verstanden hast.
Ich wollte damit lediglich zum Ausdruck bringen, dass jemand der Einblick in das Verfahren und die eventuellen Unterschiede zwischen LCOS und LCOS-LX hat sicherlich eine hilfreiche Aufklärung liefern könnte. Ich denke in keiner Weise, dass ich einen Anspruch auf irgendwelche Hilfe in diesem Forum habe und bin jedes mal dankbar für die Tipps und Erklärungen die hier unentgeltlich geliefert werden.

Ich formuliere also folgendermaßen um:

Könnte vielleicht bitte jemand von Lancom etwas zum Verfahren der Domain-ID Erzeugung sagen, das eventuell die Unterschiede zwischen LCOS und LCOS-LX erklärt?

Einen kurzen Feedback zu Deiner einleitenden Formulierung möchte ich Dir aber auch noch geben.
Diese wirkte auf mich als hättest Du mich angeraunzt. Ich kann ja verstehen, dass die Anspruchshaltung einiger Forumsmitglieder eine gewisse Sensibilität hervorruft. Es wäre trotzdem schön wenn einem nicht gleich beim ersten Satz diese Anspruchshaltung unterstellt würde.

Soviel von meiner Seite zur Forums-Etikette.

Die Parameter in den WLAN-Verschlüsselungseinstellungen bedingen zum Teil einander gegenseitig, wenn Du an einem Wert etwas änderst ist es nicht unmöglich, daß ein Wert in einer anderen Spalte auf einmal ignoriert oder nicht mehr ignoriert wird. So einfach ist das leider nicht.

Das hab ich auch so verstanden. Deswegen hatte ich die Hoffnung, dass mit WPA3-only und dem gleich setzten aller in LanConfig und WebConfig ersichtlichen Parameter eine Übereinstimmung zu erzielen ist.

Ich kenne mich mit LX nicht aus und kann Die daher nicht sagen, was man im LX einstellen muß, damit das gleiche RSN wie bei einer bestimmten Einstellung im LCOS herauskommt. Im Zweifelsfall schaue man sich das RSNE auf beiden APs per Sniffer oder auch per WLAN-Data-Trace auf dem LCOS an. Dann sieht man recht schnell, wo noch Unterschiede sind.

Klar, "Packets don't lie". Allerdings ist für so einen SOHO Gelegenheitsadmin wie mich die Hürde das umzusetzen etwas höher, als wenn man täglich damit zu tun hat und eventuell auch noch eine Testumgebung dafür zur Verfügung hat.
Deswegen wüsste ich gerne ob es da eventuell ein grundsätzliches Problem zwischen LCOS und LCOS-LX gibt, z.B. in einer unterschiedlichen Implementierung welche Informationen in die Domain-ID Berechnung eingehen, bevor ich mich in's nächste Abenteuer stürze.

Auf jeden Fall Danke für Deine Kommentare die auch in anderen Threads of sehr hilfreich waren.

[tstimper]

Also es wäre schon ganz hilfreich wenn mal jemand von Lancom etwas zum Verfahren der Domain-ID Erzeugung sagen könnte.

Das ist hier ein inoffizielles Forum, hier ist niemand von LANCOM gezwungen, irgendwas zu irgendetwas zu sagen...aus dieser Formulierung könnte man heraus lesen, dass ob Du denkst, Du hättest einen Anspruch darauf, dass Dir hier geholfen wird.

So eine Idiotie hier wieder.

Da fragt jemand was und hofft auf Hilfe und es wird im gesagt, das er die hier nicht zu erwarten hat.
Zumindest passiert das wenn eine Textsequenz wie "LANCOM könnte doch mal .." oder "jemand von LANCOM " oder ähnliches vorkommt.

Wenn allerdings über spezifische Probleme mit LANCOMs Verhalten mit "Was auch immer" (z.b. Firmware Politik, Kommunikation bei Bugs und Ausfällen uw.) geschieben wird, dann wird sich das hier im Forum gerne mal verbeten und darauf verwiesen, das wir uns hier nur über technische Belange zu unterhalten haben.

Ach Leute.....

Viele Grüße

ts

PS: Vielleicht bekomme ich gleich wieder Nachrichten, das wegen "Solchen" wie mir das Forum geschlossen werden könnte und ich doch selbst was machen kann wenn mir das wichtig ist.

Zumindest scheint u.a. mein Einfordern der 10.50.1080 für den 7100+ dazu geführt zu haben, das die 10.50.1080 für den 9100+ verschwunden ist
ca. seitdem auch keine neuen Betas mehr auf dem Beta Server liegen.

Ja ich weis, es sollte nicht passieren, das die Firmware überhaupt existiert.
Es sollte aber auch nicht die Antivirus Update Funktion der gesamten installierten UF Basis für 3,5 Tage außer Betrieb ist,
ONHE Kunden und Partner zu informieren.

Sorry, musste jetzt sein, ich konzentriere mich jetzt wieder auf die technische Beantwortung technischer Fragen
Das macht mir Spass, das kleinliche Gezänk nicht.



So ein Kindergarten...

[Dr.Einstein]

Für mich klingt es so, dass eine Art show wlan (roaming?) Befehl fehlt, der sowohl bei LCOS als auch bei LX die Parameter eines WLANs vor allem bezogen auf Roaming untereinander auflistet sodass man schnell die Unterschiede identifizieren kann. Ich kenne jetzt nicht die RFC bzw IEEE zu dem Thema aber der Entwickler, der das aktuell gebaut hat, dem müssen ja alle notwendigen Parameter bekannt sein, die Einfluss auf die Domain-ID haben.

Vielleicht erledigen sich durch einen solchen Show Befehl diverse Fragen direkt.

[geppi]

Für mich klingt es so, dass eine Art show wlan (roaming?) Befehl fehlt, der sowohl bei LCOS als auch bei LX die Parameter eines WLANs vor allem bezogen auf Roaming untereinander auflistet sodass man schnell die Unterschiede identifizieren kann.
.....

Das wäre definitiv hilfreich.
Was ich auch noch nicht so ganz verstehe: Ist das Verfahren zur Generierung der Domain-ID bzw. MDIE denn irgendwo standardisiert?

Wenn da jeder Hersteller sein eigenes Süppchen kochen würde, könnte man ein Fast-Roaming zwischen APs verschiedener Hersteller ja eigentlich so ziemlich vergessen. Ich kann mir irgendwie nicht vorstellen, dass das von der WFA so gedacht war.

[rotwang]

Was ich auch noch nicht so ganz verstehe: Ist das Verfahren zur Generierung der Domain-ID bzw. MDIE denn irgendwo standardisiert?

Nein, ist es nicht.

Wenn da jeder Hersteller sein eigenes Süppchen kochen würde, könnte man ein Fast-Roaming zwischen APs verschiedener Hersteller ja eigentlich so ziemlich vergessen. Ich kann mir irgendwie nicht vorstellen, dass das von der WFA so gedacht war.

Der 802.11-Standard geht bei 11r davon aus, dass es eine zentrale Instanz gibt, bei der die initiale 1X-Anmeldung passiert und die die Wurzel der Schlüssel-Verteilungshierarchie ist. Da steht eigentlich zwischen den Zeilen, dass von einem zentralen WLAN-Switch oder -Controller ausgegangen wird. Und das Protokoll zwischen so einem Controller und den APs ist genauso wenig herstellerübergreifend spezifiziert. Von daher: ja, ein herstellerübergreifendes Fast Roaming gibt es in der Praxis nicht. Unter anderem deswegen, weil es von den Firmenkunden auch wohl keinen Bedarf gibt. Da ist man eher froh, dass es nur einen Ansprechpartner gibt, wenn's mal nicht funktioniert

Dass 11r bei LANCOM auch dezentral ohne einen WLC geht, ist halt der Tatsache geschuldet, dass dies von Kunden- bzw. Produkt-Management-Seite gefordert war und man sich ein dezentrales Verteilungsmodell (über IAPP) ausgedacht hat. Cloud-gemanagte APs laufen ja ohne WLC. Aber IAPP ist genauso wenig herstellerübergreifend standardisiert.

Bei LANCOM ist der Sonderfall nun so, daß es zwei Linien von APs auf komplett unterschiedlichen Codebasen gibt. Natürlich haben die LX-Entwickler die LCOS-Entwickler gefragt und benutzen die gleiche Formel, um die ID zu berechnen. Es gibt auch Nutzer in diesem Forum, die bereits ein Fast-Roaming zwischen LCOS und LX hinbekommen haben. Wenn Du also auf LCOS und LX unterschiedliche IDs bekommst, dann heißt das auch, dass Deine APs effektiv unterschiedliche Verschlüsselungs-Optionen ausstrahlen.

Ich hatte bereits geschrieben, daß die Werte in den LCOS-Verschlüsselungsoptionen sich zum Teil gegenseitig beeinflussen. Das ist so, weil 802.11 und WFA nicht beliebige Kombinationen dieser Werte erlauben. Das dürfte zum Teil auch beim LX so sein, aber nicht zwingend auf gleiche Weise, weil eben unterschiedliche Codebasis.

Wenn Du also sagst, "ich hab doch nur das und das geändert...", das heißt das nicht, dass das keine Seiteneffekte auf andere Werte hat. Die sicherste Variante ist, sich die Beacons der beiden APs anzuschauen und zu vergleichen.

Die Idee, die die der Berechnung zugrunde liegenden Daten auszugeben, will ich fürs LCOS aufgreifen. Zu LCOS-LX kann ich nichts sagen, die Entwickler sind aber, so wie ich höre, über beide Ohren zu mit anderen Sachen.

[DirkK]

Dass 11r bei LANCOM auch dezentral ohne einen WLC geht, ...

Bei LANCOM ist der Sonderfall nun so, daß es zwei Linien von APs auf komplett unterschiedlichen Codebasen gibt. Natürlich haben die LX-Entwickler die LCOS-Entwickler gefragt und benutzen die gleiche Formel, um die ID zu berechnen.

Heisst das im Gegenzug, dass bei einem Mischbetrieb von LX und LCOS es anzuraten ist einen WLC einzusetzen und dass mit dem WLC dann ein Fast-Roaming problemlos umsetzbar ist?

VG Dirk

[Pauli]

Und vielleicht zu der Frage von Dirk ergänzend, wenn die Antwort JA ist, dann wüsste ich gerne wie der Mischbetrieb über WLC richtig zu konfigurieren ist?

Danke, Pauli

[geppi]

Vielen Dank für die Erklärung rotwang.

Das ist natürlich schon ein bisschen schade, dass nicht wenigstens die WFA im Rahmen Ihres Zertifizierungsprogramms sowas wie eine Standardisierung vorgibt die ein Hersteller übergreifendes Funktionieren von Fast-Roaming erleichtern würde.
Aber "hätte, hätte, Fahradkette", dann isses halt so und ich muss weiter frickeln.

.....
Es gibt auch Nutzer in diesem Forum, die bereits ein Fast-Roaming zwischen LCOS und LX hinbekommen haben.
.....

Ja, dazu gehöre auch ich, allerdings nur mit 802.11i(WPA)-802.1x. Bisher habe ich hier noch keinen Bericht über eine funktionierende Fast-Roaming Konfiguration zwischen LCOS und LX mit 802.11i(WPA)-PSK gesehen. Oder ist mir da was entgangen?

Ich hoffe, dass FT-SAE zwischen den beiden jetzt schon grundsätzlich möglich ist.
Beim LCOS des 1302acn hab ich da weniger Bedenken als beim LX des LW600.

Zum Wochenende soll ja auch hie im Süden Deutschlands der Spätsommer zuende gehen. Da werd' ich mich dann wohl mal ans Pakete fangen mache.

[geppi]

Und vielleicht zu der Frage von Dirk ergänzend, wenn die Antwort JA ist, dann wüsste ich gerne wie der Mischbetrieb über WLC richtig zu konfigurieren ist?

Danke, Pauli

Ich trau's mich ja fast nicht zu sagen, aber dazu wäre sicher ein entsprechender Knowledge-Base Artikel hilfreich.

[Pauli]

Ich trau's mich ja fast nicht zu sagen, aber dazu wäre sicher ein entsprechender Knowledge-Base Artikel hilfreich.

Den wir erarbeiten bzw. verifizieren müssen ...

[DirkK]

.....
Es gibt auch Nutzer in diesem Forum, die bereits ein Fast-Roaming zwischen LCOS und LX hinbekommen haben.
.....

Ja, dazu gehöre auch ich, allerdings nur mit 802.11i(WPA)-802.1x. Bisher habe ich hier noch keinen Bericht über eine funktionierende Fast-Roaming Konfiguration zwischen LCOS und LX mit 802.11i(WPA)-PSK gesehen. Oder ist mir da was entgangen?

Naja, bei mir funktioniert das Roaming mittlerweile auch zwischen LCOS und LX mit 802.11i(WPA)-PSK sehr gut. So zumindest mein Eindruck und Erfahrungen. So kann ich z.B. ein SIP-VoIP Gespräch oder auch einen WLAN-Call mit einem iPhone ohne Probleme über 3 Access-Points (2x LX, 1x LCOS) im Haus führen, ohne dass es zu Aussetzern oder gar Verbindungsabbrüchen kommt.

Allerdings setze ich auch einen WLC ein, nur weiß ich nicht, ob ich das auch wirklich absolut korrekt konfiguriert habe, deswegen wäre ein KB-Artikel da wirklich gut.

VG Dirk