Inlägg

Var dåligt påläst. Det är 90 accesspunkter i byggnaden. Missade att det räknas som flera siter, för att kunna ha samma SSID mot olika VLAN.

Jaha. Nu sitter man här och styr om DNS. DNS har aldrig varit problemet, men felsökning är inte kundens starka sida. varför lägga tid på att testa saker man vet fungerar bara för att göra något???

Tack för många vettiga svar. Har själv tidigare mest jobbat med Aerohive och Aruba. Dessutom var jag emot att de skulle köra Ubiquiti på en så stor installation. Dock är min erfarenhet av Unifi APs rätt ok jämfört med switchar och routrarna.

Ska kolla om vi kan ställa ned signalstyrkan. Har själv påtalat det, men det körs "auto". Med tanke på hur auto channel fungerar misstänker jag att den slentrianmässigt drar igång fullt blås? Dvs, i realiteten kör den inte med de lägre effekterna.

Min RSSI är det någonting man kanske borde kika på också?

Har nu skickat ett mail till dem rent generellt gällande felsökning som är ganske enkel och ska utgå per våning.
Ta en laptop, stäng av wifi och slå på det igen för att få närmaste AP. Kör bredbandskollen ett par gånger och notera resultat. Förflytta dig en bra bit och repetera. Sedan kör man en omgång med kabelansluten.

Då får man en uppfattning om vart felet kan ligga tänker jag. Jag blir galen på människor som säger "det fungerar inte". Vad fungerar inte? Är det ett lokalt problem eller gäller det alla klienter? Är det tidsberoende så det fungerar bättre tidigt på morgonen och sent på kvällen? Är problemet internt eller är det internetanslutningen?

De flesta switcharna är 48-portars. En del med 10Gbps-anslutning till core-switchen som är en HPE 5900 med QSFP.
APorna är mycket UAP-AC-SHD. Några är XG. De kör 5.43.43.12741

Har funderat i de banorna länge, men får bra betalt.
Man blir helt galen när det finns väldigt mycket man vill agera på, men där mina synpunkter inte når fram.

Det verkar hur som helst vara Wifi som är problemet. En latency som stundtals är 1000ms och lite paketförluster är inte ok. På trådat är det som värst 8ms latency. Snubben snackar om att starta om brandväggen som en universallösning, men om det är Wifi är det bara ett slag i luften att starta om brandväggen eller core-switchen. En server som sitter i core-switchen har en latency till cloudflare på 1ms snudd på exakt hela tiden.

Problemet med att alla switchar "adopterades om" händer någon gång per dygn. Naturligtvis väldigt irriterande, men det är inte huvudorsaken till de problem man upplever.

Jodå, en cloud key Gen 2.

Tydligen verkar Ubiquiti vid auto ställa in en kanal vid uppstart och sedan aldrig byta. Det låter faktiskt fungerande här och inte som mitt problem. (Även om jag ändå helst skulle viljat göra en riktig kanalplan. På mitt tidigare jobb hade vi tagit dit en burk med Ekahau för att planera på "riktigt").

Det kan sitta upp till 5000 personer i byggnaden, så vi pratar modell gigantisk. Tror inte att det är överdimensionerat med tanke på antalet användare, men däremot kanske det är för mycket effekt så APs stör varandra.

Jag har försökt få människan att segmentera mer, så det inte blir alldeles för många människor på samma VLAN. Helt hål i huvudet med tanke på broadcast-stormar och om man får in virus, men jag har jobbigt att nå fram...

Vad som däremot verkar vara problemet nu är att ALLA switchar samtidigt går in i adopting och sedan provisioning. Alltså jag ser på cloud key-GUI att varenda switch helt plötsligt behöver göra en provisioning. Det kan ju inte vara bra alls...

30 talet accesspunkter i en väldigt stor kontorsbyggnad. Jag vet inte riktigt tätheten, för jag har inte sett lokalen. Jag förstår att råd som att minska uteffekt blir omöjliga att svara på beroende på tätheten på APs, men generellt om att köra auto channel. Kan det skapa som en våg av byte av kanaler för APs? Eller byter APs endast nattetid exempelvis?

Jag hjälper en kille med ett nätverk i en väldigt stor fastighet. Han har köpt in en stor många Ubiquity APor (där jag skulle valt annan tillverkare). Problemet är dock att ibland verkar det som om hela havet stormar. Plötsligt blir det mycket paketförluster och fungerar väldigt dåligt för användarna. Jag har hjälpt killen med STP, så det ska inte längre vara problemet. (Tidigare var det ett väldigt stort problem då ROOT var en liten åttaportars switch längst bort från brandväggen).

Jag undrar om man inte borde kanalplanera. Personen har fått rådet från Ubiquitys support att köra alla accesspunkter i auto, men kan det verkligen vara rätt i en så pass stor installation???

Sedan har jag pratat om att använda 20MHz kanalbredd och eventuellt sänka uteffekten på APs för att slippa störningar, men det verkar han inte heller riktigt ta emot.

Hur som helst. Den stora frågan är. Borde man inte kanalplanera och sätta fast kanal på APs istället för att köra auto. Dvs, kan auto göra att accesspunkter byter kanal då och då, vilket kan skapa problem för nätet? Är inte bra nog på Unifi.

Jag har tre publika IP adresser via ownit. De får jag via DHCP, men i praktiken har jag aldrig bytt IP under snart fyra år. Jag är också grymt nöjd med supporten. Alltid bra hjälp, även när jag bytte två brandväggar samtidigt så IP adresserna kastades om. De släppte snabbt bägge leasen och jag kunde få tillbaka dem rätt. (har flera servrar som publiceras bakom olika brandväggar så...)

Så körde jag. Finns ingen vinst med att köra in den i in i en router, utan jag föredrog att ISP fick statistik och möjlighet till övervakning. Då kanske de har lite historik också när man väl ringer tänkte jag.
(Sedan jobbade sambon ett tag på ComHem när jag hade dem och enligt kontaktkortet till mig så var det lika bra att skicka vidare till second line direkt).

Det verkar gå om man gör det via CLI (eller är det fel produkt?):
https://community.ui.com/questions/USG-Multiple-Local-Subnets...

Dock håller jag med dig. Jag har haft Ubiquity som router till ett litet kontor, men kastade bort den. Det håller helt enkelt inte.

Det kan vara en funktion som heter UPnP. Där server (eller dator) på insidan berättar för routern vilka portar som den vill ha öppnat utifrån och in. Jag hatar den funktionen då det finns stora säkerhetsrisker, men om så är fallet brukar det också gå att manuellt öppna de portarna via port forward. För att veta vilken eller vilka portar det rör sig om måste man läsa på för specifikt vilket spel det gäller.

Hade nog valt Bahnhof. Jag tycker att jag har en hel del kraft i mina grejor för att utnyttja internetförbindelsen, men det är väldigt väldigt ovanligt att jag går över 500Mbps. Det känns som viktigare med support, stabilitet, svarstider/latency än vad det är med 500 eller 1000 Mbps.

Jag skulle haft två switchar som nämns.

Kan förklara närmare hur det kopplas in, men det beror lite på vad det är för VLAN-kompetenta switchar. Det är ruskigt enkelt med Cisco, Aruba(HP) och sådana. Till och med Ubiquity är ganska enkelt.
Däremot finns det billigare tillverkare där man löst det där med VLAN på ett simplare sätt, men som strular till det lite för oss som vet "hur det borde vara".

(o) = otaggat
'=' = forced routing
                                   |-----(10)--------LAN-port---|
Fiberdosa --WAN(o) =========== Switch ==== (o) ===== WAN-port-Router                 |------(o) ----- TV-Box
      |-----TV (o) ------------|   |----------------------(10) (300) ----------- Switch-----(o)----< datorer och dyl

Har du flera uttag pä fiberkonverter/CPE slipper du en del huvudbry. Dra den ena kabeln till switchen (på ett VLAN specifikt för IPTV) och den andra kabeln till routerns WAN. då slipper du ha mer än ett VLAN och låta otaggat vara LAN.
svarar mer utförligt senare om jag kommer ihåg

Om man tänker sig att IP-TV kommer via vlan 300. Vi använder VLAN 10 för WAN/Utsida. VLAN 1 på insidan som är default VLAN, då slipper man tänka på alla andra prylar som automatiskt får rätt VLAN.

Port 1 = fiberkonverter. otaggat VLAN 10, taggat VLAN 300.
port 2 = router WAN otaggat VLAN 10. (Här får alltså routern in Internet).
port 3 = router LAN otaggat VLAN 1 (Alltså routerns insida).
port 4-7 - annan utrustning - De kommer sitta som tidigare på insidan av routern.
port 8 = sekundär switch otaggat VLAN 1, taggat vlan 300

port 3-7 kan också använda en routers inbyggda switch, men jag tänker att du kanske vill ha någonting annat på LAN borta på din andra switch.

I den sekundära switchen, så sätter du bara VLAN 300 mot IP-TV-boxen.
VLAN 300 kommer alltså gå orört genom ditt nät, parallellt med din andra utrustning. De kommer inte se varandra.

Ditt tänkta kopplingsschema är inkorrekt. Du måste plocka ut det VLAN som IP-TV kommer till innan routern. Routern kommer plocka bort allting sådant, så du måste redan tidigare skicka TV via ett annat VLAN.

Jag skulle ha en utsidesswitch som även sitter på insidan av routern (men då på ett separerat VLAN).

Tanken är alltså att WAN går rakt igenom switchen till routern. Sedan kommer LAN ut från routern och hamnar i ett separat VLAN, vilket då går vidare till resten av nätverket parallellt med ditt IP-TV VLAN.

Svårt att förklara framförallt beroende på att switchar hanterar VLAN lite olika, men det är så jag skulle löst det.

Bor på Södermalm, men misstänker att ping.sunet.se håller till en bit norr om centrum. Jag har i jobbet varit på deras kontor på Thulegatan (östermalm/vasastan), men vet inte om de har majoriteten av serverparken där.
Vilken grym utrustning de har för övrigt. Sådana där grejor vill man gärna ha hemma kan jag meddela.

Den ligger väl i närheten av SUNETs lokaler på Thulegatan i stockholms innerstad? Alternativt kan de väl använda sig av något av våra universitets och högskolors serverhallar för det.

Hur som helst så har jag rätt ok svarstid till dem.
Reply from 192.36.125.18: bytes=32 time<1ms TTL=59
TTL på 59 borde innebära fem hopp, för jag misstänker att servern svarar med en TTL på 64.
3 <1 ms <1 ms <1 ms ae4-cr1.a2.sth.ownit.se [89.253.100.208]
4 <1 ms <1 ms <1 ms ti3002b400-ae31-0.ti.telenor.net [148.122.8.209]
5 <1 ms <1 ms 1 ms netnod-ix-ge-a-sth-4470.sunet.se [195.245.240.19]
6 <1 ms <1 ms <1 ms ping.sunet.se [192.36.125.18]

OpenVPN, WireGuard, IPSec (IKE v1 och IKE v2) , L2TP och PPtP är olika protokoll där de två sistnämnda är direkt osäkra. De andra har inte automatiskt en fast algoritm för kryptering heller, utan i exempelvis IKE förhandlas det fram om man ska ha AES (128, 192 el 256), DES, 3DES, Blowfish eller vilket krypteringsalgoritm som används. Sedan har man också en HASH i SHA 1, SHA 256, MD5 osv.
Flera av dessa rekommenderas inte längre som DES, 3DES, SHA1 och MD5... Därför kan även "säkra" metoder göras mindre säkra.

Sedan pratar du också om VPN-tjänster där OVPN, Mullvad, NordVPN och ett antal andra kan användas. Där handlar det om att dels göra dig anonym, hindra att andra kan övervaka din trafik och i vissa fall se till att trafiken ser ut att komma från en specifik plats (som att se amerikanska netflix). Dessa tjänster kan såklart vara mer eller mindre säkra och det handlar dels om leverantören och dels om vilket protokoll som används. Så sent som för ett par år sedan kunde jag välja PPtP via NordVPN som är ett skitprotokoll, vilket gör en normalt säker leverantör till riktigt dålig om du inte vill kunna avlyssnas.

I en lägenhet finns det stor risk att nyttjande av bredare band för sämre prestanda.