Zuverlässiges Netzwerk für Apple Internet-Recovery einrichten

[edike10]

Zunächst ein Mal vielen, vielen Dank an alle für euren Support. Es ist wirklich toll, dass es solche Communities gibt und man sich mit anderen Fachleuten austauschen kann! ❤️


---

Konsumer Heimanwender Tarif

Consumer Tarif (1&1). Ich habe nach einem Business-Tarif gefragt und werde hierzu noch beraten. Wie es aktuell aussieht, haben wir bis auf besseren und schnelleren Support jedoch keine weiteren Vorteile (und auch keine andere bessere Hardware zur Auswahl).

Bei so vielen Geräten wird die IP Range das Problem sein

Ich habe gestern die ungenutzten Verbindungen gelöscht und es war augenscheinlich besser. Heute, nach dem neben den ca. 70 aktiven Verbindungen auch ca. 130 inaktive Verbindungen in der Fritz!Box angezeigt wurden, war es wieder schwer in die Recovery zu kommen.
Ich habe die ungenutzten Verbindungen zum Ende des Arbeitstages gelöscht und wir werden morgen noch Mal beobachten wie es aussieht.

Denkst du die Apple Recovery hat andere Anforderungen an die Internetverbindung? Mit Geräten die bereits installiert waren und sich im macOS befanden, gab es keine Probleme.

Hier mal ein Screenshot der Konfiguration. Wir haben eine sehr große Range eingestellt. Ist das nachteilig? Sollten wir es anders konfigurieren?

du schreibst Router, du meinst aber AP?

Es sind richtige Router, die wir aber als reine APs betreiben. Diese beziehen die IPs ausschließlich von der Fritz!Box 5590 und vergeben keine eigenen IPs.

Systemhaus mit dem Hinweis wie viele Clients monatlich (temporär) online sind...
Die werden euch anständige Hardware liefern.

Ja, darauf läuft es hinaus. Ich denke, dass wird aber nicht von heute auf morgen passieren, deshalb würde ich gerne noch die paar Tage das Problem versuchen zu identifizieren, damit wirklich klar ist, dass es an der Fritz!Box liegt und vielleicht auch meine eigenen Kenntnisse wieder etwas aufzufrischen...

solltet ihr zu 100% auf den Apple Configurator 2

Du meinst wir sollten wirklich zu 100% darauf umsteigen, also als vollständigen Ersatz für die Internet-Recovery? Welches sind in deinen Augen die Hauptgründe hierfür? Wenn wir min. 50, aber auch Mal 100+ Geräte pro Tag recovern - was brauchen wir dafür und geht das wirklich effizient und schnell mit dem Apple Configurator 2?

Das man oft mehrere Versuche braucht, ist definitiv das Timing. Da gebe ich dir Recht.

Außerdem ist nicht jedes USB-C-Kabel dafür geeignet. Der DFU-Mode funktioniert auch nicht an jedem Port.

Danke für den Hinweis. Das ist aber natürlich bekannt. Wir haben nur einige wenige Thunderbolt-Kabel und diese sind entweder von Belkin oder Apple.
Wir haben auch tausende originale Ladekabel vom Apple-Charger, aber dies sind da weniger für geeignet, oder?

 

[BFF]

"Simultane IP Verbindungen" wird wohl das Ding sein was da bei Euch rein schneit. @edike10

https://en.avm.de/service/knowledge...aximum-number-of-simultaneous-IP-connections/

Eine Box fuer zu Hause ist nicht fuer Euer Szenario gedacht.

 

[sourcefreak]

Der Apple Configurator 2 spart einiges an Zeit, da eigener Cache. D. h. die .ipsw-Datei muss nur ein Mal geladen werden und beim nächsten Restore wird aus dem Cache gelesen (und das funktioniert auch sehr zuverlässig). Den Cache findest du unter ~/Library/Group Containers/K36BKF7T3D.group.com.apple.configurator/Library/Caches/.
Außerdem kann man die .ipsw Dateien aus verschiedenen Quellen (trotzdem vom Apple Server) vorher laden und in den Cache packen. Zusätzlich kannst du eine ältere Version von macOS installieren (falls nötig). Das geht mir der Recovery/Internet Recovery nicht. Entweder originale ausgeliefertes oder neuestes macOS. Firmware kann über den Apple Configurator 2 separat aktualisiert werden. Gibt noch andere Vorteile, aber die wären für euch eher nicht wichtig.

Die Ladekabel werden nicht funktionieren. Da ich schon einige Jahre aus dem Bereich raus bin, kann ich auch nicht sagen, ob Apple nicht Ladekabel anbietet. Jedenfalls sollten die Belkin-Kabel funktionieren. Sind auch die, die Apple 2018 mit dem T2 Restore Kit über GSX selbst ausgeliefert hat.

 

[BlubbsDE]

Eine Box fuer zu Hause ist nicht fuer Euer Szenario gedacht.

Und ein Endkunden Anschluss erlaubt keine kommerzielle Nutzung. Was für einen Vertrag von wem habt ihr denn da?

 

[edike10]

Eine Box fuer zu Hause ist nicht fuer Euer Szenario gedacht.

Ja, da hast du wohl Recht. Denkst du ein Router wie der Mikrotik CCR2004 wäre eine (skalierbare) Lösung für mein Problem und hätte außerdem Luft nach oben, wenn es mehr als 2k Geräte pro Monat werden?
Wir haben auch einige günstige D-Link Switches für 10-20 EUR (8-Port) im Einsatz, welche die verschieden APs (Router die als AP konfiguriert wurden) verbinden. Könnten die Switches ggf. auch ein limitierender Faktor sein?

Und ein Endkunden Anschluss erlaubt keine kommerzielle Nutzung. Was für einen Vertrag von wem habt ihr denn da?

1Gbit Glasfaser. Durch Werbung, dass bei uns Glasfaser in das Bürogebäude verlegt wurde.

 

[edike10]

Noch eine Frage an die Profis:

Wir haben gerade ein Gerät erwischt welches einfach Random im Prozess abgebrochen ist und nun keine Internetverbindung zeigt (der Klassiker).
In der Fritz!Box habe ich das Gerät über die IP gefunden und es ist sowohl bei den aktiven als auch inaktiven Verbindungen. Wie kann das sein und was bedeutet das?
Kann man daraus irgendwelche Schlüsse ziehen?

Das Gerät ist über einen AP angeschlossen der per LAN an einen Switch geht und über ein weiteres Kabel an die (Haupt-)Fritz!Box 5590.

Aktive Verbindung:

Inaktive Verbindung:

 

[sourcefreak]

Liegt vermutlich an der Randomized MAC Address. Kannst du überprüfen indem du dir die MAC bei der inaktiven Verbindung anschaust und mit der im Interface en0 vergleichst.

Wie viele Geräte setzt ihr gleichzeitig zurück?

 

[edike10]

mit der im Interface en0 vergleichst

Inzwischen ist das Gerät leider schon weiter gegangen und ich kann es an diesem Beispiel nicht mehr prüfen.
Aber das nächste Mal lässt bestimmt nicht lange auf sich warten - ich werde in Kürze berichten.

Also verstehe ich das richtig, du vermutest, dass hier eine IP doppelt vergeben wurde und wenn ich die MAC abgleiche, ich ggf. zwei verschiedene vorfinde?

Edit: Wir setzen meistens etwa 10-30 Geräte gleichzeitig zurück.

 

[sourcefreak]

Schon möglich. Hat aber nichts mit dem eigentlichen Problem zu tun.

Ich würde mir den "Stress" mit der Wiederherstellung (bei der Anzahl) über das Netzwerk gar nicht geben. Ihr könnt die Abbrüche minimieren, in dem ihr auf Ethernet umsteigt, aber das Problem mit der Bandbreite bleibt ja trotzdem.

Wenn ich es richtig verstehe ladet ihr jedes Mal die Recovery über WLAN runter und installiert dann über das Internet (?!). Für die Recovery sind das schon Mal ca. 8 GB bei 10 Geräten. Dann noch Mal ca. 150 GB bei 10 Geräten für Sonoma?!

Der Apple Configurator 2 braucht für M-Geräte genau eine .ipsw-Datei. Bei Intel mit T2 bin ich mir nicht sicher, ob der Download gecached wird. Müsstet ihr ausprobieren.

Bzgl. des Timings könnt ihr auch das Terminal und macvdmtool nutzen.

 

[BFF]

dass hier eine IP doppelt vergeben wurde und wenn ich die MAC abgleiche, ich ggf. zwei verschiedene vorfinde?

Das geht eigentlich nicht.
Selbst wenn dieses hier aktiv ist.

In diesem Fall verwendet das OS exakt diese Macadresse für das Netzwerk. Selbst nach Neustart wird wieder diese Adresse benutzt. Erst wenn das Netzwerk eine andere SSID hat benutzt das OS für das neue Netz eine andere MAC. Privacy Relay dürfte auch nicht rein hauen, das ist per default nicht an.

 

[edike10]

auf Ethernet umsteigt

Das war mein ursprünglicher Gedanke, bis uns aufgefallen ist, dass Ethernet recht unzuverlässig funktioniert. Es äußert sich relativ oft so, dass trotz angeschlossenem Ethernet-Kabel (über Belkin Thunderbolt zu Ethernet Adapter) das LAN-Kabel einfach nicht erkannt wird und der Mac nach WLAN fragt.

Kennst du die Ursache oder hast da andere Erfahrungen gemacht?

ladet ihr jedes Mal die Recovery über WLAN

Aktuell ja, wir richten aber gerade einen Mac mini für Content Caching ein. So können wir wir zumindest das macOS Image cachen (nicht aber das Recovery-Image).

Bzgl. des Timings könnt ihr auch das Terminal und macvdmtool nutzen.

Das ist ein interessanter Hinweis. Das Tool kannte ich noch nicht.
Es handelt sich um dieses Projekt, oder? https://github.com/AsahiLinux/macvdmtool
Die Einrichtung muss nur einmalig am Host-Mac vorgenommen werden, oder?
Hast du schon positive Erfahrungen damit gemacht?

@BFF
Ich meine vielleicht hat die Fritzbox die gleiche IP an zwei unterschiedliche Geräte (mit unterschiedlichen Mac-Adressen) vergeben.
In den Einstellungen der Fritzbox habe ich ja nur festgehalten, dass die gleiche IP sowohl bei den inaktiven als auch aktiven Verbinden vorhanden war.

 

[sourcefreak]

Kennst du die Ursache oder hast da andere Erfahrungen gemacht?

Kann am Netzwerk liegen oder am Adapter. Ich habe Wiederherstellungen/Installationen bis T2 über USB durchgeführt, ab T2 über den Apple Configurator 2 oder Ethernet und erinnere mich nicht daran, dass es zu Problemen gekommen ist. Wenn ich mich richtig erinnere waren es Adapter von Satechi.

Ich habe allerdings auch nicht 10 bis 30 Geräte gleichzeitig wiederhergestellt. Maximal drei. DHCP hat ein Ubiquiti übernommen. Schlechte Erfahrung habe ich, als auch Kunden über WLAN gemacht.

Hast du schon positive Erfahrungen damit gemacht?

Ja, ist der richtige Link. Hier gibt es ein Tutorial dazu. Muss wohl nur ein Mal auf einem Host (Apple Silicon) eingerichtet werden. Erfahrungen habe ich damit keine, aber ich würde alles einer Wiederherstellung über WLAN bevorzugen.

 

[edike10]

Hey Leute,

ich wollte mal ein kurzes Update geben.
Ich habe in ein Ubiquiti Netzwerk investiert und das Herzstück ist eine UDM Special Edition (ich hatte auch überleget eine UDM Pro Max zu nehmen, was denkt ihr?).
Nach einer gewissen Testphase berichte ich noch Mal ob wir weiterhin Probleme haben.

 

[redjack1000]

Und wie baut die UDM die Verbindung zum Internet auf?

Cu
redjack

 

[BFF]

was denkt ihr?

Der Router ist immer noch gleich? Oder willst Du den im BridgeModus betreiben?

 

[edike10]

Ich habe es erst heute ausprobiert und bin noch am Einstellen und experimentieren.

Aktuell ist es etwas „wild“ eingestellt, sodass die FB das Modem (WLAN aus) und der DHCP Server für Netzwerk 1 ist (interne, betriebliche Geräte). An der FB hängen noch 2 „alte“ WLAN-APs, die aber jeweils ca 20m entfernt im EG und 1OG sind.
Die UDM hängt am 2.5Gbit-Port der FB und bildet ein eigenes Netzwerk mit eigenem DHCP-Server und einem U7 AP (externe Geräte, Installationen usw.).
An der UDM ist ein Mac Mini M1 für das Inhaltscaching über 1Gbit angebunden.

Geplant war demnächst mit dem richtigen GPON-Adapter die UDM direkt an den Glasfaseranschluss zu installieren und im Anschluss internes und externes Netzwerk über VLAN zu trennen.

Der U7 AP ist aktuell auf etwa 300-500Mbits beschränkt und selbst wenn ich 30cm vom AP entfernt bin. Das empfinde ich als zu wenig, da ich ähnliche oder sogar höhere Werte mit den wesentlich günstigen APs hatte.
Ich bin noch am Suchen der Ursache (keine anderen Netze in unmittelbarer Nähe).

 

[BFF]

sodass die FB das Modem (WLAN aus) und der DHCP Server für Netzwerk 1

Das ist kein Modembetrieb, das Ding routet immer noch.
Und Du hast doppeltes NAT. Was ok ist, wenn es Dich nicht stoert.

 

[edike10]

Da hast du natürlich Recht. Die FB ist dann natürlich immer noch ein Router.

Ich wollte es im BridgeMode einstellen, aber wusste ich werde nicht genug Zeit haben die ganzen Geräte und Drucker mit fester IP heute neu einzurichten, deshalb der Zwischenschritt.

Wenn ich die FB als Bridge verwende oder die UDM direkt anbinde und die Netzwerke für int und ext auf der UDM virtuell trenne, ist das doch die bessere Lösung, oder?

 

[redjack1000]

Wenn ich die FB als Bridge verwende

Das wird nicht funktionieren

https://avm.de/service/wissensdaten...Box-als-Modem-Bridge-Modus-eingesetzt-werden/

Ist zwar für eine 5490, trifft auf die 5590 genauso zu.

Cu
redjack

 

[BFF]

Ich denke immer noch das dort die 5590 ersetzt werden sollte mit zumindest einem vernuenftigen "Modem".

Geplant war demnächst mit dem richtigen GPON-Adapter die UDM direkt an den Glasfaseranschluss zu installieren und im Anschluss internes und externes Netzwerk über VLAN zu trennen.

Hole Dir Hilfe bei der Planung und fuer die Umstellung des Netzwerkes.
Die Umsetzung der Umstellung kann in einem Tag durch sein.

Frag doch einfach mal @Sephe an ob er Dich unterstuetzen koennte.