Keine Verbindung zu WLAN mit WPA3 (WPA2/WPA3-Modus) möglich.

LibertyX

Member
Original poster
27 August 2023
32
Sobald ich bei meiner FRITZ!Box 7590 die Sicherheit auf "WPA2 + WPA3" stelle, verbindet sich das Shift Phone 8 nicht mehr mit dem WLAN.
WPA3 sollte alleine schon aufgrund der bekannten Sicherheitslücken in WPA3 bei aktuellen Geräten unterstützt werden, zumal der der WPA2+WPA3 noch der "Kompatibilitätsmodus" ist, weil er sowohl WPA2 als auch WPA3 Verbindungen zulässt. Im Fall von WPA2 auch ohne PMF
 
Bei meiner 5530 Fiber konnte ich bisher keine Probleme feststellen.
Ich habe zwar seit längerem Shift OS - L auf meinem 8.0 aber ich hatte auch zuvor mit ShiftOS - G keine WLAN Probleme.
 
Ja ist es schon seit ich sie eingerichtet hab @LibertyX

Ich habe jetzt auch nochmal die Details der aktiven Verbindung meines 8ers mit der Fritzbox (in der Fritzbox Oberfläche) geprüft und da steht die Verschlüsselung definitiv auf WPA3
 
Zuletzt bearbeitet:
Ich habe Mikrotik WLAN-Access Points, die WPA2 und WPA3 erlauben und das SP8 mit OS-L verbindet sich mit WPA3. Ich meine das war mit den OS-G bevor ich gewechselt bin auch so. Läuft sehr gut und kann locker mit meinem Notebook mithalten was Datenraten angeht.
 
Hast du deine AP´s auch auf den OWE transition mode konfiguriert oder auf WPA2, WPA3, das macht den Unterschied, denn um den WPA2+WPA3 Transition Mode geht es, der wird von AVM verwendet.

Das Problem besteht nur, wenn man das WLAN Auto Setup nutzt, also nach einem WLAN suchen lässt, dieses auswählt und nur noch das Passwort einträgt, dann kommt keine Verbindung zustande,

Fügt man das WLAN manuell (+ WLAN hinzufügen) hinzu, trägt SSID und Passwort ein und wählt manuell WPA3 aus, kommt eine Verbindung im WPA3 (SAE Transition Mode) zustande.

Anscheinen hast das ShiftPhone ein Problem bei der Erkennung des Sicherheitsmodus, denn ist die Verbindung im WPA3 (SAE Transition Mode) hergestellt, wird dieser auch bei einer anderen FRITZBox erkannt.

Screenshot_20250802-092027_SHIFT Home.png

Im Scan ohne bestehende Verbindung, wird mein WLAN als WiFi4 erkannt, was falsch ist es ist ein WiFi5 (siehe Screen Shot oben) und der WPA3 (SAE Transition Mode) wird bei der anderen Box auch nicht erkannt,

Screenshot_20250802-092149_SHIFT Home.png
 
Das Problem besteht nur, wenn man das WLAN Auto Setup nutzt, also nach einem WLAN suchen lässt, dieses auswählt und nur noch das Passwort einträgt, dann kommt keine Verbindung zustande,

Fügt man das WLAN manuell (+ WLAN hinzufügen) hinzu, trägt SSID und Passwort ein und wählt manuell WPA3 aus, kommt eine Verbindung im WPA3 (SAE Transition Mode) zustande.

Ich hab jetzt gerade beide Wege getestet (Also die.gespeicherten WLAN Netzwerke im 8er gelöscht und neu angelegt) in beiden Varianten verbindet sich das 8er ohne Probleme mit der Fritzbox und läuft im 5Ghz Kanal mit Wifi-6 und WPA3 Verschlüsselung.
 
Der größere Unterschied wird das OS-l 7.0 zum OS-G 6.2 sein.
Wenn ich raten dürfte, ist das wieder etwas, was Qualcomm im Qualcomm AOSP (darauf basiert das 6.2-G, weil das halt schon da war und man wenig Arbeit reinstecken sollte das zertifiziert zu kriegen (du hast ja gesehen wie gut das durch die ganzen Bugs von Qualcomm geklappt hat)) kaputt ausliefert und bei LineageOS (darauf basiert das 7.0-l, weil einfach stabiler und vollständiger und man muss nicht durch die Zertifizierung von Google (und Google mag keine CustomOS wie LineageOS)) dagegen funktional ist. In Zukunft soll allerdings für beide OS wieder LineageOS als Basis verwendet werden, weil Qualcomm AOSP halt jedes Mal Frickelware ist (wenigstens sieht das diesmal auch Qualcomm so und macht einen kompletten Rewrite von Qualcomm AOSP für den QCM6490, deshalb kann es auch sein, dass man für das nächste OS-G noch einmal das Qualcomm AOSP ausprobiert).

@amartinz zur Kenntnis (scheint irgendwie im 6.2 kaputt zu sein; im 7.0 läuft es)
 
  • Like
Reaktionen: meknus55 und R.E.D.
OWE transition mode
Der ist bei mir abgeschaltet. Ich stecke nicht so wahnsinnig tief drin, aber was hat der OWE damit zu tun? Der sollte doch nur sinnvoll sein, wenn man ein Netzwerk erstellen möchte, dass ohne Passwort funktioniert, aber trotzdem den Traffic aus Sicherheitsgründen verschlüsselt.
Das SP8 unter OS-L zeigt mir WPA3 Personal als Sicherheit. SAE Transition habe ich nicht explizit konfiguriert, aber wenn ich auf derselben SSID WPA3 und WPA2 nutzen kann müsste es doch an sein?
 
Lustigerweise habe ich jetzt mal mit der 6850 5G
Ich hab jetzt gerade beide Wege getestet (Also die.gespeicherten WLAN Netzwerke im 8er gelöscht und neu angelegt) in beiden Varianten verbindet sich das 8er ohne Probleme mit der Fritzbox und läuft im 5Ghz Kanal mit Wifi-6 und WPA3 Verschlüsselung.
Ist wohl ein WiFi5 Problem, deswegen hast du bei deiner 5530 das Problem nicht.

7590 (ohne AX) -> Keine Verbindung
7590 (mit AX) -> Verbindung
7530 (ohne AX) -> keine Verbindung
7530 (mit AX) -> Verbindung
 
Bist du da sicher? Auch wenn es nicht explizit eingestellt ist, gibt es andere Möglichkeiten WPA2 und WPA3 auf einer SSID anzubieten als den Transition Mode?
 
Wenn es aktiv wäre würde das Phone das beim verbundenen WLAN anzeigen

1754297257724.png

gibt es andere Möglichkeiten WPA2 und WPA3 auf einer SSID anzubieten
Ja, gibt es, führt aber bei älteren Geräten die kein WPA3 können zu Problemen bzgl. PMF


Konkret geht es um den SAE Transition Mode, dass kann Mikrotik anscheinend nicht, die können nur den OWE Transition Mode

 
Ich glaube eher Mikrotik kann nur SAE Transition Mode.
Code:
nm-cli -f ALL dev wifi
gibt mir für meine Netzwerke als RSN-Flags "psk" und "sae" gleichzeitig für jede einzelne BSSID aus. Bei meinen Nachbarn übrigens auch, bei denen so gut wie sicher irgendwelche Fritzboxen/Providerplasterouter rumstehen. Von anderen APs kenne ich es eigentlich auch so, dass man WPA3 einstellt und wenn man dann noch WPA2 Clients hat noch den Transition Mode dazu anschaltet. Bei Mikrotik setzt man halt Haken für WPA2 und WPA3 und wenn beide gesetzt sind ist das nach meiner Interpretation dann SAE Transition Mode. Wobei auch SAE und WPA3 gerne mal leicht inkorrekt synonym verwendet werden. 802.11w (PMF) sollte Mikrotik auch ordentlich beherschen seit einiger Zeit.
Deine Anzeige bzgl. SAE Transition Mode habe ich auf meinem SP8 auch schon gesehen, aber schon eine ganze Weile nicht mehr. Evtl. seit dem Wechsel auf OS-L?
 
Bei Mikrotik setzt man halt Haken für WPA2 und WPA3 und wenn beide gesetzt sind ist das nach meiner Interpretation dann SAE Transition Mode.
Nicht zwingend, im FRITZ!OS kam der SAE Transition Mode erst mit 7.20 davor gab es das Problem das ältere Clients (die PMF nicht unterstützen) sich aufgrund das WPA3 zwingend PMF voraussetzt, nicht mehr verbinden, was durch die Integration des SAE Transition Mode behoben wurde.

Zu OS-L kann ich nichts sagen, wenn eine aktive WLAN Verbindung den SAE-Transition Mode verwendet, dann wird dies wie in meinem Screen Shot gezeigt, entsprechend angezeigt, ist dies nicht der Fall, verwendet das Netz diesen Modus nicht.

Mikrotik kann auch SAE Transition Mode, die Konfig dafür müsste ungefähr so aussehen

add name=wifi-sec authentication-types=wpa2-psk,wpa3-psk encryption=aes-ccm passphrase=deinPasswort

oder auf der GUI unter WiFi Interfaces -> Security

WPA2-PSK und WPA3-SAE aktivieren
 
Zuletzt bearbeitet:
Nach meinem Verständnis gibt es folgenden Modi für eine SSID, ohne Enterprise-Kram:
  • WPA3-Personal
    Nur WPA3 mit SAE und PMF Pflicht. Beacon Frames haben als einzige AKM nur SAE.
  • SAE-Transition Mode
    Beacon Frames haben 2 AKM, SAE und PSK. PMF ist erlaubt, aber nicht verpflichtend für die WPA2 PSK-Clients. Außer durch die Beacon Frames ist eine WPA3 Verbindung nachdem sie zustande gekommen ist nicht mehr von WPA3-Personal zu unterscheiden. Genau so sieht eine WPA2 Verbindung nach ganz normalem WPA2 PSK aus.
  • Compatibility Mode
    Sieht für alte Clients aus, als wäre im Beacon nur WPA2 oder WPA3 vorhanden. Zusätzliche Informationen über bessere Parameter stehen in Erweiterungselementen und können dementsprechend von fähigen Clients verwendet werden.
  • Enhanced Open mit OWE und OWE Transition
    Verschlüsselung ohne Passwort, in diesem Kontext nicht relevant
Zusätzlich gab es irgendwann noch den Wechsel von HNP zu H2E in WPA3 für die Schlüsselableitung.
Je nachdem wie alt der Qualcomm-WLAN-Kram im OS-G ist, kann der vielleicht kein H2E und der Fallback klappt nicht?
Um das genau zu prüfen müsste man vermutlich mal die Beacon-Frames vergleichen um zu schauen wo die Unterschiede liegen. Habe aber gerade kein Setup um meine APs zu sniffen.

https://mrncciew.com/2019/11/29/wpa3-sae-mode/
https://mrncciew.com/2019/11/29/wpa3-sae-transition-mode/
https://wizardfi.com/security/2024/03/29/hash-to-curve.html
https://www.linkedin.com/pulse/wpa3-personal-compatibility-mode-madhan-sai-cxq6e/
 
Ich hab es mit meiner UDM SE ausprobiert.
WPA2/WPA3 und "pures" WPA3 funktionieren mit meinem SP8 mit ShiftOS 6.2G.

1754304198963.png

1754304223145.png1754304239823.png

Die WLAN Treiber von ShiftOS 6 und 7 sind übrigens identisch.

Mit Android 16 bekommen die ganzen Vendorsachen (Treiber, HAL, etc) ein riesen Upgrade.
Die sind Stand-Jetzt auf einer Basis von Android 11 (R) und sollten dann auf eine neue Basis von Android 16 gehoben werden.

Dann sollten gewisse Kompatibilitätsprobleme auch aus der Welt geschafft sein.
Ich hab auch für das zukünftige ShiftOS 6.3 viele WLAN Fixes übernommen, die vielleicht auch schon so manchen helfen.
 
Je nachdem wie alt der Qualcomm-WLAN-Kram im OS-G ist, kann der vielleicht kein H2E und der Fallback klappt nicht?
Um das genau zu prüfen müsste man vermutlich mal die Beacon-Frames vergleichen um zu schauen wo die Unterschiede liegen. Habe aber gerade kein Setup um meine APs zu sniffen.
Kann ich auch nicht sagen, ich hab das ganze jetzt auch mal Parallel an avm gemeldet, da in meinem WLAN Sniffer bei allen FRITZ! Routern in meiner Umgebung der WPA2/WPA3 Modus nur im 5GHz Band angezeigt werden, im 2.4GHz Band wird nur WPA2 angezeigt, bei Routern anderer Hersteller wird der WPA2/WPA3 Mode in allen Bändern angezeigt.
 
WPA2/WPA3 und "pures" WPA3 funktionieren mit meinem SP8 mit ShiftOS 6.2G.
Nur noch mal zur Klarstellung, ich kann mich mit aktiviertem WPA2/WPA3 Mode mit meinem WLAN verbinden aber nur wenn ich es manuell hinzufüge und die Verschlüsselung auch manuell einstelle, lediglich das Autosetup Scan eines QR Codes (von einem andern android Gerät oder der FRITZ!OS WebGUI) oder bei Auswahl des Netzwerks aus der gescannten Liste wo man nur noch PSK und optional DHCP etc. einstellen kann funktionieren nicht, bei beiden Varianten ist es halt nicht möglich, die Verschlüsselung auszuwählen.
 
  • Like
Reaktionen: amartinz
Ok Ursache scheint gefunden, Problemstellung ist bei AVM bekannt und kann durch folgende Option verursacht werden.

1754405472140.png
Ist diese aktiviert, ist im 2.4 GHz Band nur WPA2 aktiv, auch dann wenn als WPA Modus WPA2 +WPA3 ausgewählt ist.
Anscheinend hat das Shiftphone 8 damit ein Problem, dass unter der gleichen SSID im 5GHz Band WPA2/WPA3 aktiv ist und im 2.4 GHz Band nur WPA2
 
  • Like
Reaktionen: halemmerich