Hallo.
Jetzt ist ein Blick in die Glaskugel gefragt, denn die Frage ist genauso vage wie mögliche Antworten: Wir haben seit kurzem viele iPads im Einsatz (Größenordnung 300 – gemanaged über relution). Über Unifi-Accesspoints (in jedem Klassenraum einer) ist überall genug Signalstärke vorhanden. Die Leitung vom Klassenraum bis zum Switch ist eine 1GBit-Leitung und vom Switch rüber zum nächsten sind es 2x 10 GBit Fiber. Raus geht es mit einer 1GBit Internetleitung über eine OPNSense Firewall (bare metal). Die Firewall vergibt auch die IP-Adressen in dem Tablet-WLAN. Es handelt sich um ein /16er Netz mit einem mehr als großen DHCP-Bereich.
Die eingesetzten Ressourcen sind also zunächst mal ganz ok, meine ich?!
Heute stellte sich heraus, dass viele iPads immer wieder über „keine Internetverbindung“ in den Einstellungen meckern. Nach einer kurzen Zeit ist das Gerät wieder online aber nach etwas Wartezeit dann wieder offline. So ist kein vernünftiges Arbeiten möglich und die Suche nach der Ursache hat natürlich schon begonnen. Wir haben für andere Geräte ein weiteres WLAN über die gleichen Accesspoints, das absolut stabil läuft. Daher liegt natürlich die Vermutung nahe, dass es in dem beschriebenen WLAN an der Größe und der Anzahl der Geräte liegen könnte, doch ich finde keinen Anhaltspunkt, wo/wie ich das genauer einkreisen könnte.
Das MDM und der Server langweilen sich, die Netzlast ist sehr überschaubar – und trotzdem verabschieden sich die Geräte aus dem WLAN!??
Wer hat einen guten Tipp, wie man das einkreisen kann? Übrigens heißt das WLAN schlicht „iPad“ – nicht, dass das am Ende ein verbotener Name für ein iPad ist?
bei der Einrichtung von neuen Unifi-APs (nun auch in allen Klassenzimmern) hat mir ein ITler der Schult-IT erzählt, dass sie an anderen Schulen Probleme mit den Signalstärken bei iPads gehabt hätten. Da in den Klassenzimmern überall APs hängen, hätten sie gute Erfahrungen damit gemacht, die Signalbandbreite auf 40 MHz bei 2,4 GHz und 80 MHz bei 5 GHz zu erhöhen sowie die Signalstärke auf medium zu stellen.
Den Reichweitenverlust durch die Erhöhung der Signalbandbreite fällt nicht so sehr ins Gewicht, da ja in jedem Klassenzimmer ein AP hängt.
Dazu habe ich noch keine Erfahrungswerte, probiere es aber nun nach den Ferien aus.
Des Weiteren hatte ich mal die Einstellung, dass automatisch 5 GHz bei unterstützen Geräten verwendet werden soll. Das hatte auch zu Verbindungsproblemen bei iPads geführt.
Vielleicht findest du hier ja einen Ansatzpunkt, der dir hilft.
Bei uns in HH, in einer Cisco-Welt gab es reichlich und über längere Zeit -Deinem vergleichbaren- Stress mit der zertifikatsbasierten Authentifizierung unserer schuleigenen iPads und auch Windows Notebooks. Die BYOD in einem anderen VLAN auf denselben APs funktionierten dagegen mit Benutzer und Kennwort leidlich. Seit unserer Dienstleister irgendwas an einem „Load Balancer“ anders eingestellt hat, ist das deutlich besser geworden.
Kann es sein, dass es auch bei Euch timeouts bei der Authentifizierung gibt?
Aus technischer Sicht entspricht die Verdopplung der Bandbreite erstmal nur eine Art Kanalbündelung, die keinen Einfluss auf die Signalstärke hat. Da werden einfach nur zwei benachbarte Funkkanäle gleichzeitig benutzt. Entscheidender dürfte hier die Reduktion der Sendeleistung sein, damit sich überlappende Funkzellen weniger in die Quere kommen. Kanalbündelung zu aktivieren, dürfte an der Stelle sogar kontraproduktiv sein, weil damit die Wahrscheinlichkeit steigt, dass benachbarte Accesspoints die selben Funkkanäle benutzen.
Wechseln die iPads die Accesspoints, also ist das Problem durch Roaming ausgelöst? Dann würde geringere Sendeleistung helfen.
Je nach AP-Hersteller gibt es eine Option, die 5-Ghz-fähigen Endgeräten mitteilt von 2,4 GHz ins 5 GHz-Band zu wechseln. Diese könnte man versuchsweise abschalten, um eine Änderung zu beobachten.
wir haben ein ähnliches, vielleicht das gleiche Problem. Auch iPads, auch Unifi, ähnliches Netzwerk aber JamF als MDM.
Das Problem trat gefühlt plötzlich Mitte/Ende Juni auf. Davor gab es keine Probleme, am Netzwerk und an der Nutzungsintensität hat sich nichts geändert, von daher glaube ich nicht an Signalstärke- oder Performanceprobleme.
Ich habe allerdings ziemlich zeitgleich ein Update der Unifi-APs auf die aktuelle Version 6.0.21 (wir haben die HD-APs, da gibt’s nichts neueres) durchgeführt und habe das daher erstmal sofort darauf geschoben und auch einen Thread im Unifi-Forum aufgemacht auf den nie jemand gescheit reagiert hat. Deshalb habe ich die APs wieder auf die Vorversion 6.0.19 downgegraded. Leider ohne Verbesserung, weshalb ich eigentlich nicht mehr an die Unifi-Firmware-Version als Verursacher glaube (außer, beim Downgrade wäre irgendwas zurückgeblieben).
Die Probleme treten auch mit unterschiedlichen iOS-Versionen auf, manche iPads funktionieren, andere nicht. Ob das zeitlich variiert, meine ich, kann es aber nicht genau sagen. Auch nicht, ob zu dem Zeitpunkt auch gerade eine neue iOS-Version ausgerollt wurde.
Vermeintlich ist es aber so, dass die Probleme nur in dem WLAN auftreten, in dem die schuleigenen Geräte rein über WPA2-Key hängen (feste IP via devices/DHCP vom Server zugewiesen, also ausreichend IPs), andere (nicht iPad) Geräte in diesem Netz funktionieren übrigens weiterhin stabil; das BYOD-WLAN, in dem sich die Geräte über das netzint-Portal authentifizieren, ist vermeintlich nicht betroffen. Wenn betroffene iPads in das BYOD-WLAN wechseln, funktionieren sie sofort. Ist (bei uns) ein Workaround, will ich nur nicht dauerhaft, weil sie sich ständig am Portal authentifizieren müssten.
Leider kam ich sowohl aufgrund von Zeit- als auch KnowHow-Gründen bisher nicht dazu, das genauer zu debuggen.
noch eine Idee: Wenn WPA2-Enterprise eingesetzt wird, gibt es einen Rekeying-Zyklus. Das ist die Zeit nach der AP und WLAN-Client einen neuen Session-Key zum Verschlüsseln des Datenverkehrs aushandeln. Bei vielen AP-Herstellern kann man diese Zeit einstellen. Ein gängiger Wert ist sowas wie alle 3600 Sekunden (stündlich). Den Zyklus könnte man auf 24 Stunden erhöhen und dann beobachten, ob sich die Situation bessert.
bei uns nur WPA-PSK.
Die o.g. Netze können sich natürlich noch weiter unterscheiden (DHCP vom Server bzw. von OPNsense). Kann ich gerade nicht 100% genau sagen, haben wir mit DL eingerichtet. Aber daran hat sich nichts geändert.
Hi.
„Beruhigend“, dass ihr das gleiche Problem habt! Wir sind heute noch nicht wesentlich weiter gekommen. Die Umstellung der Signalbreite hatte bisher keinen durschlagenen Erfolg. Mein iPad war heute weiterhin offline-online-offline-online, sobald ich in das iPad-WLAN gewechselt habe. Im anderen WLAN ist wie gesagt alles ok … daher kann’s ja kaum an der Verkabelung liegen!?
Die anderen Dinge müssen wir nach und nach prüfen.
Ich bin allerdings froh, dass ich diese „unspezifische“ Frage am Ende doch hier gepostet habe, denn ich hatte schon befürchtet, dass da niemand drauf antworten würde. Dass nun aber gleich mehrere von Euch scheinbar ähnliches oder genau das gleiche beobachtet hat, beruhigt ja schon fast wieder
Ich kotz immer bei IPads weil das Debugging da manchmal echt… egal, hiflt nicht weiter.
Ich habe bei einem Kunden auch ein WLAN VLAN mit Ubiquiti an eine Opnsense angeschlossen. Ich vermute also, dass Grundsätzlich das zusammenspiel möglich ist.
Schon geprüft, ob Mac-Adressen volllaufen? Ggf. musst du die Mac-Randomisierung im MDM ausschalten
Access Points und Switches auf aktuellen Stand?
früher gab es mal Probleme mit Beacon und UBiquiti und IPads. Weiß aber nicht ob das noch aktuell ist. Da gab es irgendwo ne Einstellung (ich glaub war aber sehr sepzifischer fehler… da ging es auch darum, dass Ipads dachten das Passwort ist falsch)
Um dem Fehler genauer beizukommen würd ich sonst mal ein Linuxgerät einhängen und mal gucken was im Journalctl/kernellog/tcpdump so passiert.
Ja, die haben wir per relution-Richtlinie für dieses WLAN ausgeschaltet.
Ja, der Controller hat die Version 7.2.92 und die Firmware der Accesspoints ist bei 6.0.21.13673. Etwas aktuelleres wurde mir bisher nicht angeboten.
Hm – das würde aber nicht erklären, warum es im Parallel-Netz läuft, oder?
Gute Idee – kann ich morgen mal machen.
Übrigens könnte auch dies ein Anhaltspunkt sein: Wenn ich auf dem UniFi-Controller unter „Alarme“ nachschaue, habe ich des öfteren am Tag die Meldungen: „AP … wurde getrennt“. Das ist beunruhigend, da dort physikalisch natürlich gar nichts getrennt wurde!
Des weiteren habe ich da ab und zu einzelne Accesspoints, die aus unbekannten Gründen nur eine Verbindung mit „100FDX“ anzeigen. Nimmt man diese Accesspoints einmal vom Strom und startet sie neu, sind sie wieder auf 1 GBit. Das kommt nur ab und zu vor. Im Moment sind aber wieder zwei Accesspoints davon betroffen. (Es liegen überall CAT.6 Kabel in den Wänden!)
Das kann ja noch „lustig“ werden, bis das Problem eingekreist ist…
Viele Grüße,
Michael
Dann würde ich mal behaupten, dass etwas mit deinem Mangement-LAN nciht stimmt.
Ich kenne die 100FDX-Meldung hauptsächlich dann, wenn das Kabel beschädigt ist. Solche Probleme, dass Access Points dauernd on/offline gehen, kommt daher, wenn mit der Netzwerkkonfiguration was nicht stimmt (in unserem Fall meistens DHCP).
z.B.:
mehrere DHCP-Server im Mgmt-Netz
Manamgent-VLAN eingetragen oder falsch
Subnetzmaske nicht ausreichend
IP-Konflikte
Falls Loop-Protection deaktiviert: loop
P.S.: ich könnte mir vorstellen, dass du dich auch mit einem Versuchsaufbau glücklich machen kannst (Ferien bieten es eh an):
Alles ausstecken bis auf: Opensense, 1 Switch, Controller, 1 Access Point
Wenn es dann geht, weißt du schon mal, dass das Problem nicht in der Konfiguration liegt. Dann kannst du auf die Suche gehen.
Und wenn du dann ganz pech hast, ist irgendwo ein defektes Gerät, welches das Netzwerk mit Paketen flooded (ein mal passiert, da kann man im Strahl…). Habs durch sukkzessives Abstecken rausgefunden - hätte man aber bestimmt auch mit Wireshark oder so ermitteln können. (<- vielleicht lohnt sich da auch mal ein Blick für dich?)
OMG … das klingt nach der Suche nach der sprichwörtlichen Nadel im Heuhaufen.
Was die 100FDX-Meldung angeht: Ich habe mir dabei bisher nie etwas gedacht, weil es nicht immer die gleichen Accesspoints waren. Und alle Kabel können kaum defekt sein. Manchmal reicht auch ein Neustart und es wird wieder 1GBit angezeigt.
Hallo Michael,
du betreibst deinen Unifi-Controller aber schon auf einem Linux-Server und nicht etwa auf einer UDM-Pro o.ä.?
Ein derartiges Verhalten konnten wir nämlich beobachten, als wir versucht haben unsere Unifi-Umgebung auf einer UDM-Pro zu betreiben. Die war schlicht und einfach überfordert damit.
LG
Daniel
auch ich beobachte schon seit Längerem immer wieder Meldungen, dass APs mal offline seien. Auch wenn das vielleicht nicht sauber ist, glaube ich nicht, dass es mit dem vorliegenden Problem zu tun hat, denn: die Meldungen haben wir schon ewig, das iPad-Problem trat erst seit Juni und plötzlich auf. Auch, dass Windows-Laptops im gleichen WLAN sauber funktionieren und nur die iPdas nicht, spricht imho dagegen.
Also nicht, dass man das auch mal angehen könnte aber ich glaube, wir müssen woanders suchen.
Hallo.
Wir haben eine Merkwürdigkeit im WLAN gefunden und geändert – seitdem laufen die iPads schnell und ohne Verbindungsabbrüche .
Ich beschreibe mal die gefundene Merkwürdigkeit – falls das in das Reich der Märchen und Mythen gehört und es keinen kausalen Zusammenhang mit den beobachteten Effekten geben kann, lasse ich mich gerne eines besseren belehren…
Aber der Reihe nach:
Es war einmal eine OPNSense, auf der war ein sehr großer DHCP-Bereich einstellt. Das Netz für das WLAN war ein /16er Netz und die DHCP-Range erstreckte sich von 172.16.1.1 bis 172.16.10.254.
Bei der Durchsicht der Leases stellte ich gestern fest, dass von der OPNSense an die iPads auch IP-Adressen wie z.B. 172.16.3.0 oder auch 172.16.9.255 vergeben wurden. Da wurde ich hellhörig: In kleinen /24er Netzen sind das ja gerade die Multicast-/Broadcastadressen, die man nicht verwenden kann.
Was, wenn es auf UniFi- oder Apple-Seite ein Problem damit gibt, wenn eine Gerät so eine IP-Adresse erhalten hat (auch wenn die Netzmaske zu einem /16er Netz gehört)?? Ich bin nicht Fachmann genug um beurteilen zu können, ob das auf den Tablets den beobachteten Stress verursacht hat.
Fest steht aber: Wir haben es geändert und die Probleme mit den Disconnects sind (nach allem, was ich heute gesehen habe) verschwunden.
Da stellt sich schon die Frage, ob das überhaupt die Ursache sein kann und ob das bei Euch auch so eingestellt ist?
Hallo Michael, hi @all,
laut „Lehrbuch“ sind .0 und .255 für Broadcast reserviert und dürfen nicht an „Endgeräte“ vergeben werden. So habe ich es zumindest gelernt
Danke für deinen Hinweis!
VG Andreas
ob die .0 und .255 reservierte Adressen sind hängt m.E. von der Netzmaske ab. Für ein 24-Netz sind sie reserviert, da sie die erste und die letzte IP-Adressen darstellen.
Z.B. in einem 16-Netz hingegen sind auch die erste und letzte IP reserviert, zwischendrin gibt es aber weitere .0 und .255 Adressen, diese sollten m.E. normal nutzbar sein.
Also dass das so ist mit den beiden einzigen „reservierten“ Adressen .0 und .255 ganz am Anfang und ganz am Ende des /16er Netzes steht außer Frage … die eigentliche Frage ist, ob ein Endgerät trotzdem mit so einer Adresse wie 172.16.3.0 oder 172.16.5.255 und /16er Netzmaske Probleme machen kann?
.
