LEPS-MAC unter WPA3-Personal

Forum zu den aktuellen LANCOM Wireless Accesspoint Serien

Moderator: Lancom-Systems Moderatoren

Antworten
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

LEPS-MAC unter WPA3-Personal

Beitrag von GrandDixence »

Ich ersetzte einen Wireless Access Point Netgear WNDAP360 mit OpenWrt 19.07.9 durch einen neuen Lancom L-321agn (R2) mit LCOS 10.42 RU7. Auf dem WNDAP360 kam hostapd zum Einsatz, welches unter anderem eine SSID mit WPA3-Personal aufspannte. Die WLAN-Clients dieser SSID bekamen alle per MAC-Adresse ein eigenes SAE-Passwort für die Anmeldung im WLAN. Hier die relevanten Einträge in der hostapd.conf:

Code: Alles auswählen

# Set of accepted key management algorithms (WPA-PSK, WPA-EAP, or both). The
# entries are separated with a space. WPA-PSK-SHA256 and WPA-EAP-SHA256 can be
# added to enable SHA256-based stronger algorithms.
# WPA-PSK = WPA-Personal / WPA2-Personal
# WPA-PSK-SHA256 = WPA2-Personal using SHA256
# WPA-EAP = WPA-Enterprise / WPA2-Enterprise
# WPA-EAP-SHA256 = WPA2-Enterprise using SHA256
# SAE = SAE (WPA3-Personal)
# WPA-EAP-SUITE-B-192 = WPA3-Enterprise with 192-bit security/CNSA suite
# FT-PSK = FT with passphrase/PSK
# FT-EAP = FT with EAP
# FT-EAP-SHA384 = FT with EAP using SHA384
# FT-SAE = FT with SAE
# FILS-SHA256 = Fast Initial Link Setup with SHA256
# FILS-SHA384 = Fast Initial Link Setup with SHA384
# FT-FILS-SHA256 = FT and Fast Initial Link Setup with SHA256
# FT-FILS-SHA384 = FT and Fast Initial Link Setup with SHA384
# OWE = Opportunistic Wireless Encryption (a.k.a. Enhanced Open)
# DPP = Device Provisioning Protocol
# OSEN = Hotspot 2.0 online signup with encryption
# (dot11RSNAConfigAuthenticationSuitesTable)
wpa_key_mgmt=SAE

# The last matching (based on peer MAC address and identifier) entry is used to
# select which password to use. Setting sae_password to an empty string has a
# special meaning of removing all previously added entries.
#
# sae_password uses the following encoding:
#<password/credential>[|mac=<peer mac>][|vlanid=<VLAN ID>][|id=<identifier>]
# Examples:
#sae_password=secret
#sae_password=really secret|mac=ff:ff:ff:ff:ff:ff
#sae_password=example secret|mac=02:03:04:05:06:07|id=pw identifier
#sae_password=example secret|vlanid=3|id=pw identifier

# SAE-Passwort fuer den Firmenrechner
sae_password=123456789|mac=AA:BB:CC:DD:EE:FF

# SAE-Passwort fuer NatelFirma
sae_password=987654321|mac=FF:EE:DD:CC:BB:AA
Nach meinem Verständnis kann ich mit LEPS-MAC das gleiche auch mit LCOS realisieren. Siehe dazu:
https://www.lancom-systems.de/pdf/techp ... EPS_DE.pdf

Wenn ich diese SSID mit WPA2-Personal betreibe:

LCOS-Menübaum > Setup > Schnittstellen > WLAN > Verschluesselung := WPA2

funktioniert das WLAN mit LEPS-MAC einwandfrei. Wenn ich diese SSID mit einer einzigen Umkonfiguration:

LCOS-Menübaum > Setup > Schnittstellen > WLAN > Verschluesselung := WPA3

als WPA3-Personal mit LEPS-MAC betreibe, kann sich kein einziger WLAN-Client mehr im WLAN anmelden. Alle getesteten WLAN-Clients sind WPA3-Personal fähig, wie der Betrieb am Netgear WNDAP360 bewies.

Wenn ich auf LEPS-MAC mit individuellen SAE-Passwörter verzichte, sprich alle Einträge unter:

LCOS-Menübaum > Setup > WLAN-Management > Zugriffsregeln > WPA-Passphrase

lösche, funktioniert das WLAN auch mit WPA3-Personal einwandfrei.

Liegt hier ein Konfigurationsfehler vor oder unterstützt LCOS kein LEPS-MAC in Kombination mit WPA3-Personal?
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: LEPS-MAC unter WPA3-Personal

Beitrag von Dr.Einstein »

Würde mich wundern, wenn sich LEPS-MAC anders verhält als LEPS-U:

https://www.lancom-systems.de/docs/LCOS ... EPS-U.html
Aus technischen Gründen ist LEPS-U nur mit der WPA-Version WPA2 kompatibel.
Gruß und schöne Weihnachten
Dr.Einstein
Antworten