46
Unterbrechungen bei Mikrotik WLAN
Hallo zusammen,
euch erstmal ein schönes und gesundes neues Jahr!
Ich hoffe einer kann mir helfen und meine Beschreibung ist ausreichend.
Das Problem sind WLAN-Aussetzer im Downstream auf verschiedenen Clients in einem WLAN, das mit 2 Mikrotik hap AC2 und einem hap lite aufgebaut ist (alle derzeit auf v6.49.2).
Grundkonfiguration: FritzBox i.W. als "DSL-Modem", gefolgt von einem CRS125 und den drei haps. Konfiguriert ist das alles gemäß Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik, was auch soweit gut funktioniert.
Erste Probleme sind mit Echo Dots (Gen 2, 3 und 4) aufgefallen, die immer mal wieder (Abstand 30 min bis 2h) Aussetzer für mehrere Sekunden haben. Gelegentlich gibt es auch komplette Abbrüche.
Weiter ging es mit Problemen beim Home-Schooling auf iPads.
Bis hierher dachte ich an "normale" WLAN-Aussetzer, konnte aber in den Mikrotik-Logs nichts finden.
Mit meinem Notebook hatte ich dann bei Teams Unterbrechungen in Empfangsrichtung, d.h. die Kollegen konnten mich sehen und hören, ich hatte aber weder Ton noch Bild, Teams meldete Verbindungsunterbrechungen.
Bei einem Webinar habe ich dann den WLAN-Status von Windows beobachtet, auch bei Aussetzern wurde mir die WLAN-Verbindung durchgehend mit >> 50MBit, z.T. >100 MBit angezeigt.
Im LAN-Betrieb gibt es keinerlei derartige Probleme
Für mich sieht es so aus als ob irgendein Mikrotik-Gerät (der CRS oder die haps gleichermaßen) immer wieder Pakete in Empfangsrichtung schlucken?
Hat jemand eine Idee, wie ich das weiter eingrenzen oder gar wie ich es beheben könnte?
Viele Grüße!
euch erstmal ein schönes und gesundes neues Jahr!
Ich hoffe einer kann mir helfen und meine Beschreibung ist ausreichend.
Das Problem sind WLAN-Aussetzer im Downstream auf verschiedenen Clients in einem WLAN, das mit 2 Mikrotik hap AC2 und einem hap lite aufgebaut ist (alle derzeit auf v6.49.2).
Grundkonfiguration: FritzBox i.W. als "DSL-Modem", gefolgt von einem CRS125 und den drei haps. Konfiguriert ist das alles gemäß Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik, was auch soweit gut funktioniert.
Erste Probleme sind mit Echo Dots (Gen 2, 3 und 4) aufgefallen, die immer mal wieder (Abstand 30 min bis 2h) Aussetzer für mehrere Sekunden haben. Gelegentlich gibt es auch komplette Abbrüche.
Weiter ging es mit Problemen beim Home-Schooling auf iPads.
Bis hierher dachte ich an "normale" WLAN-Aussetzer, konnte aber in den Mikrotik-Logs nichts finden.
Mit meinem Notebook hatte ich dann bei Teams Unterbrechungen in Empfangsrichtung, d.h. die Kollegen konnten mich sehen und hören, ich hatte aber weder Ton noch Bild, Teams meldete Verbindungsunterbrechungen.
Bei einem Webinar habe ich dann den WLAN-Status von Windows beobachtet, auch bei Aussetzern wurde mir die WLAN-Verbindung durchgehend mit >> 50MBit, z.T. >100 MBit angezeigt.
Im LAN-Betrieb gibt es keinerlei derartige Probleme
Für mich sieht es so aus als ob irgendein Mikrotik-Gerät (der CRS oder die haps gleichermaßen) immer wieder Pakete in Empfangsrichtung schlucken?
Hat jemand eine Idee, wie ich das weiter eingrenzen oder gar wie ich es beheben könnte?
Viele Grüße!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1678573895
Url: https://administrator.de/contentid/1678573895
Ausgedruckt am: 24.11.2024 um 14:11 Uhr
46 Kommentare
Neuester Kommentar
Moin,
das Problem kommt mir bekannt vor.
Aktiviere bitte einmal das Wireless logging:
Danach kannst du noch einmal ins Log schauen. Vermutlich tauchen dort häufige deauths auf?
Gruß
Spirit
das Problem kommt mir bekannt vor.
Aktiviere bitte einmal das Wireless logging:
Danach kannst du noch einmal ins Log schauen. Vermutlich tauchen dort häufige deauths auf?
Gruß
Spirit
Fragen über Fragen run sich hier als erstes auf.
Bei Mikrotik hier bitte als erstes immer die Plaintext-Config der beteiligten Geräte posten damit wir Fehlkonfigurationen auch definitiv ausschließen können!
Also bitte etwas mehr harte Fakten dann lässt sich gezielter helfen. Danke.
G. H.
Bei Mikrotik hier bitte als erstes immer die Plaintext-Config der beteiligten Geräte posten damit wir Fehlkonfigurationen auch definitiv ausschließen können!
export hide-sensitive- Welche Frequenz und welche Kanalbreite würde konfiguriert? 5GHz /2GHz
- Wurden bei 5GHz DFS Kanäle belegt? Stichwort Radar-Erkennung (hierbei kann es zu Ausfällen kommen wenn der MIkrotik Radarsignale erkennt)
- Wurde der Mindest-Kanalabstand eingehalten?
- Wie sieht die Kanalbelegung insgesamt aus?
- Wurden die Kanäle fest eingetragen oder wählen sich die die MIkrotik automatisch aus (schlecht)?
- Befinden sich andere Störquellen in der Nähe (Babyphones /DECT /Bluetooth/Mikrowelle/etc.)?
- Wurde die Config per Capsman konfiguriert oder separat für die APs?
Also bitte etwas mehr harte Fakten dann lässt sich gezielter helfen. Danke.
G. H.
2
Bei mehreren abgesetzten cAPs sollte man auch das Beaconing der untersten Datenraten, sprich die unter 12Mbit immer deaktivieren !
Das führt zu einem erheblich besseren Roaming und stabilerem WLAN Verhalten bei Duals Radio APs.
https://divdyn.com/disable-lower-legacy-data-rates/
Ansonsten gilt das oben Gesagte. Ohne detailierte Infos ist eine zielführende Hilfe nicht einfach.
Das führt zu einem erheblich besseren Roaming und stabilerem WLAN Verhalten bei Duals Radio APs.
https://divdyn.com/disable-lower-legacy-data-rates/
Ansonsten gilt das oben Gesagte. Ohne detailierte Infos ist eine zielführende Hilfe nicht einfach.
Wie sind die Geräte angebunden? SSID&Pswd oder über nen Auth-Server?
Betrifft es alle vLANs?
„Dürfen“ bzw. können die Clients zwischen 2,4 und 5 Ghz umherspringen? Dh. im Speziellen ist die SSID der beiden Netze unterschiedlich?
Betrifft es alle vLANs?
„Dürfen“ bzw. können die Clients zwischen 2,4 und 5 Ghz umherspringen? Dh. im Speziellen ist die SSID der beiden Netze unterschiedlich?
Zitat von @Spirit-of-Eli:
Aktiviere bitte einmal das Wireless logging:
Danach kannst du noch einmal ins Log schauen. Vermutlich tauchen dort häufige deauths auf?
Aktiviere bitte einmal das Wireless logging:
Danach kannst du noch einmal ins Log schauen. Vermutlich tauchen dort häufige deauths auf?
das Logging scheint im CAPSmode auf caps zu gehen?
deauths habe ich keine gesehen.
Was ich viel habe ist sowas:
96:xx:xx:xx:xx:xx@cap3 got RADIUS reply: accept
96:xx:xx:xx:xx:xx@cap3 connected, signal strength -69
96:xx:xx:xx:xx:xx@cap2 disconnected, registered to other interface, signal strength -69
96:xx:xx:xx:xx:xx@cap2 got RADIUS reply: accept
96:xx:xx:xx:xx:xx@cap2 connected, signal strength -64
96:xx:xx:xx:xx:xx@cap3 disconnected, registered to other interface, signal strength -69
Das kommt mir etwas "planlos" vor, ich konnte aber keinen Zusammenhang mit den Aussetzern feststellen. Kann aber auch an mir liegen...
Zitat von @149569:
Fragen über Fragen run sich hier als erstes auf.
Bei Mikrotik hier bitte als erstes immer die Plaintext-Config der beteiligten Geräte posten damit wir Fehlkonfigurationen auch definitiv ausschließen können!
Den mir relevant scheinenden Teil der CRS-Konfig habe ich unten angehängt, ich kann aber auch gerne alles schicken. Die der haps habe ich jetzt nicht gepostet, da m.E. nur der CAPS-Master relevant ist?Fragen über Fragen run sich hier als erstes auf.
Bei Mikrotik hier bitte als erstes immer die Plaintext-Config der beteiligten Geräte posten damit wir Fehlkonfigurationen auch definitiv ausschließen können!
export hide-sensitive* Welche Frequenz und welche Kanalbreite würde konfiguriert? 5GHz /2GHz
Aktuell 5 und 2 GHz. Ich meine ich hatte es schon mal mit 2GHz only probiert, ohne Verbesserung. Ich bin jetzt auf 2 GHz only gegangen und werde das nochmal beobachten.* Wurden bei 5GHz DFS Kanäle belegt? Stichwort Radar-Erkennung (hierbei kann es zu Ausfällen kommen wenn der MIkrotik Radarsignale erkennt)
Das Problem hatte ich, da wir einen Flughafen "um die Ecke" haben... - Die sollten nicht belegt sein.* Wurde der Mindest-Kanalabstand eingehalten?
m.E. ja.* Wie sieht die Kanalbelegung insgesamt aus?
Aktuell habe ich zwei "fremde" WLANs auf Kanal 6 mit ~ -90dBm, da kommen auch mal ein paar mehr rein. So 4-8 Netze max. und nicht übermäßig stark.* Wurden die Kanäle fest eingetragen oder wählen sich die die MIkrotik automatisch aus (schlecht)?
Fix* Befinden sich andere Störquellen in der Nähe (Babyphones /DECT /Bluetooth/Mikrowelle/etc.)?
Eine ac2 ist im EG, zentral, knapp neben der FritzBox, die als DECT-Basis arbeitet. Im EG steht auch eine mit Mikrowelle, aber die Störungen komen auch ohen Mikrowellen-Betrieb.Der zweite ac2 ist im 1. OG direkt über dem ersten.
Bluetooth haben wir natürlich über über diverse Handys/Kopfhörer.
* Wurde die Config per Capsman konfiguriert oder separat für die APs?
CapsmanAlso bitte etwas mehr harte Fakten dann lässt sich gezielter helfen. Danke.
Gerne 
Capsman und Kanalseinstellungen waren für mich "logisch", aber falls ihr draufseht (und es passt) freu ich mich natürlich.
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2452 name=2GHz-Ch09
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2412 name=2GHz-Ch01
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2472 name=2GHz-Ch13
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=eC frequency=5200 name=5GHz-Ch40
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ce frequency=5220 name=5GHz-Ch44
/interface bridge
add name=vlan-bridge1 protocol-mode=none vlan-filtering=yes
/interface vlan
add interface=vlan-bridge1 name=vlan1-mgmt vlan-id=1
add interface=vlan-bridge1 name=vlan10-privat vlan-id=10
add interface=vlan-bridge1 name=vlan20-gast vlan-id=20
add interface=vlan-bridge1 name=vlan30-iot vlan-id=30
add interface=vlan-bridge1 name=vlan40-dmz vlan-id=40
add interface=vlan-bridge1 name=vlan50-Tel vlan-id=50
add interface=vlan-bridge1 name=vlan99 vlan-id=99
/caps-man datapath
add bridge=vlan-bridge1 local-forwarding=yes name=datapath1
/caps-man configuration
add channel.skip-dfs-channels=yes country=germany datapath=datapath1 hw-protection-mode=rts-cts \
installation=indoor mode=ap multicast-helper=full name="Dynamic VLANs" ssid=paede2
add channel.skip-dfs-channels=yes country=germany datapath=datapath1 installation=indoor mode=ap \
multicast-helper=full name=transfer ssid=paede3
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm group-key-update=1h name=wpa2
/caps-man interface
add channel=2GHz-Ch01 configuration="Dynamic VLANs" datapath=datapath1 disabled=no l2mtu=1600 mac-address=\
B8:69:F4:C6:00:77 master-interface=none name=cap1-hAP1 radio-mac=B8:69:F4:C6:00:77 radio-name=\
B869F4C60077 security=wpa2
add channel=2GHz-Ch09 configuration="Dynamic VLANs" datapath=datapath1 disabled=no l2mtu=1600 mac-address=\
48:8F:5A:CE:CC:7C master-interface=none mtu=1500 name=cap2-EG-2.4 radio-mac=48:8F:5A:CE:CC:7C \
radio-name=488F5ACECC7C security=wpa2
add channel=5GHz-Ch40 configuration="Dynamic VLANs" datapath=datapath1 disabled=yes l2mtu=1600 mac-address=\
48:8F:5A:CE:CC:7D master-interface=none name=cap2-EG-5 radio-mac=48:8F:5A:CE:CC:7D radio-name=\
488F5ACECC7D security=wpa2
add channel=2GHz-Ch13 configuration="Dynamic VLANs" datapath=datapath1 disabled=no l2mtu=1600 mac-address=\
48:8F:5A:CE:CB:8A master-interface=none mtu=1500 name=cap3-OG-2.4 radio-mac=48:8F:5A:CE:CB:8A \
radio-name=488F5ACECB8A security=wpa2
add channel=5GHz-Ch44 channel.skip-dfs-channels=no configuration="Dynamic VLANs" datapath=datapath1 \
disabled=yes l2mtu=1600 mac-address=48:8F:5A:CE:CB:8B master-interface=none mtu=1500 name=cap3-OG-5 \
radio-mac=48:8F:5A:CE:CB:8B radio-name=488F5ACECB8B security=wpa2
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-server option
add code=42 name="NTP Server" value="'192.168.3.150'"
/caps-man aaa
set mac-mode=as-username-and-password
/caps-man access-list
add mac-address=DC:DC:E2:CB:C4:64
add action=query-radius allow-signal-out-of-range=10s disabled=no ssid-regexp=""
/caps-man manager
set ca-certificate=auto certificate=auto enabled=yes
Radius
„Dürfen“ bzw. können die Clients zwischen 2,4 und 5 Ghz umherspringen? Dh. im Speziellen ist die SSID der beiden Netze unterschiedlich?
Gleiche SSID, dürfen springen, habe ich jetzt abgeschaltet, auch wenn ich meine, dass ich das schonmal getestet hatte und es keine Besserung brachte.
Betrifft es alle vLANs?
Ja„Dürfen“ bzw. können die Clients zwischen 2,4 und 5 Ghz umherspringen? Dh. im Speziellen ist die SSID der beiden Netze unterschiedlich?
1. Sorry, das überfordert mich jetzt etwas: Der eine Artikel besagt, "Why You Should Disable Lower Legacy Data Rates", der andere "Why You Should Stop Disabling Low Wi-Fi Rates" - also das Gegenteil?
2. OK, wenn ich nun trotzdem die Datenraten < 12 Mbps deaktivieren will, gehe ich in CAPsMAN -> Rates -> Add und aktiviere dann bei "Basic Rates" und "Supported Rates" alles über 9 Mbps?
2. OK, wenn ich nun trotzdem die Datenraten < 12 Mbps deaktivieren will, gehe ich in CAPsMAN -> Rates -> Add und aktiviere dann bei "Basic Rates" und "Supported Rates" alles über 9 Mbps?
Ich nehme an, wir reden über ein Reihenhaus? Wegen der jeweiligen Etagenfläche?
Das 5er bitte mit 80 Mhz und ac only fahren und auf dfs-freien Kanälen arbeiten.
Der Punkt ist, dass die Signalstärke für die Clients der Köder ist und da überstrahlt das 2,4er fast immer das 5er wenn die Clients frei wechseln können. Das verringert die Bandbreite enorm (s. 50 Mbit), erhöht das Störpotenzial auf den wichtigen Endgeräten wie Laptop und erhöht die Schnittstellen zwischen denen die Geräte wechseln (3 APs x 2 Netze), inkl. Radius-Meldungen.
Gleiche SSID, dürfen springen, habe ich jetzt abgeschaltet,
Ehrlich gesagt, hätte ich eher das 2,4er deaktiviert, bzw. umbenannt, damit dort nur Geräte reinkommen, die kein 5er können (Drucker, Lautsprecher, …)Das 5er bitte mit 80 Mhz und ac only fahren und auf dfs-freien Kanälen arbeiten.
Der Punkt ist, dass die Signalstärke für die Clients der Köder ist und da überstrahlt das 2,4er fast immer das 5er wenn die Clients frei wechseln können. Das verringert die Bandbreite enorm (s. 50 Mbit), erhöht das Störpotenzial auf den wichtigen Endgeräten wie Laptop und erhöht die Schnittstellen zwischen denen die Geräte wechseln (3 APs x 2 Netze), inkl. Radius-Meldungen.
Mir ging es jetzt um eine einfache Lösung zum Testen. Da war es am einfachsten komplett auf 2,4 zu gehen. Da sollte die Verbindung auch stabiler sein, da geringere Dämpfung.
Jedenfalls tritt der Effekt tritt immer noch auf. Ohne Eintrag im Log.
Nein, es ist kein Reihenhaus, sondern ein 2FH in dem ich Keller, EG und 1. OG (je ~100qm) abdecken möchte.
Dein Hinweis mit den 5GHz klingt plausibel, ich hätte nur erstmal gerne ein stabiles Netz, bevor ich optimiere.
Jedenfalls tritt der Effekt tritt immer noch auf. Ohne Eintrag im Log.
Nein, es ist kein Reihenhaus, sondern ein 2FH in dem ich Keller, EG und 1. OG (je ~100qm) abdecken möchte.
Dein Hinweis mit den 5GHz klingt plausibel, ich hätte nur erstmal gerne ein stabiles Netz, bevor ich optimiere.
Da sollte die Verbindung auch stabiler sein, da geringere Dämpfung.
Stabilität hängt niemals von der Dämpfung ab sondern immer von der Bandbreite und Störungssicherheit. Und die ist nun mal im 5 Ghz Band erheblich besser als im vollkommen überfüllten und auch durch andere Dienste wie Babyfone, Bluetooth usw. gestörten 2,4 Ghz Band.Sie ist deshalb auch immer eine Frage der Ausleuchtung. Wenn du die APs so anordnest das in den Bereichen deiner WLAN Clients immer eine RSSID (Feldstärke) von mindestens -80 dbm herrscht. Am besten ist es wenn sie nicht groß unter -75 dbm (plus/minus) fällt dann hast du keinerlei Probleme.
Ein WLAN Scanner hilft dabei das zu messen:
https://www.nirsoft.net/utils/wifi_information_view.html
ich hätte nur erstmal gerne ein stabiles Netz, bevor ich optimiere.
Das optimieren führt ja zu einem stabilen Netz
Wenn's das denn war bitte dann nicht vergessen den Thread auch zu schliessen !
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?
Zitat von @aqui:
OK, das war etwas zu einfach, da hast Du recht. Aber auf nur 5GHz kann ich nicht ausweichen, weil ich viele nur 2,4 GHz Geräte habe.Da sollte die Verbindung auch stabiler sein, da geringere Dämpfung.
Stabilität hängt niemals von der Dämpfung ab sondern immer von der Bandbreite und Störungssicherheit. Und die ist nun mal im 5 Ghz Band erheblich besser als im vollkommen überfüllten und auch durch andere Dienste wie Babyfone, Bluetooth usw. gestörten 2,4 Ghz Band.Sie ist deshalb auch immer eine Frage der Ausleuchtung. Wenn du die APs so anordnest das in den Bereichen deiner WLAN Clients immer eine RSSID (Feldstärke) von mindestens -80 dbm herrscht. Am besten ist es wenn sie nicht groß unter -75 dbm (plus/minus) fällt dann hast du keinerlei Probleme.
Naja, eben doch 
Ich bin eben mal systematisch durchs Haus gelaufen und habe die genutzen Kanäle 1, 9 und 13 mal exemplarisch in der Nähe von drei Echo Dots gemessenKG: -72/-78/-75, ohne Fremdnetze - OK, dass der mal Probleme kriegt wundert mich nicht
EG: -80/-55/-75, da empfange ich Fremdnetze, max -75 auf Kanal 9
OG: -70/-65/-65, Fremdnetze mit max -85
EG und OG sollten demnach stabil laufen.
Unter der Woche nutze ich die Echos meistens nicht. Am Wochenende werde ich mal versuchen bei Unterbrechungen zeitnah zu messen.
Du verstehst die Problematik (noch) nicht!
Ich decke z.B. im Büro 90 qm mit einem(!) AP und ausschließlich 5 Ghz ab, liege irgendwo bei -65 dbm und > 400 Mbit/s Bandbreite (real!) an nem 5 Jahre alten MacBook. Und da sind auf ca. 8 m Distanz noch 2 Ziegelwände dazwischen. Kann es sein, dass die HAP ACs recht ungünstig positioniert sind? Vor allem zu niedrig? Metall? Stahlbeton? Wasserleitungen?!
OK, das war etwas zu einfach, da hast Du recht. Aber auf nur 5GHz kann ich nicht ausweichen, weil ich viele nur 2,4 GHz Geräte habe.
Es geht darum "Last" von den 2,4er Kanälen wegzunehmen! Wifi ist ein gesharedes Medium! Wenn bei -70 dbm am Client vielleicht noch 10 Mbit/s Bandbreite übrig bleiben, teilen sich das dann "alle" 2,4er an dem AP. Da ist Streaming ein sehr undankbare Anwendung und wenig hiflreich, wenn dann noch potenzielle 5Ghz-Geräte mitmischen (müssen).systematisch durchs Haus gelaufen und habe die genutzen Kanäle
Das sind unterirdische Werte. Die Differenz zwischen Deinem Messwert und dem Fremdnetz wäre ja der nutzbare "Bereich" - und der muss ja auch noch "rausgerechnet" werden von der sparsamen Mikrotik-HW.Ich decke z.B. im Büro 90 qm mit einem(!) AP und ausschließlich 5 Ghz ab, liege irgendwo bei -65 dbm und > 400 Mbit/s Bandbreite (real!) an nem 5 Jahre alten MacBook. Und da sind auf ca. 8 m Distanz noch 2 Ziegelwände dazwischen. Kann es sein, dass die HAP ACs recht ungünstig positioniert sind? Vor allem zu niedrig? Metall? Stahlbeton? Wasserleitungen?!
Deswegen frage ich ja - und frreue mich über eure Rückmeldungen
OK, die 5GHz sind wieder reingeschaltet. Sowas macht ja Spaß mit CAPsMAN
Eine Vermutung von mir war, dass die Geräte zwischen 2,4 und 5 GHz wechseln und dabei Probleme bekommen. Da der Fehler immer noch auftritt war es das nicht (alleine).
Nächste Schritte:
Nochmal ein paar Verständnisfragen:
OK, das war etwas zu einfach, da hast Du recht. Aber auf nur 5GHz kann ich nicht ausweichen, weil ich viele nur 2,4 GHz Geräte habe.
Es geht darum "Last" von den 2,4er Kanälen wegzunehmen! Wifi ist ein gesharedes Medium! Wenn bei -70 dbm am Client vielleicht noch 10 Mbit/s Bandbreite übrig bleiben, teilen sich das dann "alle" 2,4er an dem AP. Da ist Streaming ein sehr undankbare Anwendung und wenig hiflreich, wenn dann noch potenzielle 5Ghz-Geräte mitmischen (müssen).Eine Vermutung von mir war, dass die Geräte zwischen 2,4 und 5 GHz wechseln und dabei Probleme bekommen. Da der Fehler immer noch auftritt war es das nicht (alleine).
Nächste Schritte:
- HAPs höher positionieren, soweit möglich. Kein Stahlbeton...
- Nochmal durchmessen (2,4/5GHz)
- (Zwangs-)verlagern der 5GHz-fähigen Geräte auf die 5GHz: Neue SSID für 5GHz-only, löschen der "alten" SSID auf den betroffenen Clients.
Nochmal ein paar Verständnisfragen:
- Müssten die Verbindungsprobleme sich nicht in Sende- und Empfangsrichtung bemerkbar machen?
- Wenn es Bandbreitenprobleme sind, die zum Verlust von Paketen führen tauchen sie nicht im Log auf?
- Was zeigt Windows an, verfügbare Brutto-Rate? Hier hatte ich ja auch Probleme in Empfangsrichtung bei >> 50 MBit/s (i.d.R. >100)
- Im CAPsMan werden mir unter "Registration Table" - "Rx Rate" zT Werte von 6Mbps angezeigt. Dürfen die überhaupt auftreten, wenn ich nur >12Mbps zulasse? Oder ist das noch ein Konfigurationsfehler von mir?
(Zwangs-)verlagern der 5GHz-fähigen Geräte auf die 5GHz: Neue SSID für 5GHz-only, löschen der "alten" SSID auf den betroffenen Clients.
Sehr schön. Damit umgehst Du:
Eine Vermutung von mir war, dass die Geräte zwischen 2,4 und 5 GHz wechseln und dabei Probleme bekommen.
Müssten die Verbindungsprobleme sich nicht in Sende- und Empfangsrichtung bemerkbar machen?
Das dürfte von Sende(r)stärke und Antennenkonfiguration abhängen. MMn. muss das nicht unbedingt "parallel" auftretenWenn es Bandbreitenprobleme sind, die zum Verlust von Paketen führen tauchen sie nicht im Log auf?
Gute Frage. Bei Unifi werden Retrys/Wiederholraten angezeigt. Bei MT kann ich das nicht beurteilen.Was zeigt Windows an, verfügbare Brutto-Rate? Hier hatte ich ja auch Probleme in Empfangsrichtung bei >> 50 MBit/s (i.d.R. >100)
Windows dürfte - wie MacOS auch - gestufte, ausgehandelte "Standardwerte" anzeigen. @aqui kann das besser erklären.Rx Rate
Das dürfte der "reale Datenstrom" sein, den kannst Du Dir ja auch an WAN und LAN-Ports zeigen lassen. Der kann natürlich kleiner sein als Deine "12 Mbit": a) wegen overhead und b) weil nicht die gesamte möglichen Bandbreite genutzt wird.weil ich viele nur 2,4 GHz Geräte habe.
Dort ist dann eine sinnvolle und korrekte (statische !) Kanalwahl essentiell und Parametrisierung wichtig:Seit WLAN Umstellung von Cisco WAP 200 auf Zyxel NWA3560-N schlechtere Verbindung
Hallo zusammen,
erstmal Danke für die Tips und Informationen.
Ich glaube, ich verstehe jetzt das Problem bei mir: Das WLAN-Signal ist an den Endgeräten so schwach, dass es durch Störungen der Nachbarnetze immer wieder zu Aussetzern in Empfangsrichtung kommt. Die Router sind in der Hausmitte, so dass deren Empfang von den Nachbarnetzen nicht "gestört" wird. Daher gibt es keine Aussetzer in Senderichtung der Clients.
Leider komme ich mit der Optimierung nicht wirklich weiter. Die Kanäle sind statisch gewählt, überlappen sich nicht und sind auch nicht im DFS-Spektrum (1, 9, 13, 38, 46).
Eine Änderung des Montagepunkts des Routers von "knapp über Fußboden" zu "knapp unter Decke" im OG hat keine messbare Änderung der Empfangssituation gebracht. Der 5GHz-Pegel liegt bei -70 bis -80 dBm bei den relevanten Clients, 1m vom Router sind es -40.
Was mir auffällt ist dass die Nachbar-APs an einigen Stellen ziemlich gut empfangbar sind. (Stark empfangbar sind AVM und ASUS) - ist das MT-WLAN so schlecht (im Sinne des physischen APs)?
An einem Platz empfange ich meinen 5GHz-MT mit -78 dBm, zwei fremde mit -87. Da hat ein Wechsel auf 5GHz wenig Sinn? Bei 2,4 GHz sind es -62 zu -80.
erstmal Danke für die Tips und Informationen.
Ich glaube, ich verstehe jetzt das Problem bei mir: Das WLAN-Signal ist an den Endgeräten so schwach, dass es durch Störungen der Nachbarnetze immer wieder zu Aussetzern in Empfangsrichtung kommt. Die Router sind in der Hausmitte, so dass deren Empfang von den Nachbarnetzen nicht "gestört" wird. Daher gibt es keine Aussetzer in Senderichtung der Clients.
Leider komme ich mit der Optimierung nicht wirklich weiter. Die Kanäle sind statisch gewählt, überlappen sich nicht und sind auch nicht im DFS-Spektrum (1, 9, 13, 38, 46).
Eine Änderung des Montagepunkts des Routers von "knapp über Fußboden" zu "knapp unter Decke" im OG hat keine messbare Änderung der Empfangssituation gebracht. Der 5GHz-Pegel liegt bei -70 bis -80 dBm bei den relevanten Clients, 1m vom Router sind es -40.
Was mir auffällt ist dass die Nachbar-APs an einigen Stellen ziemlich gut empfangbar sind. (Stark empfangbar sind AVM und ASUS) - ist das MT-WLAN so schlecht (im Sinne des physischen APs)?
An einem Platz empfange ich meinen 5GHz-MT mit -78 dBm, zwei fremde mit -87. Da hat ein Wechsel auf 5GHz wenig Sinn? Bei 2,4 GHz sind es -62 zu -80.
So aus der Ferne bin ich dann erstmal im Rahmen der Konfiguration (fast) am Ende. "Mehr", "andere" und/oder versetzen der APs und andere Antennen wären natürlich immer Optionen
Guck Dir aber mal die gesetzlichen Limits der dbm(s) an (Achtung: logarithmische Steigerung!):
http://www.wireless-lan-test.de/uebersicht-zur-wlan-sendeleistung.html
https://wiki.freifunk-franken.de/w/WLAN_Frequenzen
Das könnte noch etwas Luft sein (gerade weil Du nur 38/46 getestet hast), je nach Ländereinstellung, max-dbm und dem hinterlegten Antennen-gain in der Konfiguration. 30 dbm schafft der Mikrotik eh nicht aber bis zu 26/27 dbm könnten lt. Datenblatt klappen. Dabei ist zu berücksichtigen, dass der hinterlegte "Gain" in der Mikrotik-config die Abstrahlleistung wenn ich richtig erinnere - reduziert!
a) Ja, AVM und Asus aus dem Heimsektor haben erfahrungsgemäß recht "starke" Abstrahlleistung. Im Homesektor bekommen die ja auch recht gute Noten, sind dann aber eben in der Netzwerk-Funktion beschränkter. Gerade AVM nutzt die gesetzlcihen Vorgaben mMn. perfekt aus.
b) Mikrotik hat halt nen recht betagten Wifi-Standard. Wifi5/Wave1 feiert nächstes Jahr 10-jähriges. Aber das wird hier im Forum ja eher als Nichtigkeit abgetan – vor allem im Verhältnis zum pösen "Controller-Zwang", bzw. dann halt auch auf den Preis geschoben.
Dazu muss aber auch gesagt sein, dass Deine diversen 2,4er Clients von Wave2, wifi6 und dem aktuellen wifi6e kaum profitieren würden. An 2,4 sind die letzten 10 Jahre ja eher spurlos verstrichen.
Viel Erfolg!
Guck Dir aber mal die gesetzlichen Limits der dbm(s) an (Achtung: logarithmische Steigerung!):
http://www.wireless-lan-test.de/uebersicht-zur-wlan-sendeleistung.html
https://wiki.freifunk-franken.de/w/WLAN_Frequenzen
Das könnte noch etwas Luft sein (gerade weil Du nur 38/46 getestet hast), je nach Ländereinstellung, max-dbm und dem hinterlegten Antennen-gain in der Konfiguration. 30 dbm schafft der Mikrotik eh nicht aber bis zu 26/27 dbm könnten lt. Datenblatt klappen. Dabei ist zu berücksichtigen, dass der hinterlegte "Gain" in der Mikrotik-config die Abstrahlleistung wenn ich richtig erinnere - reduziert!
a) Ja, AVM und Asus aus dem Heimsektor haben erfahrungsgemäß recht "starke" Abstrahlleistung. Im Homesektor bekommen die ja auch recht gute Noten, sind dann aber eben in der Netzwerk-Funktion beschränkter. Gerade AVM nutzt die gesetzlcihen Vorgaben mMn. perfekt aus.
b) Mikrotik hat halt nen recht betagten Wifi-Standard. Wifi5/Wave1 feiert nächstes Jahr 10-jähriges. Aber das wird hier im Forum ja eher als Nichtigkeit abgetan – vor allem im Verhältnis zum pösen "Controller-Zwang"
, bzw. dann halt auch auf den Preis geschoben.Dazu muss aber auch gesagt sein, dass Deine diversen 2,4er Clients von Wave2, wifi6 und dem aktuellen wifi6e kaum profitieren würden. An 2,4 sind die letzten 10 Jahre ja eher spurlos verstrichen.
Viel Erfolg!
Die Kanäle sind statisch gewählt, überlappen sich nicht und sind auch nicht im DFS-Spektrum (1, 9, 13, 38, 46)
Die Frage ist natürlich WO du das gemessen hast ?? Sinnigerweise misst man das immer da wo sich natürlich auch das Gros der Clients aufhält, denn dort darf es ja nicht zu den Überschneidungen mit den Nachbarnetzen kommen.Wenn du am AP Standort selber misst wäre das also sinnfrei. Denn wenn dort beispielsweise der Kanal 9 frei ist aber eben dort wo die Clients sich aufhalten nicht, dann ist klar was passiert. Es zählt also die Client Situation die man misst. RSSID Wert dort sollte nicht unter -75 dbm sacken um sicheres WLAN zu gewährleisten. Bei -80 dbm fangen in der Regel die Aussetzer an in einer ungestörten Umgebung.
AVM und Asus aus dem Heimsektor haben erfahrungsgemäß recht "starke" Abstrahlleistung.
Was die reine HF anbetrifft ist das so einen falsche Aussage, denn die müssen sich wie alle an die EU Richtlinie halten, die besagt max. 100 mW effektive Strahlungsleistung (EIRP) bei 2,4 GHz. Im 5 GHz Band zwischen 5,150 GHz und 5,350 GHz max. 200 mW (EIRP) und im Bereich zwischen 5,470 GHz und 5,725 GHz max. 1 W (EIRP).Wichtig ist dann immer das WIE. Billigheimer nutzen in der Regel Platinen Antennen mit einem sehr schlechten Wirkungsgrad die 30% der HF in Wärme auf der Epoxyd Platine verbraten. Kein MIMO, keinen Antennen Diversity und zirkulare Abstrahlung solcher Antennen sorgt dann für den Rest. Andere nutzen Antenne auf Keramik Substrat mit völlig anderen Werten. Das ist das was letztlich den Unterschied macht.
Dabei ist es erstmal völlig unerheblich welchen Standard ein AP und auch der Client nutzt und welchen nicht, weil man mit schlechten HF Voraussetzungen niemals an die technischen Maximalwerte dieses Standards kommt. Was nützt auch ein .ax Standard wenn der Client nur .a oder .ac kann ?? Man sollte also nicht Äpfel und Birnen verwechseln...
Ich messe an den Standorten der Clients. Da muss ich mir nochmal in Ruhe ansehen, ob ein Tauschen der Kanäle Sinn ergibt (Nachbar-WLANs).
Die 75dB oder besser habe ich an sich überall. An einem EchoDot, der öfter ausfällt, habe ich 55 dBm gemessen. Da muss ich mir vielleicht mal ansehen, mit welchem AP sich der Echo verbindet.
Zu den Antennen: Ich meine EIRP ist die tatsächlich abgegebene Sendeleistung, da wäre dann das Basismaterial oder die Antenne relativ egal, abgesehen von evtl. Richtwirkung. Interessant wird die Antenne dann wieder beim Empfang, wenn das Epoxy dämpft wird der Empfang natürlich schlechter.
Ich habe gestern an meinem AVM-Router das WLAN testweise angestellt, der steht direkt neben einem ac2. Die Messungen zeigen über das Haus und die Zeit verteilt 0-10 dB höhere Feldstärke des AVMs als des ac2s daneben. Spricht für AVM, vielleicht gehen die näher an das erlaubte Maximum, wei auch Visucius meint.
Nach dem was ich gesehen habe, hat der ac2 Platinen-Antennen, der ac3 scheint bauglich aber mit externen Antennen zu sein. Es gibt auch Umbauten des ac2 mit nachgerüsteten externen Antennen (ich weiß, max. Sendeleistung...) Das könnte man beides testen.
Also: Ganz viel Optimierungspotenzial. Aber ich sehe immer noch keine Logik.
Der ac2 hat auf die Platine gelötete Antennen, kommt mit 55dB an, trotzdem gibt es Ausfälle in Empfangsrichtung? Bleibt nur noch Netzüberlastung, zB durch Netzflix in 4k auf dem gleichem Kanal? Was aber Senden und Empfangen stören sollte?
Die 75dB oder besser habe ich an sich überall. An einem EchoDot, der öfter ausfällt, habe ich 55 dBm gemessen. Da muss ich mir vielleicht mal ansehen, mit welchem AP sich der Echo verbindet.
Zu den Antennen: Ich meine EIRP ist die tatsächlich abgegebene Sendeleistung, da wäre dann das Basismaterial oder die Antenne relativ egal, abgesehen von evtl. Richtwirkung. Interessant wird die Antenne dann wieder beim Empfang, wenn das Epoxy dämpft wird der Empfang natürlich schlechter.
Ich habe gestern an meinem AVM-Router das WLAN testweise angestellt, der steht direkt neben einem ac2. Die Messungen zeigen über das Haus und die Zeit verteilt 0-10 dB höhere Feldstärke des AVMs als des ac2s daneben. Spricht für AVM, vielleicht gehen die näher an das erlaubte Maximum, wei auch Visucius meint.
Nach dem was ich gesehen habe, hat der ac2 Platinen-Antennen, der ac3 scheint bauglich aber mit externen Antennen zu sein. Es gibt auch Umbauten des ac2 mit nachgerüsteten externen Antennen (ich weiß, max. Sendeleistung...) Das könnte man beides testen.
Also: Ganz viel Optimierungspotenzial. Aber ich sehe immer noch keine Logik.
Der ac2 hat auf die Platine gelötete Antennen, kommt mit 55dB an, trotzdem gibt es Ausfälle in Empfangsrichtung? Bleibt nur noch Netzüberlastung, zB durch Netzflix in 4k auf dem gleichem Kanal? Was aber Senden und Empfangen stören sollte?
Die Messungen zeigen über das Haus und die Zeit verteilt 0-10 dB höhere Feldstärke des AVMs als des ac2s daneben.
😁 Es kann nicht sein, was nicht sein darf!(ich weiß, max. Sendeleistung...)
Das würde ich ja eher sportlich sehen Da komme ich hier zwar wieder ins Fegefeuer aber ich denke nicht, dass Du - inhouse - diesbezüglich päpstlicher als der Papst sein musst. Wenn aktuell schon nach 2 Zwischenwänden "Schicht im Schacht" ist, bleibt bis zum Wetterradar wohl noch etwas "Luft".
Kannst ja mal bei denen hier nachfragen, ob die wegen der Zusatzantennen die Leistung an der Fritze reduzieren 😂
https://frixtender.de
Lange ist es her. Die Hardwareänderungen am hAP brachte keine signifikante Änderung und ich habe mit den Unterbrechungen gelebt.
Aber: Vor einigen Wochen habe ich den CAPsMAN auf dem CRS ausgeschaltet und die drei hAPs auf manuellen AP-Betrieb geschaltet. Das schien die Unterbrechungen zu reduzieren. Zurück auf CAPsMAN schienen es wieder mehr zu werden. Also ließ ich denCAPsMAN erstmal aus.
Zwischenzeitlich erfolgte ein Update aller Mikrotiks auf RouterOS 7.5. Jetzt schien WLAN über CAPsMAN auch stabil(er) zu laufen. Unterbrechungen gibt es immer noch, aber ich denke, das ist bei WLAN "normal".
Um das zu quantifizieren und den Betrieb mit CAPsMAN mit dem "manuellen AP" zu vergleichen habe ich mir folgendes überlegt:
- Ich pinge von einem per Kabel angebundenen Rechner mehrere Stunden verschiedene WLAN-Clients an und logge das mit
- Ich versuche je AP (mindestens) einen stationären Client zu haben
- Nach ein paar Stunden schalte ich die hAPs in lokalen (also nicht CAPsMAN) AP-Betrieb und vergleiche die Ergebnisse.
Ich habe nun beide Szenarien je 4 bzw. 4,5 h laufen lassen. (Jeweils ab ~8:30)
Im CAPs-Modus hatte ich über 4,5 Stunden bei 4 Clients/APs in Summe 118 Timeouts
Im AP-Modus hatte ich über knapp 4 Stunden bei den selben 4 Clients 6 Timeouts
Deutet das jetzt auf Probleme mit dem CAPsMAN-Betrieb hin, oder habe ich etwas übersehen?
OK, einen Punkt habe ich: Im zweiten Szenario hatte ich zweimal den gleichen Kanal genutzt.
Ich würde ich beide Szenarien noch ein oder zweimal testen und würde eure Hinweise gerne einbauen.
Aber: Vor einigen Wochen habe ich den CAPsMAN auf dem CRS ausgeschaltet und die drei hAPs auf manuellen AP-Betrieb geschaltet. Das schien die Unterbrechungen zu reduzieren. Zurück auf CAPsMAN schienen es wieder mehr zu werden. Also ließ ich denCAPsMAN erstmal aus.
Zwischenzeitlich erfolgte ein Update aller Mikrotiks auf RouterOS 7.5. Jetzt schien WLAN über CAPsMAN auch stabil(er) zu laufen. Unterbrechungen gibt es immer noch, aber ich denke, das ist bei WLAN "normal".
Um das zu quantifizieren und den Betrieb mit CAPsMAN mit dem "manuellen AP" zu vergleichen habe ich mir folgendes überlegt:
- Ich pinge von einem per Kabel angebundenen Rechner mehrere Stunden verschiedene WLAN-Clients an und logge das mit
- Ich versuche je AP (mindestens) einen stationären Client zu haben
- Nach ein paar Stunden schalte ich die hAPs in lokalen (also nicht CAPsMAN) AP-Betrieb und vergleiche die Ergebnisse.
Ich habe nun beide Szenarien je 4 bzw. 4,5 h laufen lassen. (Jeweils ab ~8:30)
Im CAPs-Modus hatte ich über 4,5 Stunden bei 4 Clients/APs in Summe 118 Timeouts
Im AP-Modus hatte ich über knapp 4 Stunden bei den selben 4 Clients 6 Timeouts
Deutet das jetzt auf Probleme mit dem CAPsMAN-Betrieb hin, oder habe ich etwas übersehen?
OK, einen Punkt habe ich: Im zweiten Szenario hatte ich zweimal den gleichen Kanal genutzt.
Ich würde ich beide Szenarien noch ein oder zweimal testen und würde eure Hinweise gerne einbauen.
Hier die Konfiguration des CRS.
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz frequency=2432 name=2GHz-Ch05
add band=2ghz-g/n control-channel-width=20mhz frequency=2452 name=2GHz-Ch09
add band=2ghz-g/n control-channel-width=20mhz frequency=2412 name=2GHz-Ch01
add band=2ghz-g/n control-channel-width=20mhz frequency=2472 name=2GHz-Ch13
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ceee \
frequency=5180 name=5GHz-Ch36
add band=5ghz-n/ac control-channel-width=20mhz frequency=5200 name=5GHz-Ch40
add band=5ghz-n/ac control-channel-width=20mhz frequency=5220 name=5GHz-Ch44
add band=5ghz-n/ac control-channel-width=20mhz frequency=5240 name=5GHz-Ch48
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=eeeC \
frequency=5260 name=5GHz-Ch52
/interface bridge
add name=bridge1
add igmp-snooping=yes ingress-filtering=no name=vlan-bridge1 vlan-filtering=\
yes
/interface ethernet
set [ find default-name=ether1 ] name="eth01 - broken" rx-flow-control=on \
tx-flow-control=on
set [ find default-name=ether2 ] name="eth02 OG-F-R Trunk"
set [ find default-name=ether3 ] name="eth03 OG-F-L Trunk"
set [ find default-name=ether4 ] name="eth04 DG "
set [ find default-name=ether5 ] name="eth05 OG-W-R Trunk"
set [ find default-name=ether6 ] name="eth06 EG-F-R Trunk"
set [ find default-name=ether7 ] name="eth07 KG-Foto NAS"
set [ find default-name=ether8 ] auto-negotiation=no name=eth08 \
rx-flow-control=on tx-flow-control=on
set [ find default-name=ether9 ] name="eth09 EG-Str-L PC-C"
set [ find default-name=ether10 ] name="eth10 "
set [ find default-name=ether11 ] name="eth11 OG-Str-L PC-E"
set [ find default-name=ether12 ] name=eth12
set [ find default-name=ether13 ] name="eth13 KG-Foto Tel"
set [ find default-name=ether14 ] name="eth14 KG-Zaehler"
set [ find default-name=ether15 ] name="eth15 OG-Ess-L TV"
set [ find default-name=ether16 ] name=eth16
set [ find default-name=ether17 ] name="eth17 EG-W-L1 TV"
set [ find default-name=ether18 ] name="eth18 EG-W-L2 TV"
set [ find default-name=ether19 ] name="eth19 EG-Ess-L NN"
set [ find default-name=ether20 ] name="eth20 EG-Ess-R NN"
set [ find default-name=ether21 ] name="eth21 KG-Werk L"
set [ find default-name=ether22 ] name="eth22 OG-W-L PC-M"
set [ find default-name=ether23 ] name=eth23
set [ find default-name=ether24 ] name="eth24 uplink"
/interface vlan
add interface=vlan-bridge1 name=vlan1-mgmt vlan-id=1
add interface=vlan-bridge1 name=vlan10-privat vlan-id=10
add interface=vlan-bridge1 name=vlan20-gast vlan-id=20
add interface=vlan-bridge1 name=vlan30-iot vlan-id=30
add interface=vlan-bridge1 name=vlan40-dmz vlan-id=40
add interface=vlan-bridge1 name=vlan50-Tel vlan-id=50
add interface=vlan-bridge1 name=vlan99 vlan-id=99
/caps-man datapath
add bridge=bridge1 local-forwarding=yes name=datapath1
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
name=WPA2
/caps-man configuration
add country=germany datapath=datapath1 installation=indoor mode=ap \
multicast-helper=full name=static security=WPA2 ssid=paede2
/caps-man interface
add channel=2GHz-Ch01 channel.frequency=2412 configuration=static datapath=\
datapath1 disabled=no mac-address=B8:69:F4:C6:00:77 master-interface=none \
name=hAP1 radio-mac=B8:69:F4:C6:00:77 radio-name=B869F4C60077 security=\
WPA2
add channel=2GHz-Ch05 channel.frequency=2432 configuration=static disabled=no \
l2mtu=1600 mac-address=48:8F:5A:CE:CC:7C master-interface=none name=\
hAP2-2GHz radio-mac=48:8F:5A:CE:CC:7C radio-name=488F5ACECC7C
add channel=5GHz-Ch36 channel.frequency=5180 configuration=static disabled=no \
l2mtu=1600 mac-address=48:8F:5A:CE:CC:7D master-interface=none name=\
hAP2-5GHz radio-mac=48:8F:5A:CE:CC:7D radio-name=488F5ACECC7D
add channel=2GHz-Ch09 channel.frequency=2452 configuration=static disabled=no \
l2mtu=1600 mac-address=48:8F:5A:CE:CB:8A master-interface=none name=\
hAP3-2GHz radio-mac=48:8F:5A:CE:CB:8A radio-name=488F5ACECB8A
add channel=5GHz-Ch52 channel.frequency=5240 configuration=static disabled=no \
l2mtu=1600 mac-address=48:8F:5A:CE:CB:8B master-interface=none name=\
hAP3-5GHz radio-mac=48:8F:5A:CE:CB:8B radio-name=488F5ACECB8B
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/port
set 0 name=serial0
/user-manager profile
add name=dot1x name-for-users=dot1x
/user-manager user
add attributes="Tunnel-Type:VLAN,Tunnel-Medium-Type:IEEE-802,Mikrotik-Wireless\
-VLANID:10,Mikrotik-Wireless-VLANIDtype:0" name=QNAP-Port1
/user-manager user group
add name=dot1x-tls-auth outer-auths=eap-tls
/user-manager user
add group=dot1x-tls-auth name=DOT1X_Client1
/caps-man access-list
add action=accept allow-signal-out-of-range=10s disabled=no ssid-regexp=""
/caps-man manager
set ca-certificate=auto certificate=auto enabled=yes
/interface bridge port
add bridge=bridge1 interface="eth01 - broken"
add bridge=bridge1 interface="eth02 OG-F-R Trunk"
add bridge=bridge1 interface="eth03 OG-F-L Trunk"
add bridge=bridge1 interface="eth04 DG "
add bridge=bridge1 interface="eth05 OG-W-R Trunk"
add bridge=bridge1 interface="eth06 EG-F-R Trunk"
add bridge=bridge1 interface="eth07 KG-Foto NAS"
add bridge=bridge1 interface=eth08
add bridge=bridge1 interface="eth09 EG-Str-L PC-C"
add bridge=bridge1 interface="eth10 "
add bridge=bridge1 interface="eth11 OG-Str-L PC-E"
add bridge=bridge1 interface=eth12
add bridge=bridge1 interface="eth13 KG-Foto Tel"
add bridge=bridge1 interface="eth14 KG-Zaehler"
add bridge=bridge1 interface="eth15 OG-Ess-L TV"
add bridge=bridge1 interface=eth16
add bridge=bridge1 interface="eth17 EG-W-L1 TV"
add bridge=bridge1 interface="eth18 EG-W-L2 TV"
add bridge=bridge1 interface="eth19 EG-Ess-L NN"
add bridge=bridge1 interface="eth20 EG-Ess-R NN"
add bridge=bridge1 interface="eth21 KG-Werk L"
add bridge=bridge1 interface="eth22 OG-W-L PC-M"
add bridge=bridge1 interface=eth23
add bridge=bridge1 interface="eth24 uplink"
add bridge=bridge1 interface=sfp1
/interface list member
add interface="eth01 - broken" list=WAN
add interface="eth02 OG-F-R Trunk" list=LAN
add interface="eth03 OG-F-L Trunk" list=LAN
add interface="eth04 DG " list=LAN
add interface="eth05 OG-W-R Trunk" list=LAN
add interface="eth06 EG-F-R Trunk" list=LAN
add interface="eth07 KG-Foto NAS" list=LAN
add interface=eth08 list=LAN
add interface="eth09 EG-Str-L PC-C" list=LAN
add interface="eth10 " list=LAN
add interface="eth11 OG-Str-L PC-E" list=LAN
add interface=eth12 list=LAN
add interface="eth13 KG-Foto Tel" list=LAN
add interface="eth14 KG-Zaehler" list=LAN
add interface="eth15 OG-Ess-L TV" list=LAN
add interface=eth16 list=LAN
add interface="eth17 EG-W-L1 TV" list=LAN
add interface="eth18 EG-W-L2 TV" list=LAN
add interface="eth19 EG-Ess-L NN" list=LAN
add interface="eth20 EG-Ess-R NN" list=LAN
add interface="eth21 KG-Werk L" list=LAN
add interface="eth22 OG-W-L PC-M" list=LAN
add interface=eth23 list=LAN
add interface="eth24 uplink" list=LAN
add interface=sfp1 list=LAN
/ip dhcp-client
add interface=bridge1
/ip dns
set servers=192.168.3.150
/ip route
add distance=1 gateway=192.168.3.150
/lcd
set backlight-timeout=5m
/lcd interface pages
set 0 interfaces="eth01 - broken,eth02 OG-F-R Trunk,eth03 OG-F-L Trunk,eth04 D\
G ,eth05 OG-W-R Trunk,eth06 EG-F-R Trunk,eth07 KG-Foto NAS,eth08,eth09 EG-\
Str-L PC-C,eth10 "
/radius
add address=127.0.0.1 service=dot1x src-address=127.0.0.1
/system clock
set time-zone-name=Europe/Berlin
/system identity
set name=CRS
/system ntp client
set enabled=yes
/system ntp client servers
add address=192.168.3.150
/user-manager
set certificate=*0
/user-manager router
add address=127.0.0.1 name=localrouter
/user-manager user-profile
add profile=dot1x user=DOT1X_Client1
Das Group Key Update im Security Profile ist nicht konfiguriert da wundert das ehrlich gesagt nicht, denn das ist unkonfiguriert viel zu kurz und das bringt Clients nach Ablauf des Zeitraums und Update dazu kurz zu "stottern".
1
Was für einen Wert schlägst Du vor? Default sind 5min -> 1h?
Wobei die hAPs im AP-Modus das auch nicht konfiguriert haben. Daran sollte es also nicht liegen? - Aber ich probiere es gerne aus, vielleicht ist das Verhalten im CAPsMAN-Modus ja anders.
Wobei die hAPs im AP-Modus das auch nicht konfiguriert haben. Daran sollte es also nicht liegen? - Aber ich probiere es gerne aus, vielleicht ist das Verhalten im CAPsMAN-Modus ja anders.
/interface bridge
add name=bridge1
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-g/n country=germany disabled=no \
installation=indoor mode=ap-bridge ssid=paede2 wps-mode=disabled
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys \
supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge1 interface=all
/ip address
add address=192.168.3.11/24 interface=bridge1 network=192.168.3.0
/ip dhcp-client
add disabled=yes interface=bridge1
/ip dns
set servers=192.168.3.1
/ip route
add disabled=no dst-address=0.0.0.0/0 gateway=192.168.3.1 routing-table=main \
suppress-hw-offload=no
/system clock
set time-zone-name=Europe/Berlin
/system identity
set name=hAP1-OG-M
/system ntp client
set enabled=yes
/system ntp client servers
add address=192.168.3.1
Minimum 1h.
Die Mikrotik Default-Werte sind der kleinste gemeinsame Nenner für jede Umgebung aber keinesfalls als Optimum anzusehen.
Aber generell ist WiFi bei Mikrotiks eher eine suboptimale Wahl, die hinken da meilenweit hinter aktueller Hardware und vor allem Software-Support bezüglich Roaming-Standards hinterher.
Für PtP Verbindungen würde ich dazu durchaus greifen, ja, für aktuelles Home-Wifi bringen die nur technisch veraltete Standardkost von vor ein paar Jahren.
Die haben zu wenig Manpower/Expertise für die WiFi Entwicklung vor allem im Software-Bereich.
Wobei die hAPs im AP-Modus das auch nicht konfiguriert haben.
Per Default ist das WiFi ja auch nicht optimiert ...Daran sollte es also nicht liegen? - Aber ich probiere es gerne aus, vielleicht ist das Verhalten im CAPsMAN-Modus ja anders.
Bei Verwendung von CAPsMAN sollte man Erfahrungsgemäß so gut wie fast jeden Parameter mit einem festen Wert vordefinieren.Die Mikrotik Default-Werte sind der kleinste gemeinsame Nenner für jede Umgebung aber keinesfalls als Optimum anzusehen.
Aber generell ist WiFi bei Mikrotiks eher eine suboptimale Wahl, die hinken da meilenweit hinter aktueller Hardware und vor allem Software-Support bezüglich Roaming-Standards hinterher.
Für PtP Verbindungen würde ich dazu durchaus greifen, ja, für aktuelles Home-Wifi bringen die nur technisch veraltete Standardkost von vor ein paar Jahren.
Die haben zu wenig Manpower/Expertise für die WiFi Entwicklung vor allem im Software-Bereich.
1
Also, mit 1h für das Group Key Update laufen drei der Clients im etwas AP-Modus besser, einer hat Empfangsprobleme, der ist heute richtig aufgefallen
2 Clients in 9,5h 1 Timeout
einer in 1,5 h 0 Timeouts
einer in 9,5 h 19 Timeouts (-75dB)
Habe wieder auf CAPsMAN umgestellt, mit 6h für das Group Key Update.
Hoffe ich komme morgen zum Testen
Der Eindruck drängt sich auch dem Laien auf, siehe WPA3, WiFi6
Aber das, was mir Spaß macht ist die von aqui beschriebene VLAN-Konfiguration. Wenn ich (oder RouterOS 7.5) das WLAN bei mir halbwegs stabil hinbekommen wäre das schon eine schöne Sache... OK, der CAPsMAN ist bei drei APs noch etwas Spielerei, das ginge auch manuell.
2 Clients in 9,5h 1 Timeout
einer in 1,5 h 0 Timeouts
einer in 9,5 h 19 Timeouts (-75dB)
Habe wieder auf CAPsMAN umgestellt, mit 6h für das Group Key Update.
Hoffe ich komme morgen zum Testen
Aber generell ist WiFi bei Mikrotiks eher eine suboptimale Wahl, die hinken da meilenweit hinter aktueller Hardware und vor allem Software-Support bezüglich Roaming-Standards hinterher.
Für PtP Verbindungen würde ich dazu durchaus greifen, ja, für aktuelles Home-Wifi bringen die nur technisch veraltete Standardkost von vor ein paar Jahren.
Für PtP Verbindungen würde ich dazu durchaus greifen, ja, für aktuelles Home-Wifi bringen die nur technisch veraltete Standardkost von vor ein paar Jahren.
Der Eindruck drängt sich auch dem Laien auf, siehe WPA3, WiFi6
Aber das, was mir Spaß macht ist die von aqui beschriebene VLAN-Konfiguration. Wenn ich (oder RouterOS 7.5) das WLAN bei mir halbwegs stabil hinbekommen wäre das schon eine schöne Sache... OK, der CAPsMAN ist bei drei APs noch etwas Spielerei, das ginge auch manuell.
Auch sehenswert zu dem Thema:
https://www.youtube.com/watch?v=JRbAqie1_AM
https://www.youtube.com/watch?v=JRbAqie1_AM
Ein interessantes Video, und wieder einiges dazugelernt.
Die im Video beschrieben Situation ist spannend, aber m.E. grundlegend anders, als bei mir: Dort viele mobile Clients, die viel Bandbreite benötigen. Nachvollziehbar da die 2,4GHz in der Leistung runterzufahren um die Clients auf 5 GHz zu bringen etc.
Die getesteten Clients, um die es sich hier bei mir handelt, sind alle stationär und 2,4-GHz-only (Smart-Home: Schaltbare Steckdosen u.ä.).
Zu den anfangs getesteten Zeiten waren auch keine Clients aktiv im Netz, die größere Bandbreite gefordert hätten. Alle Kinder in der Schule, Home-Office-PCs sind per Kabel angebunden. Gelegentlich mal ein Smartphone in Betrieb. Echo Dots und Tablets sind ungenutzt.
Drei 2,4 GHz APs auf den Kanälen 1, 5, 9.
Die APs habe ich heute von 1, 5, 9 auf 1, 6, 11 umgestellt. Den Kanal 13 hatte ich mir für einen weiteren AP freihalten wollen, aber solange der nicht da ist...
Meine Überlegung: In dieser Situation müssten die betreffenden Clients stabil pingbar sein.
Ich habe beide Szenarian (AP und CAPsMAN) jetzt nochmal je rd 24h durchlaufen lassen. OK, Wochenede, also mit Tablets in Betrieb. Aber Sa und So sollten grob vergleichbar sein.
AP-Modus: 12/84/2/9 Timeouts in 22h (da habe ich noch die Kanäle und das Group-Key-Update von 1h auf 6h umgestellt, das waren sicher auch 1-2 Timeouts je Gerät
CAPsMAN: 38/60/33/63 Timeouts in 26h (Group-Key-Update auf 6h)
Das je zweite Gerät ist der Client mit schlechtem Empfang im Keller.
Ich glaube, ich werde zum Vergleich mal die 6.49.2 aus dem Mikrotk-Archiv holen und einspielen. Wenn ich das richtig in Erinnerung habe und es einen Zusammenhang gibt, müssten die Timeouts nochmal deutlich ansteigen.
BTW: Ich hattte das im Video so verstanden, dass er das Group-Key-Update aus Sicherheitsgründen auf 1h heruntergestellt hatte. 3803037559 meinte dass der Deafult-Wert bei 5 min liegt und man das hochstellen solle? Kann man die Ist-Werte auslesen? In der Winbox wohl eher nicht?
Die im Video beschrieben Situation ist spannend, aber m.E. grundlegend anders, als bei mir: Dort viele mobile Clients, die viel Bandbreite benötigen. Nachvollziehbar da die 2,4GHz in der Leistung runterzufahren um die Clients auf 5 GHz zu bringen etc.
Die getesteten Clients, um die es sich hier bei mir handelt, sind alle stationär und 2,4-GHz-only (Smart-Home: Schaltbare Steckdosen u.ä.).
Zu den anfangs getesteten Zeiten waren auch keine Clients aktiv im Netz, die größere Bandbreite gefordert hätten. Alle Kinder in der Schule, Home-Office-PCs sind per Kabel angebunden. Gelegentlich mal ein Smartphone in Betrieb. Echo Dots und Tablets sind ungenutzt.
Drei 2,4 GHz APs auf den Kanälen 1, 5, 9.
Die APs habe ich heute von 1, 5, 9 auf 1, 6, 11 umgestellt. Den Kanal 13 hatte ich mir für einen weiteren AP freihalten wollen, aber solange der nicht da ist...
Meine Überlegung: In dieser Situation müssten die betreffenden Clients stabil pingbar sein.
Ich habe beide Szenarian (AP und CAPsMAN) jetzt nochmal je rd 24h durchlaufen lassen. OK, Wochenede, also mit Tablets in Betrieb. Aber Sa und So sollten grob vergleichbar sein.
AP-Modus: 12/84/2/9 Timeouts in 22h (da habe ich noch die Kanäle und das Group-Key-Update von 1h auf 6h umgestellt, das waren sicher auch 1-2 Timeouts je Gerät
CAPsMAN: 38/60/33/63 Timeouts in 26h (Group-Key-Update auf 6h)
Das je zweite Gerät ist der Client mit schlechtem Empfang im Keller.
Ich glaube, ich werde zum Vergleich mal die 6.49.2 aus dem Mikrotk-Archiv holen und einspielen. Wenn ich das richtig in Erinnerung habe und es einen Zusammenhang gibt, müssten die Timeouts nochmal deutlich ansteigen.
BTW: Ich hattte das im Video so verstanden, dass er das Group-Key-Update aus Sicherheitsgründen auf 1h heruntergestellt hatte. 3803037559 meinte dass der Deafult-Wert bei 5 min liegt und man das hochstellen solle? Kann man die Ist-Werte auslesen? In der Winbox wohl eher nicht?
Vielleicht ne doofe Frage: Kann man das mal mit nem Kabel-Client im gleichen vLan gegenprüfen?
Nur um allgemeine Netzwerksettings auszuschließen? Evtl. hakelt was im Radius-Setting?
Nur um allgemeine Netzwerksettings auszuschließen? Evtl. hakelt was im Radius-Setting?
Ich habe ggü der Anfangs-Konfiguration VLAN und Radius abgeschaltet. Minimalkonfiguration, nur Switch und APs.
Aber die Idee mit dem Kabel-Client ist gut. Da bieten sich die hAPs schonmal an, evtl je ein Client dahinter und einer direkt am CRS.
Aber die Idee mit dem Kabel-Client ist gut. Da bieten sich die hAPs schonmal an, evtl je ein Client dahinter und einer direkt am CRS.
Moin,
@to kannst du bitte das wireless Logging aktivieren und uns genau mittleien was bei dir in den Logs aufgeführt wird?
Wenn es vermeintlich am "group key timeout" liegt, schaut das wie folgt aus und führt definitiv nicht zu großen Ausfällen.
Gruß
Spirit
@to kannst du bitte das wireless Logging aktivieren und uns genau mittleien was bei dir in den Logs aufgeführt wird?
Wenn es vermeintlich am "group key timeout" liegt, schaut das wie folgt aus und führt definitiv nicht zu großen Ausfällen.
Gruß
Spirit
1
wireless-logging auf dem CAPsMAN? Habe ich eingeschaltet, kam aber heute nichts.
Bei 58 / 254 / 132 / 140 Timeouts in 12 h
unter casps kam u.a.
74:EC:...@hAP3-2GHz rejected, does not provide suitable security method
80:86:...@hAP2-2GHz reassociating
dazu joined-Meldungen der hAPs und deren Kanal-Einstellungen
[B8:69:.../6/cc0c,Join,[B8:69:...]] joined, provides radio(s): B8:69:...
hAP1: selected channel 2412/20-Ce/gn(20dBm) (fixed)
Bei 58 / 254 / 132 / 140 Timeouts in 12 h
unter casps kam u.a.
74:EC:...@hAP3-2GHz rejected, does not provide suitable security method
80:86:...@hAP2-2GHz reassociating
dazu joined-Meldungen der hAPs und deren Kanal-Einstellungen
[B8:69:.../6/cc0c,Join,[B8:69:...]] joined, provides radio(s): B8:69:...
hAP1: selected channel 2412/20-Ce/gn(20dBm) (fixed)
So, downgrade auf RouterOS 6.49.2 (erstmal nur auf dem CRS) ist durchgeführt, ich bin gespannt.
Wie schaut das Logging auf einem AP selbst aus?
1
Auf den hAPs erscheinen keine Log-Einträge, die werden wohl nur auf dem CRS als CapsMan geführt.
Das Downgraden und Ausprobieren verschiedener SW-Versionen hat mich einiges an Nerven gekostet, da die hAPs häufig HW-Resets brauchten, um wieder ansprechbar zu sein.
Die Ergebnisse sind nicht einheitlich /belastber sie variieren von Tag zu Tag.
Das Downgraden und Ausprobieren verschiedener SW-Versionen hat mich einiges an Nerven gekostet, da die hAPs häufig HW-Resets brauchten, um wieder ansprechbar zu sein.
Die Ergebnisse sind nicht einheitlich /belastber sie variieren von Tag zu Tag.
da die hAPs häufig HW-Resets brauchten, um wieder ansprechbar zu sein.
Eigentlich nicht. Ist eher ein Indiz dafür das du ggf. vergessen hast auch den zur Firmware passenden Bootcode unter System - Routerboard mit upzudaten?!
Hm, möglich, dass das ein Problem war.
Aber es kam auch vor, dass die hAPs nach einem "System - Reset Configuration" nicht mehr ansprechbar waren. Und einer in mind. einem Fall mein Netzwerk lahmgelegt hat.
Genug gejammert, den Rest spare ich mir hier
Aber es kam auch vor, dass die hAPs nach einem "System - Reset Configuration" nicht mehr ansprechbar waren. Und einer in mind. einem Fall mein Netzwerk lahmgelegt hat.
Genug gejammert, den Rest spare ich mir hier
Kann es sein, dass der CRS125 hardwaremäßig überfordert ist und deswegen mal Pakete verlorengehen?
Immerhin ist die HW schon etwas älter, er kam mit einer Factory FW 3.19 und ist jetzt bei 7.6. Handys und PCs werden da schon mal träge, wie das bei den Mikrotiks aussieht weiß ich nicht...
Die CPU-Load liegt hier schnell >90% (ca. 120MBit/s DL/ 10MBit/s UL), Ein Kopiervorgang vom PC aufs NAS führte eben zu einem Sprung von 20% auf 80% CPU-Last (~50MBit/s).
Ich hätte erwartet, dass der CRS das ohne große CPU-Last verarbeitet.
Habe jetzt leider keinen CRS326 zum gegentesten
Immerhin ist die HW schon etwas älter, er kam mit einer Factory FW 3.19 und ist jetzt bei 7.6. Handys und PCs werden da schon mal träge, wie das bei den Mikrotiks aussieht weiß ich nicht...
Die CPU-Load liegt hier schnell >90% (ca. 120MBit/s DL/ 10MBit/s UL), Ein Kopiervorgang vom PC aufs NAS führte eben zu einem Sprung von 20% auf 80% CPU-Last (~50MBit/s).
Ich hätte erwartet, dass der CRS das ohne große CPU-Last verarbeitet.
Habe jetzt leider keinen CRS326 zum gegentesten
Habe jetzt leider keinen CRS326 zum gegentesten
Den willst Du nicht. Damit verschiebst Du das Problem eigentlich nur ein wenig "nach oben".Die CRS waren Switche, sind Switche und werden auch immer Switche bleiben. Willst Du Dir darbüer keine Gedanken machen müssen, wechselst Du zur Routerboard RB Line oder betreibe sie als Switche/SwitchOS.
Allerdings kannst Du dem CRS noch ein wenig unter die Arme greifen mit hw-offload und ggfs. fast forward:
https://help.mikrotik.com/docs/display/ROS/L3+Hardware+Offloading
Hängt aber immer von Prozessormodell und ganz gezielt dem Anwendungsfall ab. Sobald das aber über die CPU läuft oder auf diese zurückfällt wirds wirklich langsam. Und da reden wir beim CRS326 (800 Mhz) von 150 bis 500 Mbit/s je nach Fall. Weils gerade so schön passt:
Mikrotik, Switch, hw3 offload, Rule Redirect to CPU=275#comment-5124170584
Das klingt logisch.
Ist die Idee mit den verlorenen Paketen plausibel oder bin ich da uaf dem Holzweg?
Dann würde ich das vielleicht mal mit einem RB750Gr3 testen
Ist die Idee mit den verlorenen Paketen plausibel oder bin ich da uaf dem Holzweg?
Dann würde ich das vielleicht mal mit einem RB750Gr3 testen
Der Thread jährte sich vor 2 Tagen und Du kannst noch nicht sagen, wo eigentlich die Pakete verloren gehen? Das ist mMn. das Grundübel.
Ja, der CRS ist - wenn schlecht konfiguriert - eher schwachbrüstig. Aber ne 100/40er Internetverbindung wird er immer noch bedienen können. Da müsste ja nicht mal Firewall/NAT drauf laufen!? Zudem haste doch 2 x Quadcore hap ac2 im Netz, die hätten doch deutlich mehr Power, da brauchst doch nicht mit so ner frickligen rb750 Plastelinbüchse anfangen?
Ich würde vielleicht alle Konfigurationen sichern, die Geräte mit netinstall neu betanken, dann im bridgemode testweise ganz „plain“ betreiben. Und wenn Usemanager, vlan usw. wieder nötig sind, würde ich das evtl. auf die haps verteilen.
Ja, der CRS ist - wenn schlecht konfiguriert - eher schwachbrüstig. Aber ne 100/40er Internetverbindung wird er immer noch bedienen können. Da müsste ja nicht mal Firewall/NAT drauf laufen!? Zudem haste doch 2 x Quadcore hap ac2 im Netz, die hätten doch deutlich mehr Power, da brauchst doch nicht mit so ner frickligen rb750 Plastelinbüchse anfangen?
Ich würde vielleicht alle Konfigurationen sichern, die Geräte mit netinstall neu betanken, dann im bridgemode testweise ganz „plain“ betreiben. Und wenn Usemanager, vlan usw. wieder nötig sind, würde ich das evtl. auf die haps verteilen.
Danke, ja, mit dem Grundübel hast du Recht.
Und manchmal sehe ich den Wald vor Bäumen nicht. Die Idee einen hAP zu nutzen hatte ich aus irgendeinem Grund verworfen gehabt - Wald?
Werde das wie von dir vorgeschlagen testen.
Und manchmal sehe ich den Wald vor Bäumen nicht. Die Idee einen hAP zu nutzen hatte ich aus irgendeinem Grund verworfen gehabt - Wald?
Werde das wie von dir vorgeschlagen testen.
1
Prinzipiell könntest Du den CRS125 nach dem Reset ja auch mit SwitchOS austesten. Bleibst Du aber bei RouterOS und möchtest weiterhin vLANs nutzen, dann schau Dir ggfs. mal das folgende Video an:
https://youtu.be/swXS4sO8smE
https://youtu.be/swXS4sO8smE
