tomjones
Goto Top

ZyXEL NXC2500 Fast-Roaming einrichten

Hallo zusammen,

ich möchte mit einem ZyXEL NXC2500 Fast-Roaming einrichten.

Laut Handbuch kann ich "Pre-authentication" aktivieren, wenn ich den Security Mode auf WPA2 setze und die

"802.1x authentication" aktiviere.
Somit ist der PSK als Authentifizierung hinfällig.

Welche Authentifizierung sollte ich anstelle verwenden?
Ich habe 12 APs und ca. 10 Endgeräte (Windows7 embedded).

Dazu möchte ich noch sagen, dass ich mit 802.1x bisher nicht gearbeitet habe.
Meine WLANs basierten bisher immer auf PSK-Authentication.

Ich habe als Auth. Method zur Auswahl:
- local
- group AD
- group ldap
- group radius

Ich verstehe jetzt nicht ganz, wie sich die Geräte authentifizieren.
Wenn ich z.B. group AD aktiviere, werden sich die Geräte scheinbar über das AD authentifizieren.
Aber woran erkennt mein AD den Client? Am Benutzernamen, am Gerätenamen?

Oder sollte ich hier auf RADIUS setzen?

Und funktioniert das Fast-Roaming wirklich nur mit 802.1x, oder auch über den PSK, da Pre-authentication mit dem PSK nicht anwählbar ist, kann ich mir die Frage allerdings vermutlich selbst beantworten.

Ich bin über jede Hilfe dankbar

Content-ID: 294782

Url: https://administrator.de/contentid/294782

Ausgedruckt am: 25.11.2024 um 19:11 Uhr

aqui
aqui 31.01.2016 aktualisiert um 12:25:24 Uhr
Goto Top
Dazu möchte ich noch sagen, dass ich mit 802.1x bisher nicht gearbeitet habe.
Guckst du hier:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius

Und nein, Fast Roaming hat nichts mit der WLAN Authentisierung zu tun. Generell funktioniert ein Roaming nur bei Controller basierten WLANs, wo der Controller ein aktives Roaming initiiert.
Das liegt daran das ein Controller genau prüfen kann wann ein Client geroamt werden soll. Er erkennt die Feldstärke Unterschiede des Clients in den Nachbarzellen dynamisch, macht eine Preauthentication und roamt dann den Client aktiv.
In Controller losen WLANs ist das so gut wie nie möglich, denn hier basiert in der Regel alles auf einem Client basierten Roaming. Das ist aber wegen der schlechten Implementation in den Treibern (diese kommen meistens aus Taiwan und China) faktisch inexistent.
Clients können von sich aus auch niemals autark eine Preauthentication machen, so das es in Controller losen WLANs immer zu einer Unterbrechung kommt wenn ein Client von einer AP Zelle in die nächste wechselt.
Das setzt dann auch gleiche SSID und gleiches Authentisierungsverfahren auf den APs voraus.
Leider ist deine Beschreibung zu diesen Punkten zu oberflächlich um eine zielführende Antwort zu geben.
TomJones
TomJones 31.01.2016 aktualisiert um 15:33:42 Uhr
Goto Top
Zitat von @aqui:

Dazu möchte ich noch sagen, dass ich mit 802.1x bisher nicht gearbeitet habe.
Guckst du hier:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius

Danke für den Link, werde ich mir heute Abend durchlesen.

Das liegt daran das ein Controller genau prüfen kann wann ein Client geroamt werden soll. Er erkennt die Feldstärke Unterschiede des Clients in den Nachbarzellen dynamisch, macht eine Preauthentication und roamt dann den Client aktiv.
Nur kann ich die Preauthentication nur aktivieren, wenn ich auf 802.1x umstelle.

Das setzt dann auch gleiche SSID und gleiches Authentisierungsverfahren auf den APs voraus.
Leider ist deine Beschreibung zu diesen Punkten zu oberflächlich um eine zielführende Antwort zu geben.
Die APs Kanäle sind anhand der 4er Regel verteilt. Nachbar WLANs gibt es nicht, habe also freie Bahn bei der Kanalplanung.
Es gibt eine SSID und einen PSK.

Und hier frage ich mich halt, gibt es bei diesem Kontroller auch ohne 802.1x Authentisierung Fast-Roaming.
Die Preauthentication lässt sich nämlich nur aktivieren, wenn ich 802.1x aktiviere, dann wird mein PSK allerdings deaktiviert.

Ich brauche auch nur ein Kennwort für alle Geräte.
sk
sk 31.01.2016 aktualisiert um 17:59:12 Uhr
Goto Top
Zitat von @TomJones:
ich möchte mit einem ZyXEL NXC2500 Fast-Roaming einrichten.
Laut Handbuch kann ich "Pre-authentication" aktivieren, wenn ich den Security Mode auf WPA2 setze und die
"802.1x authentication" aktiviere. Somit ist der PSK als Authentifizierung hinfällig.
... funktioniert das Fast-Roaming wirklich nur mit 802.1x, oder auch über den PSK [?]
da Pre-authentication mit dem PSK nicht anwählbar ist, kann ich mir die Frage allerdings vermutlich selbst beantworten.

Die Frage wäre auch schon beantwortet gewesen, wenn Du meinem Link in diesem Thread gefolgt wärst: WLAN Roaming mit ZyXEL
und diesen Thread gelesen hättest: WLAN Roaming mit Zyxel NXC 2500 und Zyxel NWA3560-N

Um es nochmal zu erläutern:
Sowohl Preauthentification nach IEEE802.11i als auch das ebenfalls im verlinkten Thread angesprochene PMK-Caching kommen nur bei einer Authentifizierung per 802.1.x/EAP zum Einsatz.
Bei ersterem geht es darum, die zeitinternsive 802.1.x/EAP-Authentifizierung beim nächsten Accesspoint dadurch zu verkürzen, dass über die gemeinsame Backend-Anbindung zwischen den Accesspoints hinweg bereits eine Voranmeldung am künftigen Accesspoint erfolgt. Siehe http://etutorials.org/Networking/802.11+security.+wi-fi+protected+acces ...
Bei WPA(2)-PSK arbeitet der Authentifizierungsprozess prinzipbedingt ohnehin viel schneller als bei 802.1.x/EAP, weshalb IEEE 802.11i diesbezüglich keine Optimierungsverfahren definierte. Zumal dieser Modus ohnehin eher für den Privateinsatz vorgesehen war und ist.
Das PMK-Caching verbessert das Roaming, wenn auf einen bereits genutzen Accesspoint zurück gewechselt wird. Dieses Verfahren ist bei PSK-basierten WLANs nicht nötig, da dort der PMK überall gleich ist. Siehe http://www.heise.de/netze/artikel/PMK-Caching-224032.html

Der im Jahr 2008 ratifizierte Standard IEEE 802.11r soll hingegen das Roaming bei beiden Authentifizierungsverfahren verbessern. Siehe https://support.apple.com/de-de/HT202628. Dies wird jedoch m.W. von Zyxel derzeit nicht unterstützt. Siehe http://kb.zyxel.com/KB/searchArticle!viewDetail.action?articleOid=01230 ...
http://kb.zyxel.com/KB/searchArticle!viewDetail.action?articleOid=01483 ...

Sofern Du mit Preshared-Keys arbeitest und die Zellen vernünftig planst, sollte das Roamingverhalten für RDP eigentlich ausreichen. Optimierungen bieten hier ggf. die clientseitigen Treibersettings. Controllerseitig kannst Du zudem ein aktives Kickout über die Schwellwerte für die Empfangsfeldstärke konfigurieren.
Wenn das nicht zum gewünschten Ergebnis führt, wäre mein Vorschlag, das WLAN komplett offen zu lassen und dafür die Authentifizierung und Verschlüssung "end-to-end" zwischen den Clients und dem Zielsystem vorzunehmen (z.B. per IPSec). Sofern Du die controllerintegrierte Firewall dann so einstellst, dass nur VPN zum VPN-Einwahlserver hin möglich ist, ist das auch nicht unsicher.

Gruß
sk
TomJones
TomJones 31.01.2016 um 21:00:38 Uhr
Goto Top
Danke noch einmal für deine Hilfe sk.
Ich habe mir deinen Link natürlich schon durchgelesen, aber dies war für mich nicht so klar wie hier.

Wenn ich einmal zusammenfassen darf:
Da die Authentifizierung mittels PSK schneller ist als bei 802.1x, wird die Preauthentification gar nicht benötigt.
Kann ich dies so stehen lassen?

Ist denn die Authentifizierung mittels PSK auch dann noch schneller, wenn man 802.1x mit der Preauthentification sowie PMK Caching nutzt?
Oder ist 802.1x dann vom Vorteil?

Das WPA2-PSK im Firmenumfeld in der Regeln nichts zu suchen haben, mal außen vor.
sk
sk 31.01.2016 um 21:30:54 Uhr
Goto Top
Zitat von @TomJones:
Ist denn die Authentifizierung mittels PSK auch dann noch schneller, wenn man 802.1x mit der Preauthentification sowie PMK Caching nutzt?
Oder ist 802.1x dann vom Vorteil?

Ich könnte mir durchaus vorstellen, dass letzteres besser funktioniert, aber getestet habe ich das nicht. "Versuch macht kluch..." face-wink

Gruß
sk