Nudge am 22.04.2009

Kein WPA-PSK im Repeater-Modus

in Netzwerk | Tags: Repeater, SSID, Supplicant, WDS, WEP, WLAN, WPA, WPA2, WPA2-PSK

Ja, das hatte ich ja vor kurzem schon mit dem Zyxel 570N festgestellt. Der Grund blieb mir bis heute verborgen, aber es war eigentlich ganz trivial: Der WPA-Modus ist ein Master-Supplicant-Modus. Der Client ist der Supplicant (= Antragsteller), der den Master (den Access Point) kontaktiert. Im Repeater-Modus arbeiten die Access-Points jedoch gleichrangig. Dadurch ist WPA-PSK als Authentifizierungsmechanismus ausgeschlossen. WPA2-PSK allerdings ist möglich – wie auch das alte WEP, was natürlich aus Sicherheitsgründen nicht empfohlen werden kann.

Grundsätzlich braucht man für den Repeater-Modus:

  • Gleiche Frequenz
  • Gleiche Netzwerk-Kennung (SSID)
  • Gleiche Authentifizierung / Verschlüsselung

Daneben sollten die MAC-Adressen der umliegenden Repeater bei jedem Access Point eingetragen werden, so dass sie über das WDS (Wireless Distribution System) miteinander ein gemeinsames Netz aufbauen können. Ich habe noch nicht herausgefunden, ob dazu unbedingt Intra-BSS-Verkehr erlaubt sein muss, oder ob man das auch unterbinden kann, weil sich der Punkt nur auf die Clients bezieht.

Nudge am 14.03.2009

WLAN-Router mit WPA2-PSK, ohne WPA-PSK

in Netzwerk | Tags: D-Link, Repeater, Router, WEP, WLAN, WPA-PSK, WPA2-PSK, Zyxel

Tja, gibts so etwas, denkt man sich da. Warum sollte es auch? Wenn ein Router WPA2 beherrscht, dann sollte er auch WPA können.

Leider weit gefehlt beim Zyxel NWA-570N. Den haben wir uns gerade wegen dem verfügbaren Repeater-Modus zugelegt. Damit wollten wir die Reichweite des vorhandenen WLAN (WPA-PSK) mit ein paar Stationen auf das gesamte Gebäude erhöhen. Zwar stehen gefühlte 7 Millionen Verschlüsselungsarten auf der Zyxel-Verpackung, aber die Web-Konfigurationsoberfläche kennt nur: WEP (128-Bit), WPA2-PSK oder ganz unverschlüsselt, zumindest im Repeater-Modus. Na toll – unsere Windows-CE-Handhelds kennen doch nur WEP und WPA.

Der bisherige Router von D-Link kann wirklich alles, das ist sehr zufriedenstellend. Also ich habe nun die Möglichkeit, a) alles auf WPA2 umzustellen (schön wäre es ja), dann verstehen sich die Router prima, nur die Clients bleiben außen vor. Oder wir stellen den Router auf WPA und die Repeater auf WPA2, dann sind die Clients verwirrt und der Repeater macht Schaden, ohne zu repeaten. Oder wir stellen alles auf WEP-128, dann können wenigstens die anonymen Mitsurfer ruhiger schlafen, denn die Netzwerksicherheit ist so gut wie futsch. 🙁

Was soll man dazu sagen…