Hi,

nachdem die Fritzboxen seit kurzem WPA3 unterstützen, habe ich das bei meiner 7590 auch mal aktiviert.

Ich habe in meinem Netz auch einen uralt-Laptop mit einer "antiken" intel 4965agn und Win10 mit dem 2004 Update, welche ich über den Gastzugang ins Netz hänge.

Wenn ich die Sicherheit auf WPA2 (CCMP) einstelle, verbindet sich das Gerät sofort (dabei zeigt es dann in der Fritzbox eine Verbindung mit WPA2 an).

Wenn ich die Sicherheit auf das neue WPA2 + WPA3 stelle, kommt "mit diesem Netzwerk ist keine Verbindung möglich"

Kennt jemand das Phänomen?

Ich nehme mal an, dass die alte Karte noch kein WPA3 kann, richtig? Oder hängt das nur am Windows?

Wenn die kein WPA3 kann, müsste die sich doch per WPA2 anmelden, und das genauso wie bisher, oder? Bei allen anderen WLAN-Geräten im Haus tut das ja auch.

Oder versucht Windows eine WPA3-Verbindung aufzubauen und das tut mit dem Treiber nicht und daher versagt die Verbindung. Kann ich dann irgendwo im Windows vorgeben, welche Sicherheitseinstellung es verwenden soll (also WPA2 erzwingen?)

Bei mir läuft es, mit alten und neuen Geräten. Beta 7.19 auf einer 6591.

Dieser Mischmodus scheint mit vielen Geräten Probleme zu machen. Macs sollen zB ziemlich stark betroffen sein.

Ich hab damit auch immer wieder kurze Verbindungsabbrüche, selbst zwischen FritzBox und FritzRepeater. Deshalb hab ich WPA3 noch deaktiviert, hab eh kaum Geräte, die es unterstützen.

Bei mir läuft es, mit alten und neuen Geräten. Beta 7.19 auf einer 6591.

Bei mir ja mit zig alten Geräten auch Nur der eine Laptop will nicht


Dieser Mischmodus scheint mit vielen Geräten Probleme zu machen. Macs sollen zB ziemlich stark betroffen sein.

Ich finde dazu nichts. Hast du mir evtl. ein oder zwei Links als Anhaltspunkt?

Ich vermute mal, dass du das WLAN-Passwort am Notebook nicht neu eingegeben hast, sondern einfach nur am Router das WPA3 aktiviert hast.

In dem Fall hat das Notebook die Einstellungen der Verbindung nicht neu abgefragt, sondern versucht mit den bisher bekannten WLAN-Einstellungen die Verbindung aufzubauen. Zum Beispiel mit dem TKIP-Protokoll, wobei WPA3 das TKIP nicht mag.

Also einfach mal die WLAN-Verbindung am Notebook löschen, dann WPA3 aktivieren und dann die Verbindung mit neuer Passwort-Eingabe aufbauen. Dann holt er sich die korrekten Einstellungen, die für dein WPA3 gelten (und für WPA2 funktionieren).

Wenn es dann immer noch nicht klappt, dann einfach mal auf das nächste Fritzbox-Update warten. Vielleicht bessern die da noch nach.

Ich vermute mal, dass du das WLAN-Passwort am Notebook nicht neu eingegeben hast, sondern einfach nur am Router das WPA3 aktiviert hast.

Ne, das habe ich schon neu eingegeben. Der will es ja direkt neu haben nachdem ich umgestellt habe.
Passwort ist auch das richtige, weil wenn ich es absichtlich falsch eingebe, kommt eine andere Meldung.

Habe ja sogar die ganzen Netzwerkverbindungen resettet (gibt ja in Windows 10 diese option, die dann auch einen Neustart erfordert und alle Netzeinstellungen löscht). Hat leider auch nichts gebracht.

Mein Verdacht ist ja immer noch, dass Win10 versucht per WPA3 zu verbinden (kann es ja theoretisch) und die antike Netzwerkkarte WPA3 halt nicht richtig kann :(

(war zu langsam, hat sich erledigt)

Ich finde dazu nichts. Hast du mir evtl. ein oder zwei Links als Anhaltspunkt?
Lese das immer wieder in diversen Router/DSL-Foren, wo ich unterwegs bin.

Hier zB: https://www.ip-phone-forum.de/threads/f-b-repeater-2400-7-20-vo-21-07-20.307453/#post-2379490

Ich habe gerade einen Hinweis gefunden, womit ich es mir erklären könnte. Kann das jemand bestätigen?

setzen zwingend die Aktivierung von "Protected Management Frames (PMF; 802.11w)" voraus. Das gilt auch für parallele WPA2/3-Verbindungen im WPA-Modus "WPA2 + WPA3" (https://avm.de/wpa3/)

Intel(R) Wireless WiFi Link 4965AGN ... 802.11w Management Frame Protection wird unterstützt: Nein (https://answers.microsoft.com/en-us/windows/forum/all/cant-change-hosted-network-to-yes/9367804f-2afd-4a8b-8e64-6dad33867603)

Kann es sein, dass die Karte wirklich kein 802.11w kann und das wirklich zwingend in dem Mischmodus aktiv sein muss?
(Habe ehrlich gesagt erst jetzt von dem Standard was gehört, ist mir also komplett neu)

Jepp, das Intel Wireless WiFi Link 4965AGN ist ja in etwas genauso alt wie der Standard 802.11w selber, wird also genau das Problem sein.

PMF wars auch an einem alten HP-Drucker aus 2014, was bei WPA3 ja zwingend ist.
Hilft wohl nur in Zukunft mal einen aktuellen Repeater zu kaufen und dann per LAN dranhängen.

Hat es einen sinnvollen Grund, weshalb in dem WPA2+WPA3-Modus auch WPA2 dieses PMF erfordert?
Gerade für eine Übergangszeit werden ja einige ältere aber doch noch genutzte Geräte damit ausgeschlossen oder aber die Aktivierung von WPA3 (und sei es nur zu Testzwecken) behindert :(

Jetzt lasse ich wegen dem Gerät WPA3 aus, dabei könnte ich zumindest den aktuellen Laptop und die Handies von meiner Frau und mir per WPA3 absichern.

Das hat einfache Sicherheitsgründe, weswegen ja grundsätzlich auch WPA3 eingeführt wird. Dieser PMF-Standard ist ja bereits von 2009, daher "sollten" inzwischen eigentlich alle Geräte dieses auch unterstützen.

Protected Management Frames, kurz PMF, schützen Steuerinformationen im WLAN, beispielsweise beim An- und Abmelden. Ohne PMF können Angreifer WLAN-Clients von ihrer Basis abmelden, um sie dazu zu bewegen, sich bei einem von ihnen eingerichteten Honeypot neu anzumelden.

https://www.heise.de/select/ct/2019/2/1546773697424925

Aber alternativ kannst du doch einfach mit einem WLAN-Stick dein Notebook nachrüsten, so teuer sind die ja nicht mehr (falls ein Anschluss dafür frei ist).

Das hat einfache Sicherheitsgründe, weswegen ja grundsätzlich auch WPA3 eingeführt wird. Dieser PMF-Standard ist ja bereits von 2009, daher "sollten" inzwischen eigentlich alle Geräte dieses auch unterstützen.


Naja, 2009 eingeführt kann auch heissen, dass erst ab ca. 2012 ALLE Geräte das an Bord haben. Wenn ich Wake oben richtig verstanden habe, gibt es auch 2014er Geräte die das nicht können.

Die typische PC-Hardware in diesem Forum wird das schon an Bord haben, aber ich sehe immer mehr, dass bei mir auch Hardware teilweise 15 Jahre betrieben wird. Laptops werden 4 mal rumgereicht (In Corona-Tagen habe ich auch meine 2 Grundschulkinder mit Laptop ausstatten dürfen, daher die Reaktivierung des alten Geräts), und neue Haustechnik hat auch oft WLAN und soll auch ein paar Jahre laufen. Die ganze neu SmartHome-Technik hat ja jetzt WLAN an Bord und ist sicher auf längere Lebendsdauer ausgelegt. Bei mir sind es die Harmony, die Klimaanlage, die Wasserenthärtung, der Receiver die Gartenbewässerung und die Photovoltaik welche hoffentlich noch >10 Jahre an meinem WLAN funktionieren werden. Macht mir irgendwie schon Sorgen, dass da so bereitwillig ältere Geräte abgeschnitten werden.



Aber alternativ kannst du doch einfach mit einem WLAN-Stick dein Notebook nachrüsten, so teuer sind die ja nicht mehr (falls ein Anschluss dafür frei ist).

Leider NoGo. Schonmal Kinder gesehen, die einen Laptop durch die Gegend tragen? Und wie fragil ein aus dem USB-Port ragender Stick ist? :devil:


Dass es einen Modus gibt, bei dem nur der neuere Standard unterstützt wird ist ja aus Sicherheitsgründen verständlich. Ich verstehe aber nicht, wieso nicht zumindest optional angeboten wird:
WPA3 + PMF und aber parallel immer noch WPA2 ohne PMF.
Das ist doch immer noch besser wie nur WPA2 ohne PMF. Bei der Fritzbox kann man ja bei reinem WPA2-Betrieb das PMF ja auch separat ein oder abschalten.
Oder geht das technisch nicht, wiel beim Mischbetrieb die Anmeldeprozedur für WPA2 und WPA3 gleich ist?

https://www.amazon.de/TP-Link-TL-WN725N-Adapter-150Mbit-geeignet/dp/B008IFXQFU/

oder was ähnliches. ragt nur etwa so weit raus wie die Logitech Mausempfänger, und die machen auch keine Probleme.

Oder einfach warten bis die Sache ausgereift ist, da wird sicher noch viel nachgebessert. WPA2-PSK mit einem ausreichend starken Passwort ist immer noch sicher.

Dass es einen Modus gibt, bei dem nur der neuere Standard unterstützt wird ist ja aus Sicherheitsgründen verständlich. Ich verstehe aber nicht, wieso nicht zumindest optional angeboten wird:
WPA3 + PMF und aber parallel immer noch WPA2 ohne PMF.
Das ist doch immer noch besser wie nur WPA2 ohne PMF. Bei der Fritzbox kann man ja bei reinem WPA2-Betrieb das PMF ja auch separat ein oder abschalten.
Oder geht das technisch nicht, wiel beim Mischbetrieb die Anmeldeprozedur für WPA2 und WPA3 gleich ist?

Genau das wird wahrscheinlich nicht der Fall sein. Extrem viele Angriffe funktionieren über Downgrades, die eine ältere Protokollversion erzwingen.

Es gab 2017 auch schon mal einen größerem Angriff auf WPA2:
https://www.heise.de/security/meldung/Details-zur-KRACK-Attacke-WPA2-ist-angeschlagen-aber-nicht-gaenzlich-geknackt-3862571.html

Aber dieses dürfte auch nur noch Geräte betreffen die älter als 2017 sind und seit dem keine Sicherheitsupdates mehr bekommen haben (also Windows 10 ist definitiv gefixt):
https://github.com/kristate/krackinfo

Hier wird PMF erklärt, AVM könnte die Option ohne PMF also schon noch anbieten.

Drei verschiedene Optionen für Protected Management Frames

Sind in einem WLAN beziehungsweise an einem WLAN-Accesspoint Protected Management Frames nach IEEE 802.11w implementiert, stehen für die Anmeldung der Clients grundsätzlich drei Optionen zur Verfügung. Mit diesen Optionen lässt sich sicherstellen oder ausschließen, dass Clients ohne 802.11w-Unterstützung das drahtlose Netzwerk nutzen. Die drei verfügbaren PMF-Optionen sind:

1. Clients melden sich ohne PMF an. Die Management Frames sind grundsätzlich nicht geschützt und nicht verschlüsselt. PMF ist nicht aktiviert oder konfiguriert

2. Protected Management Frames sind zwingend vorgeschrieben. Die Management Frames werden daher immer verschlüsselt. Clients ohne 802.11w-Unterstützung erhalten keinen Zugang zum drahtlosen Netzwerk.

3. Die Verwendung von Protected Management Frames ist optional. Je nach 802.11w-Unterstützung des WLAN-Clients sind die Management Frames unverschlüsselt oder verschlüsselt. Der Client entscheidet selbst, ob er PMF verwendet oder nicht.


https://www.ip-insider.de/was-sind-protected-management-frames-pmf-80211w-a-780737/

Könnte schon, aber das war ja schon eine bewusste Entscheidung von denen. Diese Funktion gibt es ja schon einige Zeit optional bei den Fritzboxen:
[X] Unterstützung für geschützte Anmeldungen von WLAN-Geräten (PMF) aktivieren (so siehts aktuell noch bei meiner aus, das neue Update steht noch aus)

Oder einfach warten bis die Sache ausgereift ist, da wird sicher noch viel nachgebessert. WPA2-PSK mit einem ausreichend starken Passwort ist immer noch sicher.

Natürlich werde ich jetzt einfach WPA3 nicht aktivieren. finde es nur schade, weil ich normalerweise neue Features gerne schnell ausprobiere.
Und es mir vom Prinzip missfällt, dass so nebenbei alte aber sonst noch voll funktionsfähige Geräte abgekoppelt werden.

(netsh wlan show driver zeigt übrigens tatsächlich "802.11w Management Frame Protection wird unterstützt: Nein" an)


Hier wird PMF erklärt, AVM könnte die Option ohne PMF also schon noch anbieten.

3.[...]

https://www.ip-insider.de/was-sind-protected-management-frames-pmf-80211w-a-780737/
Danke!
D.h. es spricht technisch nichts dagegen und es ist rein eine Entscheidung von AVM :(

Könnte schon, aber das war ja schon eine bewusste Entscheidung von denen. Diese Funktion gibt es ja schon einige Zeit optional bei den Fritzboxen:
(so siehts aktuell noch bei meiner aus, das neue Update steht noch aus)

Ich weiss. So sieht es auch nach dem Update aus, wenn du WPA2 auswählst. Wenn du aber WPA2+WPA3 auswählst ist diese Einstellung ausgegraut und angekreuzt, d.h. nicht mehr abwählbar.

Interessant ist auch, dass diese Option beim Gast-WLAN gar nicht zu finden ist (ist nur beim Internen).

Oder einfach warten bis die Sache ausgereift ist, da wird sicher noch viel nachgebessert. WPA2-PSK mit einem ausreichend starken Passwort ist immer noch sicher.Passwort Stärke bringt nicht viel wenn man das Netzwerk "stören" kann und hier ist WPA2 mittlerweile der letzte Müll in Sachen Sicherheit bzw. wie damit von den Herstellern umgegangen wird.