Wi-CAT LLC

Wireless Comprehensive Advanced Technology. Build your network now.

Wi-CAT LLC
Навигация Форума
Вы должны войти, чтобы создавать сообщения и темы.

(решено) Не подключаются iOS клиент при включенном WPA2/3 и 802.11r

Телефон на андроиде подключается без проблем, но в логах видно что он подключается без FT. Отключение WPA3 решает проблему.

ios девайс к другой точке в режиме WPA3 only с включенным FT подключается без проблем.
Роутер:

FT-AIR-DUO-G, прошивка 2.8.4.RU.01092020

Настройки: режим AP-BRIDGE, включены все опции роуминга и WPA2/3, на 5ггц ширина канала 40мгц. Остальные настройки дефолтные.

Устройство:

iPad pro 10.5, iOS 13.6
Логи:

Sep 3 19:36:06 kernel: ASSOC - Assign HT STA MODE=HTMIX, MCS=15, BW=20M, AID=1 to 2.4GHz AP 60:8c:4a:xx:xx:xx, FT mode, WNM supported, PMF connect (FT-SAE/AES)
Sep 3 19:36:12 kernel: 2.4GHz AP AUTH - receive DE-AUTH(seq-651) from 60:8c:4a:xx:xx:xx, reason=15
Sep 3 19:37:22 kernel: ASSOC - Assign VHT STA MODE=VHT, MCS=25, BW=40M, AID=1 to 5GHz AP 60:8c:4a:xx:xx:xx, FT mode, WNM supported, PMF connect (FT-SAE/AES)
Sep 3 19:37:28 kernel: 5GHz AP AUTH - receive DE-AUTH(seq-602) from 60:8c:4a:xx:xx:xx, reason=15

С выключенным FT подключается?

В WPA2 с включенным FT?

По логу видно что подключился и тут же сам же послал DEAUTH. К сожалению такого устройства у меня нет и врятли во обозримом будущем появиться.

WPA3 AP что я видел в WPA3 only отключают анонсы FT. У нас решил не отключать, но пока не попаладось устройств которые пытались использовать FT-SAE в живую.

Вот что говорит гугл на эту тему https://forums.ruckuswireless.com/ruckuswireless/topics/unleashed-200-8-wpa3-and-802-11r-ft-roaming-on-wlan

У циски-мераки для WPA3 так же отсутсвуют FT режимы https://documentation.meraki.com/MR/WiFi_Basics_and_Best_Practices/WPA3_Encryption_and_Configuration_Guide#WPA3_Transition_Mode

В общем варианты такие использовать WPA2+FT или WPA2/3 без FT. Я подумаю и вытащу в будущем наверное галочку отключающую анонсы FT только для WPA3. А для детальных разборов мне нужно заиметь клиента подходящего, терь хоть понятно какого.

Ну и ещё документик на почитать (во вложении). Собсно по роумингу при использовании WPA3/SAE. Ни слова о 802.11r.

В общем не очень понятен статус совместимости 802.11r с SAE вообще. Реализации при этом имеются и в дровах от МТК. Клиента который бы пробовал эти реализации заюзать мне не попадалось пока. ;(

Цитата: sfstudio от 04/09/2020, 10:38

С выключенным FT подключается?

В WPA2 с включенным FT?

В обоих случаях работает. На другой точке если включить wpa2/3 + FT то тоже не может подключится.

Видимо это не предусмотрено в стандарте и здесь все как хотят решают. Интересно как решится эта ситуация. Вероятно все будут пытаться подстроится под реализацию эпла.

Я ж грю, например Cisco-Meraki/Rukus не анонсируют FT-SAE в эфир. Т.е. FT анонсируется только для WPA2 даже когда выбраны 2/3 mixed.

Я сейчас прям так же сделаю как у них.

Скорее всего никто не будет подстраиваться, ибо реализация яблока это реализация броадкома. Т.е. скорее всего закопают 802.11r для WPA3 пока не будет включен в стандарт как положено.

Авторизация в PSK сетях и так очень короткая. Т.е. как бы не ключевая проблема для роуминга. И на фоне общего затрачиваемого времени эт фиг да маленько.

Посмотрим чем дело кончиться. Я отслеживаю это дело.

Видимо это не предусмотрено в стандарте

802.11 такой великолепный стандарт, где годами части даже по аутентификации в mandatory не переносят. =)) Бардак там а не стандарт.

По тем данным что у меня есть FT+WPA3 в общем-то не вошли не то что в mandatory, а даже из драфта не выходили. И судя по вновь прогугленному похоже и не выйдут.

Так что пока сделаю как у старших братьев, дальше будет ясно.

Обновляйтесь - пробуйте.

С включеным wpa3 не подключился. Ошибку не показывает, но и подключится не может. На точке два SSID, один WPA2, другой WPA2/3.

Sep 5 09:41:07 kernel: ASSOC - Assign VHT STA MODE=VHT, MCS=25, BW=40M, AID=1 to 5GHz AP 60:8c:4a:xx:xx:xx, WNM supported, PMF connect (WPA3PSK/AES)
Sep 5 09:41:07 kernel: 5GHz AP STA 60:8c:4a:xx:xx:xx roam from this AP, delete entry
Sep 5 09:41:07 iappd[25463]: iapp> IAPP_SIG_Process - cannot find this wifi interface (a2:22:4e:xx:xx:xx)
Sep 5 09:41:14 kernel: ASSOC - Assign VHT STA MODE=VHT, MCS=25, BW=40M, AID=1 to 5GHz AP 60:8c:4a:xx:xx:xx, FT mode, WNM supported, PMF connect (FT-WPA2PSK/AES)
Sep 5 09:41:14 iappd[25463]: iapp> IAPP_SIG_Process - cannot find this wifi interface (a2:22:4e:xx:xx:xx)
Sep 5 09:41:34 kernel: ASSOC - Assign VHT STA MODE=VHT, MCS=25, BW=40M, AID=2 to 5GHz AP ca:ad:88:63:be:ad, FT mode, WNM supported, PMF connect (FT-WPA2PSK/AES)
Sep 5 09:41:34 kernel: 5GHz AP STA ca:ad:88:63:be:ad roam from this AP, FT mode, delete entry
Sep 5 09:41:34 iappd[25463]: iapp> IAPP_SIG_Process - cannot find this wifi interface (a2:22:4e:xx:xx:xx)
Sep 5 09:41:35 kernel: ASSOC - Assign VHT STA MODE=VHT, MCS=25, BW=40M, AID=2 to 5GHz AP ca:ad:88:63:be:ad, FT mode, WNM supported, PMF connect (FT-WPA2PSK/AES)
Sep 5 09:41:35 kernel: 5GHz AP STA ca:ad:88:63:be:ad roam from this AP, FT mode, delete entry
Sep 5 09:41:35 iappd[25463]: iapp> IAPP_SIG_Process - cannot find this wifi interface (a2:22:4e:xx:xx:xx)
Sep 5 09:41:36 iappd[25463]: iapp> IAPP_SIG_Process - cannot find this wifi interface (a2:22:4e:xx:xx:xx)

Вот что за привычка маки портить? Что бы сложнее было понять что происходит или зачем? Ладно пофиг.

IAPP_SIG_Process - cannot find this wifi interface (a2:22:4e:xx:xx:xx)

В выводе ifconfig есть интерфейс с таким маком?

Для проверки делаем следующее.

Сброс, мин настройка, т.е. не добавляем MBSSID а задаём только то, что сконфигурено по дефолту. Т.е. задали пароли WPA2/3 включим R и всё. Пробуем подключиться.

В коде MBSSID море ветвлений и их наличие очень сильно осложняет разбор полётов.

Вот в этом режиме логи после правки бы увидеть.

У себя не вижу проблем, все WPA3 и WPA2-FT и WPA2 без FT клиенты прекрасно подключаются и работают.

Собсно вот весь набор основных клиентов для тестов залетел на АП и все работают:

Sep  6 14:14:58 kernel: ASSOC - Assign VHT STA MODE=VHT, MCS=9, BW=80M, AID=1 to 5GHz AP fa:f0:82:44:5b:90 (WPA2PSK/AES)
Sep  6 14:15:00 kernel: ASSOC - Assign VHT STA MODE=VHT, MCS=9, BW=80M, AID=2 to 5GHz AP e0:d0:83:f9:ea:79, FT mode, PMF connect (FT-WPA2PSK/AES)
Sep  6 14:15:32 kernel: ASSOC - Assign VHT STA MODE=VHT, MCS=9, BW=80M, AID=3 to 5GHz AP 9c:da:3e:9a:40:b6, WNM supported, PMF connect (WPA2PSK/AES)
Sep  6 14:15:34 kernel: ASSOC - Assign VHT STA MODE=VHT, MCS=9, BW=80M, AID=3 to 5GHz AP 9c:da:3e:9a:40:b6, WNM supported, PMF connect (WPA2PSK/AES)
Sep  7 12:37:23 kernel: ASSOC - Assign VHT STA MODE=VHT, MCS=25, BW=80M, AID=4 to 5GHz AP 4c:1d:96:6f:e4:7e, PMF connect (WPA3PSK/AES)
Sep  7 12:37:51 kernel: ASSOC - Assign VHT STA MODE=VHT, MCS=9, BW=80M, AID=5 to 5GHz AP 90:97:f3:10:fd:a6, FT mode, WNM supported, PMF connect (FT-WPA2PSK/AES)

 

Могу предположить что сиё уже связано с какой-то другой проблемой где-нить в дебрях MBSSID (сами по себе MBSSID это грязный хак на самом-то деле если разобраться) отсюда и ругань iapp.

Другие клиенты при этом к mixed 2/3 ssid коннектятся?

Судя по

Sep 5 09:41:07 kernel: ASSOC - Assign VHT STA MODE=VHT, MCS=25, BW=40M, AID=1 to 5GHz AP 60:8c:4a:xx:xx:xx, WNM supported, PMF connect (WPA3PSK/AES)

Клиент верно понял, что SAE-FT убрали и использует просто WPA3(SAE) без FT.

 

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: