Forum: Markt Router (AP) für möglichst viele WLAN clients gesucht

Hendrik L. schrieb:
> ich musste erstaunterweise feststellen, dass ein PI4 (Buster)  nicht
> mehr als 10 Clients in sein AP-Wlan reinlässt

Das wundert mich auch. Normalerweise wird in der IT in Binärzahlen 
limitiert, also 16 als Maximum.

Im Prinzip können das alle professionellen oder semi professionellen 
APs.

Mein Favorit ist Ubiquiti. Z.B. Unifi Ubiqiti Wifi 6 Pro kann 300+ 
Clients.

https://www.tp-link.com/de/business-networking/omada-sdn-access-point/eap245/v3%20(einzelpackung)/#specifications

Michael H. schrieb:
> Mein Favorit ist Ubiquiti. Z.B. Unifi Ubiqiti Wifi 6 Pro kann 300+
> Clients.

Klare Empfehlung!

F. F. schrieb:
> 
https://www.tp-link.com/de/business-networking/omada-sdn-access-point/eap245/v3%20(einzelpackung)/#specifications

Deren Software sieht der von Ubiquiti erstaunlich ähnlich, sogar die 
Symbole und so. Ich will nicht unterstellen, dass da nachgebaut wurde, 
vielleicht wurden da auch Lizenzen verkauft oder die Firmen kooperieren, 
schön wenn es mehr davon gibt! Die Zeiten in denen man eine teure 
Hardware als Controller kaufen musste (Aruba) sind schon lange vorbei.

Gustl B. schrieb:
> Michael H. schrieb:
>> Mein Favorit ist Ubiquiti. Z.B. Unifi Ubiqiti Wifi 6 Pro kann 300+
>> Clients.
>
> Klare Empfehlung!
>
> F. F. schrieb:
>>
> 
https://www.tp-link.com/de/business-networking/omada-sdn-access-point/eap245/v3%20(einzelpackung)/#specifications
>
> Deren Software sieht der von Ubiquiti erstaunlich ähnlich, sogar die
> Symbole und so. Ich will nicht unterstellen, dass da nachgebaut wurde,

Naja, ich denke schon, dass das Ubiquiti Pate stand.
Was ein Unterschied noch ist:
Die EAP von TPLink kann man sowohl mit dedizierter externer Software als 
auch dezentral (also lokal auf dem AP) steuern. Das war für mich der 
ausschlaggebende Grund. Die Software läst sich auf diversen Systemen 
hosten. Ich mache aktuell den Fehler, dass ich das ab und zu starte auf 
meiner windowskiste. Werde ich aber bald auf eine raspb. oder sowas 
auslagern.. mal sehen. Im Moment tut es was es soll :-)
Bei Ubiquity (ich kriege die richtige Schreibweise nie hin..) geht das 
nur dezentral.
Meine Beobachtungen sind diese und darum hatte ich mich für TPLink 
entschieden:
Ubiquity hat manchmal seltsame Updates, über die sich die Nutzer 
manchmal ziemlich aufregen. Sollte man einfach mal recherchieren..
Generell wird für Ubiquity ziemlich geworben auf youtube reviews, etc.
Eine gewisse Stabilität scheinen sie zu haben oder werden gut bezahlt 
:-)

Achso, was bei beiden geht, aber ich niemals machen würde:
Die Steuerung beim Hersteller hosten.

Die APs beider Hersteller sind für Firmen/Behörden gedacht und können 
viel an Masse/Benutzer abhaben. Wenn das nicht gebraucht wird, kriegt 
man das kostengünstiger hin: Eine alten Router nehmen und openwrt (o.ä.) 
draufspielen und fertig.
Ich würde Ubi oder die Aps von TPLink nur nehmen, wenn ich viele APs auf 
einer Oberfläche administrieren möchte.

PoE sollte man sich auch mal ansehen. Geht auf beiden.

Ansonsten, wenn Du tief in die Materie einsteigen möchtest, beide APs 
sind auf openWRT(o.ä.) umstellbar, Details bitte selber nachsehen. Wobei 
ich das bei den Geräten unnötig finde. Beide haben sehr viele 
Einstellungsmerkmale.

Und ein tipp für Bitfriemler: Mikrotek.

Hendrik L. schrieb:
>…
> Nun suche ich einen Accesspoint (Router), der mindestens über 100
> Clients IP-Adressen vergeben / anbinden kann…<

Also ein Router hat mit einem Accesspoint nun erst mal gar nichts zu tun 
( auch wenn umgangssprachlich eine Kombination aus Router und AP, so 
fälschlicherweise bezeichnet wird )

Ob nun Clients eine dynamische Adresse von einem DHCP Server zugewiesen 
wird - oder auch nicht - hat ebensowenig mit einem Router zu tun.

Wenn es solch eine komische Einschränkung an Deinem AP wirklich geben 
sollte, stellt sich mir die Frage, weshalb Du bei 11 Clients nicht 
einfach mit statischen IP‘s arbeitest - oder nicht auf IPv6 wechselst

Walter K. schrieb:
> Hendrik L. schrieb:
>>…
>> Nun suche ich einen Accesspoint (Router), der mindestens über 100
>> Clients IP-Adressen vergeben / anbinden kann…<
>
> Also ein Router hat mit einem Accesspoint nun erst mal gar nichts zu tun
> ( auch wenn umgangssprachlich eine Kombination aus Router und AP, so
> fälschlicherweise bezeichnet wird )
>
> Ob nun Clients eine dynamische Adresse von einem DHCP Server zugewiesen
> wird - oder auch nicht - hat ebensowenig mit einem Router zu tun.
>
> Wenn es solch eine komische Einschränkung an Deinem AP wirklich geben
> sollte, stellt sich mir die Frage, weshalb Du bei 11 Clients nicht
> einfach mit statischen IP‘s arbeitest - oder nicht auf IPv6 wechselst

Habe nur einen Teil hier berichtet - habe auch statische Adressen 
probiert > 10 Knoten (evtl. sogar nur > 8 ) werden vom Raspi 
gleichermassen abgewiesen (wie auch bei Smartphones im Tethering Mode).

Problem ist im Internet bekannt ... 
https://github.com/raspberrypi/linux/issues/3010 ... ist eine 
Beschränkung im WiFi Driver Management - nicht ein Problem im OS.

Habe diesen geordert https://eu.store.ui.com/products/unifi-ap-6-lite 
... um erste Erfahrungen in der LAB-Phase für einen PoC zu sammeln.

Später wrid dann optimiert (preislich / Anpassung an den echten BEdarf).

Vielen Dank an Alle für Eure guten Hinweise - habt mir sehr geholfen.

Gruesse

Hendrik L. schrieb:
> Nun suche ich einen Accesspoint (Router), der mindestens über 100
> Clients IP-Adressen vergeben / anbinden kann.

Das mit des IPs wurde ja schon geklärt. Andere Baustelle.

APs begrenzen aufgrund interner Ressourcen die Anzahl gleichzeitig 
angebundener Clients. Das kann beispielsweise bei den Cisco Aironets für 
Business Einsatz bei 200 liegen. Diese Größenordnung auszureizen wird 
aber nicht empfohlen.

Ein AP für den privaten Einsatz kann auch schon auf 10-15 begrenzen.

F. F. schrieb:
> Generell wird für Ubiquity ziemlich geworben auf youtube reviews, etc.
> Eine gewisse Stabilität scheinen sie zu haben oder werden gut bezahlt
> :-)

Das ist eben das Apple unter den Netzwerkfirmen. Nein ohne Scheiß, siehe 
https://en.wikipedia.org/wiki/Robert_Pera .

Gustl B. schrieb:
> Das ist eben das Apple unter den Netzwerkfirmen.

Apples Preisstruktur hat er aber nicht übernommen. Wenn du es teuer 
willst, nimm Cisco. ;-)

wieviele Clients müssen es den sein, in dem verlinktem Beitrag steht 
folgende Lösung.

After 10 days of very thorough testing, it seems the IIAB default should 
be to... drop these 3 files into /lib/firmware/brcm : (for most all 
installs onto RPi, unless the implementer chooses to override this 
default in /etc/iiab/local_vars.yml)

http://d.iiab.io/packages/brcmfmac43455-sdio.bin_2015-03-01_7.45.18.0_ub19.10.1 
(477 KB, allows 32 WiFi connections to RPi 3 B+ & RPi 4)
http://d.iiab.io/packages/brcmfmac43430-sdio.bin_2018-09-11_7.45.98.65 
(388 KB, allows 30 WiFi connections to RPi Zero W & RPi 3)
http://d.iiab.io/packages/brcmfmac43430-sdio.clm_blob_2018-09-11_7.45.98.65 
(7.1 KB, necessary for the file just above)
Of course renaming them appropriately (removing all date/version/OS 
suffixes).

The hard part remains how to "lock" these 3 files in place, protecting 
the Access Point's ability to serve 30-32 clients — e.g. restoring these 
3 files — if for example the OS's "unattended upgrades" (or any 
unexpected "apt update" or similar, due to an OS GUI popup or whatever 
reason) spontaneously overwrites any of these 3 files, at some future 
date.

I like @jvonau's suggestion that we consider implementing some such 
protection logic in /sbin/test-wifi associated with wifi-test.service 
...such that these 3 files are mandated on every boot (and if necessary 
checked for undesired/ongoing changes?)

After auto-restoring the correct such firmware file(s), while a rare 
event, a 2nd reboot would of course be required — whether the reboot is 
automated or not — that being a design choice we should consider this 
week.

Either way, every IT person knows: rebooting is often necessary, if at 
first you don't succeed... [So long as we avoid a worst-case "thrashing" 
scenario e.g. if some apt-like update keeps trying to re-upgrade 
firmware file(s) after every boot. However this seems 
unlikely/impossible, as apt should not try to re-update / re-upgrade on 
every boot, so I think we are safe here!]

Es geht um eine neuartige Anwendung im E-Mobility / Energy Supply 
Bereich, die ich mit einem Investor vermarkten werde. Der PoC (mit 10 
Clients) läuft wunderbar - so habe ich den Investor gewonnen. Jetzt geht 
es um das MvP.

Ca. 50 IoT Clients und 50 Smartphones (verteilt über 24 Stunden - 
jeweils für 30 Sekunden im WiFi eingeloggt) werden in dem Subnetwork 
aktiv sein.

Daher ist die AP-Lösung die professionelle Richtung - alles Andere ist 
Gefriemel - auch wenn ich Geld spren würde. Die Zeit zum "Probieren" 
habe ich nicht.

Es war einfach naiv von mir, anzunehmen, dass ~ 250 Clients lediglich 
über die AP Einstellungen im OS funktionieren (unabhängig von den WiFi 
Treibern) sollten.

Vielen Dank und Gruesse

Ruf doch einfach mal bei ner Firma an, die APs und deren Controller 
herstellen oder vertreiben.
Klar, bei Cisco und Co. bekämst Du bestenfalls irgendwelche 
Hotline-Deppen an die Leitung - aber nimm doch mal nen deutschen 
Hersteller:
Lancom!

Also grundsätzlich ist das natürlich Unsinn, dass man bei Cisco bei 
irgendeiner Hotline rauskäme wenn man was kaufen will. Das ist ja nicht 
Vodafone wo Hotline und Vertrieb schonmal das Gleiche sind.
Dass die im Vergleich zu Mid-Range-Produkten schweineteuer sind steht 
auf nem anderen Blatt, und das würde ich nicht bestreiten wollen.
Da isses dann auch egal ob Aruba, Cisco, Extreme oder Ruckus draufsteht.
Dafür sind die 100 Clients auch gleichzeitig kein Problem ;-)

100 Clients über 24h verteilt für je 30 Sekunden ist hingegen ne ganz 
andere Kragenweite. Da p***elt der AP die meiste Zeit im Leerlauf rum.
Selbst wenn dann mal 20 auf einen Schlag kommen, bekommt das jeder 
anständige Midrange-AP auf die Kette.
Man bemerke dass ich nicht von Router sondern immer nur von Accesspoint 
schreibe. Alles was nach der Authentifizierung kommt bzw. dafür 
notwendig ist, muss das Netz entsprechend bereitstellen.
Also für deine Anforderung mit 802.1x mal mindestens Router, DHCP, 
RADIUS. DNS wird meistens auch gebraucht werden.

Lass die Finger von den billigen Chinakrachern a la TP-Link oder 
schlimmerem. Damit wirste nicht glücklich.

Deine Applikation klingt ein bisschen als würde sie ggf. in die Fläche 
ausgerollt werden.
In dem Fall guck dir mal Meraki an (gehört mittlerweile zu Cisco).
Die machen Netzwerkdevices mit Management in der Cloud. Machen andere 
auch wie z.B: Ubiquiti.
Meraki macht es aber Templatebasiert, also ziemlich leicht hoch zu 
skalieren. Normalerweise bin ich ja nicht der Verfechter der Cloud - 
aber für diese Anwendung ist das schon eine schicke Lösung die mal einen 
echten Vorteil hat: Man braucht vor Ort nur irgendeinen Internetzugang, 
jemand stöpselt das da dran, die Hardware meldet sich in der Cloud an, 
zieht sich die Config und es läuft.
Eine kleine Version davon gibts auch als Meraki one für Endanwender oder 
Kleinstfirmen.


Tip:
Aus Erfahrung kann ich dir sagen; Smartphones und 802.1x ist Mist!
Selbst wenn du deinem Radius nen öffentlich signiertes teures Zertifikat 
mitgibst: Die Geräte mit nem Apfel drauf kennen das für Webseiten, 
benutzen den Certificate Store aber nicht für die WLAN-Authentifizierung 
sondern fragen den User stattdessen ob er mit dem untrusted WLAN 
verbinden will. Zumindest was das vor zwei iOS Versionen noch so.
Android kann damit umgehen. Oder auch nicht. Je nach Hersteller, Version 
und Baureihe.
Den meisten Samsung-Devices fehlte z.b. die Option "Systemzertifikate 
verwenden" bei der Zertifikatprüfung. Die konnten den RADIUS also nicht 
validieren und es blieb nur "nur validieren" als Option.
Und eine von den ganz ganzigen Billo-Kisten hatte nichtmal diese Option 
- man konnte nur "bitte Option auswählen" wählen.
Na danke...
Und die üblichen WiFi QR-Codes taugen auch nur für Zugänge mit PSK.

Wenn deine Smartphones also nicht gerade managed Devices einer Firma 
sind, wirst du da wenig Spaß mit haben. Technisch geht es (fast immer), 
ist aber nennenswert Supportaufwand und der normale User kommt ohne 
Hilfestellung damit NICHT klar.

P. W. schrieb:
> Alsois ....
> ...
> Deine Applikation klingt ein bisschen als würde sie ggf. in die Fläche
> ausgerollt werden.
> In dem Fall guck dir mal Meraki an (gehört mittlerweile zu Cisco).
> Die machen Netzwerkdevices mit Management in der Cloud. Machen andere
> auch wie z.B: Ubiquiti.
> Meraki macht es aber Templatebasiert, also ziemlich leicht hoch zu
> skalieren. Normalerweise bin ich ja nicht der Verfechter der Cloud -
> aber für diese Anwendung ist das schon eine schicke Lösung die mal einen
> echten Vorteil hat: Man braucht vor Ort nur irgendeinen Internetzugang,
> jemand stöpselt das da dran, die Hardware meldet sich in der Cloud an,
> zieht sich die Config und es läuft.
> Eine kleine Version davon gibts auch als Meraki one für Endanwender oder
> Kleinstfirmen.
>
>
> Tip:
> Aus Erfahrung kann ich dir sagen; Smartphones und 802.1x ist Mist!
> Selbst wenn du deinem Radius nen öffentlich signiertes teures Zertifikat
> mitgibst: Die Geräte mit nem Apfel drauf kennen das für Webseiten,
> benutzen den Certificate Store aber nicht für die WLAN-Authentifizierung
> sondern fragen den User stattdessen ob er mit dem untrusted WLAN
> verbinden will. Zumindest was das vor zwei iOS Versionen noch so.
> Android kann damit umgehen. Oder auch nicht. Je nach Hersteller, Version
> und Baureihe.
> Den meisten Samsung-Devices fehlte z.b. die Option "Systemzertifikate
> verwenden" bei der Zertifikatprüfung. Die konnten den RADIUS also nicht
> validieren und es blieb nur "nur validieren" als Option.
> Und eine von den ganz ganzigen Billo-Kisten hatte nichtmal diese Option
> - man konnte nur "bitte Option auswählen" wählen.
> Na danke...
> Und die üblichen WiFi QR-Codes taugen auch nur für Zugänge mit PSK.
>
> Wenn deine Smartphones also nicht gerade managed Devices einer Firma
> sind, wirst du da wenig Spaß mit haben. Technisch geht es (fast immer),
> ist aber nennenswert Supportaufwand und der normale User kommt ohne
> Hilfestellung damit NICHT klar.

Danke für die wertvollen 802.1x Tips! In der Tat habe ich bislang nur 
mit Android getestet - da geht's super gut. Ich dachte Apple hätte die 
Nase vorn ... aber bestätigt einmal mehr meine Meinung, dass Apple sein 
Geld nicht wert ist, wenn man objetiv (technisch)  vergleicht - aber 
welcher TictToc Fan tut das schon ....!

Sicherheitstechnisch ist die Sache nicht so kritisch, über Packet 
Filtering lasse ich nur ca. 10 Ziel - Adressen durch, stelle also 
lediglich einen total eingeschränkten  (transparenten) 
Kommunikationskanal zur Verfügung - zu Payment Service Providern. Ich 
verhalte mich also wie ein Public Hot Spot - aber eben nur mit einem Use 
Case - Electronic Payment! Normales Internet wie z.B. Surfen, etc. gehr 
also nicht.

Die PSPSs sorgen dann für die entsprechende Ende - zu  Ende Sicherheit 
(mit Zwei Faktor etc.) - ansonsten würde ihr Geschäftsmodell "Payment 
über's Internet" nicht fliegen ...!

Danke & Gruesse

So macht’s der Apfel:

https://support.apple.com/de-de/guide/deployment/depabc994b84/web

Oliver

Ob hier relevant ist mir unklar, aber der Vollständigkeit halber 
erwähnt: Bei Cisco wird nicht nur die Konfiguration der APs zentral 
gemanagt, sondern es besteht auch die Möglichkeit, den WLAN-Datenverkehr 
unabhängig vom jenem Transportnetz zu zentralisieren, in dem der AP 
steckt.

Das ähnelt topologisch einem VPN-Stern auf Layer 2. Der WLAN-Traffic 
geht getunnelt über den WLAN-Controller. Das Netz, in dem der AP steckt, 
muss nur den Tunnel ermöglichen (Ansprechstelle per 
DHCP/DNS-Information), die WLAN-Clients bekommen mit diesem Netz keinen 
Kontakt. In Unternehmen mit vielen Aussenstellen kann das sehr nützlich 
sein.

(prx) A. K. schrieb:
> Ob hier relevant ist mir unklar, aber der Vollständigkeit halber
> erwähnt: Bei Cisco wird nicht nur die Konfiguration der APs zentral
> gemanagt, sondern es besteht auch die Möglichkeit, den WLAN-Datenverkehr
> unabhängig vom jenem Transportnetz zu zentralisieren, in dem der AP
> steckt.
>

Genau! Deshalb ist dies auch z.B. wenn Rooming wichtig ist - 
unverzichtbar!

@Oliver:
Jenau so macht man det. Mit dem Apple Configurator beim Massenrollout 
von Devices oder über ein MDM.
Heißt ja auch schon WPA-Personal und WPA-Enterprise.

Blöd nur wenn man jetzt den Fall , dass ein Personal Device in ein 
Enterprise-Network rein soll. Zum Beispiel weil man sich in einem nicht 
so gut aufgestellten Staat befindet wo der Mobilfunkempfang in der Halle 
echt mies ist und/oder Datenvolumen limitiert.

Es geht, aber es ist halt deutlich komplizierter als "Ich geb nen PSK 
ein und bin drin".
Mittlerweile gehen zwar individuelle PSK pro Endgerät. Ist aber auch 
nicht mit "Haken setzen und dann rennt das von allein" getan.


@A.K.
Das ist der erwähnte CAPWAP-Tunnel. (Technisch übrigens zwei UDP 5246 
und UDP 5247 für Control und Nutzdaten)
Ist nicht nur bei Cisco so sondern eigentlich bei allen großen Playern, 
da heißt das Kind ggf. anders.
Ubiquiti kann das übrigens nicht; umgekehrt kann Cisco seit ein paar 
Jahren auch nen lokalen Outbreak. Nennt sich da FlexConnect und am Ende 
fallen die Daten einfach in einem VLAN direkt am AP raus und das kann 
man ganz normal auf Layer2 in seiner Infrastruktur verteilen.
Bei Extreme gehts auch, da wüsste ich aber keinen tollen Namen für das 
Feature.
Gedacht ist FlexConnect eben gerade für Außenstellen weil man den großen 
Batzen Internettraffic dann lokal raus schieben kann, statt ihn erstmal 
per VPN in der Firmenzentrale zu aggregieren und dann doch nur weiter zu 
routen. Da ja heute alles Cloud und Internet und sowieso ist, macht der 
Traffic der eh "nur nach draußen" muss schon einen relevanten Teil aus.
Das Management-Interface muss natürlich weiterhin mit dem Controller 
sprechen können.


@Walter K.
Das Roaming auf WiFi-Seite ist erstmal unabhängig davon. Die 
Zusatzprotokolle gehen alle auf die Luftschnittstelle und assistieren 
dem Endgerät dabei möglichst elegant zu einem neuen AP zu springen.
Wobei Roaming im WiFi immer noch ein "bitte bitte liebes Endgerät, 
willst du nicht lieber diesen anderen AP hier benutzen" ist. Im 
Mobilfunknetz ist das ein: "Du! Jetzt rüberspringen zur Basisstation 
X!".
Voraussetzung dafür ist "lediglich" eine Controllerbasierte Lösung die 
die "Session" zwischen APs weiter reichen kann. Das funktioniert mit und 
ohne Tunnel.

Sonst hieße jeder Wechsel auch automatisch Neuverbindung. Das ist dann 
wie wenn man in der Bude daheim nen Sack voll Plastikrouter verteilt die 
alle voneinander nichts wissen und nur mit gleicher SSID und PSK 
ausstrahlen. Kann man so machen. Ist dann halt sch...
Dass die Kisten auf Ethernet-Seite dann mit dem Wechsel der APs von 
Switchport zu Switchport hüpfen ist in der Praxis kein Problem.

P. W. schrieb:
> Internettraffic dann lokal raus schieben kann, statt ihn erstmal
> per VPN in der Firmenzentrale zu aggregieren und dann doch nur weiter zu
> routen

So kriegt man zwar effizienteren Traffic, mogelt sich aber an der 
zentralen Firewall vorbei. Es legt nahe, dass man dann auch dezentral 
eine Firewall verwendet und es verlagert die Kosten dorthin.

Ja nee, vorbeimogeln ist kein valides Netzkonzept. WiFi und Firewall 
müssen da schon zusammenspielen.
In größeren Umgebungen wo das verschiedene Teams, Abteilungen oder gar 
Unternehmen sind, ist da natürlich etwas Abstimmungsbedarf vorhanden.

Aber hey - bekanntlich steht das S in IoT für Security...

vielleicht wäre das, eine Lösung für dein Problem, da diesen Ding ja als 
Router fungieren soll werden hier bestimmt nicht solche Kastraktionen 
vorliegen.

Man kann/muss sich nur ein WLAN Modul besorgen, also läßt sich das auch 
einfach tauschen oder wenn ein neuer Standart kommt.

5x GBit RJ45-Ports, HDMI 4k, 2x USB 3.1 Gen1 und 
Micro-USB,Speaker-Anschluß, Kopfhörer-Anschluß, SATA,, RTC, PCIe-Sockel 
(Mini PCIe) und M.2 für eine weitere SSD, 16 GByte eMMC, 2 GByte RAM

https://www.golem.de/news/banana-pi-bpi-r2-pro-platine-mit-fuenf-ethernet-ports-fuer-den-selbstbau-router-2109-159402.html