28.07.2025
387
9
0UniFi AP isoliert verbundene Clients
Servus Zusammen,
an einem Außenstandort mussten wir das WLAN erweitern. Gegeben war ein UniFi AP Flex-HD und ein UniFi-Controller
in der Version 9.3.43 welcher in einer Debian VM läuft.
Nun haben wir das ganze um 2 APs (UniFi U6-LR) erweitert. Die neuen APs hängen im im LAN, haben eine feste IP,
werden sowohl vom Controller als auch vom ersten AP gefunden, alles gut soweit.
Nun ist es aber so, dass wenn man das Roaming von AP zu AP nutzt, sprich man sich mit dem Gerät durch die Hallen
bewegt und sich das Gerät von AP zu AP einbinden soll, das Gerät dies dann auch zügig macht (kann man
am Controller sehen), jedoch dann das verbundene Gerät auf dem AP quasi wie isoliert ist.
Beispiel: Ich lasse den Ping auf die IP vom Controller laufen, bin am ersten AP eingebucht. Ping läuft sauber durch,
nun bewege ich mich weiter zum nächsten AP. Ping reißt ab, eine Einbuchung am Controller am neuen AP ist zu sehen (von nem anderen Platz aus) jedoch geht der Ping auch Minuten später nicht weiter. Was aber funktioniert ist, dass ich mit dem Gerät die IP des verbundenen APs pingen kann, jedoch keine andere IP (sowohl intern als auch extern).
Wie gesagt, es wirkt so, als würde der AP den Client isolieren.
Geht man auf den Anfangs-AP zurück wählt sich das Gerät sofort ein, der Ping läuft wieder sauber durch.
Bei den WLAN-Einstellungen ist keine Client-Isolierung eingestellt oder ähnliches.
Das ist nicht das erste UniFi-WLAN, das ich erweitere, jedoch das erste, das mir hier mein Gerät isoliert.
Hatte das schon mal jemand bzw. hätte noch jemand einen Ansatzpunkt?
Bei Fragen bitte Bescheid geben. Danke
an einem Außenstandort mussten wir das WLAN erweitern. Gegeben war ein UniFi AP Flex-HD und ein UniFi-Controller
in der Version 9.3.43 welcher in einer Debian VM läuft.
Nun haben wir das ganze um 2 APs (UniFi U6-LR) erweitert. Die neuen APs hängen im im LAN, haben eine feste IP,
werden sowohl vom Controller als auch vom ersten AP gefunden, alles gut soweit.
Nun ist es aber so, dass wenn man das Roaming von AP zu AP nutzt, sprich man sich mit dem Gerät durch die Hallen
bewegt und sich das Gerät von AP zu AP einbinden soll, das Gerät dies dann auch zügig macht (kann man
am Controller sehen), jedoch dann das verbundene Gerät auf dem AP quasi wie isoliert ist.
Beispiel: Ich lasse den Ping auf die IP vom Controller laufen, bin am ersten AP eingebucht. Ping läuft sauber durch,
nun bewege ich mich weiter zum nächsten AP. Ping reißt ab, eine Einbuchung am Controller am neuen AP ist zu sehen (von nem anderen Platz aus) jedoch geht der Ping auch Minuten später nicht weiter. Was aber funktioniert ist, dass ich mit dem Gerät die IP des verbundenen APs pingen kann, jedoch keine andere IP (sowohl intern als auch extern).
Wie gesagt, es wirkt so, als würde der AP den Client isolieren.
Geht man auf den Anfangs-AP zurück wählt sich das Gerät sofort ein, der Ping läuft wieder sauber durch.
Bei den WLAN-Einstellungen ist keine Client-Isolierung eingestellt oder ähnliches.
Das ist nicht das erste UniFi-WLAN, das ich erweitere, jedoch das erste, das mir hier mein Gerät isoliert.
Hatte das schon mal jemand bzw. hätte noch jemand einen Ansatzpunkt?
Bei Fragen bitte Bescheid geben. Danke
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 674036
Url: https://administrator.de/forum/unifi-wlan-roaming-problem-674036.html
Ausgedruckt am: 28.07.2025 um 13:07 Uhr
9 Kommentare
Neuester Kommentar
Haben die APs alle das selbe VLAN? Mehrere VLANs?
gibt hier nur ein VLAN...
Aufgespannt ist nur eine WLAN-SSID
Aufgespannt ist nur eine WLAN-SSID
Mal abgesehen vom Roaming, funktioniert es, wenn sich das Gerät gleich auf einem der anderen APs anmeldet, also nicht am Ersten?
Ja das funktioniert erstaunlicherweise auch.
Wenn z.B. ein Mitarbeiter kommt und im Bereich des AP02 ist, sich damit als erstes hier einbindet,
klappt das wunderbar. Wenn er aber zu AP01 oder AP03 wechselst wieder das selbe Spiel, dass der AP
das Gerät isoliert. Gehts wieder zurück auf AP02 klappt es sofort wieder
Wenn z.B. ein Mitarbeiter kommt und im Bereich des AP02 ist, sich damit als erstes hier einbindet,
klappt das wunderbar. Wenn er aber zu AP01 oder AP03 wechselst wieder das selbe Spiel, dass der AP
das Gerät isoliert. Gehts wieder zurück auf AP02 klappt es sofort wieder
In einem gut designten bzw. konfigurierten WLAN macht das Roaming aber auch niemals "das Gerät", sondern immer aktiv das WLAN selber indem man üblicherweise BSS Transition mit 802.11r aktiviert was dann in der Regel immer mit 802.11k daherkommt.
Das Aktivieren beider Standards ist in Enterprise WLANs Pflicht um eben unterbrechungsfreies, aktives Roaming der Clients zwischen den AP Funkzellen zu gewährleisten.
Deine recht oberflächliche Beschreibung des Setups lässt vermuten das du eher keinerlei Roaming Funktion aktiviert hast und dann das in Heimnetzen üblichen Client basierte Roaming nutzt was sehr ineffizent ist, da es bei einem AP Wechsel immer zu einem vollständigen Client Abbruch kommt. Client basiertes Roaming passiert wenn man kein aktives Roaming in einem WLAN aktiviert.
Nur ein VLAN zu verwenden spricht ebenso für ein eher laienhaft ausgeführtes WLAN Design bzw. Setup, denn ein gut und vor allem sicher konfiguriertes Enterprise WLAN erfordert immer mindestens 2 VLANs. Eins was rein kupferbasierend ist und nur die gesicherte Management Verbindung zwischen Controller und APs realisiert.
Ein Zweites was dann die eigentlichen WLAN Daten transportiert. Das ein Produktiv WLAN im Enterprise Umfeld auch vom Produktiv LAN getrennt sein sollte gehört ebenso zu einem guten WLAN Design was oben vermutlich grundsätzlich nicht gemacht wurde.
Wenn es als keine falschen VLAN Segmente sein können in dem die APs liegen, weil es im Netzwerk des TOs keinerlei sinnvolle Segmentierung gibt, dann bliebt ja nur das am Controller die Client Isolation Funktion aktiviert wurde die eine any zu any Kommunikation der Clients unterbindet. In controllerbasierten WLANs ist die Client Isolation in der Regel Default!
Das Aktivieren beider Standards ist in Enterprise WLANs Pflicht um eben unterbrechungsfreies, aktives Roaming der Clients zwischen den AP Funkzellen zu gewährleisten.
Deine recht oberflächliche Beschreibung des Setups lässt vermuten das du eher keinerlei Roaming Funktion aktiviert hast und dann das in Heimnetzen üblichen Client basierte Roaming nutzt was sehr ineffizent ist, da es bei einem AP Wechsel immer zu einem vollständigen Client Abbruch kommt. Client basiertes Roaming passiert wenn man kein aktives Roaming in einem WLAN aktiviert.
Nur ein VLAN zu verwenden spricht ebenso für ein eher laienhaft ausgeführtes WLAN Design bzw. Setup, denn ein gut und vor allem sicher konfiguriertes Enterprise WLAN erfordert immer mindestens 2 VLANs. Eins was rein kupferbasierend ist und nur die gesicherte Management Verbindung zwischen Controller und APs realisiert.
Ein Zweites was dann die eigentlichen WLAN Daten transportiert. Das ein Produktiv WLAN im Enterprise Umfeld auch vom Produktiv LAN getrennt sein sollte gehört ebenso zu einem guten WLAN Design was oben vermutlich grundsätzlich nicht gemacht wurde.
Wenn es als keine falschen VLAN Segmente sein können in dem die APs liegen, weil es im Netzwerk des TOs keinerlei sinnvolle Segmentierung gibt, dann bliebt ja nur das am Controller die Client Isolation Funktion aktiviert wurde die eine any zu any Kommunikation der Clients unterbindet. In controllerbasierten WLANs ist die Client Isolation in der Regel Default!
Sind alle Accesspoints in der selben Broadcasting AP Gruppe?
@aqui
BSS und Fast-Roaming sind am Controller aktiv gesetzt.
Was den Aufbau des WLAN betrifft gebe ich dir natürlich Recht, das ist im Grunde genommen großer Mist. Ich bin hier erst vor kurzem eingestiegen, um eben genau diese Problematiken zu bearbeiten. Jedoch heißt es mit Vorgabe aktuell eben nur das WLAN zu erweitern und nicht die Struktur am Standort zu verbessern. Das liegt nicht in meiner Entscheidung.
Jedoch sollte es auch mit der aktuellen Struktur soweit umsetzbar sein, dass, wie ich in meinem Eingangspost geschrieben habe, dass wenn ein Client von einem zum anderen AP wechselt (das Roaming funktioniert sauber was man am Controller sehen kann) der Client vom AP isoliert wird.
Am UniFi-Controller hat man die Möglichkeit einen Haken bei "Client-Geräteisolation" zu setzen, was aber nicht getan wurde. Daher ist es mir eben nicht erklärlich, warum der AP so reagiert bei Geräteverbindung wie er eben reagiert.
@NordicMike
Ja sind sie
BSS und Fast-Roaming sind am Controller aktiv gesetzt.
Was den Aufbau des WLAN betrifft gebe ich dir natürlich Recht, das ist im Grunde genommen großer Mist. Ich bin hier erst vor kurzem eingestiegen, um eben genau diese Problematiken zu bearbeiten. Jedoch heißt es mit Vorgabe aktuell eben nur das WLAN zu erweitern und nicht die Struktur am Standort zu verbessern. Das liegt nicht in meiner Entscheidung.
Jedoch sollte es auch mit der aktuellen Struktur soweit umsetzbar sein, dass, wie ich in meinem Eingangspost geschrieben habe, dass wenn ein Client von einem zum anderen AP wechselt (das Roaming funktioniert sauber was man am Controller sehen kann) der Client vom AP isoliert wird.
Am UniFi-Controller hat man die Möglichkeit einen Haken bei "Client-Geräteisolation" zu setzen, was aber nicht getan wurde. Daher ist es mir eben nicht erklärlich, warum der AP so reagiert bei Geräteverbindung wie er eben reagiert.
@NordicMike
Ja sind sie
Am UniFi-Controller hat man die Möglichkeit einen Haken bei "Client-Geräteisolation" zu setzen, was aber nicht getan wurde
Hmmm... es wäre nicht das erste mal, dass sich da ein Bug eingeschlichen haben könnte. Aktivier den Haken mal, starte die APs neu und dann deaktivier ihn wieder und starte wieder neu.
Zitat von @NordicMike:
Hmmm... es wäre nicht das erste mal, dass sich da ein Bug eingeschlichen haben könnte. Aktivier den Haken mal, starte die APs neu und dann deaktivier ihn wieder und starte wieder neu.
Am UniFi-Controller hat man die Möglichkeit einen Haken bei "Client-Geräteisolation" zu setzen, was aber nicht getan wurde
Hmmm... es wäre nicht das erste mal, dass sich da ein Bug eingeschlichen haben könnte. Aktivier den Haken mal, starte die APs neu und dann deaktivier ihn wieder und starte wieder neu.
hat leider auch keine Verbesserung gebracht..
