Fortinet Wireless FAQ

Die Fortinet WiFi Produkte erfreuen sich schon länger zunehmender Beliebtheit. Dies nicht zuletzt, weil die FortiAP und Controller je länger je angewandtere Technologien bieten und daher unterdessen praktisch alle vorstellbaren Einsatzszenarien abdecken.

Da mit dem Featureset zugleich auch die Komplexität der Systeme mit wächst, möchten wir ihnen mit diesem Artikel einen Überblick über die Technologie, die Funktionalität  und deren Einschränkungen verschaffen.

Welche Möglichkeiten gibt es, einen FortiAP zu betreiben?
Es gibt vier Möglichkeiten, FortiAP zu verwalten:
Lokal. Per CLI auf dem AP. Sehr umständlich und daher von uns ausdrücklich nicht empfohlen.
Cloud. Die FortiAP’s können per FortiCloud verwaltet werden.
Integrated. Die FortiAP’s werden auf dem FortiGate verwaltet.
Wireless LAN Controller. Die FortiAP’s werden auf dem dedizierten FortiWLC (Wireless Lan Controller) verwaltet.

Kann ich Access Points anderer Hersteller mit dem FortiGate verwalten?
Nein. Sowohl über die Cloud, wie auch mit dem integrierten Controller im FortiGate oder mit dem FortiWLC ist es nicht möglich Marken fremde Access Points zu verwalten.

Kann ich mit FortiAP’s mit Wifi Controller anderer Hersteller verwalten?
Es ist uns bisher nicht bekannt, dass dies möglich wäre.

Wieviele Access Points kann ich an einem bestimmten FortiGate Modell betreiben?
Für jedes Modell gibt es eine individuelle Limitation. Es wird unterschieden zwischen Tunnel und local Breakout. Zu diesem Thema haben wir bereits einen eigenen Artikel verfasst.

Ich habe eine SSID im Tunnel Modus im Einsatz. Wie werden die Daten eingekapselt?
Die WiFi Daten werden in einem CAPWAP Paket gekapselt. Im Standard werden die Daten, welche über CAPWAP getunnelt werden NICHT verschlüsselt.

Wie sind die Daten im CAPWAP Tunnel verschlüsselt?
CAPWAP ist ein Tunneling Protokoll welches für WiFi Produkte entwickelt wurde. Für die Steuerung und Management der AP’s wird ein Control-Tunnel aufgebaut (UDP Port 5246). Dieser Tunnel ist grundsätzlich verschlüsselt.
Der Data-Tunnel (UDP Port 5247) wiederum, wird standardmässig nicht verschlüsselt. Eine DTLS oder IPSec Verschlüsselung ist jedoch möglich und kann wie folgt aktiviert werden:

config wireless-controller wtp-profile
edit "FAPS-321C-custom"
set dtls-policy [clear-text|dtls|ipsec]
end
end

Was bedeutet die Option „AP Handoff“ im FortiAP Profil?
Ist ein Feature welches nicht grundsätzlich aktiviert werden sollte. Jedoch kann es bei High-Density Umgebungen wie z.B. in einem grossen Vorlesungssaal nützlich sein, wenn sich mehrere AP’s sich eine grosse Anzahl Clients aufteilen sollen.
Wenn auf einem AP sehr viele Clients verbunden sind und die Clients von einem anderen AP bedient werden könnten, kann der AP ab einer bestimmten Limite neue Clients ignorieren, damit diese automatisch auf einen anderen AP wechseln.

Was bedeutet die Option „Frequency Handoff“ im FortiAP Profil?
Das 2.4 GHz Frequenzband ist je länger je mehr durch diverse Anwendungen ausgelastet. Da es für Wifi Anwendungen noch einen zweiten Bereich im 5 GHz Frequenzband gibt, können die Clients einfach auf diesen Bereich verlagert werden. Das aktivieren dieser Optionen bedeutet, dass alle Clients, welche 5 GHz unterstützen, auf diese Frequenzen verlagert werden. Das AP Handoff funktioniert technisch so, dass es Dualband (2.4 & 5.0 GHz) fähige Clients welche sich im 2.4 GHz Band befinden ignoriert, damit diese von selbst vom 2.4 ins 5.0 GHz Band wechseln.

Was bedeutet die Option „Radio Ressource Provisioning“ im FortiAP Profil?
Diese Funktion wird auch als DARRP (Distributed Automatic Radio Resource Provisioning) bezeichnet. Durch DARRP scant jeder FortiAP autonom und periodisch alle Kanäle und meldet dem Controller die Kanäle, welche für die drahtlose Kommunikation am jeweiligen Standort am besten geeignet sind. Der Controller wählt dann die Kanäle für jeden AP so, dass sie sich bei großen Implementierungen, bei denen mehrere Access Points überlappende Funkabdeckung haben, am wenigsten gegenseitig beeinträchtigen.

Was bedeutet die Option „Spectrum Analysis“ (CLI-Option)?
Die Funktion wurde aus dem GUI der aktuellen FortiOS Versionen entfernt. Der Scan verursacht sehr hohe CPU Last bei den AP’s und sollte daher nur zu Debugging zwecken eingeschaltet werden.
Die Spektrumanalyse macht eine Überwachung anderer AP’s im Hintergrund, während die AP’s als AP betrieben werden. Standardmäßig ist die Spektrum-Analyse deaktiviert. Jedes WiFi-Modul kann die Überwachung von Funkkanälen in seinem Betriebsband durchführen, während es als AP fungiert. Dazu schaltet das Gerät kurz von AP in den Überwachungsmodus. Standardmäßig beginnt alle 300 Sekunden eine Scan-Periode. Jede Sekunde wird ein anderer Kanal für 20ms überwacht, bis alle Kanäle überprüft wurden.

Warum sollte ich den Clients nicht alle Datenraten anbieten?
Ganz einfach: Je langsamer ein Client Daten überträgt, desto länger hat er um die Daten zu übertragen. Je länger wiederum der Client benötigt um die Daten zu senden, desto länger ist das Übertragungsmedium respektive der Übertragungskanal belegt und steht in dieser Zeit allen anderen nicht mehr zur Verfügung.
Bedenken sie, dass Multicast (& Broadcast) Traffic immer mit der langsamsten zur Verfügung stehenden Übermittlungsmethode übertragen wird, damit auch alle Clients die Übertragung empfangen können.
Trotzdem gibt es noch zu beachten, dass zum Beispiel iPhones im Standby Modus über den „mcs0“ Übertragungsmodus kommunizieren. Dieser ist sehr langsam, kann jedoch auch mit extrem wenig Sendeleistung noch mit sehr wenig Übertragungsfehlern kommunizieren.

Ich verwalte meine FortiAP über die FortiCloud. Wie kann ich den Traffic über die Cloud senden?
Dies ist zum aktuellen Zeitpunkt nicht möglich. Es ist nur möglich den Traffic lokal (oder mit VLAN Tags) auf das unterliegende Netzwerk zu senden.

Warum werden meine FAP-C24JE, FAP-C23JD, FAP-C225C und FAP-C220C auf dem FortiGate nicht angezeigt obwohl diese verbunden sind?
Um FAP-C Modelle mit dem FortiGate verwalten zu können muss die Funktionalität dazu auf dem FortiGate vorgängig aktiviert werden:
# Achtung: Um alle Features nutzen zu können, benötigen sie FortiOS >= 5.6.6 oder FortiOS >= 6.0.3

config wireless-controller setting
set fapc-compatibility enable
end

Ich setze einen Remote-AP ein. Wenn ich die Daten im Tunnel sniffe sehe ich den internen Traffic zwar eingekapselt, aber unverschlüsselt im Internet. Was läuft falsch?
Nichts. Der Datenkanal des CAPWAP ist standardmässig unverschlüsselt. Eine Verschlüsselung ist über DTLS oder IPSec möglich. Beides muss manuell konfiguriert werden. Die Verfügbarkeit der Features ist auch Modellabhängig. Das aktivieren der gesicherten Übertragung lässt die CPU und Memory Auslastung des AP’s allenfalls massiv ansteigen.

config wireless-controller wtp-profile
edit profile1
set dtls-policy dtls-enabled
end

Was ist IEEE 802.11ax oder „Wi-Fi 6“?
Der Wifi6 Standard ist der nächste Standard für WLAN Verbindungen. Der Standard ist zwar bereits festgelegt, jedoch sind die meisten Hersteller noch damit beschäftigt, diesen in ihre Produkte zu implementieren.
Fortinet hat nun jedoch bereits erste Modelle angekündigt, welche bereits bei uns bestellt werden können: Link zu Fortinet

Wie weit voneinander soll ich Access Points montieren (802.11ac)?
Gemäss groben, inoffiziellen Richtwerten sind Radien von 25 beziehungsweise 18 Metern relativ gute Richtwerte für normale, beziehungsweise High-Density (Latenz oder Traffic-Lastige Applikationen) Infrastrukturen. Störende Einflüsse wie Dämpfung, Streuung, Reflektionen, Rauschen und so weiter beeinflussen diese Werte. Wir empfehlen, die Anzahl AP’s anhand von effektiven Messungen vor Ort festzulegen.

Wo sind die grössen Problemzonen für ein WLAN Netzwerk?
Diese Frage kann nicht abschliessend beantwortet werden. Es gibt unzählige Störquellen und weitere Ursachen für schlechten WLAN Empfang. Aus unserer Erfahrung möchten wir hier jedoch die meist angetroffenen Problempunkte aufzählen:
Liftschächte & Treppenhäuser sind wegen ihrer zentralen Rolle betreffend der Sicherheit in Gebäuden massiver gebaut als andere Gebäudeteile. Dickere Wände und verstärkte Armierungen sind hier heute Standard.
Strahlendämmende Verglasungen sind eigentlich dafür gemacht, UV- und Infrarot Strahlung abzuhalten ins Gebäude zu Strahlen. Im Winter bleibt die Wärme dadurch im Gebäude und im Sommer draussen. Funkwellen werden von diesen Verglasungen ebenfalls massiv gedämmt und wirken wie ein Spiegel.
Mikrowellen Ofen funktionieren ebenfalls im Gigahertz Frequenzbereich und blockieren im Betrieb das 2.4 GHz Band meist komplett und viele Frequenzen weit ausserhalb ebenfalls.
Metallschränke & Gestelle können je nach Dichte die Funkstrahlung komplett abschirmen. Geschlossene Metallschränke oder engmaschige Drahtgitter sind Faradaysche Käfige und verhindern ein durchdringen der Signale komplett.
Sitzungszimmer sind High-Density Umgebungen und sollten daher entsprechend in die Planung einfliessen. Hinzu kommen oft Systeme, welche zur Bild und Tonübertragung ähnliche Frequenzen einsetzen.
Laborumgebungen sind meistens mit Technik, Kabeln und Metall gefüllt.
Das Büro der Geschäftsleitung. Dort funktionieren technischen Geräte meistens nicht so zuverlässig wie an anderen Orten.

Wie viel Sendeleistung soll ich im AP Profil konfigurieren?
Die Aussage „je mehr, desto besser“ wird von vielen Administratoren fälschlicherweise als zutreffend angenommen und entsprechend umgesetzt. Wir raten jedoch davon ab, die AP’s mit voller Sendeleistung laufen zu lassen.
Und zwar darum: Sie können sich den Funkverkehr wie Gespräche unter Personen vorstellen. Stellen sie sich nun vor, dass 10 Personen in einem Saal eine Unterhaltung führen sollen (= Informationen übertragen). Wenn diese 10 Personen nun in normaler Zimmerlautstärke miteinander kommunizieren funktioniert dies wunderbar. Sobald eine der Personen beginnt so laut wie möglich zu schreien, stört dies die anderen Personen in der Unterhalung. Genauso verhält es sich in der drahtlos Kommunikation.
Ein weiteres Problem: Wir gehen nun davon aus, dass zwei Personen untereinander über 10 Meter Informationen austauschen sollen. Eine der beiden Personen heisst „Smartphone“ und kann nicht lauter sprechen als in normaler Zimmerlautstärke, die andere Person heisst „Access Point“ und schreit so laut sie kann. In diesem Szenario reicht die Lautstärke (= Sendeleistung) des „Smartphone“ schlicht nicht aus um den „Access Point“ zu erreichen. In beiden Szenarien nützt uns die hohe Sendeleistung nichts oder schadet sogar indem andere gestört werden.
Bedenken sie ausserdem, dass gewisse Smartphones (Unter anderem auch die bekannteste Marke) mit sinkendem Akkustand die Sendeleistung verringern.
Eine nützliche Funktion kann auch die verwendung von Auto-TX Power im AP-Profile darstellen. Hier kann eine Range festgelegt werden (z.B. 10-16db). In diesem Bereich Arbeitet der AP nun je nach Anforderung. Minimal würde dann mit 10db gesendet, sollte ein Client nicht ausreichend Empfangsqualität haben, so wird der TX-Power dynamisch erhöht.

Die Wifi Benutzer klagen über Kopfschmerzen oder Schlafstörungen. Was kann ich dagegen tun?
Schalten sie die Access Points (und die Endgeräte) aus und prüfen sie ob dies das Problem behebt. Platzieren sie die AP’s weiter entfernt aber beachten sie dabei, dass die Strahlung dadurch in der Regel gleich bleibt, da für das überbrücken der zusätzlichen Distanz zusätzliche Sendeleistung notwendig ist. Beachten sie, dass ein Wifi Access Point im 2.4 GHz Frequenzband eine Leistung von maximal 100 mW (0.1 Watt) EIRP (link) und im 5 GHz Band eine Leistung von 1 Watt EIRP (link) abstrahlen darf. Eine Mobilfunkantenne bis maximal 1000 Watt ERP (link) und ein Mobiltelefon maximal 2 Watt ERP (link). Eine WLAN Verbindung ist daher in der Regel weniger leistungsintensiv als eine Mobilfunk Verbindung.
Bei Schlafproblemen aufgrund der Hellen LED’s können diese ausgeschaltet werden:

config wireless-controller wtp-profile
edit profile-name
set led-state disable
end
end

Mit welcher Software kann ich coole Diagramme erstellen und die Abdeckung der AP’s berechnen?
Es gibt diverse Möglichkeiten solche „Heatmaps“ zu erstellen. Wir möchten ihnen hier drei solche Tools vorstellen:
Netscout – AirMagnet Survey PRO. Netscout ist ein günstiges und funktionelles Tool um Heatmaps zu erstellen. Jedoch sind in Netscout die FortiAP Modelle nicht hinterlegt.
Fortinet FortiPlanner. Im FortiPlanner können alle aktuellen FortiAP Modelle ausgewählt werden und diese sind jeweils mit den spezifischen Abstrahlwerten und Charakteristiken hinterlegt.
Die Planungsfunktion für FortiAP’s ist Kostenlos! Um eine Site-Survey (Heatmap) zu erstellen, ist jedoch eine Kostenpflichtige Lizenz für die Software nötig.
Ekahau. Auch in Ekahau sind die FortiAP’s hinterlegt. Hinzu kommt bei ekahau jedoch noch ein deutlich höherer Preis als beim FortiPlanner. In Ekahau sind jedoch auch AP’s anderer Hersteller hinterlegt.

Wo finde ich weitere Informationen zum FortiPlanner?
Zum einen haben wir einen eigenen Blog Artikel erstellt und zum anderen hat Fortinet selbst noch viele Informationen (inklusive Download) auf der Produkteseite.

Wie genau sind die mit AirMagnet/FortiPlanner/Ekahau erstellten Heatmaps?
Ungenau. Beachten sie, dass die generierten Heatmaps rein theoretische Berechnungen darstellen und meist massiv von den effektiven Messwerten abweichen können. Wir empfehlen ausdrücklich immer vorher eine Site-Survey durch zu führen und sich an den effektiv gemessenen Werten für die weitere Planung zu orientieren.

Wie fest stören elektrische Geräte die Wifi Frequenzen?
Ein Bild sagt mehr als tausend Worte:

Links das Spektrum im Normalbetrieb und rechts bei Störungen durch einen aktiven Mikrowellen-Ofen. Das Spektrum ist auf der rechten Grafik allgemein stark durch Mikrowellen-Störungen belastet, die untersten Kanäle sind dabei jedoch am wenigsten betroffen.
Ähnliche Störungen wie bei diesem Beispiel durch einen Mikrowellen Ofen können auch durch andere Geräte wie z.B. grössere (Fahrstuhl)-Elektromotoren, Generatoren, Frequenz-Umrichter und so weiter entstehen.

Ein Kunde möchte ein AccessPoint in einer Industriehalle in Umgebung mit diversen elektrischen Maschinen betreiben. Welches Modell soll ich wählen?
In solchen Fällen empfehlen wir, AP’s mit speziellen Schutzvorkehrungen gegen induktive Spannungen zu verwenden. Im Falle von Fortinet sind dies alle Outdoor AP Modelle. Diese haben einen eingebauten Schutz um Überspannungen und Störungen zu vermeiden. Bitte beachten sie, dass auch mit Outdoor AP’s absolut keine Funktionsgarantie gegeben werden kann. Ein industrielles Umfeld mit starken elektromagnetischen immissionen und der Einsatz von WLAN AP’s lässt sich schlicht nicht miteinander vereinbaren.

Einige FortiAP sind in der AP Liste vorhanden, werden als „offline“ oder „connecting“ angezeigt. Warum können diese nicht verbinden?
Solche Probleme, bei welchen ein AP zwar initial auf dem FortiGate Controller erscheint, jedoch keinen CAPWAP Control Tunnel aufbauen können, werden meistens durch MTU Überschreitungen beim Austausch der Tunnel-Zertifikats verursacht. Sobald auf dem Interface, auf welchem der CAPWAP Tunnel eingeht die MTU korrekt konfiguriert wurde, kommt der AP online.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.