ZyXEL NXC2500 Fast-Roaming einrichten

Mitglied: TomJones

TomJones (Level 1) - Jetzt verbinden

31.01.2016 um 12:00 Uhr, 2843 Aufrufe, 5 Kommentare

Hallo zusammen,

ich möchte mit einem ZyXEL NXC2500 Fast-Roaming einrichten.

Laut Handbuch kann ich "Pre-authentication" aktivieren, wenn ich den Security Mode auf WPA2 setze und die

"802.1x authentication" aktiviere.
Somit ist der PSK als Authentifizierung hinfällig.

Welche Authentifizierung sollte ich anstelle verwenden?
Ich habe 12 APs und ca. 10 Endgeräte (Windows7 embedded).

Dazu möchte ich noch sagen, dass ich mit 802.1x bisher nicht gearbeitet habe.
Meine WLANs basierten bisher immer auf PSK-Authentication.

Ich habe als Auth. Method zur Auswahl:
- local
- group AD
- group ldap
- group radius

Ich verstehe jetzt nicht ganz, wie sich die Geräte authentifizieren.
Wenn ich z.B. group AD aktiviere, werden sich die Geräte scheinbar über das AD authentifizieren.
Aber woran erkennt mein AD den Client? Am Benutzernamen, am Gerätenamen?

Oder sollte ich hier auf RADIUS setzen?

Und funktioniert das Fast-Roaming wirklich nur mit 802.1x, oder auch über den PSK, da Pre-authentication mit dem PSK nicht anwählbar ist, kann ich mir die Frage allerdings vermutlich selbst beantworten.

Ich bin über jede Hilfe dankbar
Mitglied: aqui
31.01.2016, aktualisiert um 12:25 Uhr
Dazu möchte ich noch sagen, dass ich mit 802.1x bisher nicht gearbeitet habe.
Guckst du hier:
https://www.administrator.de/wissen/sichere-wlan-benutzer-authentisierun ...

Und nein, Fast Roaming hat nichts mit der WLAN Authentisierung zu tun. Generell funktioniert ein Roaming nur bei Controller basierten WLANs, wo der Controller ein aktives Roaming initiiert.
Das liegt daran das ein Controller genau prüfen kann wann ein Client geroamt werden soll. Er erkennt die Feldstärke Unterschiede des Clients in den Nachbarzellen dynamisch, macht eine Preauthentication und roamt dann den Client aktiv.
In Controller losen WLANs ist das so gut wie nie möglich, denn hier basiert in der Regel alles auf einem Client basierten Roaming. Das ist aber wegen der schlechten Implementation in den Treibern (diese kommen meistens aus Taiwan und China) faktisch inexistent.
Clients können von sich aus auch niemals autark eine Preauthentication machen, so das es in Controller losen WLANs immer zu einer Unterbrechung kommt wenn ein Client von einer AP Zelle in die nächste wechselt.
Das setzt dann auch gleiche SSID und gleiches Authentisierungsverfahren auf den APs voraus.
Leider ist deine Beschreibung zu diesen Punkten zu oberflächlich um eine zielführende Antwort zu geben.
Bitte warten ..
Mitglied: TomJones
31.01.2016, aktualisiert um 15:33 Uhr
Zitat von @aqui:

Dazu möchte ich noch sagen, dass ich mit 802.1x bisher nicht gearbeitet habe.
Guckst du hier:
https://www.administrator.de/wissen/sichere-wlan-benutzer-authentisierun ...

Danke für den Link, werde ich mir heute Abend durchlesen.

Das liegt daran das ein Controller genau prüfen kann wann ein Client geroamt werden soll. Er erkennt die Feldstärke Unterschiede des Clients in den Nachbarzellen dynamisch, macht eine Preauthentication und roamt dann den Client aktiv.
Nur kann ich die Preauthentication nur aktivieren, wenn ich auf 802.1x umstelle.

Das setzt dann auch gleiche SSID und gleiches Authentisierungsverfahren auf den APs voraus.
Leider ist deine Beschreibung zu diesen Punkten zu oberflächlich um eine zielführende Antwort zu geben.
Die APs Kanäle sind anhand der 4er Regel verteilt. Nachbar WLANs gibt es nicht, habe also freie Bahn bei der Kanalplanung.
Es gibt eine SSID und einen PSK.

Und hier frage ich mich halt, gibt es bei diesem Kontroller auch ohne 802.1x Authentisierung Fast-Roaming.
Die Preauthentication lässt sich nämlich nur aktivieren, wenn ich 802.1x aktiviere, dann wird mein PSK allerdings deaktiviert.

Ich brauche auch nur ein Kennwort für alle Geräte.
Bitte warten ..
Mitglied: sk
31.01.2016, aktualisiert um 17:59 Uhr
Zitat von @TomJones:
ich möchte mit einem ZyXEL NXC2500 Fast-Roaming einrichten.
Laut Handbuch kann ich "Pre-authentication" aktivieren, wenn ich den Security Mode auf WPA2 setze und die
"802.1x authentication" aktiviere. Somit ist der PSK als Authentifizierung hinfällig.
... funktioniert das Fast-Roaming wirklich nur mit 802.1x, oder auch über den PSK [?]
da Pre-authentication mit dem PSK nicht anwählbar ist, kann ich mir die Frage allerdings vermutlich selbst beantworten.

Die Frage wäre auch schon beantwortet gewesen, wenn Du meinem Link in diesem Thread gefolgt wärst: https://www.administrator.de/forum/wlan-roaming-zyxel-291846.html
und diesen Thread gelesen hättest: https://www.administrator.de/forum/wlan-roaming-zyxel-nxc-2500-nwa3560-n ...

Um es nochmal zu erläutern:
Sowohl Preauthentification nach IEEE802.11i als auch das ebenfalls im verlinkten Thread angesprochene PMK-Caching kommen nur bei einer Authentifizierung per 802.1.x/EAP zum Einsatz.
Bei ersterem geht es darum, die zeitinternsive 802.1.x/EAP-Authentifizierung beim nächsten Accesspoint dadurch zu verkürzen, dass über die gemeinsame Backend-Anbindung zwischen den Accesspoints hinweg bereits eine Voranmeldung am künftigen Accesspoint erfolgt. Siehe http://etutorials.org/Networking/802.11+security.+wi-fi+protected+acces ...
Bei WPA(2)-PSK arbeitet der Authentifizierungsprozess prinzipbedingt ohnehin viel schneller als bei 802.1.x/EAP, weshalb IEEE 802.11i diesbezüglich keine Optimierungsverfahren definierte. Zumal dieser Modus ohnehin eher für den Privateinsatz vorgesehen war und ist.
Das PMK-Caching verbessert das Roaming, wenn auf einen bereits genutzen Accesspoint zurück gewechselt wird. Dieses Verfahren ist bei PSK-basierten WLANs nicht nötig, da dort der PMK überall gleich ist. Siehe http://www.heise.de/netze/artikel/PMK-Caching-224032.html

Der im Jahr 2008 ratifizierte Standard IEEE 802.11r soll hingegen das Roaming bei beiden Authentifizierungsverfahren verbessern. Siehe https://support.apple.com/de-de/HT202628. Dies wird jedoch m.W. von Zyxel derzeit nicht unterstützt. Siehe http://kb.zyxel.com/KB/searchArticle!viewDetail.action?articleOid=01230 ...
http://kb.zyxel.com/KB/searchArticle!viewDetail.action?articleOid=01483 ...

Sofern Du mit Preshared-Keys arbeitest und die Zellen vernünftig planst, sollte das Roamingverhalten für RDP eigentlich ausreichen. Optimierungen bieten hier ggf. die clientseitigen Treibersettings. Controllerseitig kannst Du zudem ein aktives Kickout über die Schwellwerte für die Empfangsfeldstärke konfigurieren.
Wenn das nicht zum gewünschten Ergebnis führt, wäre mein Vorschlag, das WLAN komplett offen zu lassen und dafür die Authentifizierung und Verschlüssung "end-to-end" zwischen den Clients und dem Zielsystem vorzunehmen (z.B. per IPSec). Sofern Du die controllerintegrierte Firewall dann so einstellst, dass nur VPN zum VPN-Einwahlserver hin möglich ist, ist das auch nicht unsicher.

Gruß
sk
Bitte warten ..
Mitglied: TomJones
31.01.2016 um 21:00 Uhr
Danke noch einmal für deine Hilfe sk.
Ich habe mir deinen Link natürlich schon durchgelesen, aber dies war für mich nicht so klar wie hier.

Wenn ich einmal zusammenfassen darf:
Da die Authentifizierung mittels PSK schneller ist als bei 802.1x, wird die Preauthentification gar nicht benötigt.
Kann ich dies so stehen lassen?

Ist denn die Authentifizierung mittels PSK auch dann noch schneller, wenn man 802.1x mit der Preauthentification sowie PMK Caching nutzt?
Oder ist 802.1x dann vom Vorteil?

Das WPA2-PSK im Firmenumfeld in der Regeln nichts zu suchen haben, mal außen vor.
Bitte warten ..
Mitglied: sk
31.01.2016 um 21:30 Uhr
Zitat von @TomJones:
Ist denn die Authentifizierung mittels PSK auch dann noch schneller, wenn man 802.1x mit der Preauthentification sowie PMK Caching nutzt?
Oder ist 802.1x dann vom Vorteil?

Ich könnte mir durchaus vorstellen, dass letzteres besser funktioniert, aber getestet habe ich das nicht. "Versuch macht kluch..." ;-) face-wink

Gruß
sk
Bitte warten ..
Heiß diskutierte Inhalte
Windows 10
Windows 10 Geschwindigkeitprobleme trotz viel mehr Gb Ram
Matthes88Vor 21 StundenFrageWindows 1036 Kommentare

Hallo ihr lieben aaaalso : Da mein neuer Arbeitsspeicher (32gb) von meiner alten Windows 7 version (max mit 8gb kompatibel) nicht angenommen wurde, habe ...

Off Topic
Realistische Gehaltsvorstellung für eine "IT-Allroundkraft"
gelöst JiggyLeeVor 16 StundenFrageOff Topic17 Kommentare

Hallo an alle, ich hege momentan den Wunsch mich von der alten verstaubten Behörden Bürokratie und langweiliger Aufgaben los zu lösen und in einem ...

Humor (lol)
Tipp: Dinge, die man besser nicht klaut
altmetallerVor 17 StundenTippHumor (lol)8 Kommentare

Hallo, so wurde meiner Hündin z.B. heute der (eingeschaltete) GPS-Tracker mit Mobilfunkanbindung quasi "direkt vom Halsband weggefunden". Akku hatte noch 60% :-P Und ich ...

Windows Userverwaltung
Account Aktivierung über VPN
Phill93Vor 1 TagFrageWindows Userverwaltung3 Kommentare

Hallo, ich muss mir für eine RDP Umgebung für einen Verein eine Lösung für die Account Aktivierung ausdenken. Meine Idee ist die folgende: 1. ...

Switche und Hubs
Suche Deutsche Sprachdatei für D-Link DGS-1210-24 D1 Switch
gelöst Oggy01Vor 1 TagFrageSwitche und Hubs8 Kommentare

Hallo, ich habe einen D-Link DGS-1210-24 Vers. D1 Switch bekommen und suche für diesen eine Deutsche Sprachdatei. Die Firmware ist auf dem aktuellen Stand ...

Video & Streaming
Videoaufnahme funktioniert nur bis zum ersten Reboot (0x80040217)
IllusionFACTORYVor 1 TagFrageVideo & Streaming11 Kommentare

Ich nehme über eine Video-Software von einem USB-Hardware-Encoder Video auf. Das funktioniert exakt bis zum ersten Reboot - danach bekomme ich beim Starten der ...

Windows Server
GPU Passthrough HYPER-V 2019
bintesVor 1 TagFrageWindows Server8 Kommentare

Hallo, ich habe ein ein Problem mit der Bereitstellung einer Grafikkarte an eine virtuelle Maschine. Hardware: - HPE ProLiant DL380 Gen9 V4 Rack Server ...

Windows Server
Windows Admin Center DC
maximidVor 1 TagFrageWindows Server3 Kommentare

Hallo, ich hätte mal eine Frage zu Windows Admin Center und zwar schaue ich es mir aktuell etwas an da mir die zentrale Verwaltung ...