mrmomba
Goto Top

Kein WPA 3 - 5Ghz - bei Mikrotik cAP AC und baugleich?

Moin,

hat es von euch jemand geschafft, WPA3 bei den Mikrotik ARM-Accesspoints zu verwenden?

Ich besitze ein cAP AC
model = RBcAPGi-5acD2nD Rev3

Diesen habe ich auf die "latest-Stable" gepatched auf 7.15.2.
Habe das "wireless"-Package deinstalliert und den "wifi-qcom-ac-7.15.2-arm.npk" installiert.

Damit habe ich zuminedst die Chance WPA3 konfigurieren zu können, was auch entsprechend klappt.

Wenn ich jetzt mit meinem Handy WLANs scanne, wird mir mein WLAN nicht angezeigt. Mein PC zeigt mir direkt: Keine Verbindung herstellbar (Windows 10 - Icon mit X).

Anbei meine Wifi Config.

[admin@MikroTik] > /interface/wifi export
# 2024-07-07 17:35:15 by RouterOS 7.15.2
# software id = ------
#
# model = RBcAPGi-5acD2nD
# serial number = ------
/interface wifi channel
add disabled=no frequency=2412,2432,2472,2452 name=ch-2ghz-20mhz width=20mhz
add disabled=no name=ch-5ghz width=20/40/80mhz
add disabled=no frequency=2422,2472 name=ch-2ghz-40mhz width=20/40mhz
/interface wifi security
add authentication-types=wpa3-psk disabled=no encryption="" name=wpa3 wps=disable  
add authentication-types=wpa2-psk disabled=no encryption="" name=wpa2 wps=disable  
/interface wifi configuration
add country=Germany name=2.4 security=wpa2 ssid=WLAN2.4
add country=Germany name=5 security=wpa3 ssid=WLAN5
/interface wifi
set [ find default-name=wifi1 ] channel=ch-2ghz-40mhz channel.frequency=2427,2457 configuration=2.4 configuration.mode=ap disabled=no \
    security=wpa2
set [ find default-name=wifi2 ] channel=ch-5ghz configuration=5 configuration.mode=ap disabled=no security=wpa3

Wie eingangs gefragt:
Hat von euch jemand WPA 3 mit 5Ghz konfiguriert bekommen? Ich hab es für 2.4Ghz nicht ausprobiert.

(PS.: bei meinem Openwrt AVM 1200 Accesspoint läuft es seit 2019 mit einer 4019 CPU // nicht wie bei MT mit einer 4018)

Content-Key: 64172209376

Url: https://administrator.de/contentid/64172209376

Printed on: July 16, 2024 at 20:07 o'clock

Member: MirkoKR
MirkoKR Jul 07, 2024 at 15:58:38 (UTC)
Goto Top
Hi .
Sagst du uns auch mit welchem Handy - oder besser auch anderen Geräten - du es versucht hast?
Member: mrmomba
mrmomba Jul 07, 2024 updated at 17:01:12 (UTC)
Goto Top
Bei dem Handy handelt es sich um ein Huawei P30 Pro und bei meinem PC um einen alten Alienware mit einer Broadcom 802.11ac Network - Wifi Card (Dell Wireless 1550 802.11ac)
Auf meinem Openwrt AVM 1200 Accesspoint läuft 5GHZ mit WPA3 und eben diese Geräte verbinden sich damit auch ohne Probleme.
Es lässt sich durchaus nachstellen:
Aktiviere ich WPA2 - kann ich mich mit dem 5Ghz Mikrotik verbinden. Mit WPA3 eben nicht, stelle ich zurück auf WPA2 klappt es sofort.
wlan_error

Auch versch. 5Ghz konfigs ändern nichts dran, Frequenzen in denen DRS aktiviert sein muss, oder nicht. Keine Chance.

...
Ich habe jetzt noch mal WPA3 mit 2.4Ghz getestet und es funktioniert auch damit nicht.
Member: WolleRoseKaufe
WolleRoseKaufe Jul 07, 2024 updated at 17:48:08 (UTC)
Goto Top
Fehler hier, encryption leer...
encryption=""
und Passphrase fehlt auch.
https://help.mikrotik.com/docs/display/ROS/WiFi#WiFi-SecurityProperties

Hat von euch jemand WPA 3 mit 5Ghz konfiguriert bekommen?
Ja, läuft, sowohl bei dem cAP AC als auch nem cAP ax beide nat. mit qcom drivers.

Gruß WRK
Member: mrmomba
mrmomba Jul 07, 2024 updated at 20:33:24 (UTC)
Goto Top
Fehler hier, encryption leer...
encryption=""
und Passphrase fehlt auch.
https://help.mikrotik.com/docs/display/ROS/WiFi#WiFi-SecurityProperties

Danke für die Rückmeldung: ich habe es so verstanden, dass die Encryption standardmäßig auf CCMP steht, wenn nicht gesetzt.
Passphrase wird bei dem /interface/wifi export nicht mit ausgegeben (zumindest bei mir)
Ich hab es über GUI in Security und direkt auf dem Interface gesetzt und auch über Terminal.

Vielleicht hab ich auch bei der grundsätzlichen Ersteinrichtung direkt was falsch gemacht. Bist du einer gewissen Anleitung gefolgt?
Ggf. Über Winbox-Config?

/system reset-configuration no-defaults=yes skip-backup=yes
Ich könnte natürlich meine Versuche noch mal mit dieser Methode von Neuem beginnen.
Da ja für ein AccessPoint schon sehr doofe default-configs drin sind. (Firewall etc.)
Member: WolleRoseKaufe
WolleRoseKaufe Jul 07, 2024 at 20:40:54 (UTC)
Goto Top
Zitat von @mrmomba:
Danke für die Rückmeldung: ich habe es so verstanden, dass die Encryption standardmäßig auf CCMP steht, wenn nicht gesetzt.
"" Ist aber nicht nichts . Wenn dann "unsetten"
Ich hab es über GUI in Security und direkt auf dem Interface gesetzt und auch über Terminal.
Doppelt gemoppelt bringt nix einmal korrekt reicht.

Vielleicht hab ich auch bei der grundsätzlichen Ersteinrichtung direkt was falsch gemacht. Bist du einer gewissen Anleitung gefolgt?
Für sowas braucht man doch keine Anleitung 😂.
/system reset-configuration no-defaults=yes skip-backup=yes
Ich könnte natürlich meine Versuche noch mal mit dieser Methode von Neuem beginnen.
Yo Reset tut immer gut.
Member: mrmomba
mrmomba Jul 07, 2024 at 21:06:45 (UTC)
Goto Top
Für sowas braucht man doch keine Anleitung 😂.

Hab ich bis jetzt auch nicht gebraucht. Aber alleine das ich im Jahre 2024 ein AP bekomme der kein WPA3 kann, das hatte mich schon ziemlich überrascht und dann mit all dem Gebasteln drumherum.

Reset tut immer gut.
Das habe ich gerade schon umgesetzt. Aber das Ergebnis ist noch immer so wie vor ein paar Stunden.

[admin@MikroTik] > export
# 2024-07-07 22:55:02 by RouterOS 7.15.2
# software id = 
#
# model = RBcAPGi-5acD2nD
# serial number = 
/interface bridge
add igmp-snooping=yes name=bridge1
/interface wifi
set [ find default-name=wifi1 ] channel.frequency=2412,2432,2472,2452 .width=\
    20/40mhz configuration.country=Germany .mode=ap .ssid=WLAN2.4 disabled=no \
    security.authentication-types=wpa3-psk .encryption=tkip,ccmp #egal ob nur ccmp da steht oder nicht.
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=wifi1
add bridge=bridge1 interface=wifi2
add bridge=bridge1 interface=ether2
/interface detect-internet
set detect-interface-list=all
/ip dhcp-client
add interface=bridge1
/system clock
set time-zone-name=Europe/Berlin
/system note
set show-at-login=no

Doppelt gemoppelt bringt nix einmal korrekt reicht.

Wie gesagt, wird beim Export einfach nur nicht angezeigt. Habe aber um das zu validieren alle 3 Möglichkeiten durchgetestet.

Nicht wundern, dass ich das jetzt im 2.4GHZ Band teste. Es macht tatsächlich kein Unterschied ob 2Ght oder 5 Ghz die WPA3 Richtlinie genutzt wird.

Mir gehen wirklich die Ideen aus....
Member: MirkoKR
MirkoKR Jul 07, 2024 updated at 21:24:26 (UTC)
Goto Top
Zitat von @mrmomba:

Aber alleine das ich im Jahre 2024 ein AP bekomme der kein WPA3 kann, das hatte mich schon ziemlich überrascht und dann mit all dem Gebasteln drumherum.

Jetzt machst du uns neugierig:
bekomme

von wem?
Ggf. kannst du da reklamieren, 🤔

Nachtrag:
Zugegeben: Ich bin da jetzt auch treudoof und nutze meine vorhandenen Geräte mit WPA2 ...
(wenige können WPA3)

aber vorwiegend, weil ich darauf setze, das in meinem Umfeld niemand ist, wo Kenntnis und Motivation hat, das auszunutzen 😛

Bei einem Neugerât erwarte ich aber WPA3-Funktion!
Member: WolleRoseKaufe
WolleRoseKaufe Jul 08, 2024 updated at 05:35:10 (UTC)
Goto Top
Netinstall oder RMA.
Member: aqui
aqui Jul 08, 2024 at 06:31:50 (UTC)
Goto Top
Channel Bandbreite bei 2,4 GHz auch wieder fälschlicherweise auf 40Mhz eingestellt obwohl der Standard einzig nur 20Mhz dort zulässt. Und das auch noch im Mischmasch!
Bei 2,4 GHz sollte einzig nur 20 Mhz Bandbreite verwendet werden!
Member: Visucius
Visucius Jul 08, 2024 at 06:43:08 (UTC)
Goto Top
Netinstall oder RMA.

imho liegt es nicht daran, sondern an fehlerhafter Konfiguration. Guck Dir mal hier die examples an: https://help.mikrotik.com/docs/display/ROS/WiFi
Member: WolleRoseKaufe
WolleRoseKaufe Jul 08, 2024 updated at 07:20:25 (UTC)
Goto Top
Zitat von @Visucius:

Netinstall oder RMA.

imho liegt es nicht daran, sondern an fehlerhafter Konfiguration. Guck Dir mal hier die examples an: https://help.mikrotik.com/docs/display/ROS/WiFi

Er macht ja kein CAPsMAN sondern ne stink normale standalone WiFi Config ....

Eine absolute Basic Config des Interfaces ohne viel Schnickschnack tuts hier im Test schon problemlos auch mit WPA3 auf einem cAP AC.
/interface/wifi set wifi1 disabled=no configuration.country=Germany configuration.ssid=Test security.authentication-types=wpa2-psk,wpa3-psk security.passphrase=xxxxxxxxxx
Member: mrmomba
mrmomba Jul 08, 2024 at 08:12:32 (UTC)
Goto Top
Eine absolute Basic Config des Interfaces ohne viel Schnickschnack tuts hier im Test schon problemlos auch mit WPA3 auf einem cAP AC.
1
/interface/wifi set wifi1 disabled=no configuration.country=Germany configuration.ssid=Test security.authentication-types=wpa2-psk,wpa3-psk security.passphrase=xxxxxxxxxx

Könntet du bei dir diese config auch ohne wpa2-psk tasten?
Ich werde den Eintrag wpa2 bei mir später auch setzen.
Ich gehe davon aus, dass bei dir kein wpa3 genutzt wird.

Channel Bandbreite bei 2,4 GHz auch wieder fälschlicherweise auf 40Mhz eingestellt obwohl der Standard einzig nur 20Mhz dort zulässt. Und das auch noch im Mischmasch!
Bei 2,4 GHz sollte einzig nur 20 Mhz Bandbreite verwendet werden!

Ich danke auch dir für die Antwort. Da werde ich noch Mal nachsteuern, wenn ich das Thema Sicherheit abgeschlossen habe - sofern möglich.
Member: WolleRoseKaufe
Solution WolleRoseKaufe Jul 08, 2024 updated at 09:32:39 (UTC)
Goto Top
Zitat von @mrmomba:

Eine absolute Basic Config des Interfaces ohne viel Schnickschnack tuts hier im Test schon problemlos auch mit WPA3 auf einem cAP AC.
1
/interface/wifi set wifi1 disabled=no configuration.country=Germany configuration.ssid=Test security.authentication-types=wpa2-psk,wpa3-psk security.passphrase=xxxxxxxxxx

Könntet du bei dir diese config auch ohne wpa2-psk tasten?
Das geht auch bei entsprechenden Clients, diverse Treiber wollen manchmal aber das auch WPA2 announced sonst taucht das Netz nicht auf.
Ich gehe davon aus, dass bei dir kein wpa3 genutzt wird.
Da gehst du falsch von aus, natürlich connecte ich im Test ausschließlich per WPA3!
Member: aqui
Solution aqui Jul 08, 2024 at 09:30:39 (UTC)
Goto Top
Eine absolute Basic Config des Interfaces ohne viel Schnickschnack tuts hier im Test schon problemlos
Ebenso hier auf einem hAP ax2
mtwpa3

Client Connect mit einem Mac Book Pro (MacOS Sonoma, 14.2)
wpa3

Works as designed! 👍 😉
Fazit:
PEBKAC Problem...
Member: mrmomba
mrmomba Jul 08, 2024 at 10:05:43 (UTC)
Goto Top
Erstmal vielen Dank für die Rückmeldungen.

Gut zu Wissen für mich: es ist möglich, darum werde ich da noch Mal Zeit investieren.
Daher danke ich euch.

diverse Treiber wollen manchmal aber das auch WPA2 announced sonst taucht das Netz nicht auf.

Auch das werde ich nachgehen.

PEBKAC Problem...
Mh, ich bin der Meinung, das Layer8 und USD Fehler Anmerkung nicht in diese Forum gehören, oder?


In Summe sehe ich es aber so, ich teste es weiter durch - gerade Capsmann wollte ich nutzen.
Auch VLANs sollen Einzug halten.

Mittlerweile gehe ich aber auch der Vermutung aus, das ich was falsch mache.

Werde berichten
Member: Visucius
Visucius Jul 08, 2024 updated at 12:11:14 (UTC)
Goto Top
Mal ne doofe Frage: Was bewirkt denn dieses "wifi-qcom-ac-7.15.2-arm.npk" konkret

Auf meinem WAP habe ich nämlich keine Zusatzpackages installiert. Und wenn ich hier nachschaue: https://help.mikrotik.com/docs/display/ROS/Packages

steht da irgendwas von optional driver. Ich würds erstmal ohne dem Package testen (noch dazu, wo sowieos "optional" daneben steht)
Member: WolleRoseKaufe
WolleRoseKaufe Jul 08, 2024 updated at 12:19:34 (UTC)
Goto Top
Zitat von @Visucius:

Mal ne doofe Frage: Was bewirkt denn dieses "wifi-qcom-ac-7.15.2-arm.npk" konkret
Das bewirkt das du überhaupt erst WPA3 und Fast-Roaming 802.1r/k etc. nutzen kannst.
Auf meinem WAP habe ich nämlich keine Zusatzpackages installiert. Und wenn ich hier nachschaue: https://help.mikrotik.com/docs/display/ROS/Packages
Ein wAP hat eh nur einen MiPSBE Proz, und die qcom Treiber benötigen aber zwingend ARM oder ARM64 basierende Devices.
steht da irgendwas von optional driver. Ich würds erstmal ohne dem Package testen (noch dazu, wo sowieos "optional" daneben steht)
Ohne qcom Treiber und damit natives "Wifi" kein WPA3 .... Das alte Wireless-Package kann die ganzen neuen Sachen und den Performance Boost der qcom Treiber nicht.
Member: Visucius
Visucius Jul 08, 2024 at 12:40:46 (UTC)
Goto Top
Danke für die Erläuterung.
Member: aqui
aqui Jul 08, 2024 at 12:49:56 (UTC)
Goto Top
Ohne qcom Treiber zeigt die ARM u. ARM64 HW auch gar keine WiFi Interfaces an. face-wink
Member: aqui
aqui Jul 11, 2024 at 11:05:37 (UTC)
Goto Top
Wenn es das denn nun war bitte nicht vergessen deinen Thread als erledigt zu markieren!
How can I mark a post as solved?
Member: mrmomba
mrmomba Jul 11, 2024 at 20:01:27 (UTC)
Goto Top
Hi,

Also es ist wie es ist... da war ein großer Layer8 Fehler dabei.
diverse Treiber wollen manchmal aber das auch WPA2 announced sonst taucht das Netz nicht auf.
In die Falle bin ich ebenso gestolpert.

Habe mir jetzt aber zusätzlich noch ein AX gekauft.

Die Einrichtung war leicht anders, aber das ist erstmal egal.
Werde mich demnächst dann mit CAPsMAN und VLANs außeinander setzen.
Ja MT macht es da einen nicht wirklich leicht face-confused - bzw, deren Logik verstehe ich nicht so wirklich.

Ich danke allen!
Member: WolleRoseKaufe
WolleRoseKaufe Jul 11, 2024 updated at 21:56:03 (UTC)
Goto Top
Ja MT macht es da einen nicht wirklich leicht face-confused - bzw, deren Logik verstehe ich nicht so wirklich.
Das kommt daher, dass sie sich aktuell in einer Transformationsphase befinden.
Auf der einen Seite die diversen Geräte die noch mit ziemlich alter WiFi Hardware
und wenig Speicher unterwegs sind und die man mit Updates nicht im Stich lassen will (löbllich und sucht man heutzutage sonst wo vergeblich), und auf der anderen Seite aktuellere Hardware die man nun mit quasi leicht angepassten Original-Treibern der Chiphersteller versorgt um so weniger Eigenentwicklung betreiben zu müssen.
Denn die alte Generation läuft ja quasi mit eigens entwickelten Treibern und Anpassungen, da bleibt es nicht aus dass es da von Modell zu Modell Unterschiede in der Kompatibilität und Konfigurationsmöglichkeiten gibt die sich nicht vermeiden lassen.
Manch anderer Hersteller hätte sich wohlmöglich nicht mal mehr die Mühe gemacht die alten Geräte weiterhin mit Updates zu versorgen.
Ja, man bekommt keine Top-Notch Geräte mit 4 Chains trillionen an theoretischen Gigabits die auf der Schachtel trohnen, aber dafür Möglichkeiten und Flexibilität an Parametern zu schrauben die sonst kaum ein anderes Gerät bietet und das für einen Discount-Preis. Thanks god kann jeder für sich entscheiden was ihm wichtiger ist.
Member: mrmomba
mrmomba Jul 12, 2024 updated at 09:22:06 (UTC)
Goto Top
Es war auch weniger Kritik, als die Feststellung das es so ist.
Ich finde es durchaus löblich das MT da so drauf ist.
Genau so wie AVM - die ja auch ewig Updates rausgeben.

Grundsätzlich war es mir bewusst wo drauf ich mich einlasse, wurde dann aber teilweise doch überrascht 😀

Ich brauche keine 8 Antennen und was auch immer für fancy Shit ... Für etwas Surfen, IoT und eine gute WLAN Abdeckung.
Da mag ich den Capsman vom Gedanken lieber, der sich ab dem 2. Accesspoint schon lohnt - was mir damals beim openwrt schon sehr gefehlt hatte (Und ich keine Lust hatte mit OpenWISP o.Ä. zu experimentieren)