Beschreibung:
Im diesem Dokument wird beschrieben, wie Sie mit LEPS-U (LANCOM Enhanced Passphrase Security) die Konfiguration von separaten Zugangschlüsseln für jeden Teilnehmer eines WLAN-Netzwerkes auf einem LANCOM Access Point einrichten können.
Eine Übersicht, wie viele LEPS-U Benutzereinträge pro Gerät oder SSID angelegt werden können, erhalten Sie in diesem Knowledge Base Dokument.

Was ist LEPS-U?
Mit LANCOM Enhanced Passphrase Security User (LEPS-U) kann eine Menge von Passphrasen konfiguriert werden, die dann den einzelnen Benutzern oder Gruppen zugeordnet werden können. Somit gibt es nicht eine globale Passphrase für eine SSID, sondern mehrere, die dann individuell verteilt werden können.
Dies kann für das Onboarding von Geräten in das Netzwerk genutzt werden. Wenn ein Netzwerk-Betreiber z. B. mehrere WLAN-Geräte in verschiedene Bereiche seines Netzwerks „onboarden“ will, aber die Geräte nicht selber konfigurieren will, da dies die Benutzer der Geräte selber erledigen sollen. In diesem Fall erhalten die Benutzer lediglich einen Preshared Key für das Firmen-WLAN ausgehändigt, welchen die Benutzer selber für ihre Geräte verwenden können.
Je nach Preshared Key werden die Benutzer automatisch durch Zuordnung zu einem VLAN einem bestimmten Netzwerk zugewiesen. Da LEPS-U ausschließlich auf der Infrastrukturseite konfiguriert wird, ist jederzeit die volle Kompatibilität zu Fremdprodukten gegeben.
Die Unsicherheit von globalen Passphrasen wird durch LEPS-U grundsätzlich behoben. Jedem Benutzer wird hierbei seine eigene individuelle Passphrase zugewiesen. Falls eine einem Benutzer zugeordnete Passphrase „verloren geht“ oder ein Mitarbeiter mit Kenntnis seiner Passphrase das Unternehmen verlässt, dann muss nur die Passphrase dieses Benutzers geändert bzw. gelöscht werden. Alle anderen Passphrasen behalten ihre Gültigkeit und Vertraulichkeit.

Was passiert in einem WLC-Szenario, wenn der WLAN-Controller nicht erreichbar ist?
Die Anmelde-Informationen werden an die Access Points übertragen. Daher ist die Anmeldung über LEPS-U auch dann möglich, wenn der WLAN-Controller nicht verfügbar ist.


LEPS-U funktioniert nur mit WPA 2, nicht aber mit WPA 3!

LEPS-U funktioniert nicht, wenn die Option WPA2/3 Key Management (Access Point) bzw. WPA2 Key Management (WLAN-Controller) auf Fast Roaming gesetzt ist (oder eine Kombination, die Fast Roaming beinhaltet).

Das WPA2/3 Key Management bzw. WPA2 Key Management ist in den folgenden Menüs zu finden:

  • Standalone Access Point: Wireless-LAN → Allgemein →  Logische WLAN-Einstellungen → WLAN-Interface x - Netzwerk x → Verschlüsselung
  • WLAN-Controller: WLAN-Controller → Profile → Logische WLAN-Netzwerke (SSIDs)

Ab der LCOS Version 10.42 müssen Sie in der Konfiguration der SSID zwingend eine Passphrase (PSK) eintragen, damit die SSID ausgestrahlt wird!




Voraussetzung:
  • LCOS ab Version 10.20 (download aktuelle Version)
  • LANtools ab Version 10.20 (download aktuelle Version)
  • Zur Nutzung von LEPS-U wird kein RADIUS-Server und keine 802.1x-Authentifizierung benötigt. Es wird die Authentifizierungsmethode verwendet, welche für die jeweilige SSID konfiguriert ist.


Hinweise zur Verwendung von LEPS-U in einem WLC-Szenario:

    • LEPS-U muss nicht auf jedem Access Point aktiviert werden.
    • In einem WLC-Szenario müssen a lle vom WLC verwalteten Access Points ebenfalls mit einer Firmware ab LCOS 10.20 betrieben werden!
    • Eine Prüfung der Client MAC-Adressen muss nicht zwingend durchgeführt werden.




Vorgehensweise:
Die Konfiguration der LEPS-U-Profile und LEPS-U-Benutzer finden Sie in LANconfig unter Wireless-LAN →  Stationen/LEPS → LEPS-U. Über die Option LEPS-U aktiviert wird LEPS-U eingeschaltet.
Bei der Konfiguration von LEPS-U wird jedem Benutzer, der sich mit Clients im WLAN anmelden können soll, eine individuelle Passphrase zugeordnet. Dazu werden LEPS-U-Profile angelegt, damit einige Einstellungen nicht bei jedem Benutzer erneut vorgenommen werden müssen.
Anschließend legen Sie die LEPS-U-Benutzer mit der zugehörigen individuellen Passphrase an und verknüpfen diesen mit einem der vorher angelegten LEPS-U-Profile.

  • Name:
    Vergeben Sie hier einen eindeutigen Namen für das LEPS-U-Profil.
  • SSID:
    Wählen Sie hier die SSID bzw. beim WLC das logische WLAN-Netzwerk aus, für die das LEPS-U-Profil gültig sein soll. Es können sich nur LEPS-U-Benutzer an der SSID bzw. beim WLC an dem logischen WLAN-Netzwerk anmelden, mit der sie über das LEPS-U-Profil verbunden sind.
  • Client TX Bandbr.-Begrenz.:
    Hier können Sie eine Sende-Bandbreiten-Begrenzung in kbit/s für die sich einbuchenden WLAN-Clients einstellen.
  • Client RX Bandbr.-Begrenz.:
    Hier können Sie eine Empfangs-Bandbreiten-Begrenzung in kbit/s für die sich einbuchenden WLAN-Clients einstellen.
  • VLAN-ID:
    Hier können Sie festlegen, welcher VLAN-ID ein LEPS-U-Benutzer, der mit diesem Profil verbunden ist, zugewiesen wird.



LEPS-U-Benutzer:
Legen Sie hier einzelne LEPS-U-Benutzer an. Jeder LEPS-U-Benutzer muss mit einem zuvor angelegten Profil verbunden werden und eine individuelle WPA-Passphrase zugewiesen bekommen.
Mit dieser Passphrase kann sich dann ein beliebiger Client an der SSID anmelden, für die der Benutzereintrag durch die Verknüpfung des Profils gültig ist.
Der Benutzer wird anhand der verwendeten Passphrase identifiziert und dem in dieser Tabelle konfigurierten VLAN zugewiesen. Wird hier kein VLAN zugewiesen, wird er dem am Profil konfigurierten VLAN zugewiesen.
Einstellungen am einzelnen Benutzer haben somit Priorität gegenüber Einstellungen am Profil.

  • Name:
    Vergeben Sie hier einen eindeutigen Namen für den LEPS-U-Benutzer.
  • LEPS-U-Profil:
    Wählen Sie hier das Profil aus, für das der LEPS-U-Benutzer gültig sein soll. Es können sich nur LEPS-U-Benutzer an der SSID anmelden, mit der sie über das LEPS-U-Profil verbunden sind.
  • Passphrase:
    Vergeben Sie hier die Passphrase, mit der der LEPS-U-Benutzer sich am WLAN anmelden soll. Als Passphrase können Zeichenketten mit 8 bis 64 Zeichen verwendet werden. Wir empfehlen als Passphrasen zufällige Zeichenketten von mindestens 32 Zeichen Länge.
  • Client TX Bandbr.-Begrenz.:
    Hier können Sie eine Sende-Bandbreiten-Begrenzung in kbit/s für die sich einbuchenden WLAN-Clients einstellen. Wird hier keine Begrenzung konfiguriert, gilt eine eventuelle, im LEPS-U-Profil konfigurierte Begrenzung. Wird sowohl im LEPS-U-Profil als auch am LEPS-U-Benutzer eine Begrenzung konfiguriert, gilt die am LEPS-U-Benutzer konfigurierte Begrenzung.
  • Client RX Bandbr.-Begrenz.:
    Hier können Sie eine Empfangs-Bandbreiten-Begrenzung in kbit/s für die sich einbuchenden WLAN-Clients einstellen. Wird hier keine Begrenzung konfiguriert, gilt eine eventuelle, im LEPS-U-Profil konfigurierte Begrenzung. Wird sowohl im LEPS-U-Profil als auch am LEPS-U-Benutzer eine Begrenzung konfiguriert, gilt die am LEPS-U-Benutzer konfigurierte Begrenzung.
  • VLAN-ID:
    Hier können Sie festlegen, welcher VLAN-ID der LEPS-U-Benutzer zugewiesen wird. Wird hier keine VLAN-ID konfiguriert, gilt eine eventuelle, im LEPS-U-Profil konfigurierte VLAN-ID. Wird sowohl im LEPS-U-Profil als auch am LEPS-U-Benutzer eine VLAN-ID konfiguriert, gilt die am LEPS-U-Benutzer konfigurierte VLAN-ID.