Unifi U7 Pro Mesh blockiert loopback HTTP Pakete (VLAN tagged)

Hi Leute,

bin neu in der Welt von Ubiquiti und hatte gehofft mit den neuen U7 Pro mein Infrastrukturproblem in den Griff zu bekommen. Nämlich, dass ich zwischen dem WAN-Router und meinem eigentlichen Netzwerk eine Wifi-Media-Brücke benötige.

Bisherige Versuche waren allesamt instabil.

Mit zwei U7 Pro habe ich nun zwar endlich die stabile Verbindung, aber mein Netzwerk funktioniert teilweise nicht mehr. Mittlerweile habe ich das Problem auch identifizieren können. Es liegt an der Wifi-Brücke. Genauer gesagt am Paket-Routing zwischen den beiden APs.

Unterbei ist mein Netzwerkaufbau veranschaulicht. Wie man sieht, habe ich in meinem Netzwerk VLANs konfiguriert. Diese VLANs werden über die Firewall (WAN-Router) geroutet. Das heißt, dass der Traffic zwei Mal über die Wifi-Brücke muss. EInmal zum Router hin und einmal wieder vom Router zurück.

Das funktioniert auch bei ICMP problemlos. Auch DNS und DHCP werden richtig abgehandelt. Aber bei HTTP blockiert einer der beiden APs, der in der Wifi-Brücke involviert ist das 200 OK. SYN und ACK vom TCP Handshake bekomme ich zur Workstation zurück. Auch das HTTP GET wird dem Server noch zugestellt. Aber das 200 OK bekommt der Router nicht mehr zu sehen.

Links der Traffic switchseitig vor der Wifi-Brücke. Rechts der Traffic routerseitig.

HTTP Requests die im WAN oder routerseitig terminiert werden, also nur einmal über die Wifi-Brücke müssen, gehen ebenfalls ohne Probleme.

Wenn ich die Wifi-Brücke testweise durch Ethernet (50m Kabel) ersetze, dann funktioniert ebenfalls alles ohne Probleme.

Übersehe ich etwas, oder sprechen wir hier von einem Softwarefehler auf Seiten Ubiquities? Im Controller kann ich für die APs kaum eine Einstellung setzen, aber das VLAN ist natürlich angelegt.

Vielen Dank schonmal!

edit: Note: Die "retransmissions" vor dem 200 OK sind die Loopback Pakete. Wireshark zeigt es leider so an, tatsächlich stehen im Layer 2 andere MAC Adressen drin.

Hey gierig,
danke für den Input. Das ist mir tatsächlich noch nicht aufgefallen. Ich werde das gleich mal ausprobieren, danke!

Hi, also wenn ich die Website auf "Hello World" beschränke ist der HTTP Resonse 378 Byte groß.

Dieser geht initial auch nicht durch. Selbes Problem wie davor. Allerdings geht es dann doch nach circa 4 Sekunden und 6 Retransmissions von der Switchseite ausgehend. Das ist schon eine Verbesserung im Vergleich zu davor, wo auch nach ein paar Minuten noch kein Response durch kam.

Laut TCP Checksum ist es tatsächlich erst der 6. Retransmit der durch geht. Die davor kamen nicht verspätet an, sondern wurden offenbar blockiert/weggeworfen.

Das ist schon sehr Random vom Verhalten her. Direkt auf die APs kommt man nicht per SSH oder ähnlichem (debugging)?

Zu den anderen Fragen.
Ich habe leider gar keine Kontrolle über die Mesh-Brücke. Die baut sich automatisch auf sobald folgende Bedingungen gegeben sind:

• Beide APs haben eine Statische IPv4 (inkl. Gateway, DNS) konfiguriert.
• Einer der APs kann den Gateway (Firewall) erreichen.

Wenn man dann einen AP so platziert, dass er ohne Mesh-Brücke den Gateway nicht mehr sieht, dann baut Ubiquiti den Mesh auf. Da habe ich keinen Einfluss darauf welches Band er dafür nimmt. Ich sehe nicht einmal auf welchem Band er die Mesh aufbaut. Er zeigt nur eine Signalstärke an. Anhand Beobachtungen vom Bandwith habe ich aber festgestellt dass er für die Mesh das 5Ghz Band benutzt. Bin gespannt ob MLO dann beim Meshin überhaupt greift (sobald es eine FW dafür gibt).

Ich hab' einen Software-Controller. Der sitzt bei mir am Switch.

Und noch eine Beobachtung:
Während ICMPs normalerweise auf der selben Route wie der HTTP Verkehr keine Probleme aufweisen, kommen, wenn man die ICMPs parallel zum HTTP Verkehr laufen lässt, für den Zeitraum in dem der HTTP Verkehr die Retransmissions versucht, auch keine ICMP Pakete mehr durch.
Bin etwas am Verzweifeln 🙈

Hi gierig,

ich habe mich gestern nochmals den ganzen Tag mit dem Thema beschäftigt. Danke für den Hinweis mit dem SSH Zugang!

Jedenfalls kam ich auch mit dem Zugriff auf das Gerät dem Rätsel nicht weiter auf die Spur. Die tcpdumps zeigen leider nicht wirklich etwas sinnvolles. In den Logs steht bei Fehlerfall auch nix drin. Extrem schwierig das Problem so zu debuggen.

Ich hab auch am Netzwerk und der Konfiguration noch rumgespielt. Das Problem verbessert sich, wenn man bei den APs die SSID-Netzwerke entfernt. Je weniger SSIDs sie aussenden, desto besser. Aber es happert dann teilweise beim Nachladen von Bildern oder sonstwas.

SSH und FTP sind ebenfalls betroffen, also das Muster ist schon vorhanden, aber leider die Lösung nicht wirklich

Habe auch alles nochmal mit den EA FWs getestet, aber da war mir schon mit dem Lesen der Release Notes bewusst, dass das das Problem nicht lösen wird. Aber ein Versuch war es jedenfalls wert!

Danke dir für deine Hilfestellungen gierig. Ich werde das ganze aber mal als Bug kategorisieren und an Ubiquiti melden. Ich verfolge die Media-Bridge somit vorläufig erstmal nicht mehr

Am Switch ist ein Trunk für VLAN 1 und 120 angelegt, ebenso am Gateway. Letzteres verwaltet auch das VLAN 120, während VLAN 1 als generelles Management VLAN konfiguriert ist. Das VLAN Routing läuft über das Gateway und funktioniert auch einwandfrei. Keine ACLs mit deny Regeln wurden angelegt.

Alles was ich diesbezüglich auf der Ubiquiti Seite an Konfigurierbarkeit gefunden hatte war dieses Setting hier. Das kenne ich analog auch so von TP-Link und sollte meines Verständnisses nach dafür sorgen dass die VLAN Tags (in meinem Fall 120) getrunkt werden, was auch (zum Großteil?) zu funktionieren scheint.

Habe ich etwas übersehen?

edit: Das 120 getaggte Paket wird an seinem Switch Port mit einem Tag versehen. Also an dem Port wo der Webserver am Switch hängt

Zitat von BlackSpy

Trifft das auf dich zu

wäre noch ein Fehler in der U7Pro Firmware. Unser Mitglied hoppel118 hat diesen Fehler ins UI Forum gesetzt und war wohl einer der ersten wo es aufgefallen ist.

Finde die FW der U7 Pro ist noch ein wenig Verbesserungs würdig.

Das klingt doch sehr bekannt. Verwende zwar keinen RADIUS in meinem Aufbau, aber wenn ich mir das Verhalten abseits von meinem LAN Loopback anschaue. Also z.B. LAN -> LAN oder LAN -> WAN dann ist die Geschwindigkeit oft richtig mies. Er verliert auch dort viele Pakete. Aber verwendet hoppel118 auch eine Wifi-Media-Bridge bestehend aus zwei U7 Pro APs?
Hast du einen Link zum Beitrag im UI Forum für mich?

Danke dir!
Nachdem ich die Beiträge dort gelesen habe klingt es arg nach dem Problem das ich habe.
Zwar sind die Tests andere. Aber die Geschwindkeit könnte ja bei den Usern dort auch aufgrund von verlorenem Traffic halbiert sein.

Jedenfalls muss bei mir der Traffic pro Richtung 4x(!) über einen U7 Pro. Dass dann nur mehr ein ICMP oder "Hello World" vernünftig drüber läuft wäre zumindest eine Erklärung.

Wäre interessant ob der Bug bei hoppel118 noch präsent ist oder ob er in der neueste EA eigentlich schon gefixt sein sollte.