5
ZyXEL NXC2500 Fast-Roaming einrichten
Hallo zusammen,
ich möchte mit einem ZyXEL NXC2500 Fast-Roaming einrichten.
Laut Handbuch kann ich "Pre-authentication" aktivieren, wenn ich den Security Mode auf WPA2 setze und die
"802.1x authentication" aktiviere.
Somit ist der PSK als Authentifizierung hinfällig.
Welche Authentifizierung sollte ich anstelle verwenden?
Ich habe 12 APs und ca. 10 Endgeräte (Windows7 embedded).
Dazu möchte ich noch sagen, dass ich mit 802.1x bisher nicht gearbeitet habe.
Meine WLANs basierten bisher immer auf PSK-Authentication.
Ich habe als Auth. Method zur Auswahl:
- local
- group AD
- group ldap
- group radius
Ich verstehe jetzt nicht ganz, wie sich die Geräte authentifizieren.
Wenn ich z.B. group AD aktiviere, werden sich die Geräte scheinbar über das AD authentifizieren.
Aber woran erkennt mein AD den Client? Am Benutzernamen, am Gerätenamen?
Oder sollte ich hier auf RADIUS setzen?
Und funktioniert das Fast-Roaming wirklich nur mit 802.1x, oder auch über den PSK, da Pre-authentication mit dem PSK nicht anwählbar ist, kann ich mir die Frage allerdings vermutlich selbst beantworten.
Ich bin über jede Hilfe dankbar
ich möchte mit einem ZyXEL NXC2500 Fast-Roaming einrichten.
Laut Handbuch kann ich "Pre-authentication" aktivieren, wenn ich den Security Mode auf WPA2 setze und die
"802.1x authentication" aktiviere.
Somit ist der PSK als Authentifizierung hinfällig.
Welche Authentifizierung sollte ich anstelle verwenden?
Ich habe 12 APs und ca. 10 Endgeräte (Windows7 embedded).
Dazu möchte ich noch sagen, dass ich mit 802.1x bisher nicht gearbeitet habe.
Meine WLANs basierten bisher immer auf PSK-Authentication.
Ich habe als Auth. Method zur Auswahl:
- local
- group AD
- group ldap
- group radius
Ich verstehe jetzt nicht ganz, wie sich die Geräte authentifizieren.
Wenn ich z.B. group AD aktiviere, werden sich die Geräte scheinbar über das AD authentifizieren.
Aber woran erkennt mein AD den Client? Am Benutzernamen, am Gerätenamen?
Oder sollte ich hier auf RADIUS setzen?
Und funktioniert das Fast-Roaming wirklich nur mit 802.1x, oder auch über den PSK, da Pre-authentication mit dem PSK nicht anwählbar ist, kann ich mir die Frage allerdings vermutlich selbst beantworten.
Ich bin über jede Hilfe dankbar
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 294782
Url: https://administrator.de/contentid/294782
Printed on: April 19, 2024 at 09:04 o'clock
5 Comments
Latest comment
Dazu möchte ich noch sagen, dass ich mit 802.1x bisher nicht gearbeitet habe.
Guckst du hier:Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Und nein, Fast Roaming hat nichts mit der WLAN Authentisierung zu tun. Generell funktioniert ein Roaming nur bei Controller basierten WLANs, wo der Controller ein aktives Roaming initiiert.
Das liegt daran das ein Controller genau prüfen kann wann ein Client geroamt werden soll. Er erkennt die Feldstärke Unterschiede des Clients in den Nachbarzellen dynamisch, macht eine Preauthentication und roamt dann den Client aktiv.
In Controller losen WLANs ist das so gut wie nie möglich, denn hier basiert in der Regel alles auf einem Client basierten Roaming. Das ist aber wegen der schlechten Implementation in den Treibern (diese kommen meistens aus Taiwan und China) faktisch inexistent.
Clients können von sich aus auch niemals autark eine Preauthentication machen, so das es in Controller losen WLANs immer zu einer Unterbrechung kommt wenn ein Client von einer AP Zelle in die nächste wechselt.
Das setzt dann auch gleiche SSID und gleiches Authentisierungsverfahren auf den APs voraus.
Leider ist deine Beschreibung zu diesen Punkten zu oberflächlich um eine zielführende Antwort zu geben.
Zitat von @aqui:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Danke für den Link, werde ich mir heute Abend durchlesen.Dazu möchte ich noch sagen, dass ich mit 802.1x bisher nicht gearbeitet habe.
Guckst du hier:Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Das liegt daran das ein Controller genau prüfen kann wann ein Client geroamt werden soll. Er erkennt die Feldstärke Unterschiede des Clients in den Nachbarzellen dynamisch, macht eine Preauthentication und roamt dann den Client aktiv.
Nur kann ich die Preauthentication nur aktivieren, wenn ich auf 802.1x umstelle.Das setzt dann auch gleiche SSID und gleiches Authentisierungsverfahren auf den APs voraus.
Leider ist deine Beschreibung zu diesen Punkten zu oberflächlich um eine zielführende Antwort zu geben.
Die APs Kanäle sind anhand der 4er Regel verteilt. Nachbar WLANs gibt es nicht, habe also freie Bahn bei der Kanalplanung.Leider ist deine Beschreibung zu diesen Punkten zu oberflächlich um eine zielführende Antwort zu geben.
Es gibt eine SSID und einen PSK.
Und hier frage ich mich halt, gibt es bei diesem Kontroller auch ohne 802.1x Authentisierung Fast-Roaming.
Die Preauthentication lässt sich nämlich nur aktivieren, wenn ich 802.1x aktiviere, dann wird mein PSK allerdings deaktiviert.
Ich brauche auch nur ein Kennwort für alle Geräte.
Zitat von @TomJones:
ich möchte mit einem ZyXEL NXC2500 Fast-Roaming einrichten.
Laut Handbuch kann ich "Pre-authentication" aktivieren, wenn ich den Security Mode auf WPA2 setze und die
"802.1x authentication" aktiviere. Somit ist der PSK als Authentifizierung hinfällig.
... funktioniert das Fast-Roaming wirklich nur mit 802.1x, oder auch über den PSK [?]
da Pre-authentication mit dem PSK nicht anwählbar ist, kann ich mir die Frage allerdings vermutlich selbst beantworten.
ich möchte mit einem ZyXEL NXC2500 Fast-Roaming einrichten.
Laut Handbuch kann ich "Pre-authentication" aktivieren, wenn ich den Security Mode auf WPA2 setze und die
"802.1x authentication" aktiviere. Somit ist der PSK als Authentifizierung hinfällig.
... funktioniert das Fast-Roaming wirklich nur mit 802.1x, oder auch über den PSK [?]
da Pre-authentication mit dem PSK nicht anwählbar ist, kann ich mir die Frage allerdings vermutlich selbst beantworten.
Die Frage wäre auch schon beantwortet gewesen, wenn Du meinem Link in diesem Thread gefolgt wärst: WLAN Roaming mit ZyXEL
und diesen Thread gelesen hättest: WLAN Roaming mit Zyxel NXC 2500 und Zyxel NWA3560-N
Um es nochmal zu erläutern:
Sowohl Preauthentification nach IEEE802.11i als auch das ebenfalls im verlinkten Thread angesprochene PMK-Caching kommen nur bei einer Authentifizierung per 802.1.x/EAP zum Einsatz.
Bei ersterem geht es darum, die zeitinternsive 802.1.x/EAP-Authentifizierung beim nächsten Accesspoint dadurch zu verkürzen, dass über die gemeinsame Backend-Anbindung zwischen den Accesspoints hinweg bereits eine Voranmeldung am künftigen Accesspoint erfolgt. Siehe http://etutorials.org/Networking/802.11+security.+wi-fi+protected+acces ...
Bei WPA(2)-PSK arbeitet der Authentifizierungsprozess prinzipbedingt ohnehin viel schneller als bei 802.1.x/EAP, weshalb IEEE 802.11i diesbezüglich keine Optimierungsverfahren definierte. Zumal dieser Modus ohnehin eher für den Privateinsatz vorgesehen war und ist.
Das PMK-Caching verbessert das Roaming, wenn auf einen bereits genutzen Accesspoint zurück gewechselt wird. Dieses Verfahren ist bei PSK-basierten WLANs nicht nötig, da dort der PMK überall gleich ist. Siehe http://www.heise.de/netze/artikel/PMK-Caching-224032.html
Der im Jahr 2008 ratifizierte Standard IEEE 802.11r soll hingegen das Roaming bei beiden Authentifizierungsverfahren verbessern. Siehe https://support.apple.com/de-de/HT202628. Dies wird jedoch m.W. von Zyxel derzeit nicht unterstützt. Siehe http://kb.zyxel.com/KB/searchArticle!viewDetail.action?articleOid=01230 ...
http://kb.zyxel.com/KB/searchArticle!viewDetail.action?articleOid=01483 ...
Sofern Du mit Preshared-Keys arbeitest und die Zellen vernünftig planst, sollte das Roamingverhalten für RDP eigentlich ausreichen. Optimierungen bieten hier ggf. die clientseitigen Treibersettings. Controllerseitig kannst Du zudem ein aktives Kickout über die Schwellwerte für die Empfangsfeldstärke konfigurieren.
Wenn das nicht zum gewünschten Ergebnis führt, wäre mein Vorschlag, das WLAN komplett offen zu lassen und dafür die Authentifizierung und Verschlüssung "end-to-end" zwischen den Clients und dem Zielsystem vorzunehmen (z.B. per IPSec). Sofern Du die controllerintegrierte Firewall dann so einstellst, dass nur VPN zum VPN-Einwahlserver hin möglich ist, ist das auch nicht unsicher.
Gruß
sk
Danke noch einmal für deine Hilfe sk.
Ich habe mir deinen Link natürlich schon durchgelesen, aber dies war für mich nicht so klar wie hier.
Wenn ich einmal zusammenfassen darf:
Da die Authentifizierung mittels PSK schneller ist als bei 802.1x, wird die Preauthentification gar nicht benötigt.
Kann ich dies so stehen lassen?
Ist denn die Authentifizierung mittels PSK auch dann noch schneller, wenn man 802.1x mit der Preauthentification sowie PMK Caching nutzt?
Oder ist 802.1x dann vom Vorteil?
Das WPA2-PSK im Firmenumfeld in der Regeln nichts zu suchen haben, mal außen vor.
Ich habe mir deinen Link natürlich schon durchgelesen, aber dies war für mich nicht so klar wie hier.
Wenn ich einmal zusammenfassen darf:
Da die Authentifizierung mittels PSK schneller ist als bei 802.1x, wird die Preauthentification gar nicht benötigt.
Kann ich dies so stehen lassen?
Ist denn die Authentifizierung mittels PSK auch dann noch schneller, wenn man 802.1x mit der Preauthentification sowie PMK Caching nutzt?
Oder ist 802.1x dann vom Vorteil?
Das WPA2-PSK im Firmenumfeld in der Regeln nichts zu suchen haben, mal außen vor.
Zitat von @TomJones:
Ist denn die Authentifizierung mittels PSK auch dann noch schneller, wenn man 802.1x mit der Preauthentification sowie PMK Caching nutzt?
Oder ist 802.1x dann vom Vorteil?
Ist denn die Authentifizierung mittels PSK auch dann noch schneller, wenn man 802.1x mit der Preauthentification sowie PMK Caching nutzt?
Oder ist 802.1x dann vom Vorteil?
Ich könnte mir durchaus vorstellen, dass letzteres besser funktioniert, aber getestet habe ich das nicht. "Versuch macht kluch..."
Gruß
sk
