Firmware bauen mit WPA3 OWE support

Ich habe in unserer Firmware site.conf in Kiel den gluon master Branch gebaut und den Bereich für OWE eingefügt, nach der Anleitung:

So sieht es bei uns jetzt aus:

wifi24 = {
    channel = 11,
    ap = {
      ssid = 'http://kiel.freifunk.net/',
      owe_ssid = 'owe.kiel.freifunk.net', -- (optional - SSID for OWE client network)
      owe_transition_mode = true, -- (optional - enables transition-mode - requires ssid as well as owe_ssid)
    },
    ...

Aber die Knoten strahlen keine zusätzliche SSID aus, was fehlt hier noch, damit die aktiv wird?

Du musst das WPA3 feature in die Firmware einbauen: site: enable WPA3 for non-tiny devices (10c0327d) · Commits · ffda / firmware / site · GitLab

Tatsächlich wäre an dieser Stelle dieser Hinweis in der Doku angebracht (bei private-wifi existiert dieser Hinweis im Bezug auf WPA3 ebenfalls). Beachte allerdings dass du mit deiner aktuellen Konfiguration den transition mode verwendest, welcher dir keine zusätzliche Sichtbare SSID bringt.

2 Likes

heisst das, dass man in ap.owe_ssid dieselbe ssid wie unter ap.ssid schreiben muss, damit alte clients sich auch verbinden koennen? Oder sollte man transition auf false setzen??? Hier bei Heise steht, dass man den transition mode braucht um alte geräte (im Moment die meißten) nicht aussperrt.

Was ist die perfekte konfiguration?

Die owe_ssid muss sich grundsätzlich von der regulären ssid unterscheiden.

Wenn du den transition mode deaktivierst werden zwei SSIDs sichtbar ausgestrahlt. Einmal die reguläre offene SSID und eine mit OWE gesicherte SSID. In diesem Szenario ist OWE opt-in und auch OWE kompatible Endgeräte bekommen damit die Option sich ohne Verschlüsselung zu verbinden.

Mit aktiviertem transition mode Verbinden sich OWE fähige Endgeräte automatisch mit der verborgenen OWE SSID wenn die unverschlüsselte SSID angewählt wird. Allerdings ist die implementierung des transition mode auf Android 9 fehlerhaft, weswegen diese Geräte sich gar nicht mehr Verbinden können. Probleme kann es auch geben, wenn der supplicant das eventuelle fehlen von IEEE802.11w beim Client nicht detektiert.

Die dritte Option (OWE only) ist die Option, auf die sich Heise mit dem „aussperren“ bezieht.