WLAN der Internet Box 3 funktioniert nicht korrekt

  • Das WLAN der IB3 scheint mir eine kleinere Katastrophe zu sein (neueste firmware 14.00.50/02003). Mein Netzwerk und System ist nicht trivial, funktioniert ohne WLAN der IB aber bestens (WLAN mittels Apple Time Capsule unterhalten). Ich habe nun versuchsweise das WLAN der IB3 eingeschaltete und dabei unsagbare Probleme beobachten müssen:

    1. Problem: Ich habe mehrere IP4 Adressen reserviert (via IB3 Konfiguration). Ich verstehe nicht, wie die IB3 dazu kommt, reservierte Adressen an meine Geräte zu vergeben. Da mehrere davon via ethernet Kabel mit der IB (switch dazwischen) verbunden sind, würden nach Einschalten dieser Geräte sofort Netzwerkprobleme entstehen. Das darf doch nicht sein, dass das WLAN DHCP frisch fröhlich reservierte Adressen verwendet! Weiss jemand wie das kommt?

    2. Problem: Ich habe den IB3 SSID Namen etwas angepasst, sonst an den WLAN Default Einstellungen der IB3 aber nichts geändert. Nach dieser SSID Namensänderung ist es beinahe unmöglich iPad (Air 3rd gen.) oder iPhone (13 mini) noch via WLAN anzuschliessen. Vor der Namensänderung ging das aber auf Anhieb. Bis nun der Haken beim iOS Device eine gültige Verbindung anzeigt, dauert es viele Minuten. An der IB3 kann ich ja unter ‘WLAN steering’ (gleichzeitiger Zugriff auf die IB via Computer) sehen was passiert und stelle dabei fest, dass irgendwelche Swisscom eigene IP Adressen kurzfristig verwendet werden, aber deren Verwendung nicht stabil bleibt. Erst wenn der Haken für die voll etablierte Verbindung nach vielen Minuten des Trädeln endlich am iOS Device erscheint (wenn überhaupt), dann wurde eine reservierte IP Adresse verwendet. Grässlich!!

    So ist das WLAN der IB3 schlicht nicht brauchbar. Meine Fragen: Haben andere auch schon derartige Probleme festgestellt? Falls ja, lassen die sich allenfalls beheben oder muss ich das WLAN der IB3 vergessen?

    • Danke für all die Beiträge und Versuche mir zu helfen. Ich habe in der Zwischenzeit die Lösung gefunden.

      @Werner Zunächst mal, natürlich verwende ich die Apple Time Capsule (ATC) im Modus “DHCP Only”, sie ist also nicht im Routermodus, sonst hätte ich ja “Double NAT”.

      Die Probleme scheinen daher gerührt zu haben, dass ich den DHCP Bereich der IB stark eingeschränkt habe (192.168.1.3.. 192.168.1.15), damit die IB und die ATC einander nicht in die Quere kommen, da ich mit Ausnahme der Swisscom TV Box (die funktioniert sonst nicht ohne Stottern) mein eigentliches LAN und WLAN hinter der ATC unterhalte. Damit blieben unterhalb 192.168.1.15 nur noch 2 IP Adressen unreserviert, d.h. 192.168.1.7 und 192.168.1.10. Die hat die IB nun nie gefunden oder hat dazu mehr als 5 Minuten benötigt (Problem 2) oder hat eine reservierte Nummer oberhalb 192.168.1.15 verwendet (Problem 1). Wenn ich der IB den DHCP Bereich von (192.168.1.3.. 192.168.1.99) gebe, dann kommen die WLAN Verbindungen innert nützlicher Frist zustande und die IB versucht nicht mehr so komische IP Adressen wie 169.254.66.6 zu verwenden, die in meinem LAN natürlich nichts zu suchen haben. Dass die IB das aber sogar versucht, erstaunt mich schon ein wenig.

      Mit dem weniger engen DHCP Bereich funktioniert nun aber das WLAN der IB gut.

      Danke einewäg!

    Zu Punkt 1: Das sollte natürlich nicht sein. Da ich in meinem Netz DHCP-Reservationen möglichst vermeide (wenn dann setze ich die IP jeweils fix auf dem Gerät selbst), kann ich dazu nicht viel sagen. Evt. hilft es, die Reservationen zu löschen und neu zu erstellen?

    Zu Punkt 2: Ich habe seit jeher eine selbstgewählte SSID für mein Wifi zuhause und hatte noch nie Probleme mit vielen Apple-Geräten (diverse iPhones und iPads). Ist das nur beim erstmaligen Verbinden so, oder jedes Mal wenn du die Geräte in den Empfangsbereich bringst?

    Have you tried turning it off and on again?

    • WalterB hat auf diesen Beitrag geantwortet.

      PowerMac

      @Andreas F

      Selber verwende ich auch fest eingestellte IP-Adressen bei der Internet-Box 3 und konnte noch nie feststellen das schon reservierte Adressen noch mal für andere Geräte verwendet wurden??

      Habe doch nicht so ein kleines Netzwerk.

      Netzwerk 23.10.23.jpg

      Installationen, Netzwerk, Internet, Computertechnik, OS Windows, Apple und Linux.

      @Andreas F

      Die wichtigste Frage hat eigentlich noch gar niemand gestellt.

      Hast Du eigentlich die Time Capsule vom Netz genommen oder zumindest den Routermodus ausgeschaltet?

      Falls doppeltes Nein würde dies nämlich Deine sämtlichen Probleme mit der IB3 sehr gut erklären.

      Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom

      Danke für all die Beiträge und Versuche mir zu helfen. Ich habe in der Zwischenzeit die Lösung gefunden.

      @Werner Zunächst mal, natürlich verwende ich die Apple Time Capsule (ATC) im Modus “DHCP Only”, sie ist also nicht im Routermodus, sonst hätte ich ja “Double NAT”.

      Die Probleme scheinen daher gerührt zu haben, dass ich den DHCP Bereich der IB stark eingeschränkt habe (192.168.1.3.. 192.168.1.15), damit die IB und die ATC einander nicht in die Quere kommen, da ich mit Ausnahme der Swisscom TV Box (die funktioniert sonst nicht ohne Stottern) mein eigentliches LAN und WLAN hinter der ATC unterhalte. Damit blieben unterhalb 192.168.1.15 nur noch 2 IP Adressen unreserviert, d.h. 192.168.1.7 und 192.168.1.10. Die hat die IB nun nie gefunden oder hat dazu mehr als 5 Minuten benötigt (Problem 2) oder hat eine reservierte Nummer oberhalb 192.168.1.15 verwendet (Problem 1). Wenn ich der IB den DHCP Bereich von (192.168.1.3.. 192.168.1.99) gebe, dann kommen die WLAN Verbindungen innert nützlicher Frist zustande und die IB versucht nicht mehr so komische IP Adressen wie 169.254.66.6 zu verwenden, die in meinem LAN natürlich nichts zu suchen haben. Dass die IB das aber sogar versucht, erstaunt mich schon ein wenig.

      Mit dem weniger engen DHCP Bereich funktioniert nun aber das WLAN der IB gut.

      Danke einewäg!

      Hi @Andreas F

      Ich denke, ich kann das Problem erklären.

      Die Probleme scheinen daher gerührt zu haben, dass ich den DHCP Bereich der IB stark eingeschränkt habe (192.168.1.3.. 192.168.1.15), damit die IB und die ATC einander nicht in die Quere kommen, da ich mit Ausnahme der Swisscom TV Box (die funktioniert sonst nicht ohne Stottern) mein eigentliches LAN und WLAN hinter der ATC unterhalte.

      Lösung: Innerhalb eines Subnetzes solltest du nur einen DHCP-Server betreiben. Du musst das Netz daher nicht “aufteilen”. Einfach einen DHCP Server deaktivieren, entweder auf der IB oder der TC. (So teilt man keine Netze - mehrere unabhängige DHCP Server im selben Subnetz sind, wenn ich das so direkt sagen darf, worst practise und machen nur Probleme)

      Damit kein Tracking möglich ist, verwenden die meisten Geräte heutzutage pro WLAN eine eigens generierte MAC-Adresse. Sprich, wenn du dein iPhone von der TC trennst und mit der IB verbindest, sieht es für die IB wie ein komplett neues Gerät aus und versucht, eine zweite Adresse zu leasen.

      Da dein DHCP Range auf der IB so vermutlich überfüllt wurde, musste dein Gerät warten, bis die lease-time einer anderen Adresse ausgelaufen und von der IB verteilt worden ist. Gelingt es einem Gerät nicht, innert einiger Zeit eine Adresse zu leasen, weist es sich selbstständig eine APIPA (169.254.x.x) Adresse zu - die Internetbox ist da nicht involviert 😉.

      Da es ja offenbar einen zweiten DHCP-Server im Netz gibt (die Timecapsule), haben sich die Clients teilweise eine Adresse von dort geleast (Bei DHCP gewinnt immer der Server, der am schnellsten antwortet). Daher die Adressen ausserhalb des IB Ranges.

      An dieser Stelle noch der Hinweis: Wenn wir von einer reservierten Adresse sprechen, ist meist eine via DHCP-Server fix an einen Client gebundene Adresse gemeint (kannst du via Webgui machen). Adressen, welche von DHCP vergeben werden können, nennt man DHCP-Pool.

      Ich hoffe, ich konnte mit diesem Post ein bisschen Licht ins Dunkle bringen. Ansonsten gerne melden 🙂

      LG

      r00t

      4b 65 69 6e 65 20 4d 61 63 68 74 20 64 65 72 20 6c 65 67 61 63 79 20 49 50 21

      @r00t Danke für die Anregungen und Erläuterungen.

      Ich benutze schon sehr lange beide DHCP server, derjenige der IB und derjenige der ATC. Das hat bislang eigentlich recht gut geklappt, obwohl ich natürlich einverstanden bin, dass es besser wäre nur einen zu benutzen. Das scheint mir aber nicht so einfach aus folgenden Gründen. Ich benutze schon seit 2014 Swisscom IBs. Der Unterhalt meines Systems via die IB war über sehr viele Jahre eine Katastrophe im Vergleich zur ATC. Zudem war die Sicherheit bei der ATC derjenigen der IB weit überlegen (z.B. hatte die IB lange nur WAP (kein WAP2/WAP3), keine Absicherung via MAC Adressen) und sonst war die IB Software jahrelang voller unsäglicher Bugs (was übrigens heute noch immer nicht wirklich ok ist; z.B. habe ich in all diesen Jahren höchstens 2 Mal einen firmware Rollout für die IBs erlebt habe, der nicht mein System gecrasht hätte. Auch die letzten Rollouts haben wieder sogar mehr Probleme als auch schon; bedeutet jedesmal für mich viel Wartungsarbeit, sic).

      Ich könnte also höchstens den DHCP Server auf der IB ausschalten. Kleine Nachfrage: Dann kann ich aber das WLAN der IB nicht mehr benutzen, nicht wahr? Ich bin mir auch nicht ganz sicher, ob ich dann ohne Reservationen von der IB aus immer noch in der Lage sein werde, sämtlichen Devices, inklusive Switches, die gewünschte IP Adresse zuweisen zu können. Das Aufstarten der IB vs. ATC sollte ja in verschiedenen Reihenfolgen möglich bleiben, sonst wird die Wartung sehr schwierig. Swisscom will ja jederzeit firmware rollouts machen können, bzw. ich will auch Updates an der ATC jederzeit machen können, was immer einen Restart und damit eine andere Reihenfolge des zum Zuge Kommens der DHCP Server bedeutet. Wenn ich beide DHCP Server laufen habe, dann kann ich in beiden konsistente Reservationen für die Geräte vornehmen, für die ich fixe IP Adressen haben will. Das scheint mir alles für ein Weiterbetreiben der beiden DHCP Server zu sprechen, nicht wahr?

      Hi @Andreas F

      Glücklicherweise habe ich da wohl eine der goldenen IBs erwischt - genetzwerkt hat meine immer prima 😉.

      Zudem war die Sicherheit bei der ATC derjenigen der IB weit überlegen (z.B. hatte die IB lange nur WAP (kein WAP2/WAP3), keine Absicherung via MAC Adressen)

      Also die Timecapsule hat und wird WPA/3 nie unterstützen. Apple zieht sich still aus dieser Sparte zurück, ich denke nicht, dass da noch Updates kommen werden. Ich würde die langsam dekomissionieren. Auch als Backup-NAS ist die Timecapsule mangels RAID IMO nicht mehr eine gangbare Lösung.

      Ich könnte also höchstens den DHCP Server auf der IB ausschalten.

      Kannst du, solange du keinen Internetbooster hast. (Bin gerade nicht sicher, ob die WLAN-Boxen ebenfalls auf spezielle DHCP-Optionen setzen)

      Kleine Nachfrage: Dann kann ich aber das WLAN der IB nicht mehr benutzen, nicht wahr?

      Doch - hast du ja selber bereits bewiesen 😉 (IP-Adressen ausserhalb des IB Pools).

      Ich habe es selber kurz getestet, funktioniert auch mit “fremden” DHCP-Servern wunderbar.

      Du versuchst eine Abgrenzung einzuführen, die es nicht gibt. Die DHCP Server konkurrieren sich innerhalb deines gesamten Netzes - in beiden WLANs Da die Timecapsule logisch betrachtet näher an deinen Geräten ist, ist sie meistens schneller. Aber theoretisch müsstest du in deinem Setup sämtliche IP-Reservationen 2x führen, falls dann doch mal die IB schneller ist…

      Ich bin mir auch nicht ganz sicher, ob ich dann ohne Reservationen von der IB aus immer noch in der Lage sein werde, sämtlichen Devices, inklusive Switches, die gewünschte IP Adresse zuweisen zu können.

      Achtung Meinung: In diesem Netzwerkumfeld sind DHCP-Reservationen ein unnötiger Hack. Wann hast du das letzte Mal die IP einer deiner Switches geändert? Einfach statisch konfigurieren - ist auch im Falle des Troubleshooting besser, dann kannst du dich durchs Netz pingen und schauen, wo es klemmt. Vergibst du die “statischen” Adressen via DHCP, weisst du nie, ob einfach der Server down war, oder tatsächlich ein Verbindungsproblem herrscht.

      Mich würde sehr deinen Anwendungsfall für DHCP-Reservationen interessieren, wenn du magst, wäre es super, wenn du ein wenig beschreiben könntest, weshalb du nicht auf “echte” statische Adressen setzt.

      Abgesehen davon: Klar geht das. Alle DHCP-Client, die ich kenne, geben nie auf. z.B. Windows:

      _The Windows-based computer tries to re-establish the lease of the IP address. If the Windows computer does not find a DHCP server, it assigns itself an IP address after generating an error message. The computer then broadcasts four discover messages, and after every 5 minutes it repeats the whole procedure until a DHCP server comes on line. A message is then generated stating that communications have been re-established with the DHCP Serv_er.

      Das Aufstarten der IB vs. ATC sollte ja in verschiedenen Reihenfolgen möglich bleiben, sonst wird die Wartung sehr schwierig.

      Bei zwei asynchronen DHCP-Servern (unterschiedliche Lease-DB) ist es noch viel schwieriger - nur weil du den DHCP-Server neu startest, verlieren die Clients nicht sofort alle ihre Adressen.

      Wenn ich beide DHCP Server laufen habe, dann kann ich in beiden konsistente Reservationen für die Geräte vornehmen, für die ich fixe IP Adressen haben will.

      Du löst da ein Problem, welches du ohne Reservationen gar nicht hättest 😊.

      Das scheint mir alles für ein Weiterbetreiben der beiden DHCP Server zu sprechen, nicht wahr?

      Nein! 😉

      LG

      r00t

      4b 65 69 6e 65 20 4d 61 63 68 74 20 64 65 72 20 6c 65 67 61 63 79 20 49 50 21


      @Andreas F schrieb:

      …..Zudem war die Sicherheit bei der ATC derjenigen der IB weit überlegen (z.B. hatte die IB lange nur WAP (kein WAP2/WAP3), keine Absicherung via MAC Adressen)

      1. Nach meiner Erfahrung konnten die IB’s von Anfang an WPA2. Sogar die Vorgänger Router “Centro Grande” konnten schon WPA2…..

      2. MAC Adress"filter" sind bekanntermassen nicht wirklich ein Sicherheitsgewinn….

      ….keep on rockin' 🤘🏼🤘🏼🤘🏼

      OT:

      Ich habe meine ATC letztes Jahr mal “entsorgt”…

      Waren nur noch Energieverschwender für Mich.
      Den Mac kann ich auch auch auf meinem “neuen” NAS sichern. Wie der PC.
      Das alte NAS nach über 10Jahren Einsatz flieg dann auch gleich weg…

      Obwohl es noch einwandfrei seine Dienst lieferte…

      Eben, die Liebe Energie…

      Wo sie dann auch herkommt 😉

      #user63


      @r00t schrieb:

      Mich würde sehr deinen Anwendungsfall für DHCP-Reservationen interessieren, wenn du magst, wäre es super, wenn du ein wenig beschreiben könntest, weshalb du nicht auf “echte” statische Adressen setzt.


      Es gibt sicher mehrere Gründe, sowas zu tun. Einer ist die Bequemlichkeit. Warum soll ich mich mit den zum Teil fringeligen Konfigmenus für eine statische IP herumplagen, wenn’s auch zentral von einer Stelle aus geht?

      Ein weiterer Vorteil ist die Übersichtlichkeit. Ich sehe alle so fixierten IPs zentral auf einen Blick.

      Und ein weiterer Grund ist der Wechsel der Clients zwischen mehreren Netzen. Ist die IP-Adresse via Reservation im DHCP-Server fixiert, kann ich in jedem Netz dem Gerät eine eigene IP vergeben. Mein Testraspi hat so im Netz der IB3 z.B. die 192.168.1.15, und im kaskadierten Heimnetz die 192.168.10.15. Und wenn ich diesen Raspi im Netz meiner Eltern betreibe ohne dass da eine IP für diesen Raspi fixiert ist, bekommt er eine IP aus dem Standard-DHCP Bereich des Routers meiner Eltern, der zwischen 192.168.3.100 und 192.168.3.199 liegt und ist direkt ansprechbar, ohne dass ich ihn dafür manuell ins 3er Netz nehmen muss.

      Die manuelle Adressreservation auf der IB hat bek mir bis jetzt auch nie wirklich Probleme gemacht. Die funktioniert eigentlich zuverlässig.

      @r00t @kaetho Das sind genau einige der Gründe: Gute Übersichtlichkeit, zentral und Bereiche logisch organisierbar, und wenn ich zwischen meinem Büro an der ETH und zuhause wechsle, so funktioniert mein Laptop sofort, ohne dass ich stets statische Konfigurationen ummodeln muss.

      @POGO 1104 Meine erste IB konnte nur WPA. MAC Adress"filter’ bedeuten heute in der Tat nicht viel Sicherheitsgewinn, aber 2014 schon noch. Zudem war die Konfigurationssoftware der IB’s jahrelang so schlecht und sooo langsam, dass ich einfach keine Zeit hatte, mich damit rumzuplagen um mein System zu konfigurieren. Etwas das mit der ATC bestens und effizient machbar war. Da aber die ATC früher oder später das zeitliche segnen wird, mache ich mir Gedanken wie weiter und ziehe in Betracht auf das IB WLAN zu wechseln. Mein erster Test hat dann aber zu den obgenannten Problemen geführt.

      @r00t @kaetho @POGO 1104 Ein weiterer Grund was Sicherheit anbetrifft waren die vielen Ghost devices die jahrelang von der IB angezeigt worden sind. Auch ist das World-seitige Port der IB nicht schliessbar, da Swisscom Personal jederzeit zugreifen können will/muss. Insbesondere bei der damals jahrelang lausigen IB Software eine Nightmare so etwas auf Sicherheit hin warten zu müssen. Da ich zu den etwas exponierteren Personen gehöre, habe ich der Sicherheit der IB einfach nicht getraut und versuchte deshalb mein eigentliches Netz hinter der IB zu haben, was übrigens auch immer noch der Fall ist. Leider bietet m.W. die IB auch immer noch keinen Bridge Modus an. Die einzige Ausnahme sind die Home Theatre devices, die ich wegen der sonst nicht funktionierenden TV Box, alle via switch an einem IB Port per Kabel angeschlossen habe.

      @Andreas F schrieb:…Leider bietet m.W. die IB auch immer noch keinen Bridge Modus an.


      Das ist heute aber kein Problem mehr. DDNS auf der IB, zweiten Router in die DMZ, und es gibt keine Nachteile im täglichen Betrieb.

      Hi @Andreas F

      Danke für die Insights, an sich bewegende Geräte habe ich gar nicht gedacht, da kann ich nachvollziehen, dass Reservationen in gewissen Fällen Sinn machen 🙂.

      World-seitige Port der IB nicht schliessbar, da Swisscom Personal jederzeit zugreifen können will/muss. Insbesondere bei der damals jahrelang lausigen IB Software eine Nightmare so etwas auf Sicherheit hin warten zu müssen. Da ich zu den etwas exponierteren Personen gehöre, habe ich der Sicherheit der IB einfach nicht getraut und versuchte deshalb mein eigentliches Netz hinter der IB zu haben, was übrigens auch immer noch der Fall ist.

      Also hinter einer anderen Kiste als die Timecapsule? Gemäss deinen Schilderungen bis jetzt scheint ja alles im selben Subnetz zu sein. Da spielt es keine Rolle, welcher DHCP-Server die IP vergibt, von der IB aus kann trotzdem auf jedes Gerät zugegriffen werden. Ich sehe in deinem aktuellen Setup keinen Sicherheitsgewinn. Oder habe ich etwas falsch verstanden?

      Wie zuvor erwähnt kannst du mit DHCP keine Netze teilen, dazu bräuchtest du mehrere Subnetze und ein Router mit ACLs / eine Firewall dazwischen.

      Wenn du (wie ich) möchtest, dass Swisscom nicht in dein Heimnetz gucken kann, musst du entweder einen Fremdrouter oder Double-NAT+Firewall einsetzen. Falls du Portweiterleitungen nutzt, kannst du wie von @kaetho erwähnt den DMZ-Modus aktivieren, dann wird jeglicher eingehender Traffic an den definierten Host weitergeleitet.

      Ich persönlich habe hinter meiner IB eine pfSense.

      Das Double-NAT Szenario wäre übrigens dasjenige, in welchem du dann das WLAN der IB nicht mehr nutzen solltest, da sich dieses ja vor deiner Firewall befinden würde.

      Die einzige Ausnahme sind die Home Theatre devices, die ich wegen der sonst nicht funktionierenden TV Box, alle via switch an einem IB Port per Kabel angeschlossen habe.

      Ist die einfachste Lösung, bei mir persönlich funktioniert auch die TV-Box hinter der pfSense, ist aber ein bisschen Konfigurationsarbeit (IGMP-Proxy, Firewallregeln welche Multicast Traffic erlauben etc.)

      LG

      r00t

      4b 65 69 6e 65 20 4d 61 63 68 74 20 64 65 72 20 6c 65 67 61 63 79 20 49 50 21