LANCOM Access Point als Client via WPA2-Enterprise MS-CHAPv2 (LCOS)

17.09.2017
Dieser Inhalt ist bereits etwas älter.
This content is already a bit old.
Bild

Ich wollte meine Powerline-Adapter endlich durch etwas zuverlässiges ablösen und habe mich dazu entschieden, mit einem LANCOM L-322agn als Client in mein bestehenden WLAN zu integrieren und damit kabelgebundene Clients anbinden zu können. Alle meine SSIDs sind inzwischen bis auf das Gastnetzwerk WPA2-Enterprise-Netzwerke weshalb ich wenig Motivation hatte, eigens für die WLAN-Brücke ein zusätzliches PSK-Netzwerk aufzuspannen.

Ich suchte also nach einer Möglichkeit, einen etwas älteren LANCOM Access Point als Client in das bestehende WPA2-Enterprise-WLAN zu integrieren. Nach einiger Suche im Internet kam ich auf den entscheidenden Tipp, welchen ich hier für alle dokumentieren möchte:

Am Anfang sind die Schritte noch an sich ganz normal und auch relativ verständlich. Diese Anleitung wurde mit der LCOS in Version 9.24.0334SU9 erstellt und in meinem Beispiel im LANconfig 10.40 durchgeführt:

1. Das physikalische WLAN-Interface im Access Point aktivieren:

Bild

Hier ist in der Registerkarte "Betrieb" als WLAN-Betriebsart "Client" zu wählen.

2. In der Registerkarte "Client-Modus" die zu durchsuchenden Bänder sowie im Optimalfall die BSS-ID der Gegenstelle eintragen. Dies verhindert bei der Unterbrechung der Verbindung eine Suche nach der SSID und der Access Point kann sich hierdurch direkt wieder mit der Gegenstelle verbinden:

Bild

3. Nun wechseln wir zu den logischen WLAN-Einstellungen, aktivieren diese und geben die SSID des Client-Netzwerks in der Registerkarte "Netzwerk" ein:

Bild

4. In der Registerkarte "Verschlüsselung" nun die Verschlüsselung aktivieren und die korrekten Verfahren für die Authentifizierung auswählen:

Bild

In meinem Beispiel wird unter "Client-EAP-Methode" hier "PEAP/MSCHAPV2" ausgewählt. Die Felder RADIUS-Server sowie IAPP-Passphrase müssen leer bleiben.

Hier fällt nun auf, das es zwar ein Feld "Schlüssel 1/Passphrase" gibt, aber die Anmeldedaten bestehen aus Benutzername + Kennwort. Beide Daten können trotzdem eingetragen werden, allerdings muss dies mit eines speziellen Syntax erfolgen:

Bild

Benutzername und Kennwort müssen mit einem : getrennt eingetragen werden.

Falls dies nicht erfolgt hat in meinem Fall das Gerät reproduzierbar nach wenigen Sekunden nach dem zurückschreiben der Konfiguration einen unvermittelten Neustart durchgeführt. Nach dem Boot und der Aktivierung des WLAN-Interfaces stürzte das Gerät bei dem Versuch der Authentifizierung gegenüber der SSID erneut ab und befand sich somit in einem Boot-Loop.

Wenn die Daten korrekt getrennt eingegeben werden, scheint die Anmeldung zuverlässig und stabil zu laufen. Sollte sich das Gerät bereits in einem Boot-Loop befinden, kann mit sehr gutem Timing ein Zeitfenster von wenigen Sekunden getroffen werden, in welchem das Gerät erreichbar ist und die Konfiguration korrigiert werden kann. Hierzu empfehle ich zusätzlich einen Ping auf die IP-Adresse des Access-Points durchzuführen und sobald das Gerät wieder antwortet die Konfiguration zurückzuschreiben.


 

Feedback, Verbesserungsvorschläge, weitere Ideen?

Einfach das Kontaktformular verwenden oder direkt eine E-Mail an info@kirgus.net.