Fortinet Wireless FAQ

Letzte Aktualisierung: 23. Oktober 2023

Die Fortinet WiFi Produkte erfreuen sich schon länger zunehmender Beliebtheit. Dies nicht zuletzt, weil die FortiAP und Controller (FortiGate und FortiAP Cloud) je länger je angewandtere Technologien bieten und daher unterdessen praktisch alle vorstellbaren Einsatzszenarien abdecken.

Da mit dem Featureset zugleich auch die Komplexität der Systeme mit wächst, möchten wir ihnen mit diesem Artikel einen Überblick über die Technologie, die Funktionalität  und deren Einschränkungen verschaffen.


Basics

Welche Möglichkeiten gibt es, einen FortiAP zu betreiben?
Es gibt vier Möglichkeiten, den FortiAP zu verwalten:
Cloud. Die FortiAP’s können per FortiAPCloud verwaltet und konfiguriert werden.
Integrated. Die FortiAP’s werden auf dem FortiGate verwaltet und konfiguriert.
Management und Troubleshooting: Lokal. Per CLI auf dem AP. Sehr umständlich und daher von uns ausdrücklich nicht empfohlen. Über das CLI ist es nicht möglich Konfigurationen an Wireless Netzwerken vorzunehmen. Das CLI ist nur dazu da, den Zugriff zur Management Plattform einzurichten oder einfache Problemanalysen vorzunehmen.
Obsolet: Wireless LAN Controller. Die FortiAP’s konnten früher auf dem dedizierten FortiWLC (Wireless Lan Controller) verwaltet werden. Diese Möglichkeit wurde unterdessen von der Verwaltung über eine der anderen Lösungen abgelöst und der FortiWLC wird nicht mehr verkauft.

Sind FortiAP thin APs oder thick APs?
Thick APs sind Geräte, welche eine lokale Konfiguration direkt auf dem Gerät ermöglichen. Ein thick AP kann ohne Management-System im Standalone modus betrieben und konfiguriert werden.
Thin APs sind Geräte. welche lokal nicht konfiguriert werden können. Meistens können auf diesen Geräten zwar noch Netzwerkinformationen hinterlegt werden, aber es können keine SSIDs konfiguriert und aufgeschaltet werden. Dies muss immer über ein Management-System erfolgen.
FortiAP sind thin APs, FortiWifi Modelle sind thick APs.

Kann ich Access Points anderer Hersteller mit dem FortiGate verwalten?
Nein. Sowohl über die Cloud, wie auch mit dem integrierten Controller im FortiGate ist es nicht möglich, markenfremde Access Points zu verwalten.

Kann ich mit FortiAP’s mit Wifi Controller anderer Hersteller verwalten?
Es ist uns bisher nicht bekannt, dass dies möglich wäre.

Wieviele Access Points kann ich an einem bestimmten FortiGate Modell betreiben?
Für jedes Modell gibt es eine individuelle Limitation. Es wird unterschieden zwischen Tunnel und local Breakout. Zu diesem Thema haben wir bereits einen eigenen Artikel verfasst.

Ich habe eine SSID im Tunnel Modus im Einsatz. Wie werden die Daten eingekapselt?
Die WiFi Daten werden in einem CAPWAP Paket gekapselt. Im Standard werden die Daten, welche über CAPWAP getunnelt werden NICHT verschlüsselt.

Wie sind die Daten im CAPWAP Tunnel verschlüsselt?
CAPWAP ist ein Tunneling Protokoll welches für WiFi Produkte entwickelt wurde. Für die Steuerung und Management der AP’s wird ein Control-Tunnel aufgebaut (UDP Port 5246). Dieser Tunnel ist grundsätzlich verschlüsselt.
Der Data-Tunnel (UDP Port 5247) wiederum, wird standardmässig nicht verschlüsselt. Eine DTLS oder IPSec Verschlüsselung ist jedoch möglich und kann wie folgt aktiviert werden:

config wireless-controller wtp-profile
   edit "FAPS-321C-custom"
      set dtls-policy [clear-text|dtls|ipsec]
   end
end

Ich verwalte meine FortiAP über die FortiCloud. Wie kann ich den Traffic über die Cloud senden?
Dies ist zum aktuellen Zeitpunkt nicht möglich. Es ist nur möglich den Traffic lokal (oder mit VLAN Tags) auf das unterliegende Netzwerk zu senden.

Muss ich den FortiAP mit einem zusätzlichen Steckernetzteil betreiben?
Nein. Die APs können auch über PoE betrieben werden. Je nach AP ist der Strombedarf unterschiedlich. Der genaue Wert kann im Datenblatt zum jeweiligen AP ermittelt werden.

Welchen PoE Standard unterstützen die Fortinet Access Points?
Viele APs funktionieren mit dem gängigen 802.3at PoE Standard.
Einige neuere AP Modelle, wie zum Beispiel die FortiAP 431G oder 433G, benötigen aber mehr Leistung als der 802.3at PoE
Standard liefern kann. Der 802.3bt PoE Standard löst dieses Problem. Manchmal sind aber noch keine Switches vorhanden. welche den neuen Standard unterstützen. In diesem Fall ist ein “Dual PoE current sharing” notwendig. Dazu werden zwei 802.3at PoE Ports gebündelt.

Wir haben diesen Spezialfall hier in einem Blog Artikel dokumentiert.

Benötige ich eine Lizenz um einen FortiAP auf einem FortiGate oder FortiWifi verwalten zu können?
Nein. Jedes FortiGate / FortiWifi Modell hat jedoch eine beschränkte Anzahl an FortiAPs, welche verwaltet werden können. Die Anzahl an verwaltbaren FortiAPs kann im Datasheet zum jeweiligen FortiGate unter “Maximum Number of FortiAPs” nachgeschlagen werden.

Wie aktiviere ich den Wireless Controller auf dem FortiGate?
Auf kleinen FortiGate Modellen ist der Wireless Controller nicht standardmässig aktiv. In diesem Fall muss dieser mit folgenden CLI Befehlen erst aktiviert und anschliessend im GUI eingeblendet werden:

config system global
   set wireless-controller enable
end
config system settings
   set gui-wireless-controller enable
end

Mir werden Funkkanäle angezeigt, die in der Schweiz nicht genutzt werden dürfen. Warum?
Damit das FortiGate weis, wo sich die Installation befindet, muss dies im Wireless Controller hinterlegt werden. Wenn dies nicht korrekt hinterlegt wird, können die Access Points Frequenzen verwenden. welche in der Schweiz nicht genutzt werden dürfen. Dies wäre entsprechend keine erlaubte Installation.

config wireless-controller setting
   set country CH
end

Das Land kann auch im einzelnen Profil überschrieben werden. Wir empfehlen in der Regel aber, dies gleich für den ganzen WLAN Controller zu setzen.

Welche CLI Konfigurationsdirektiven sind wichtig?
Vor allem diese:

# Globale Wireless Konfiguration und Einstellungen, welche alle APs betreffen
config wireless-controller global
# Verwaltung von APs (Wireless Termination Point)
config wireless-controller wtp
# Verwaltung von AP Profilen
config wireless-controller wtp-profile
# SSID Konfigurationen 
config wireless-controller vap

Funktionen und Einstellungen

Was bedeutet die Option “AP Handoff” im FortiAP Profil?
Ist ein Feature welches nicht grundsätzlich aktiviert werden sollte. Jedoch kann es bei High-Density Umgebungen wie z.B. in einem grossen Vorlesungssaal nützlich sein, wenn sich mehrere AP’s sich eine grosse Anzahl Clients aufteilen sollen.
Wenn auf einem AP sehr viele Clients verbunden sind und die Clients von einem anderen AP bedient werden könnten, kann der AP ab einer bestimmten Limite neue Clients ignorieren, damit diese automatisch auf einen anderen AP wechseln.

Was bedeutet die Option “Frequency Handoff” im FortiAP Profil?
Das 2.4 GHz Frequenzband ist je länger je mehr durch diverse Anwendungen ausgelastet. Da es für Wifi Anwendungen noch einen zweiten Bereich im 5 GHz Frequenzband gibt, können die Clients einfach auf diesen Bereich verlagert werden. Das aktivieren dieser Optionen bedeutet, dass alle Clients, welche 5 GHz unterstützen, auf diese Frequenzen verlagert werden. Das AP Handoff funktioniert technisch so, dass es Dualband (2.4 & 5.0 GHz) fähige Clients welche sich im 2.4 GHz Band befinden ignoriert, damit diese von selbst vom 2.4 ins 5.0 GHz Band wechseln.

Was bedeutet die Option “Radio Ressource Provisioning” im FortiAP Profil?
Diese Funktion wird auch als DARRP (Distributed Automatic Radio Resource Provisioning) bezeichnet. Durch DARRP scant jeder FortiAP autonom und periodisch alle Kanäle und meldet dem Controller die Kanäle, welche für die drahtlose Kommunikation am jeweiligen Standort am besten geeignet sind. Der Controller wählt dann die Kanäle für jeden AP so, dass sie sich bei großen Implementierungen, bei denen mehrere Access Points überlappende Funkabdeckung haben, am wenigsten gegenseitig beeinträchtigen. So wird ein Frequenzmodell aufgebaut, bei welchem sich die einzelnen APs nicht gegenseitig stören.

Das DARRP scan interval ist per default 600 Sekunden. Alle 84600 Sekunden wird anhand der gesammelten Daten dann berechnet, welcher der neue optimale Kanal ist und der Kanal wird gewechselt. Wenn ein Scan durchgeführt wird, wechselt der AP vom AP Modus in den Monitor modus. Jede Sekunde wird ein Kanal für 20ms überwacht, bis alle Kanäle gescannt sind. Der AP macht den Scan nur in “idle” Situationen, also wenn gerade keine Daten übermittelt werden. Sollte ein Client aber in genau diesem Moment Daten übermitteln, kann es sehr kurzzeitig zu Paketverlust kommen. Dies kann verhindert werden, indem ein “Dedizierter Monitor” AP eingesetzt wird.

Was bedeutet die Option “Spectrum Analysis” (CLI-Option)?
Die Funktion wurde aus dem GUI der aktuellen FortiOS Versionen entfernt. Der Scan verursacht sehr hohe CPU Last bei den AP’s und sollte daher nur zu Debugging zwecken eingeschaltet werden.
Die Spektrumanalyse macht eine Überwachung anderer AP’s im Hintergrund, während die AP’s als AP betrieben werden. Standardmäßig ist die Spektrum-Analyse deaktiviert. Jedes WiFi-Modul kann die Überwachung von Funkkanälen in seinem Betriebsband durchführen, während es als AP fungiert. Dazu schaltet das Gerät kurz von AP in den Überwachungsmodus. Standardmäßig beginnt alle 300 Sekunden eine Scan-Periode. Jede Sekunde wird ein anderer Kanal für 20ms überwacht, bis alle Kanäle überprüft wurden.

Warum sollte ich den Clients nicht alle Datenraten anbieten?
Ganz einfach: Je langsamer ein Client Daten überträgt, desto länger hat er um die Daten zu übertragen. Je länger wiederum der Client benötigt um die Daten zu senden, desto länger ist das Übertragungsmedium respektive der Übertragungskanal belegt und steht in dieser Zeit allen anderen nicht mehr zur Verfügung.
Bedenken sie, dass Multicast (& Broadcast) Traffic immer mit der langsamsten zur Verfügung stehenden Übermittlungsmethode übertragen wird, damit auch alle Clients die Übertragung empfangen können.
Trotzdem gibt es noch zu beachten, dass zum Beispiel iPhones im Standby Modus über den “mcs0” Übertragungsmodus kommunizieren. Dieser ist sehr langsam, kann jedoch auch mit extrem wenig Sendeleistung noch mit sehr wenig Übertragungsfehlern kommunizieren.

Ein AP zieht nach einem Factory Reset immer wieder eine alte Konfiguration. Warum? Und woher?
Der AP ist vermutlich noch auf der FortiCloud aktiv und provisioniert. Beim boot des AP prüft dieser immer zuerst, ob eine Konfiguration auf der FortiAP Cloud für ihn bereit liegt. Um den AP an einem Controller oder FortiGate zu betreiben und dort provisionieren zu können, ist es notwendig den AP aus der FortiCloud zu entfernen (aus der Konfiguration UND zusätzlich noch aus dem Inventory!). Nach dem löschen aus der FortiCloud kann es bis zu 15 Minuten dauern, bis die Cloud die korrekte Info über dessen Entfernung aus der Cloud an den AP zurück sendet.

Warum werden meine FAP-C24JE, FAP-C23JD, FAP-C225C und FAP-C220C auf dem FortiGate nicht angezeigt obwohl diese verbunden sind?
Um FAP-C Modelle mit dem FortiGate verwalten zu können muss die Funktionalität dazu auf dem FortiGate vorgängig aktiviert werden:
# Achtung: Um alle Features nutzen zu können, benötigen sie FortiOS >= 5.6.6 oder FortiOS >= 6.0.3

config wireless-controller setting
   set fapc-compatibility enable
end

Ich habe meinen FAP-###E direkt an mein FortiOS 6.0.x FortiGate angeschlossen, aber der AP wird nicht in der Access Point Liste angezeigt. Warum?
Die Chancen sind sehr gross, dass Ihr brandneuer FortiAP noch nicht von ihrem FortiOS unterstützt wird. Aktualisieren Sie Ihr FortiGate auf eine aktuellere Version, damit der AP erkannt wird und in der Liste erscheint.

Mit welchen Methoden sucht ein FortiAP nach seinem Wireless Controller?
Mit den Standardeinstellungen sucht ein FortiAP in folgender Reihenfolge nach seinem Wireless Controller (Link):

1(static) → 2(dhcp) → 3(dns) → 7(fortiapcloud) → 5(multicast) → 6(broadcast)

Die statische Kontrolle IP muss manuell auf dem AP hinterlegt werden.
Bei DHCP wird die Kontroller IP aus der DHCP Option 138 ausgelesen.
Für das DNS Discovery kann ein Hostname im Konfigurationsparameter AC_HOSTNAME_1 hinterlegt werden.
Die FortiCloud wird über den DNS Hostnamen apctrl1.fortinet.com aufgelöst.
Für Multicast wird die Adresse 224.0.1.140 verwendet.
Broadcast Anfragen werden über die lokale Broadcast Adresse versendet.

Ich setze einen Remote-AP ein. Wenn ich die Daten im Tunnel sniffe sehe ich den internen Traffic zwar eingekapselt, aber unverschlüsselt im Internet. Was läuft falsch?
Nichts. Der Datenkanal des CAPWAP ist standardmässig unverschlüsselt. Eine Verschlüsselung ist über DTLS oder IPSec möglich. Beides muss manuell konfiguriert werden. Die Verfügbarkeit der Features ist auch Modellabhängig. Das aktivieren der gesicherten Übertragung lässt die CPU und Memory Auslastung des AP’s allenfalls massiv ansteigen.

config wireless-controller wtp-profile
   edit profile1
      set dtls-policy dtls-enabled
   end
end

Meine Remote APs befinden sich hinter einer NAT Lösung. Daher kann ich diese nicht direkt erreichen. Kann ich den AP via CAPWAP vom FortiGate aus verwalten?
Ja. Jedoch nur via FortiAP CLI. Die Befehle können vom FortiGate an den AP gesendet werden. Fortinet hat dazu einen KB Artikel verfasst.

# Verbundene FortiAPs anzeigen
diagnose wireless-controller wlac -c ws

# Aktuelle Konfiguration ausgeben
diagnose wireless-controller wlac wtpcmd <ip> <port> r&s "cfg -s"

# Beispielbefehl, um die Verbindung zum Controller von IP-Based auf FQDN umzustellen
diagnose wireless-controller wlac wtpcmd <ip> <port> run "cfg -a AC_HOSTNAME_1=controller.company.tld; cfg -a AC_IPADDR_1=; cfg -c"

Was ist IEEE 802.11ax oder “Wi-Fi 6”?
Der Wifi6 Standard ist der nächste Standard für WLAN Verbindungen. Der Standard ist zwar bereits festgelegt, jedoch sind die meisten Hersteller noch damit beschäftigt, diesen in ihre Produkte zu implementieren.
Fortinet hat nun jedoch bereits erste Modelle angekündigt, welche bereits bei uns bestellt werden können: Link zu Fortinet


Drahtlose Kommunikation per Funk

Wie weit voneinander soll ich Access Points montieren (802.11ac)?
Gemäss groben, inoffiziellen Richtwerten sind Radien von 25 beziehungsweise 18 Metern relativ gute Richtwerte für normale, beziehungsweise High-Density (Latenz oder Traffic-Lastige Applikationen) Infrastrukturen. Störende Einflüsse wie Dämpfung, Streuung, Reflektionen, Rauschen und so weiter beeinflussen diese Werte. Wir empfehlen, die Anzahl AP’s anhand von effektiven Messungen vor Ort festzulegen.

Wo sind die grössten Problemzonen für ein WLAN Netzwerk?
Diese Frage kann nicht abschliessend beantwortet werden. Es gibt unzählige Störquellen und weitere Ursachen für schlechten WLAN Empfang. Aus unserer Erfahrung möchten wir hier jedoch die meist angetroffenen Problempunkte aufzählen:
Liftschächte & Treppenhäuser sind wegen ihrer zentralen Rolle betreffend der Sicherheit in Gebäuden massiver gebaut als andere Gebäudeteile. Dickere Wände und verstärkte Armierungen sind hier heute Standard.
Strahlendämmende Verglasungen sind eigentlich dafür gemacht, UV- und Infrarot Strahlung abzuhalten ins Gebäude zu Strahlen. Im Winter bleibt die Wärme dadurch im Gebäude und im Sommer draussen. Funkwellen werden von diesen Verglasungen ebenfalls massiv gedämmt und wirken wie ein Spiegel.
Mikrowellen Ofen funktionieren ebenfalls im Gigahertz Frequenzbereich und blockieren im Betrieb das 2.4 GHz Band meist komplett und viele Frequenzen weit ausserhalb ebenfalls.
Metallschränke & Gestelle können je nach Dichte die Funkstrahlung komplett abschirmen. Geschlossene Metallschränke oder engmaschige Drahtgitter sind Faradaysche Käfige und verhindern ein durchdringen der Signale komplett.
Sitzungszimmer sind High-Density Umgebungen und sollten daher entsprechend in die Planung einfliessen. Hinzu kommen oft Systeme, welche zur Bild und Tonübertragung ähnliche Frequenzen einsetzen.
Laborumgebungen sind meistens mit Technik, Kabeln, Glas und Metall gefüllt.
Lager und Hallen sind oft schwer abzudecken, da sich gleich mehrere Faktoren Kumulieren: High Density Umgebungen, Elektromagnetische Störeinflüsse durch Maschinen und eine grosse abzudeckende Fläche.
Das Büro der Geschäftsleitung. Dort funktionieren technischen Geräte meistens nicht so zuverlässig wie an anderen Orten.

Wie viel Sendeleistung soll ich im AP Profil konfigurieren?
Die Aussage “je mehr, desto besser” wird von vielen Administratoren fälschlicherweise als zutreffend angenommen und entsprechend umgesetzt. Wir raten jedoch davon ab, die AP’s mit voller Sendeleistung laufen zu lassen.
Und zwar darum: Sie können sich den Funkverkehr wie Gespräche unter Personen vorstellen. Stellen sie sich nun vor, dass 10 Personen in einem Saal eine Unterhaltung führen sollen (= Informationen übertragen). Wenn diese 10 Personen nun in normaler Zimmerlautstärke miteinander kommunizieren funktioniert dies wunderbar. Sobald eine der Personen beginnt so laut wie möglich zu schreien, stört dies die anderen Personen in der Unterhaltung. Genauso verhält es sich in der drahtlos Kommunikation.
Ein weiteres Problem: Wir gehen nun davon aus, dass zwei Personen untereinander über 10 Meter Informationen austauschen sollen. Eine der beiden Personen heisst “Smartphone” und kann nicht lauter sprechen als in normaler Zimmerlautstärke, die andere Person heisst “Access Point” und schreit so laut sie kann. In diesem Szenario reicht die Lautstärke (= Sendeleistung) des “Smartphone” schlicht nicht aus um den “Access Point” zu erreichen. In beiden Szenarien nützt uns die hohe Sendeleistung nichts oder schadet sogar indem andere gestört werden.
Bedenken sie ausserdem, dass gewisse Smartphones (Unter anderem auch die bekannteste Marke) mit sinkendem Akku stand die Sendeleistung verringern.
Eine nützliche Funktion kann auch die Verwendung von Auto-TX Power im AP-Profile darstellen. Hier kann eine Range festgelegt werden (z.B. 10-16db). In diesem Bereich Arbeitet der AP nun je nach Anforderung. Minimal würde dann mit 10db gesendet, sollte ein Client nicht ausreichend Empfangsqualität haben, so wird der TX-Power dynamisch erhöht.

Die Wifi Benutzer klagen über Kopfschmerzen oder Schlafstörungen. Was kann ich dagegen tun?
Schalten sie die Access Points (und die Endgeräte) aus und prüfen sie ob dies das Problem behebt. Platzieren sie die AP’s weiter entfernt aber beachten sie dabei, dass die Strahlung dadurch in der Regel gleich bleibt, da für das überbrücken der zusätzlichen Distanz zusätzliche Sendeleistung notwendig ist. Beachten sie, dass ein Wifi Access Point im 2.4 GHz Frequenzband eine Leistung von maximal 100 mW (0.1 Watt) EIRP (link) und im 5 GHz Band eine Leistung von 1 Watt EIRP (link) abstrahlen darf. Eine Mobilfunkantenne bis maximal 1000 Watt ERP (link) und ein Mobiltelefon maximal 2 Watt ERP (link). Eine WLAN Verbindung ist daher in der Regel deutlich weniger leistungsstark als eine Mobilfunk Verbindung.
Bei Schlaf Problemen aufgrund der Hellen LED’s können diese ausgeschaltet werden:

config wireless-controller wtp-profile
   edit profile-name
      set led-state disable
   end
end

Mit welcher Software kann ich coole Diagramme erstellen und die Abdeckung der AP’s berechnen?
Es gibt diverse Möglichkeiten solche “Heatmaps” zu erstellen. Wir möchten ihnen hier drei solche Tools vorstellen:
Netscout – AirMagnet Survey PRO. Netscout ist ein günstiges und funktionelles Tool um Heatmaps zu erstellen. Jedoch sind in Netscout die FortiAP Modelle nicht hinterlegt.
Fortinet FortiPlanner. Im FortiPlanner können alle aktuellen FortiAP Modelle ausgewählt werden und diese sind jeweils mit den spezifischen Abstrahlwerten und Charakteristiken hinterlegt.
Die Planungsfunktion für FortiAP’s ist Kostenlos! Um eine Site-Survey (Heatmap) zu erstellen, ist jedoch eine Kostenpflichtige Lizenz für die Software nötig.
Ekahau. Auch in Ekahau sind die FortiAP’s hinterlegt. Hinzu kommt bei ekahau jedoch noch ein deutlich höherer Preis als beim FortiPlanner. In Ekahau sind jedoch auch AP’s anderer Hersteller hinterlegt.

Wo finde ich weitere Informationen zum FortiPlanner?
Zum einen haben wir einen eigenen Blog Artikel erstellt und zum anderen hat Fortinet selbst noch viele Informationen (inklusive Download) auf der Produkteseite.

Wie genau sind die mit AirMagnet/FortiPlanner/Ekahau erstellten Heatmaps?
Ungenau. Beachten sie, dass die generierten Heatmaps rein theoretische Berechnungen darstellen und meist massiv von den effektiven Messwerten abweichen können. Wir empfehlen ausdrücklich immer vorher eine Site-Survey durch zu führen und sich an den effektiv gemessenen Werten für die weitere Planung zu orientieren.


Störungen

Wie fest stören elektrische Geräte die Wifi Frequenzen?
Ein Bild sagt mehr als tausend Worte:

Ruhiges Frequenzspektrum.
Durch Mikrowellen-Ofen gestörtes Frequenzspektrum.

Links das Spektrum im Normalbetrieb und rechts bei Störungen durch einen aktiven Mikrowellen-Ofen. Das Spektrum ist auf der rechten Grafik allgemein stark durch Mikrowellen-Störungen belastet, die untersten Kanäle sind dabei jedoch am wenigsten betroffen.
Ähnliche Störungen wie bei diesem Beispiel durch einen Mikrowellen Ofen können auch durch andere Geräte wie z.B. grössere (Fahrstuhl)-Elektromotoren, Generatoren, Frequenz-Umrichter und so weiter entstehen.

Kann ich auf dem AP Eine Spektrum-Analyse machen?
Ja. Die FortiAP’s können einen Radio zur Spektrum Analyse nutzen. Ein Sender muss dabei aber für diese Aufgabe reserviert werden. Viele Modelle haben aber drei Radios. In diesem Fall lässt sich problemlos der dritte Radio für die Frequenzanalyse nutzen.Die Frequenzanalyse bietet zwar alle wichtigen Infos, ist jedoch kein umfangreiches Werkzeug. Die Spektrumanalyse ist im GUI unter “WiFi & Switch Controller -> Managed FortiAPs -> FortiAP anklicken -> Diagnostics and Tools -> Spectrum Analysis” zu finden. Hier noch ein Screenshot (Die Diagramme zeigen Live-Daten und bewegen sich vorzu):

Die Spektrumanalyse im FortiGate Admin GUI.

Welches Signal/Rauschverhältnis ist gut?
Top SnR: 25dB und höher
Gutes SnR: 15dB bis 25dB
Minimum SnR: 15dB

Was sind gute Voraussetzungen für eine WLAN Installation?
Eine wichtige Grundvoraussetzung für eine stabile Übertragung ist ein möglichst störungsfreies und “ruhiges” Band. Das Grundrauschen, welches Allzeit im Hintergrund unserer Signale vorhanden ist, kann gemessen werden. Je niedriger dieses Grundrauschen ist, desto klarer können wir unsere WLAN Signale übertragen.
Ein Ideales Hintergrundrauschen bewegt sich im Bereich über -92dB. Alle Werte über -80dB sind noch in Ordnung. Werte unter -80 können hingegen bereits die Leistung beeinträchtigen.

Ein Kunde möchte ein AccessPoint in einer Industriehalle in Umgebung mit diversen elektrischen Maschinen betreiben. Welches Modell soll ich wählen?
In solchen Fällen empfehlen wir, AP’s mit speziellen Schutzvorkehrungen gegen induktive Spannungen zu verwenden. Im Falle von Fortinet sind dies alle Outdoor AP Modelle. Diese haben einen eingebauten Schutz um Überspannungen und Störungen zu vermeiden. Bitte beachten sie, dass auch mit Outdoor AP’s absolut keine Funktionsgarantie gegeben werden kann. Ein industrielles Umfeld mit starken elektromagnetischen Immissionen und der Einsatz von WLAN AP’s lässt sich schlicht nicht miteinander vereinbaren.

Was ist bei Outdoor Wifi Installationen sonst noch zu beachten?
Der Blitzschutz. Zahlreiche private, aber vor allem auch gewerblich genutzte Gebäude müssen gemäss Gesetzt mit einem Blitzschutzsystem ausgerüstet sein. Dies gilt selbstverständlich auch für am Haus angebrachte Antennenanlagen. Durch einen Effektiven Blitzschutz wird verhindert, dass die Energie eines Blitzeinschlags (oder auch induktive Ladungen durch Blitzeinschläge in der näheren Umgebung) ins innere des Gebäudes gelangen.

Warum kann ich nicht alle 5GHz Kanäle auswählen?
In der Schweiz ist die Verwendung von Funkfrequenzen durch das Bakom reglementiert und ist im Nationalen Frequenzzuweisungsplan dokumentiert. Die Schweiz arbeitet hier übrigens mit anderen Ländern zusammen und hat grosse Teile des Frequenzspektrums harmonisiert. Gemäss Frequenzzuweisungsplan sind einige 5GHz Frequenzbereiche nur für die indoor Nutzung freigegeben. Sobald im FortiAP Profil also “Outdoor” als AP Standort ausgewählt wird, stehen diese Frequenzen nicht mehr zur Auswahl.

Der 2.4GHz Frequenzbereich, welcher für WLAN zur Verwendung kommt ist von dieser Einschränkung übrigens nicht betroffen.


Kommunikationsprobleme FGT/AP

Wir wollten VLAN 97 konfigurieren, die Clients erhalten aber keine IP Adressen?
Es gibt tatsächlich eine Einschränkung bei der Verwendung der VLAN IDs 97, 98, 898 und 899. Diese VLANs sind für interne Verwendung reserviert und dürfen nicht für den Bridge Mode verwendet werden. Weitere Informationen dazu sind in unserem Blog Beitrag zum Thema zu finden.

Clients haben auf einzelnen APs Verbindungsprobleme. Was könnte es sein?
In den meisten Fällen sind Verbindungsprobleme (kurze Unterbrüche auf den Clients) auf einen der folgenden Punkte zurück zu führen:
– PoE Stromversorgungsprobleme (Switch Logs prüfen, Leitungsläge prüfen)
– Layer 1 Probleme (defekte Kabel durch Quetschen oder durch andere Schäden, Wechsel der 5GHz Kanäle 52-64 und 100-140 aufgrund von DFS Dynamic Frequency Selection durch andere Funkanwendungen wie zum Beispiel Wetter Radar)
– Layer 2 Probleme (Roaming Probleme durch MAC flapping Probleme auf der unterliegenden Switching Infrastruktur -> Siehe Switch Logs)
– Layer 3 Probleme (Sessions werden beim Failover über andere Systeme geroutet wobei TCP Sessions abgebrochen werden)

Alle APs, welche an einem Interface des FortiGates angeschlossen sind, werden als “offline” angezeigt obwohl diese Authorisiert wurden.
Auf dem Interface, an welchem die APs angeschlossen sind, muss CAPWAP oder FortiTelemetry aktiviert sein.

Der FortiAP kann nicht Authorisiert werden.
Wenn der FortiAP im GUI nicht Authorisiert werden kann, hilft meistens die Verwendung eines alternativen Browsers. Falls dies ebenfalls nicht funktioniert, kann ein AP auch via CLI Authorisiert werden:

config wireless-controller wtp
    edit "SNOFTHEFORTAP"
        set admin enable
    next
end

Der FortiAP erscheint in der AP Liste, ist aber immer offline.
Der AP ist vermutlich noch auf der FortiCloud aktiv und provisioniert. Beim boot des AP prüft dieser immer zuerst, ob eine Konfiguration auf der FortiAP Cloud für ihn bereit liegt. Um den AP an einem Controller oder FortiGate zu betreiben und dort provisionieren zu können, ist es notwendig den AP aus der FortiCloud zu entfernen (aus der Konfiguration UND zusätzlich noch aus dem Inventory!). Nach dem löschen aus der FortiCloud kann es bis zu 15 Minuten dauern, bis die Cloud die korrekte Info über dessen Entfernung aus der Cloud an den AP zurück sendet.

Ab FortiOS 6.2 und höher sollten Sie auch versuchen, das FortiGate WebGUI in einem Private-Tab oder Inkognito Tab Ihres Browsers zu öffnen, da es hier ab und zu zu Anzeigefehlern kommt.

Einige FortiAP sind in der AP Liste vorhanden, werden als “offline” oder “connecting” angezeigt. Warum können diese nicht verbinden?
Solche Probleme, bei welchen ein AP zwar initial auf dem FortiGate Controller erscheint, jedoch keinen CAPWAP Control Tunnel aufbauen kann, werden meistens durch MTU Überschreitungen beim Austausch des Tunnel-Zertifikats verursacht (z.B. Remote AP via Site-To-Site VPN). In diesem Fall muss man die MTU vom Interface, auf welches sich die FortiAPs verbinden, soweit reduzieren, dass die IP-Pakete auf der gesamten Übertragungsstrecke nicht mehr fragmentiert werden.

Einige Remote FortiAPs können sich nicht verbinden
Wenn der ISP vom Wireless Controller (Fortigate) eine MTU von weniger als 1500 verwendet (z.B. PPPOE), können die CAPWAP Control Pakete fragmentiert werden. Auf dem Router am Remote-Standort muss sichergestellt werden, dass fragmentierte Pakete akzeptiert werden.

Beispiel UPC Connect Box am Remote Standort (Standardeinstellung)

Die Clients hinter einem FortiAP verlieren sporadisch die Verbindung zum internen/externen Netzwerk. Was kann die Ursache sein?

Auch solche Probleme können durch MTU Probleme verursacht werden. Wir konnten beobachten, dass die Pakete des CAPWAP Tunnel bei Tunnel-based SSIDs von Routern, welche zwischen FortiGate und FortiAP betrieben werden beschädigt werden und vom FortiGate dann nicht mehr verarbeitet werden kann.

Wie löse ich MTU Probleme am besten?

Wir empfehlen bei MTU Problemen unbedingt, alle beteiligten Provider zu kontaktieren oder die Datenblätter der jeweiligen Internetzugänge (auf beiden Seiten!) zu Rate zu ziehen und die darin hinterlegten MTU Werte zu verwenden. Es besteht zwar die Möglichkeit, die MTU selbst zu errechnen bzw auch durch gezieltes Paketgrössen Probing zu “erraten”. Bei diesem Vorgehen ist jedoch einiges an Erfahrung nötig, da lokale und remote Systeme die Resultate beeinflussen können. Auf die Angaben der Provider ist im Gegensatz dazu aber in der Regel Verlass.

Link zu Wifi-Troubleshooting
Fortinet hat einen Troubleshooting KB Artikel erstellt: Dieser ist hier zu finden.


Tools & Software

FortiPlanner (Datasheet / Boll Blog Artikel über FortiPlanner)

InSSIDer (Hersteller Link)

Chanalyzer (Hersteller Link)

WiPry Clarity USB spectrum analyzer (Hersteller Link)

Ekahau (Hersteller Link)

Loading

Leave a Reply

Your email address will not be published. Required fields are marked *