LCOS/LCOS-LX Fast-Roaming Domain-ID

[geppi]

Das klingt ja schon mal ermutigend, da dann ja wohl zumindest keine grundsätzliche Dysfunktionalität beim Einsatz von LCOS und LX zu befürchten ist.

Bin mal gespannt was die Paketjagd am Wochenende bringt.

Ich hoffe nur, dass der Unterschied in den Konfigurationsparametern, den dies dann zu Tage fördern soll, auch ohne WLC zu beseitigen ist. Also rein per LanConfig, WebConfig oder auf der Console.
Ich seh' da im Moment nämlich nichts was auf dem 1302acn anders konfiguriert wäre als auf dem LW600.

[rotwang]

Ich hoffe, dass FT-SAE zwischen den beiden jetzt schon grundsätzlich möglich ist.
Beim LCOS des 1302acn hab ich da weniger Bedenken als beim LX des LW600.

Ich bin seit einer Weile größtenteils aus der WLAN-Entwicklung raus, aber das letzte Mal als ich geschaut habe, gab es bei der WFA noch keine Zertifizierungen/Testsuiten für FT/SAE.

[rotwang]

Ich seh' da im Moment nämlich nichts was auf dem 1302acn anders konfiguriert wäre als auf dem LW600.

Hast Du auf dem 1302 auch mal unter /Status/WLAN/Encryption geschaut? Da steht nämlich unter anderem, was nach Anwendung der ganzen Restriktionen und Nebenbedingungen effektiv gemacht wird.

[geppi]

Hast Du auf dem 1302 auch mal unter /Status/WLAN/Encryption geschaut? Da steht nämlich unter anderem, was nach Anwendung der ganzen Restriktionen und Nebenbedingungen effektiv gemacht wird.

Leider gibt es diese Tabelle ja nur im LCOS und nicht im LX, so dass man nicht direkt vergleichen kann was effektiv gemacht wird.
Oder gibt's da im LX irgendwo anders in der Menüstruktur was entsprechendes?

Für die fragliche SSID steht auf dem 1302acn:

Code: Alles auswählen

> ls Status/WLAN/Encryption/
Interface Encryption Method          WPA-Version WPA1-Session-Keytypes WPA2-3-Session-Keytypes PMK-Caching Pre-Authentication WPA-802.1X-Security-Level OKC Enhanced-Open-Groups          Prot.-Mgmt-Frames WPA2-Key-Management SAE-Groups
WLAN-1-5  Yes        802.11i-WPA-PSK WPA3        None                  AES-CCMP-128            Yes         No                 Standard                  No  secp256r1,secp384r1,secp521r1 mandatory         Fast-Roaming        secp256r1,secp384r1,secp521r1
WLAN-2-5  Yes        802.11i-WPA-PSK WPA3        None                  AES-CCMP-128            Yes         No                 Standard                  No  secp256r1,secp384r1,secp521r1 mandatory         Fast-Roaming        secp256r1,secp384r1,secp521r1

Auf dem LW600 ist die Verschlüsselung dieser SSID so konfiguriert:

WPA3-SAE-FT.PNG

Im Vergleich dazu die SSID mit WPA-Enterprise auf der FT definitiv funktioniert:

Code: Alles auswählen

> ls Status/WLAN/Encryption/
Interface Encryption Method                  WPA-Version WPA1-Session-Keytypes WPA2-3-Session-Keytypes PMK-Caching Pre-Authentication WPA-802.1X-Security-Level OKC Enhanced-Open-Groups          Prot.-Mgmt-Frames WPA2-Key-Management SAE-Groups
WLAN-1    Yes        802.11i-WPA-802.1x      WPA2        None                  AES-CCMP-128            Yes         No                 Standard                  No  secp256r1,secp384r1,secp521r1 mandatory         Fast-Roaming        secp256r1,secp384r1,secp521r1
WLAN-2    Yes        802.11i-WPA-802.1x      WPA2        None                  AES-CCMP-128            Yes         No                 Standard                  No  secp256r1,secp384r1,secp521r1 mandatory         Fast-Roaming        secp256r1,secp384r1,secp521r1

Mit folgender Konfiguration der Verschlüsselung auf dem LW600:

WPA3-802.1X-FT.PNG

Dabei ist mir übrigens noch folgendes aufgefallen, das ich mir nicht erklären kann.
Die Konfiguration dieser SSID mit WPA-Enterprise auf dem 1302acn sieht folgendermaßen aus:

Code: Alles auswählen

> ls Setup/Interfaces/WLAN/Encryption/
Ifc    Encryption Default-Key Method             Key RADIUS-Profile WPA-Version WPA1-Session-Keytypes WPA2-3-Session-Keytypes WPA-Rekeying-Cycle WPA2-Key-Management SAE-Groups                    Prot.-Mgmt-Frames PMK-Caching Client-EAP-Method Pre-Authentication WPA-802.1X-Security-Level OKC Enhanced-Open-Groups          PMK-IAPP-Secret Authentication
WLAN-1 Yes        1           802.11i-WPA-802.1x     DEFAULT        WPA3        TKIP                  AES-CCMP-128            0                  Fast-Roaming        secp256r1,secp384r1,secp521r1 mandatory         Yes         TLS               No                 Standard                  No  secp256r1,secp384r1,secp521r1 *               Open-System
WLAN-2 Yes        1           802.11i-WPA-802.1x     DEFAULT        WPA3        TKIP                  AES-CCMP-128            0                  Fast-Roaming        secp256r1,secp384r1,secp521r1 mandatory         Yes         TLS               No                 Standard                  No  secp256r1,secp384r1,secp521r1 *               Open-System

Obwohl hier WPA3 konfiguriert ist wird unter '/Status/WLAN/Encryption' der Wert 'WPA2' angezeigt!

Trotzdem funktioniert FT für diese SSID!
Unter 'ls /Status/WLAN/IAPP-Table' wird auf beiden APs die gleiche Domain-ID für diese SSID angezeigt und in '/Status/WLAN/Log-Table/' sehe ich für Stationen in dieser SSID die Einträge "Fast transition for WLAN station xx:xx:xx:xx:xx:xx succeeded'.

[jfuchs]

Auf dem LW600 ist die Verschlüsselung dieser SSID so konfiguriert:

Du musst zwingend die Methode auf "WPA3-PSK" setzen, nicht "WPA2/3-PSK", wenn du schon auf dem L1302acn dies ebenso auf WPA3-PSK gesetzt hast.

Obwohl hier WPA3 konfiguriert ist wird unter '/Status/WLAN/Encryption' der Wert 'WPA2' angezeigt!

Das ist vollkommen normal. WPA3 ist bei 802.1X "nur" WPA2 mit PMF.
SAE (simultaneous authentication of equals) ist nur für PSK definiert.

[geppi]

.....
Du musst zwingend die Methode auf "WPA3-PSK" setzen, nicht "WPA2/3-PSK", wenn du schon auf dem L1302acn dies ebenso auf WPA3-PSK gesetzt hast.
.....

Tja, das sind die kleinen Inkonsistenzen zwischen den verschiedenen Konfigurationsmöglichkeiten.
Den Parameter "WPA3-PSK" gibt es im LanConfig Auswahlmenü des LW600 nicht, sondern eben nur "WPA2/3-PSK".
Die genauere Eingrenzung scheint dort mit dem darunter stehenden Parameter "WPA-Version" zu erfolgen.

Interessanterweise sieht das Ganze im WebConfig so aus:

WPA-Method.PNG

Es ist also schon so wie Du gesagt hast konfiguriert.

[jfuchs]

Da hast du Recht. Ich habe auf meinen LW-500 nur fix in der WebConfig geschaut. Konnte das "fehlen" von WPA3-PSK als Methode per LanConfig nachvollziehen. Was mir aber nun noch auffällt sind die Diffie-Hellmann Gruppen. Bei LCOS-LX sind diese nur "DH19", bei LCOS DH-19, -20 und -21. Gleiche diese mal bitte an, auch wenn ich gerade nicht glaube dass das hilft.

[geppi]

Nein, hat leider nichts geholfen.
Seltsamer Weise hat sich die Domain-ID aber überhaupt nicht geändert.
Ich hätte jetzt zumindest erwartet, dass sich die Domain-ID des LW600 ändert wenn ich die DH-20 und DH-21 dazu konfiguriere.

[rotwang]

Ich hätte jetzt zumindest erwartet, dass sich die Domain-ID des LW600 ändert wenn ich die DH-20 und DH-21 dazu konfiguriere.

Die für SAE verwendbaren (EC)DH-Gruppen werden nicht im RSNE propagiert, deshalb ändern sie auch nichts an der berechneten ID.

[geppi]

Zurück von der Jagd komme ich zur Präsentation der Trophäen.

Auf der linken Seite des diff das RSN-IE im Beacon des LW600 und rechts das RSN-IE des 1302acn:

RSN-IE-diff.PNG

Im Gegensatz zum 1302acn, der die AKM Suite 00:0f:ac:09 (FT using SAE) propagiert, schickt der LW600 ein 00:0f:ac:08 (SAE) raus.
Und das obwohl die Konfiguration des LW600 für die fragliche SSID so aussieht:

Code: Alles auswählen

ls /Setup/WLAN/Encryption

Profile-Name Encryption Method          WPA-Version WPA1-Session-Keytypes WPA2-3-Session-Keytypes Prot.-Mgmt-Frames WPA-Rekeying-Cycle Pre-Authentication OKC WPA2-Key-Management SAE/OWE-Groups
=============-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
WPA3-SAE-FT  Yes        802.11i-WPA-PSK WPA3        TKIP                  AES                     mandatory         0                  No                 No  Fast-Roaming        DH-19
.....

Ich sehe irgendwie nicht wo ich da beim LW600 diesbezüglich noch was anders konfigurieren könnte.

Dazu kommt noch, dass der 1302acn im Beacon ein Tag 'Mobility Domain' aussendet das im Beacon des LW600 vollkommen fehlt.

[jfuchs]

Hast du den LW-600 mal neugestartet? Wenn das nichts hilft und die tatsächliche Konfiguration so ist wie dargestellt, könnte es sich um einen Bug handeln. Ich habe leider keinen LW-600 um das mal nachzustellen. Welche Firmware-Version verwendest du denn?

Dazu kommt noch, dass der 1302acn im Beacon ein Tag 'Mobility Domain' aussendet das im Beacon des LW600 vollkommen fehlt.

Das ist dann nur folglich logisch wenn der LW-600 kein SAE-FT im RSN Info Element propagiert.

[geppi]

Auf dem LW600 läuft LCOS-LX Version 6.12.0024Rel und er ist mehrfach neu gestartet worden.
Es ist in dieser Konfiguration auch immer die gleiche Domain-ID die er an den 1302acn propagiert.
Ich denke der gefundene Unterschied in der propagierten AKM Suite erklärt sehr gut die abweichenden Domain-IDs der beiden APs.

Wenn das ein Bug ist, wie macht man da jetzt als Kunde ohne Supportvertrag weiter?

[tstimper]

Wenn das ein Bug ist, wie macht man da jetzt als Kunde ohne Supportvertrag weiter?

Man macht einen Standard Case bei LANCOM auf
und fragt einen LANCOM Partner aus dem Forum,
ob er dazu auch einen Case aufmachen kann.

Viele Grüße

ts

PS: wir sind LANCOM Partner…

[geppi]

Man macht einen Standard Case bei LANCOM auf
.....

Danke, Dein Hinweis hat mich ermutigt auf den Lancom Seiten doch noch mal etwas genauer nach einer Möglichkeit für Endkunden zu suchen ein Ticket aufzumachen. Bin dann tatsächlich unter https://support.lancom-systems.com/serv ... r/portal/3 fündig geworden.

Nachdem ich diese einigermaßen gut versteckte Möglichkeit gefunden hatte, habe ich mich registriert und den Case LCSUP-154593 aufgemacht

.....
und fragt einen LANCOM Partner aus dem Forum,
ob er dazu auch einen Case aufmachen kann.

Viele Grüße

ts

PS: wir sind LANCOM Partner…

Darf ich dies als freundliches Angebot auffassen dies von Eurer Seite aus zu übernehmen?
Könntet Ihr bitte einen zu LCSUP-154593 entsprechenden Case aufmachen?

[tstimper]

Man macht einen Standard Case bei LANCOM auf
.....

Danke, Dein Hinweis hat mich ermutigt auf den Lancom Seiten doch noch mal etwas genauer nach einer Möglichkeit für Endkunden zu suchen ein Ticket aufzumachen. Bin dann tatsächlich unter https://support.lancom-systems.com/serv ... r/portal/3 fündig geworden.

Nachdem ich diese einigermaßen gut versteckte Möglichkeit gefunden hatte, habe ich mich registriert und den Case LCSUP-154593 aufgemacht

.....
und fragt einen LANCOM Partner aus dem Forum,
ob er dazu auch einen Case aufmachen kann.

Viele Grüße

ts

PS: wir sind LANCOM Partner…

Darf ich dies als freundliches Angebot auffassen dies von Eurer Seite aus zu übernehmen?
Könntet Ihr bitte einen zu LCSUP-154593 entsprechenden Case aufmachen?

Ja, wenn Du möchtest schick mir eine PN.

Viele Grüße

ts