#!/coding/blatt
Sammelsurium mit Schwerpunkten Linux & IT-Sicherheit

OpenWrt 21.02: WPA3 mit WPA2-Fallback verwenden

14. September 2021 Stephan

Vor einigen Tagen habe ich auf meinem LTE-Router die neue Version 21.02 von OpenWrt installiert. Mit dieser Version wird der Verschlüsselungsstandard WPA3 "out of the box" unterstützt. Dieses habe ich zum Anlass genommen, für mein WLAN-Netzwerk die Verschlüsselung von WPA2 auf WPA3 umzustellen. Da ich derzeit noch diverse Geräte besitze, die WPA3 nicht unterstützen, habe ich den sogenannten WPA3-Transmission/Mixed-Modus eingestellt. Dadurch können zumindestens alle meine Geräte, die bereits WPA3 unterstützen, dies auch verwenden und die nur WPA2 unterstützenden Geräte können weiterhin WPA2 verwenden.

Folgende Software wurde verwendet:
  • OpenWrt v21.02.0

WPA3-Transmission-Modus für WLAN einstellen

Öffnet die LuCI-Weboberfläche eures OpenWrt-Routers und meldet euch an. Wechselt anschließend auf die "Wireless"-Einstellungsseite via Network - Wireless. Klickt hier auf die Edit-Schaltfläche eures WLAN-Netwerks. In dem sich öffnenden Dialog wechselt zum Tab Wireless Security im Bereich Interface Configuration. Hier wählt unter Encryption die Option WPA2-PSK/WPA3-SAE Mixed Mode (strong security).

OpenWrt: WPA3 für WLAN einstellen

Danach klickt auf Save und dann noch einmal auf Save & Apply. Damit verwendet euer WLAN-Netwerk nun zukünftig WPA3 zur Verbindung mit Geräten, die WPA3 unterstützen und fallbackmäßig WPA2 für alle anderen Geräte.

OpenWrt: WLAN-Netzwerk mit WPA3 im Transmission-Modus
Hinweis WPA3-Only-Modus

Wenn ihr euch ausschließlich mit Geräten, die WPA3 unterstützen, mit eurem Router verbinden wollt, dann könnt ihr auch auf den Transmission-/Mixed-Modus verzichten. Als Verschlüsselung wählt dafür WPA3-SAE (strong security). In diesem Fall gibt es keinen Fallback auf WPA2.

Überprüfen, ob Gerät mit WPA2 oder WPA3 verbunden ist

Gerade im Transmission-Modus wäre es interessant zu wissen, ob die WPA3-Geräte sich auch wirklich mit WPA3 und nicht doch noch mit WPA2 verbinden. Leider gibt es derzeit keine (mir bekannte) Möglichkeit, direkt über die LuCI-Weboberfläche zu sehen, mit welcher Verschlüsselungsart ein Gerät mit dem Router verbunden ist. Laut OpenWrt-Forum kann man es ggf. auf Konsolenebene mittels hostapd_cli ermitteln. Bei mir hat die Ermittlung leider nicht funktioniert.

Alternativ kann man auch auf Clientseite die verwendete Verschlüsselung feststellen. Unter Ubuntu (v20.04 LTS) kann dazu z.B. folgender Befehl verwendet werden:

sudo wpa_cli -i INTERFACE_NAME status
Terminal / Konsole

Beim Aufruf des Befehls müsst ihr "INTERFACE_NAME" durch den Interface-Namen eures verwendeten WLAN-Interfaces eintragen. Das findet ihr z.B. per ip address raus.

Wenn WPA3 verwendet wird, dann sollte die Ausgabe folgende Werte enthalten:

  • key_mgmt=SAE
  • pmf=1
  • sae_group=19
  • wpa_state=COMPLETED

Fazit

Mit OpenWrt 21.02 lässt sich WPA3 problemlos "out of the box" aktivieren und das sowohl mit als auch ohne WPA2-Fallback-Modus.