Ooh... WiFi-7 hoofdpijn...
Als je je hele netwerk tegelijk naar WiFi-7 upgradet en al je clients zijn minimaal WiFi-6 gaat dat (mits apparatuur goed werkt) prima, maar als je wilt mixen met WiFi-5 en ouder ga je issues krijgen, al helemaal als je 6GHz erbij betrekt.
Grootste uitdaging is security. WiFi-6 introduceerde WPA3, maar stelde het niet verplicht. 6GHz stelt WPA3 verplicht (WPA2 bestaat simpelweg niet in de 6GHz). En WiFi-7 stelt WPA3 verplicht voor alle geavanceerde features (MLO, preamble puncturing, extra RUs, hogere modulatie).
Kortom, we moeten over naar WPA3. Maar pre-WiFI-6 legacy (dat zeker in IoT domein nog volop nieuw uitgerold wordt) ondersteunt dat niet. Dus hebben we een manier nodig om WPA2 en WPA3 te combineren, in ieder geval in de 2.4 en 5GHz. En daar begint de feest.
Er is een WPA2/WPA3 'transition mode' bedacht. Dat werkt grof gezegd als WPA/WPA2: je hebt in je security settings twee opties beschikbaar. Klinkt goed, maar...
- legacy devices (vnl IoT) kunnen over hun nek gaan van onbekende elements in de beacon. Zou niet moeten, maar bij interop testing van WiFi Alliance bleek dit een groot probleem te zijn. Veel low-end meuk weigert te verbinden zodra WPA3 ook maar aanwezig is.
- Clients roamen alleen tussen netwerken als security instellingen exact hetzelfde zijn. In 6GHz is de security puur WPA3. In de andere banden is het beide. Dat hindert roaming tussen 6GHz en overige banden.
Enfin, de WiFi Alliance ging terug naar de tekentafel en ontwikkelde voor WiFi-7 optioneel de WPA3 Compatibility mode. Hier is het RSN element (waar een client security uitleest) 100% ouderwets WPA2. Dat voorkomt overgroot deel van issues met legacy die niet wil verbinden. Er is daarnaast een nieuwe RSN override element toegevoegd die - voor apparaten die het snappen - de security van WPA2 naar WPA3 omzet. Klinkt geweldig en werkt daadwerkelijk stukken beter dan transition mode. Toch nog issues:
- apparaten die wel slim genoeg zijn om met WPA3 transition mode om te gaan, maar compatibility mode niet snappen, zullen hierdoor op WPA2 draaien in de 2.4GHz en 5GHz en daardoor ook niet kunnen roamen tussen die banden en de 6GHz. Bovendien gaan ze geen geavanceerde WiFi-7 features ter beschikking hebben. Effectief worden het dual-band WiFi-6 apparaten.
- ondanks dat het RSN element 100% zelfde is als bij legacy WPA2, zijn er nog steeds sommige vage apparaten die niet verbinden omdat ze de nieuwe override niet snappen.
Dat eerste probleem gaat waarschijnlijk klein zijn: overgroot deel van apparaten dat ueberhaupt WPA3 snapt is nog in volle support en gaat met software update dit ws fixen. Alleen 'orphaned' spul waar support voortijdig stopgezet is (bedrijven die omvallen etc) gaat hier problemen mee houden, en dan nog: impact is beperkt.
Tweede blijft een structurele issue: high-end clients (Android, iOS, Windows, MacOS) hebben mature WiFi stacks en gedragen zich in de regel netjes - en worden gefixed als dat een keertje niet zo is. Maar in de low-end werkt met name IoT met stokoude hardware en zeer beperkte en vaak ronduit buggy WiFi libraries. WiFi is daar sowieso een 'black box' dat in een product verwerkt wordt en dat is het. Vanuit ons perspectief low-end undersupported prut. Maar een klant koopt pakweg een nieuwe, duizenden EUR dure Smart koelkast en verwacht dat dat gewoon werkt. Dat valt voor WPA3 vaak tegen en met WPA3 gaat dat - ongeacht toegepaste slimheden - nog grotere drama worden.
Enfin, dit is al erg genoeg met random clients en WiFi-7 APs. Stel je nu voor dat je WiFi-7 APs in een netwerk gaat combineren met legacy. Je wilt kunnen roamen tussen je WiFi-7 AP en pakweg een WiFi-5 geval. Die laatste ondersteunt alleen WPA2. Je hebt op de WiFi-7 AP dan de keuze:
- WPA2-only: roaming gaat prima werken in 2.4GHz en 5GHz, maar je mist WPA3 en alle WiFi-7 features. Als je 6GHz hebt kunnen devices op 6GHz niet roamen naar WiFi-5 en ook niet band steeren naar andere banden.
- WPA2/WPA3-transition mode: roaming gaat niet werken want WPA2 only aan ene kant en WPA2/WPA3 aan andere kant - en geheid IoT meuk dat niet wil verbinden.
- WPA3 compatibility mode: roaming gaat met legacy clients prima werken, WiFi-7 clients kunnen vol gebruik maken van features - maar die kunnen niet roamen naar de legacy AP...
Veel succes met je keuze
- dat wordt onvermijdelijk slechte ervaring als je je oude meuk niet vervangt.
Met een WiFi-6 AP kan het goed gaan als beide compatibility mode ondersteunen, maar stel dat de WiFi-6 AP alleen WPA2/WPA3 transition mode kent. Dan heb je op de WiFi-7 AP de keuze:
- WPA2/WPA3 transition mode: roaming gaat werken tussen APs, maar issues tussen 2.4/5 en 6GHz banden - en geheid IoT meuk dat niet wil verbinden.
- WPA3 compatibility mode: clients die compatibility mode snappen gaan alleen roamen naar de evt 6GHz op de WiFi-6 AP. Geen tri-band WiFi-6 AP? Dan geen roaming van die clients. Clients die dat niet doen gaan alleen op 2.4 en 5GHz roamen.
Feest
En stel je hebt managed WiFi... dan fixt je management platform het toch? Uhuh. Maar dan moeten ze nog bedenken hoe dat te doen, testen welke ingrepen werken en vervolgens hoe evt ongewenste neveneffecten (bijv disconnects van hard steering events) te beperken. Gevolg: ik zie bij sommigen WPA3 compatibility mode pas in een verre toekomst op de roadmap staan. Terwijl ze nu al WiFi-7 apparaten aansturen. Met hooguit transition mode. Met alle gevolgen van dien:X
Ergens hoop ik dat er komende tijd een major vulnerability op WPA2 ontdekt wordt die niet (zoals KRACK) betrekkelijk eenvoudig met een update gefixed kan worden, zodat we gedwongen worden om alles WPA3 only te doen en 'fuck the legacy' te roepen...
/u/3626/front-kabels.png?f=community)
/u/12038/crop69547035714ff_cropped.png?f=community)
:strip_icc():strip_exif()/u/105199/crop5cb76c6d18020_cropped.jpeg?f=community)
:strip_icc():strip_exif()/u/12156/crop5e00838980023_cropped.jpeg?f=community)
) een fiber veel makkelijker achter een plint weg te werken is dan een dikke koperkabel.:strip_exif()/u/49248/DPCkoeienUD.gif?f=community)
:strip_exif()/u/3157/sail4L_S70.gif?f=community)
:strip_exif()/u/86638/crop66742fa02feea.webp?f=community)
/u/1322314/crop66c0de5998ad5_cropped.png?f=community)
:no_upscale():strip_icc():strip_exif()/f/image/RwPmg0Yt5KpJKmr4XORzfITX.jpg?f=user_large)
:strip_icc():strip_exif()/u/1894616/crop685afccdcfd37_cropped.jpg?f=community)
:strip_exif()/u/4641/inventive_duck.gif?f=community)
Ooit was tweakers juist om het maximale uit je computer shit te kunnen halen en nu zitten een stelletje deugdoeners te zeggen dat ik maar naar de ICT mannen moet luisteren :strip_icc():strip_exif()/u/71115/plus222.jpg?f=community)
/u/480680/crop5b6c99fd7dead_cropped.png?f=community)
:strip_exif()/f/image/zGkgreBl3AmrPiRxRb8XmcTz.png?f=user_large)
:strip_icc():strip_exif()/u/146731/crop562615a0aa64c.jpeg?f=community)
Toch maar een OpenVPN (want: TCP) achter de hand houden dus?!:strip_exif()/u/34750/Trooper.gif?f=community)
/u/377826/crop6924df8930915_cropped.png?f=community)
/u/581763/crop671d464e1d270_cropped.png?f=community)
/u/33139/crop61a880c2eab36_cropped.png?f=community)
:strip_exif()/u/16622/121823.gif?f=community)
:no_upscale():strip_icc():strip_exif()/f/image/nXrTO0K8NzDJoLuyJqd8VTwC.jpg?f=user_large)
/u/35508/crop61e6aa7b579e2_cropped.png?f=community)
