Router Probleme bei WPA2/WPA3 Mixed Mode

[PC-Lover]

Problem: Im WPA2/WPA3 Modus funktioniert kein Gerät welches lediglich WPA2 unterstützt.

Hi,

ich habe den betroffenen Router nicht in den Titel geschrieben, da ich davon ausgehe, dass es gar nicht am Router selbst liegt.

Ich habe für einen Bekannten einen neuen Router eingerichtet, bzw. die Konfiguration verändert, nachdem dieser eine Ersteinrichtung vorgenommen hatte.

Modell: TP-Link AX1800 (=AX20 Archer)

Der Router unterstützt Wifi6 (2,4 GHz und 5 GHz) sowie WPA/WPA2/WPA3.

Also Netzwerkgeräte werden u.a. genutzt:

• iPad 4. Generation (~2012)
• iPod Touch 4. Generation (~2010)
• Apple TV 2. Generation (~2010) oder 3. Generation (~2012)
• iPhone XS (~2018)

Alle Geräte (inkl. des Routers) haben jeweils die aktuell verfügbare Firmware.

Im Router ist eingestellt:

• 802.11 b/g/n/ac/ax
• "smart mode" = Kombination von 2,4 GHz/5GHz Netzwerk bei gleichem Namen

Bei der Einstellung der Verschlüsselung gibt es folgende Möglichkeiten:

• Security: WPA/WPA2
• Version: Auto oder WPA2-PSK

ODER

• Security: WPA2/WPA3
• Version: Auto oder WPA3

Nutze ich WPA/WPA2 mit WPA2-PSK (also ohne WPA) funktionieren alle Geräte, d.h. alle können sich mit dem Netzwerk problemlos verbinden.

Nutze ich WPA2/WPA3 mit Auto (= Mixed Mode), dann funktioniert nur noch das iPhone XS, welches als einziges WPA3 unterstützt. Kein anderes Gerät kann sich mit dem Netzwerk verbinden.
Fehlermeldung: Unable to join network.

Es wurden die Netzwerk-Einstellungen bspw. des Ipads komplett zurückgesetzt inkl. Geräteneustart.

==> Für mich sieht es so aus, als wenn der Router nur noch WPA3-fähige Geräte akzeptiert, obwohl WPA2/WPA3 eingestellt ist.

Um dem Router einen "refresh zu geben", habe ich auch bereits auf WPA3 only und zurück zu WPA2/WPA3 gewechselt, sowie einen Reboot des Routers ausgeführt.

Ich gehe aber davon aus, dass es gar nicht am Router, sondern irgendwie an der Implementierung von WPA2/WPA3 liegt.
Warum?

Ich selbst habe eine Fritzxbox 7490, welche vor kurzem per Firmware Update WPA3-Funktionalität erhalten hat.
Ich nutze dazu eine Fritzbox 7360 als Repeater. Die 7360 unterstützt maximal WPA2.
Sobald ich die 7490 auf WPA2/WPA3 umstelle, verschwindet die 7360 (Repeater) komplett aus dem Netzwerk und ist erst bei reinem WPA2 Modus wieder zurück. Also ein ähnliches Phänomen.

Ich habe bereits vieles ausprobiert und auch im Internet gesucht, konnte aber keine Erklärung finden. - Wer weiß Rat?

Vielen Dank im Voraus!

 

[chrigu]

FRITZ!Boxen haben seit Einführung von wpa 3 noch Probleme damit, leider

 

[Tramizu]

Da bleibt wirklich nur bei der FB-Software auf ein Update zu warten. Oder man schaut, ob es im AVM-Labor da schon was neues gibt. (Beta-Versionen die noch nicht offiziell sind).

 

[PC-Lover]

@chrigu
Vielen Dank für die schnelle Rückmeldung in der Früh .

Ich hatte fast schon überlegt dich zu zitieren, nach deinem Beitrag hier: https://www.computerbase.de/forum/threads/laptop-bringt-wlan-zum-crashen.2005318/

Gut, dann ist bei der Fritzbox also Fritz schuld .

Aber wie sieht es bei TP-Link aus?

Ich gehe dann mal von einem allgemeinen WPA2/WPA3 Problem aus, was viel weiter um sich greift als nur AVM/Fritz, sonst würde der TP-LINK nicht ein so ähnliches Verhalten zeigen. Und der TP-Link Router ist ja noch nicht so lange auf dem Markt.

 

[Mickey Mouse]

ich habe mit einer Fritzbox 7590 und älteren iPads ähnliche Probleme!
einige andere NICHT WPA3 fähige Geräte funktionieren aber (mit WPA2), daher gehe ich von einem Problem "zwischen" Fritz und Apple aus.
mir hat es ausgereicht das Gast-WLAN auf WPA2 zu setzen, die iPads müssen nicht im "normalen" WLAN sein

 

[PC-Lover]

@Mickey Mouse
Danke für die Info.

Aber nur an APPLE <-> Fritz kann es nicht liegen, da in meinen Fällen die Probleme zwischen
TP-Link <-> Apple auftreten und in einem anderen Fall (anderer Standort, anderes Netzwerk) zwischen Fritzbox 7490 <-> Fritzbox 7360.

 

[lokon]

TP-Link nutzt vermutlich nur die normale Software - ohne extrem viel Geld für Qualitätssicherung oder Kompatibilitätstests auszugeben - auch AVM hat vermutlich nicht jede mögliche Hardwarekombination im Testlabor.
WPA3 wurde auch inzwischen 2x aktualisiert - WPA3 Spezifikation .

Keine Ahnung ob AVM beim AP Software auf Eigenbau setzt, oder ob wie bei TP-Link eine Variante von Hostapd verwendet wird - eventuell eine angepasste.
Beim Ansehen des Changelogs gibt es zB auch Einträge von Jan. 2021 , die WPA3 Fehler beheben.

Als Endnutzer den Fehler an beide Hersteller (AP und Client) melden und dann hoffen, dass diese irgendwann ein Update machen bzw. reagieren.

iOS Probleme mit WPA2/WPA3 OpenWrt (alternative Firmware) wegen Konfiguration/Standardauslegung - siehe openwrt-forum

 

[cloudman]

AVM schreibt dazu

Der WPA3-Transition-Mode ermöglicht zeitgleich Verbindungen mit WPA3- und WPA2-Verschlüsselung unter demselben Funknetznamen und Netzwerkschlüssel. Für Verbindungen mit WPA2-Verschlüsselung sieht der WPA3-Transition-Mode allerdings höhere Sicherheitsanforderungen vor, als bei WPA2 (CCMP) üblich.

Einige Geräte können keine WLAN-Verbindung herstellen, wenn der WPA3-Transition-Mode aktiv ist. Dies betrifft z.B. iPhones und iPads mit iOS älter 12.1.1, ältere WLAN-Drucker, IP-Kameras und WLAN-Steckdosen

Dass die 7360 auch zu diesen Geräten gehört ist natürlich ärgerlich. Keine Ahnung wie alt das Gerät ist. Mit einem aktuellen Repeater könnte man dieses Teil Problem lösen nur ändert sich dann nichts an den Problemen mit den Apple Geräten


Allerdings hast du eh nur 1 Gerät das WPA 3 kann. Deshalb wäre der Sicherheitsgewinn mit funktionierenden WPA3 / WPA 2 sehr übersichtlich

Dazu kommt, dass WPA 3 auch schon ein Problem hat
https://www.heise.de/security/meldu...A3-koennten-WPA3-1-noetig-machen-4489397.html

Ich würde sagen ärgerlich aber nicht dramatisch bei deiner Konstellation

 

[Nizakh]

Wird der Standard WPA3 in irgendeiner Form genutzt, also WPA3 only oder der WPA2/WPA3 Mode, dann wird außerdem PMF aktiv.

• iPad 4. Generation (~2012)
• iPod Touch 4. Generation (~2010)
• Apple TV 2. Generation (~2010) oder 3. Generation (~2012)
• iPhone XS (~2018)

Folgende Geräte benötigt man mindestens, laut Apple, um PMF zu nutzen:

Zitat:„
Die PMF-Unterstützung ist auf folgenden Geräten verfügbar:

• iPhone 6 (oder neuer)
• iPad Air 2 (oder neuer)
• Apple TV 4. Generation (oder neuer)
• Apple Watch Series 3 (oder neuer)
• Mac-Computer aus dem Spätjahr 2013 und neuere Mac-Computer mit 802.11ac (oder neuer)

„ Quelle: https://support.apple.com/de-de/guide/security/sec8a67fa93d/web

Fazit:
Bis auf dein iPhone XS sind alle deine Clients nicht in der Lage PMF zu nutzen. Da WPA3 jedoch PMF voraussetzt, auch im WPA2/WPA3 Betrieb, können sich dann deine inkompatiblen Clients nicht mehr am WLAN anmelden.

 

[lokon]

Wenn ich die Beiträge auf den Entwickler-Mailinglisten von Linux richtig lese, dann können viele WLAN-Treiber prinzipiell "PMF" (802.11w)- weil die Ver/Ent-schlüsselung der Management-Frames zB in Software erledigt wird, während der Rest evtl. in Hardware läuft.
Bei bestimmten Geräten gibt es Abhängigkeit von der Hersteller-Firmware / Hardware - hier müsste der Hersteller nachbessern - aber normalerweise wird das bei alter Hardware nicht gemacht bzw. es erfolgt Marktsegmentierung durch verschiedene Firmware-Features. [1]
Die Firmware ist closed-source kann nur durch NDA/Verträge/€€€ bearbeitet werden. (bsp)
Ein neues Gerät zu verkaufen ist attraktiver, als eventuell bei älteren die Features nachzurüsten.
Quelle: mailing liste 2019


[1] zB sind oft keine AP Modi erlaubt (Intel) oder es fehlt eine Unterstützung von "Mesh" - Modi (IBSS, 802.11s) oder P2P, ebenso Intel, teilweise auch Atheros/Qualcomm , o.a. wikipedia

 

[der Unzensierte]

Nicht nur die Fritten haben mit WPA3 so ihre Probleme. Bis das alles geregelt ist müssen es WPA2 und der MAC-Filter (jo, ich weiß, aber besser als keiner allemale) richten.

 

[cloudman]

Der Fix für Windows 10 - 1909 ist schon verfügbar : https://support.microsoft.com/de-de...-of-band-42c34ace-7ae8-4b66-bdf9-94a5a5589659

2004 oder später sind nicht betroffen.

MAC Filter kann man sich wirklich sparen. Wenn man von jemanden attackiert wird der WPA 2 knacken kann spielt der MAC Filter absolut keine Rolle mehr

Sinnvoller als der MAC Filter ist ein Passwort > 16 Zeichen am besten so, dass die Bestandteile nicht in Wörterbüchern zu finden sind

Nur als Beispiel: DatIsEndumesKenword-4712 macht auch Krack Attacken auf WPA2 schwierig

 

[PC-Lover]

Vielen lieben Dank an alle!

Leider habe ich keine Option gefunden den Titel des Threads auf [gelöst] zu editieren. Tipps dazu gern per PM