mzurhorst
Goto Top

WLAN verbastelt - wie behebe ich das?

Hallo zusammen.

Ich habe insbesondere mit meinem Dienst-Laptop massive Probleme mit dem WLAN, die ich partout nicht abgestellt bekomme. Das äußert sich so, dass ich mehrmals am Tag die Verbindung komplett verliere. Meistens ist nach nervigen 1-2 Minuten die Verbindung auch wieder da, aber das stört in Meetings natürlich immens.
Im Logfile von Windows finde ich z.B. solche Meldungen, aber die korrelieren nicht 100% mit den Aussetzern: "die wlan-autokonfiguration hat beim versuch der automatischen wiederherstellung eine eingeschränkte konnektivität erkannt." (gab es auch schon mehrfach hier im Forum; ein häufiger Tipp scheint zu sein, die Energiesparfunktion für das WLAN-Device abzuschalten. Mein Intel Wifi 6E AX 211 Treiber hat diese Einstellung aber entweder nicht, oder es ist evtl. weg administriert auf meinem HP Elite x360 Laptop)

Der IT-Support bei mir im Büro kann mir da auch nicht so richtig helfen, und im Büro funktioniert das Gerät auch.


Long story short: ich bekomme es auf der Seite meines Dienst-Laptops nicht behoben. Nun frage ich mich aber, ob mein "verbasteltes WLAN" da evlt. auch seinen Teil dazu beiträgt, dass mein Laptop solche Probleme hat.

Was ich hier eingerichtet habe vor 2 Jahren:
  • OPNsense FW
  • eine ganze Reihe an VLANs konfiguriert für Arbeit, privat, Kinder, Drucker, Scanner, Gäste, Hausautomation, Media, ...
  • im Access Point sind 8 SSIDs angelegt, jeweils für 2.4 und 5 GHz. Für jedes VLAN eine eigene SSID
  • die SSIDs für 2.4 und 5 GHz haben auch noch die gleichen Namen


Vor ein paar Monaten hat mir nun schon mal jemand auf Reddit um die Ohren gehauen, dass mein WLAN Setup absolut gruselig sei. Ich sollte doch lieber DPPSK (Zyxel) bzw. PPSK (Unifi) setzen.


Tja, nun steht der Sommerurlaub an und ich hätte tatsächlich mal etwas Zeit, um mein WLAN sukzessive umzubauen.
Nun frage ich mich aber:
  • ob diese PSK-Ansätze überhaupt noch zeitgemäß sind (limitiert auf WPA2 only, wenn ich das richtig verstanden habe), oder ich nicht besser direkt auf FreeRadius setzen würde?
  • Und falls es FreeRadius sein sollte, ob ich in diesem Fall dann besser auf eine separate VM setzen würde, oder das ganze als Plugin innerhalb von OPNsense nutzen würde?


Ich bin auch nicht 100% sicher, ob ein solcher Umbau am Ende mein ursprüngliches WLAN-Problem lösen wird.
Allerdings bin ich nun an einem Punkt angekommen, wo ich das zumindest mal probieren möchte. Viel zu verlieren habe ich ja nicht mehr.


Was meint ihr dazu?

Danke & viele Grüße,
Marcus

Content-ID: 23060229844

Url: https://administrator.de/forum/wlan-verbastelt-wie-behebe-ich-das-23060229844.html

Ausgedruckt am: 23.12.2024 um 04:12 Uhr

Xerebus
Xerebus 31.07.2024 aktualisiert um 21:53:29 Uhr
Goto Top
Hallo.
Vermutlich radarerkennung auf 5 ghz.
Schalt das mal ab am Router und versuche nur das 2,4 ghz band.
Sollte auch im log des Router zu finden sein.
DivideByZero
DivideByZero 31.07.2024 um 23:46:10 Uhr
Goto Top
Moin,

einfach mal alle ausgestrahlten WLANs bis auf 1 abschalten und den Tipp von @Xerebus beherzigen. Dann noch prüfen, ob WLANs der Umgebung stören und auf ein wenig benutztes Band ausweichen. Dann mit dieser reduzierten Umgebung testen, ob die Probleme noch auftreten.

Davon abgesehen: hast Du eigene Endgeräte (Laptop, Tablet), mit denen Du ein vergleichbares Nutzerszenario nachstellen und prüfen kannst, ob die Abrisse auftauchen? Falls nein und obiges nicht hilft, wäre wieder der Laptop der Ausgangspunkt.

Gruß

DivideByZero
mzurhorst
mzurhorst 01.08.2024 um 07:11:00 Uhr
Goto Top
Guten Morgen.

Herzlichen Dank für eure Tipps.
Ich habe nun:
  • 5 GHz komplett abgestellt (es war "nur" auf 3 der SSIDs konfiguriert, hatte ich falsch in Erinnerung)
  • gleichzeitig diese Netze von WPA2/WPA3 degradiert auf WPA2-only

Nun muss ich das mal beobachten, ob dies zu einer Änderung am Verhalten führt.


@DivideByZero:
Die Probleme tauchen auf anderen Geräten fast nicht auf. Meine Frau klagt ebenfalls über Aussetzer auf ihrem Dienst-Laptop. Interessant ist da, dass ihre und mein Aussetzer z.B. nicht zeitgleich erfolgen. Sie sitzt mir gegenüber im Büro, und hat kein Netz, während ich im selben Moment keine Einschränkungen habe. Bei ihr habe ich die Registry aber auch noch nicht geprüft, sie ist auf Dienstreise im Moment.


Zurück zu meiner Ausgangsfrage:
Wäre denn ein WLAN mit jeweils einer (separaten) SSID für 2.4 und für 5 GHz denn insgesamt eine empfehlenswertere Ausgangslage?

Vielen Dank!
Looser27
Looser27 01.08.2024 um 08:41:29 Uhr
Goto Top
Schau mal bitte in der OPNSense, wann die DSL-Verbindung das letzte mal neu aufgebaut wurde.
Auch wenn eigentlich nicht erforderlich, so habe ich bei mir in der pfSense eine automatische Trennung in der Nacht um eben solche Phänomene zu umgehen.
Ansonsten betreibe ich auch 4 SSIDs in 2,4 und 5GHz. Das funktioniert ansonsten reibungsfrei.

Gruß

Looser
Kraemer
Kraemer 01.08.2024 um 08:54:16 Uhr
Goto Top
Moin,

im Access Point sind 8 SSIDs angelegt, jeweils für 2.4 und 5 GHz. Für jedes VLAN eine eigene SSID

dieses Konstrukt würde ich überdenken. Wenn du schon den Äther dermaßen belastest, kann das in der Kombination mit den Nachbarn zu genau solchen Problemen führen.

Gruß
aqui
Lösung aqui 01.08.2024 aktualisiert um 09:16:13 Uhr
Goto Top
Wäre denn ein WLAN mit jeweils einer (separaten) SSID für 2.4 und für 5 GHz denn insgesamt eine empfehlenswertere Ausgangslage?
Nein, das kontraproduktiv und verschlechtert das Verhalten nur. Best Practise ist immer eine identische SSID für alle WLAN Funkbänder zu setzen und dann das übliuche Band Steering des APs zu aktivieren. Oftmals ist das auch im Default aktiv. Der AP verzögert dann die Probe Requests eines WLAN Clients auf dem 2,4 GHz Band so das die höheren und störungsärmeren Bänder vom Client bevorzugt werden. Dieses Verhalten würdes du mit separaten SSIDs vollständig aushebeln.

Eins der Hauptprobleme ist wie der Kollege @Kraemer oben schon sagt der MSSID Betrieb mit 8 MSSIDs. Das bedeutet das der AP das Beaconing und Controllframes für sage und schreibe 8 SSIDs handeln und ausstrahlen muss. Das geht massiv auf Kosten der Airtime, also des Slots der überhaupt eigentliche Produktivdaten ausstrahlt. Da WLAN im Gegensatz zu Kupfer im Fulldup Mode ein shared Medium ist, ist die Airtime begrenzt und ein fester Wert.
Best Practise ist schon bei 4 MSSIDs besser auf ein WLAN mit dyn. VLAN Verteilung und damit einer einzelnen SSID zu setzen als ein wenig skalierendes MSSID Konzept. Dein WLAN wird so aktuell nur einen Bruchteil der eigentlichen Performance erreichen.
Alles andere was in einem guten WLAN Design zu beachten ist kannst du hier nachlesen.
mzurhorst
mzurhorst 01.08.2024 aktualisiert um 21:53:45 Uhr
Goto Top
Ok, vielen Dank.
Dann ist also mein Gedanke, das Setup mal grundsätzlich anzufassen, durchaus korrekt.
Und damit habe ich wunderbares Projekt für meinen Sommerurlaub face-smile

Was ich interessant finde:
  • ich habe nun IPv6 komplett weg konfiguriert in der OPNsense. DHCP liefert ausschließlich IPv4 aus.
  • ich habe im Access Point (ist übrigens ein Ubiquiti U6 Pro) 5 GHz komplett weg genommen.
  • und letztlich habe ich noch das Security Protocol von "WPA2/WPA3" auf reines "WPA2" geändert.
  • Access Point neu gebootet
  • Adguard DNS deaktiviert

Damit kann ich aber keinerlei Verbesserung wahrnehmen.
Gefühlt wurde das Problem sogar eher mehr.

Ich habe nun zwei Netzwerke, welche exakt gleich konfiguriert sind seitens DHCP und WPA-only.
Aber bei der Verbindung verhalten sie sich sehr unterschiedlich.
  • zuba45work: wird mir als WPA3 angezeigt
  • ich bekomme auch keine IPv4 Adresse
  • ich sehe keinen DHCP Request auf der OPNsense
  • der Access Point zeigt mir keine Verbindung an

  • JPMZ24MH: hier wird korrekt WPA2 Personal angezeigt
  • ich habe eine IPv4 Adresse
  • ich sehe das DHCP Handshake im Log
  • ich habe eine Verbindung
DivideByZero
DivideByZero 01.08.2024 um 22:04:03 Uhr
Goto Top
Ohne weitere Kenntnis Deiner Config ist das schwierig.
Es bleibt bei obiger Empfehlung: Alles (!), was Du nicht brauchst, abschalten, also auch MultiSSID. Nur 1 WLAN, nichts anderes. Dann kannst Du am besten sehen, wo es hakt.

Denn wie soll ein WLAN (unterstellt, zuba45work ist eines) WPA3 anbieten, wenn Du das deaktiviert hast? Da läuft doch etwas verkehrt.

Davon abgesehen, verstehe ich die Aussage
Damit kann ich aber keinerlei Verbesserung wahrnehmen.
Gefühlt wurde das Problem sogar eher mehr.
nicht. Denn eingangs sagst Du, das Problem trete mehrfach am Tag, also eben vergleichsweise selten auf. Wie kann es dann jetzt sofort auftreten?
mzurhorst
mzurhorst 01.08.2024 um 22:19:15 Uhr
Goto Top
Tja, ich bin sehr ratlos. Das ursprüngliche Problem mit den Disconnects mitten im Meeting war ja ein sporadisches. Manchmal 2-3 Tage lang gar nicht, und an "schlechten" Tagen ist es eben auch mal mehrfach hintereinander binnen einer Stunde passiert.

Gefühlt ist dieses Problem in den letzten Wochen häufiger geworden, so dass ich ja jetzt meinen Urlaub für einen Umbau nutzen wollte. (das ist ja mein erster Beitrag hier im Thread)


Und nun habe ich aber anscheinend durch die Konfigurationsänderungen etwas komplett falsch gemacht, denn nun bekomme ich ja gar nicht erst eine IPv4 vom DHCP Server auf diesem "zuba45work" Netzwerk.

Das mir hier WPA3 irgendwas und IPv6 Adressen angezeigt werden in Windows, das liegt vermutlich daran dass das System irgendeinen Kappes anzeigt oder die Dysfunktion kreativ auffüllt mit irgendetwas. Die Infos kommen jedenfalls auf keinen Fall von meiner OPNsense.


Ich werde das nun bleiben lassen und das Setup in die Tonne kloppen.
Bzw. einen Versuch kann ich heute Abend noch machen: Ich kann den U6 Pro Access Point tauschen gegen einen Zyxel NWA110X, den ich vorher im Einsatz hatte. Der hat "eigentlich" die gleiche Netzwerk-Konfiguration und lief anderthalb Jahre, bis ich ihn gegen den Ubiquiti getauscht hatte in der leisen Hoffnung, dass es ein Hardware-Problem beim Access Point sei.
mzurhorst
mzurhorst 01.08.2024 um 22:37:10 Uhr
Goto Top
Und noch ein Test:
Mein iPhone 13 findet das "zuba45work" Netzwerk nicht.
Nun habe ich SSID und Passwort manuell eingegeben, dann sagt mir das Telefon dass es dieses Netzwerk nicht geben würde.

Mein privater PC (Windows 11) hingegen sieht das Netzwerk.
Eine Verbindung wird aber auch nicht korrekt aufgebaut. Et voila, nun zeigt mir hier der private PC also auch "WPA3" an und IPv6 DNS Adressen. Das liegt also nur am Verhalten von Windows, wie es bei nicht korrekter WLAN-Verbindung agiert.

Das Ergebnis ist also klar: dieses eine WLAN ist "kaputt". Nur sehe ich keinen Unterschied zu den anderen Konfigurationen.
mzurhorst
mzurhorst 01.08.2024 um 22:45:11 Uhr
Goto Top
Nächster Test:
Zurück zum Zyxel NWA110AX gewechselt. Hier kann ich mich mit dem privaten Rechner verbinden mit dem "zuba45work" WLAN und bekomme eine korrekt IP zugewiesen
==> also ist auch die OPNsense korrekt konfiguriert

Das gleiche Ergebnis auf dem Dienst-Laptop. Alles verbindet sich einwandfrei.


Fazit: ich habe spätestens beim umkonfigurieren gestern einen Bug eingebaut, den ich partout nicht finden kann.
DivideByZero
DivideByZero 01.08.2024 aktualisiert um 22:54:55 Uhr
Goto Top
Nächster Test:
Zurück zum Zyxel NWA110AX gewechselt. Hier kann ich mich mit dem privaten Rechner verbinden mit dem "zuba45work" WLAN und bekomme eine korrekt IP zugewiesen
==> also ist auch die OPNsense korrekt konfiguriert

Das gleiche Ergebnis auf dem Dienst-Laptop. Alles verbindet sich einwandfrei.
Dann mal "Langzeittest; läuft alles, dann wäre auch für die übrigen Probleme der Ubiquiti U6 Pro die Ursache

Fazit: ich habe spätestens beim umkonfigurieren gestern einen Bug eingebaut, den ich partout nicht finden kann.
Dann einfach bei 0 anfangen. Aktuelle Config sichern, Reset auf Werkseinstellungen, neu beginnen.
mzurhorst
mzurhorst 01.08.2024 um 22:58:36 Uhr
Goto Top
Zitat von @aqui:

Wäre denn ein WLAN mit jeweils einer (separaten) SSID für 2.4 und für 5 GHz denn insgesamt eine empfehlenswertere Ausgangslage?
Nein, das kontraproduktiv und verschelchtert das verhalten nur. Best Practise ist immer eine identische SSID für alle WLAN Funkbänder zu setzen und dann das übliuche Band Steering des APs zu aktivieren. Oftmals ist das auch im Default aktiv. Der AP verzögert dann die Probe Requests eines WLAN Clients auf dem 2,4 GHz Band so das die höheren und störungsärmeren Bänder vom Client bevorzugt werden. Dieses Verhalten würdes du mit separaten SSIDs vollständig aushebeln.

Eins der Hauptprobleme ist wie der Kollege @Kraemer oben schon sagt der MSSID Betrieb mit 8 MSSIDs. Das bedeutet das der AP das Beaconing und Controllframes für sage und schreibe 8 SSIDs handeln und ausstrahlen muss. Das geht massiv auf Kosten der Airtime, also des Slots der überhaupt eigentliche Produktivdaten ausstrahlt. Da WLAN im Gegensatz zu Kupfer im Fulldup Mode ein shared Medium ist, ist die Airtime begrenzt und ein fester Wert.
Best Practise ist schon bei 4 MSSIDs besser auf ein WLAN mit dyn. VLAN Verteilung und damit einer einzelnen SSID zu setzen als ein wenig skalierendes MSSID Konzept. Dein WLAN wird so aktuell nur einen Bruchteil der eigentlichen Performance erreichen.
Alles andere was in einem guten WLAN Design zu beachten ist kannst du hier nachlesen.


Danke dir. Ok, ich verstehe also:
  • eine einzige SSID für 2.4 und 5 GHz
  • aber eben nur eine SSID, und nicht so viele unterschiedliche


Damit zurück zur ursprünglichen Frage:
Was ist von so PPSK etc. Funktionen zu halten? -- Hilft mir das, oder lieber direkt auf Radius setzen?
mzurhorst
mzurhorst 01.08.2024 um 23:01:54 Uhr
Goto Top
Zitat von @DivideByZero:

Nächster Test:
Zurück zum Zyxel NWA110AX gewechselt. Hier kann ich mich mit dem privaten Rechner verbinden mit dem "zuba45work" WLAN und bekomme eine korrekt IP zugewiesen
==> also ist auch die OPNsense korrekt konfiguriert

Das gleiche Ergebnis auf dem Dienst-Laptop. Alles verbindet sich einwandfrei.
Dann mal "Langzeittest; läuft alles, dann wäre auch für die übrigen Probleme der Ubiquiti U6 Pro die Ursache

Fazit: ich habe spätestens beim umkonfigurieren gestern einen Bug eingebaut, den ich partout nicht finden kann.
Dann einfach bei 0 anfangen. Aktuelle Config sichern, Reset auf Werkseinstellungen, neu beginnen.


Naja, das Ergebnis des Langzeittests ist ja quasi schon bekannt. Es war ja so, dass ich den Zyxel rausgeschmissen hatte wegen der regelmäßigen Unterbrechungen. Nur deswegen habe ich ja den U6 Pro angeschafft. (und mir in den ersten Wochen auch eingebildet, dass der sich besser verhalten würde)

Wenn ich nun die HW zurück tausche, dann komme ich vom Regen in die Traufe. Ich muss die vielen SSIDs loswerden.
mzurhorst
mzurhorst 02.08.2024 um 10:37:58 Uhr
Goto Top
Guten Morgen zusammen.

Ich habe nun einen ganz kurzen Test mit Freeradius auf der OPNsense gemacht und bin verblüfft, wie smooth das klappt:
  • Dienst aktiviert und zwei Testuser eingerichtet (Login, Passwort, VLAN)
  • im AP den Freeradius Server eingerichtet für eine der SSIDs
  • die feste VLAN Zuweisung für diese SSID rausgenommen
  • Verbindung zum iPhone klappt problemlos nach Akzeptieren des unbekannten Zertifikats. Ich lande immer im korrekten VLAN für die beiden Testuser 👍


Dann habe ich mich jedoch zu früh gefreut:
Mein Dienst-Laptop verbindet sich nicht. Er bringt mir eine Meldung, dass ich den Beitritt zu dem Netzwerk bestätigen soll. Es wird auch das Zertifikat angezeigt, aber ich habe keine Möglichkeit, dieses zu akzeptieren.


Meine Vermutung ist hier wohl, dass so ein Setup wiederum nicht vorgesehen und weg administriert wurde.


Parallel frage ich mich:
Kann ich auf jedem IoT Device (Esp32 zB) die Zertifikate akzeptieren? Die Geräte haben ja nicht mal alle Frontends, sondern wurden geflasht mit der Arduino IDE.
aqui
aqui 02.08.2024 aktualisiert um 10:46:13 Uhr
Goto Top
dass so ein Setup wiederum nicht vorgesehen und weg administriert wurde.
Du kannst die Prüfung des Radius Server Zertifikats im Windows .1x Client auch abschalten. ("Identität des Servers...")
Damit ist das Problem dann keins mehr!! Siehe auch hier:
Freeradius Management mit WebGUI
mzurhorst
mzurhorst 02.08.2024 um 11:39:37 Uhr
Goto Top
Naja, deinen Trick verstehe ich nicht ganz:
1) am privaten Win10 Client kann ich NACH dem herstellen der Verbindung sagen, dass ich die Zertifikate nicht prüfen möchte.
2) am Dienst-Laptop kann ich das Zertifikat aber nicht akzeptieren, und dann gibt es keine Verbindung, und dann komme ich auch nicht an die Einstellung ran.


Ich habe es nun aber hinbekommen:
  • im ACME Client ein neues LetsEncrypt Zertifikat eingerichtet
  • in den Freeradius EAP Einstellungen dieses Zertifikat verwendet ("use own certificates")

Mit diesem Zertifikat konnte ich dann auf dem Dienst-Laptop nun eine Verbindung herstellen und lande im gewünschten VLAN Segment.


Das war aber pures Glück, da ich die Theorie hinter LetsEncrypt nicht genügend verstehe.
Vor allem interessant:
Mein Zertifikat wurde signiert von der "E5" Instanz. Ich habe aber in in den EAP Settings "R3" als Root Certificate ausgewählt, weil ich keine Ahnung hatte. Das wird aber anscheinend dennoch korrekt validiert. -- Ein Wunderwerk der Technik.
aqui
aqui 02.08.2024 um 14:06:11 Uhr
Goto Top
Glückwunsch! 👏 Bleibt ja dann nur noch
Wie kann ich einen Beitrag als gelöst markieren?