Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

ZyXEL NXC2500 Fast-Roaming einrichten

Mitglied: TomJones

TomJones (Level 1) - Jetzt verbinden

31.01.2016 um 12:00 Uhr, 2152 Aufrufe, 5 Kommentare

Hallo zusammen,

ich möchte mit einem ZyXEL NXC2500 Fast-Roaming einrichten.

Laut Handbuch kann ich "Pre-authentication" aktivieren, wenn ich den Security Mode auf WPA2 setze und die

"802.1x authentication" aktiviere.
Somit ist der PSK als Authentifizierung hinfällig.

Welche Authentifizierung sollte ich anstelle verwenden?
Ich habe 12 APs und ca. 10 Endgeräte (Windows7 embedded).

Dazu möchte ich noch sagen, dass ich mit 802.1x bisher nicht gearbeitet habe.
Meine WLANs basierten bisher immer auf PSK-Authentication.

Ich habe als Auth. Method zur Auswahl:
- local
- group AD
- group ldap
- group radius

Ich verstehe jetzt nicht ganz, wie sich die Geräte authentifizieren.
Wenn ich z.B. group AD aktiviere, werden sich die Geräte scheinbar über das AD authentifizieren.
Aber woran erkennt mein AD den Client? Am Benutzernamen, am Gerätenamen?

Oder sollte ich hier auf RADIUS setzen?

Und funktioniert das Fast-Roaming wirklich nur mit 802.1x, oder auch über den PSK, da Pre-authentication mit dem PSK nicht anwählbar ist, kann ich mir die Frage allerdings vermutlich selbst beantworten.

Ich bin über jede Hilfe dankbar
Mitglied: aqui
31.01.2016, aktualisiert um 12:25 Uhr
Dazu möchte ich noch sagen, dass ich mit 802.1x bisher nicht gearbeitet habe.
Guckst du hier:
https://www.administrator.de/wissen/sichere-wlan-benutzer-authentisierun ...

Und nein, Fast Roaming hat nichts mit der WLAN Authentisierung zu tun. Generell funktioniert ein Roaming nur bei Controller basierten WLANs, wo der Controller ein aktives Roaming initiiert.
Das liegt daran das ein Controller genau prüfen kann wann ein Client geroamt werden soll. Er erkennt die Feldstärke Unterschiede des Clients in den Nachbarzellen dynamisch, macht eine Preauthentication und roamt dann den Client aktiv.
In Controller losen WLANs ist das so gut wie nie möglich, denn hier basiert in der Regel alles auf einem Client basierten Roaming. Das ist aber wegen der schlechten Implementation in den Treibern (diese kommen meistens aus Taiwan und China) faktisch inexistent.
Clients können von sich aus auch niemals autark eine Preauthentication machen, so das es in Controller losen WLANs immer zu einer Unterbrechung kommt wenn ein Client von einer AP Zelle in die nächste wechselt.
Das setzt dann auch gleiche SSID und gleiches Authentisierungsverfahren auf den APs voraus.
Leider ist deine Beschreibung zu diesen Punkten zu oberflächlich um eine zielführende Antwort zu geben.
Bitte warten ..
Mitglied: TomJones
31.01.2016, aktualisiert um 15:33 Uhr
Zitat von aqui:

Dazu möchte ich noch sagen, dass ich mit 802.1x bisher nicht gearbeitet habe.
Guckst du hier:
https://www.administrator.de/wissen/sichere-wlan-benutzer-authentisierun ...

Danke für den Link, werde ich mir heute Abend durchlesen.

Das liegt daran das ein Controller genau prüfen kann wann ein Client geroamt werden soll. Er erkennt die Feldstärke Unterschiede des Clients in den Nachbarzellen dynamisch, macht eine Preauthentication und roamt dann den Client aktiv.
Nur kann ich die Preauthentication nur aktivieren, wenn ich auf 802.1x umstelle.

Das setzt dann auch gleiche SSID und gleiches Authentisierungsverfahren auf den APs voraus.
Leider ist deine Beschreibung zu diesen Punkten zu oberflächlich um eine zielführende Antwort zu geben.
Die APs Kanäle sind anhand der 4er Regel verteilt. Nachbar WLANs gibt es nicht, habe also freie Bahn bei der Kanalplanung.
Es gibt eine SSID und einen PSK.

Und hier frage ich mich halt, gibt es bei diesem Kontroller auch ohne 802.1x Authentisierung Fast-Roaming.
Die Preauthentication lässt sich nämlich nur aktivieren, wenn ich 802.1x aktiviere, dann wird mein PSK allerdings deaktiviert.

Ich brauche auch nur ein Kennwort für alle Geräte.
Bitte warten ..
Mitglied: sk
31.01.2016, aktualisiert um 17:59 Uhr
Zitat von TomJones:
ich möchte mit einem ZyXEL NXC2500 Fast-Roaming einrichten.
Laut Handbuch kann ich "Pre-authentication" aktivieren, wenn ich den Security Mode auf WPA2 setze und die
"802.1x authentication" aktiviere. Somit ist der PSK als Authentifizierung hinfällig.
... funktioniert das Fast-Roaming wirklich nur mit 802.1x, oder auch über den PSK [?]
da Pre-authentication mit dem PSK nicht anwählbar ist, kann ich mir die Frage allerdings vermutlich selbst beantworten.

Die Frage wäre auch schon beantwortet gewesen, wenn Du meinem Link in diesem Thread gefolgt wärst: https://www.administrator.de/forum/wlan-roaming-zyxel-291846.html
und diesen Thread gelesen hättest: https://www.administrator.de/forum/wlan-roaming-zyxel-nxc-2500-nwa3560-n ...

Um es nochmal zu erläutern:
Sowohl Preauthentification nach IEEE802.11i als auch das ebenfalls im verlinkten Thread angesprochene PMK-Caching kommen nur bei einer Authentifizierung per 802.1.x/EAP zum Einsatz.
Bei ersterem geht es darum, die zeitinternsive 802.1.x/EAP-Authentifizierung beim nächsten Accesspoint dadurch zu verkürzen, dass über die gemeinsame Backend-Anbindung zwischen den Accesspoints hinweg bereits eine Voranmeldung am künftigen Accesspoint erfolgt. Siehe http://etutorials.org/Networking/802.11+security.+wi-fi+protected+acces ...
Bei WPA(2)-PSK arbeitet der Authentifizierungsprozess prinzipbedingt ohnehin viel schneller als bei 802.1.x/EAP, weshalb IEEE 802.11i diesbezüglich keine Optimierungsverfahren definierte. Zumal dieser Modus ohnehin eher für den Privateinsatz vorgesehen war und ist.
Das PMK-Caching verbessert das Roaming, wenn auf einen bereits genutzen Accesspoint zurück gewechselt wird. Dieses Verfahren ist bei PSK-basierten WLANs nicht nötig, da dort der PMK überall gleich ist. Siehe http://www.heise.de/netze/artikel/PMK-Caching-224032.html

Der im Jahr 2008 ratifizierte Standard IEEE 802.11r soll hingegen das Roaming bei beiden Authentifizierungsverfahren verbessern. Siehe https://support.apple.com/de-de/HT202628. Dies wird jedoch m.W. von Zyxel derzeit nicht unterstützt. Siehe http://kb.zyxel.com/KB/searchArticle!viewDetail.action?articleOid=01230 ...
http://kb.zyxel.com/KB/searchArticle!viewDetail.action?articleOid=01483 ...

Sofern Du mit Preshared-Keys arbeitest und die Zellen vernünftig planst, sollte das Roamingverhalten für RDP eigentlich ausreichen. Optimierungen bieten hier ggf. die clientseitigen Treibersettings. Controllerseitig kannst Du zudem ein aktives Kickout über die Schwellwerte für die Empfangsfeldstärke konfigurieren.
Wenn das nicht zum gewünschten Ergebnis führt, wäre mein Vorschlag, das WLAN komplett offen zu lassen und dafür die Authentifizierung und Verschlüssung "end-to-end" zwischen den Clients und dem Zielsystem vorzunehmen (z.B. per IPSec). Sofern Du die controllerintegrierte Firewall dann so einstellst, dass nur VPN zum VPN-Einwahlserver hin möglich ist, ist das auch nicht unsicher.

Gruß
sk
Bitte warten ..
Mitglied: TomJones
31.01.2016 um 21:00 Uhr
Danke noch einmal für deine Hilfe sk.
Ich habe mir deinen Link natürlich schon durchgelesen, aber dies war für mich nicht so klar wie hier.

Wenn ich einmal zusammenfassen darf:
Da die Authentifizierung mittels PSK schneller ist als bei 802.1x, wird die Preauthentification gar nicht benötigt.
Kann ich dies so stehen lassen?

Ist denn die Authentifizierung mittels PSK auch dann noch schneller, wenn man 802.1x mit der Preauthentification sowie PMK Caching nutzt?
Oder ist 802.1x dann vom Vorteil?

Das WPA2-PSK im Firmenumfeld in der Regeln nichts zu suchen haben, mal außen vor.
Bitte warten ..
Mitglied: sk
31.01.2016 um 21:30 Uhr
Zitat von TomJones:
Ist denn die Authentifizierung mittels PSK auch dann noch schneller, wenn man 802.1x mit der Preauthentification sowie PMK Caching nutzt?
Oder ist 802.1x dann vom Vorteil?

Ich könnte mir durchaus vorstellen, dass letzteres besser funktioniert, aber getestet habe ich das nicht. "Versuch macht kluch..."

Gruß
sk
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
WLAN Roaming mit ZyXEL
Frage von TomJonesLAN, WAN, Wireless7 Kommentare

Hallo zusammen, ist ein aktives WLAN Roaming mit dem ZyXEL NXC2500 Controller sowie den NWA3160-N AP möglich? Ich finde ...

Router & Routing
S2S VPN Zyxel-Fritte-Zyxel
gelöst Frage von HenereRouter & Routing21 Kommentare

Servus, ich möchte gerne ein VPN ändern. Derzeit S2S-VPN zwischen Zyxel USG60W und Fritte 7490. Da die Fritte dank ...

Windows Server
Aufgabenplanung - fast sekündlich
Frage von ComputerseelsorgerWindows Server5 Kommentare

Hi! Ich möchte über diw Windows 2008R2 Servereigene Aufgabenplanung ein Skript alle 5 oder weniger Sekunden ausführen. Die kleinste ...

UMTS, EDGE & GPRS
EU Roaming Richtlinie
gelöst Frage von ModdryUMTS, EDGE & GPRS2 Kommentare

Guten Morgen! Ich darf in der Schule über die neue EU Richtlinie reden. Leider finde ich diese 70-80 Seiten ...

Neue Wissensbeiträge
LAN, WAN, Wireless
OPNsense Captive Portal mit vordefnierten Voucher
Tipp von Crusher79 vor 9 StundenLAN, WAN, Wireless

Hallo, Ziel war es vorhandene Klienten-Daten (Nummer im System) und Kennwörter anzulegen. Voucher werden durch externes Programm in Papierform ...

Administrator.de Feedback
Entwicklertagebuch: Die nächste Version
Information von admtech vor 1 TagAdministrator.de Feedback6 Kommentare

Hallo Administrator User, vielleicht haben es einige User schon mitbekommen: Wir arbeiten aktuell an einer komplett neuen Version von ...

Windows Server

Active Directory ESE Version Store Changes in Server 2019

Information von Dani vor 4 TagenWindows Server

Moin, Last month at Microsoft Ignite, many exciting new features rolling out in Server 2019 were talked about. But ...

Exchange Server

Microsoft Extending End of Support for Exchange Server 2010

Information von Dani vor 4 TagenExchange Server5 Kommentare

Moin, After investigating and analyzing the deployment state of an extensive number of Exchange customers we have decided to ...

Heiß diskutierte Inhalte
Netzwerkgrundlagen
Zukunftsicheres Heimnetzwerk aufbauen
Frage von CRO-WarriorNetzwerkgrundlagen16 Kommentare

Hallo Leute. Ich bin dabei das Haus in Kroatien zu renovieren. Da hab ich jetzt die Möglichkeit alles so ...

Router & Routing
Anmeldung am Router von einer ext. IP?
Frage von BigSnakeyeRouter & Routing15 Kommentare

Hallo, ich habe gerade seltsames in meiner Fritzbox entdeckt. Plötzlich war die Verbindung unterbrochen - kein Internet. Also habe ...

Windows Server
Windows Domäne, SBS 2011, Anmeldung als Admin nicht mehr möglich
Frage von big-dummyWindows Server14 Kommentare

Hallo, vorab: ich habe nun leider keine Grundruhe mehr - die Folgen wären katastrophal. Was ist das Problem: Ich ...

Windows 10
Win 10 PC blockiert
Frage von tsunamiWindows 1013 Kommentare

Guten Morgen, ich habe ein komisches Problem: Windows 10 Pro PC startet normal. Internet ist für ca. 5 Sekunden ...