OPNsense Forum
International Forums => German - Deutsch => Topic started by: thogru on July 17, 2021, 05:08:19 pm
-
Moin, moin,
In der beigefügten Skizze habe ich aufgezeichnet, wie ich mein Netzwerk gestalten will. Die Verbindung zwischen Router (OPNsense) und Access Point soll durch VLANs erreicht werden.
Wenn ich es richtig verstanden habe, benötige ich den UniFi-Controller (für Windows aktuell unter (https://dl.ui.com/unifi/6.2.26/UniFi-installer.exe)), um den Access Point einzurichten. Die Windows Software plane ich auf einer virtuellen Maschine zu installieren, damit ich sie nach der Konfiguration einfach entsorgen oder neu aufspielen kann und meinen Arbeitsrechner "sauber" zu halten.
Was kann/sollte ich einrichten, um sowohl den UniFi-Controller und auch den Access Point am "nach Hause telefonieren" zu hindern? Wie macht Ihr das?
Gruß
Thomas
-
Den Unifi Controller habe ich auch als VM. Gibt es schon vorgefertigt, schön schlank als Linux ;). Löschen würde ich den nicht dann musst du die Switches/ AP' s jedesmal zurücksetzen oder pairen wenn du nen neuen Controller hast .....
Zum nach Hause telefonieren ... du machst einfach ne Block Rule auf die IP der Geräte und des Controllers zum Internet
edit: Der Controller zieht sich aber Updates das ist dann nicht mehr nutzbar und die haben ne echt gute Handy App, die ist dann nur im Lan nutzbar ...
-
Moin, moin aeschma,
Danke für den Tipp mit der Linux-VM? Welches Image nutzt Du? Wo kann ich das herunter laden?
Die VM braucht eine statische IP, wenn ich das richtig verstanden habe. Da bedeutet doch, dass ich das Netzwerkinterface in der VM als Bridge betreiben muss, oder?
Die Regeln: Sind am jeweilige Interface angehängt, blocken alles was von der IP-Adresse (Access Point, UniFi-Controller) kommt und nicht zur Adresse des Interfaces will. Den UniFi-Controller eher nicht blocken, damit die Updates gezogen werden können.
Muss ich mich/die Geräte bei Ubiquiti registrieren, damit die Geräte starten/konfigurierbar sind?
Gruß
Thomas
-
Keine Ahnung ob ich hier nen Link Posten darf, benutzte aber vmware google einfach mal „jpaul unifi controller vmware“ läuft bei mir schon ein paar Jahre stabil und absolut stressfrei. Aktualisiere jhalt regelmäßig und das war es.
Der UniFi Controller braucht entweder ne statische IP oder der Hostname muss via DNS auflösbar sein. Ist bei mir z.B. der Fall, da ich mehrere Sites habe die räumlich ein paar km getrennt sind. Gibt sogar welche die betreiben den Controller in AWS. Die Hardware (AP/Switches) muss nur mit dem Controller kommunizieren. Wenn etwas „Heim telefoniert“ ist es (wahrscheinlich) der Controller. Die Softwareupdates der AP/ Switches spielst du über den Controller ein. Die könntest du dir auch runterladen und dem Controller als zip geben.
-
Die APs sowie der Controller telefonieren nach Hause, und zwar nach ping.ui.com und trace.svc.ui.com. Beides habe ich in AGhome blockiert, komplett möchte ich den Controller (Raspi) und die APs nicht vom Netz nehmen zwecks Updates und weil der Raspi gelegentlich noch anderen Aufgaben übernimmt für dir er Internet braucht.
-
Das Ping ist - meine ich - das Latency Monitoring. Das Traceing die Daten, die man im Controller abstellen kann. Ist die Frage welcher Controller bei dir läuft und ob du in der Abfrage das abgestellt hast? Wenns trotzdem noch kommt wärs tatsächlich interessant. Ansonsten richtig, was nicht update/download.ubnt ist weg damit. Hatte bei meinen Kisten aber keinen Kram gesehen. Vielleicht nochmal durchmessen.
-
Latency-Monitoring von AP zu WAN?
Warum?
Das WLAN läuft bei mir jedenfalls sehr zufriedenstellend.
ping.ui.com wird übrigens nicht durch eine eigene Regel geblockt, sondern durch eine Liste, die per default in AGhome auswählbar ist. Weiß aber nicht welche Liste.
Welcher Controller, bzw welche Version? Weiß ich gerade nicht, uralt ist der Controller aber nicht. Würde aber auch nichts ändern.
Ich erinnere mich zwar nicht an etwaige Abfragen zur Informationsverarbeitung , habe diese aber sicherlich per default abgelehnt.
-
Zum Linux based Controller.
https://community.ui.com/questions/UniFi-Installation-Scripts-or-UniFi-Easy-Update-Script-or-UniFi-Lets-Encrypt-or-UniFi-Easy-Encrypt-/ccbc7530-dd61-40a7-82ec-22b17f027776
Da wird alles schön eingerichtet. Voraussetzung ist eine Linux Maschine mit zugriff und Internetzugang. Da reicht ein simples Debian ohne alles.
Beim erst einrichten dann drauf achten kein Cloud Konto zu machen. Das ist so gemacht wie bei Microsoft. Cloud Konto ist ganz dick und lokal ein bissel versteckt. Sie fragen inzwischen ob Sie Analysedaten senden dürfen. Da natürlich nein klicken.
-
Ich hab den Controller auf einem solo Ubuntu Server laufen, absolut stabil, schlank und problemlos.
Soweit ich mich erinnern kann, habe ich diese Anleitung benutzt:
https://help.ui.com/hc/en-us/articles/220066768-UniFi-Network-How-to-Install-and-Update-via-APT-on-Debian-or-Ubuntu
Der Server hat die statische IP.
Im Sensei sehe ich ziemlich viel:
trace.svc.ui.com
unifi-report.ubnt.com
fw-update.ubnt.com
static.ubnt.com
Hab ne Policy gemacht, die ich dann nur für Unifi verwende, und kann entsprechend filtrieren.
Und übrigens, ist nicht nur der Controller der diese Verbindungen macht. Access Points auch, aber nichts der Switch (US-8).
Und das spannende: die Verbindungen fanden statt auch ohne eingeschalteten Analytics & Improvements.
Ich möchte aber generell Zugang des Unifi-Zeugs zum Internet nicht zwingend unterbinden. Tracking, Ping OK, aber es geht auch zu fw-update. Viele Anbindungen macht das Ding nicht, aber die automatischen Ubuntu oder UI Updates möchte ich nach wie vor zulassen.
Pings habe ich bisher keine gesehen.
-
Ich habe die Neueinrichtung des Unifi-Controllers in Verbindung mit OPNsense gerade hinter mir.
Bei mir läuft stabil in einem LXC-Container auf Proxmox. Installiert habe ich ihn nach der Original Ubiquiti-Anleitung, die @kosta auch gepostet hat.
Der Controller ist inkl. der Unifi-Switche und -APs in einem Mgmt-Netz, was nur explizit erlaubten Zugriff auf das Internet hat. Dadurch, dass in der OPNsense aber sehr viel über DNS-Auflösung möglich ist, lassen sich die Zugriffe zielgerichtet steuern.
Die Unifi-Geräte haben nur NTP-Zugriff auf pool.ntp.org. Das habe ich ihnen nicht abgewöhnen können, obwohl der DHCP-Server einen NTP-Server mit ausliefert.
Der Unifi-Controller darf folgende URLs per 80,443 aufrufen:
- config.ubnt.com
- dl.ubnt.com
- fw-download.ubnt.com
- fw-update.ubnt.com
- static.ubnt.com
- www.ubnt.com
- www.ui.com
Damit funktionieren sowohl die Controller-Updates, als auch die Firmware-Updates. Die Firmware-Updates müssen dafür aber auf dem Controller zwischengespeichert werden, da die Geräte sie sonst aus dem Internet direkt von Ubiquiti laden.
Das Abschalten des Sendens von Informationen im Controller reduziert die übertragenen DAten übrigens nur. Es schaltet sie nicht ab. Dazu gab es schon Diskussionen im Netz. Dadurch das trace.svc.ui aber in der Firewall geblockt wird, ist vollständig unterbunden. Das kann auch im Log des Controllers unter /var/log/unifi/server.log nachvollzogen werden:
[2021-05-24T10:10:20,306] <inform_stat-2> WARN AnalyticsAppender - Failed to send log message - I/O error on PUT request for "https://trace.svc.ui.com/traces": Connection timed out (Connection timed out); nested exception is java.net.ConnectException: Connection timed out (Connection timed
out)
-
da die Geräte sie sonst aus dem Internet direkt von Ubiquiti laden.
Und was ist dabei falsch?
Und wie zwischenspeichern?
Und darf ich fragen, wo hast du diese Liste her? Auf dem Sensei sehe ich wesentlich weniger für die Updates, eigentlich nur fw-update.ubnt.com.
-
Und was ist dabei falsch?
Und wie zwischenspeichern?
Und darf ich fragen, wo hast du diese Liste her? Auf dem Sensei sehe ich wesentlich weniger für die Updates, eigentlich nur fw-update.ubnt.com.
"Falsch" ist dabei nichts. Ich möchte es nicht. Ich versuche mein Netzwerk nach dem Minimalprinzip einzurichten. Es soll so viel wie möglich ohne Internet funktionieren. Ich möchte nicht jedes Unifi-Gerät extra freischalten müssen, damit es sich Firmware-Updates laden kann.
Der Unifi-Controller hat unter Einstellungen > Wartung > Firmware die eingebaute Möglichkeit die Firmware für die verwendeten Geräte herunterladen und zwischenzuspeichen. Dann laden die Netzwergeräte die Firmware lokal.
Die Liste habe ich tlw. Aus den Internet und aus den Aufrufen des Controllers mit Wireshark herausgesucht/überprüft.
-
Danke! Gefällt mir. Insbesondere dass die AP nicht ins Internet müssen.
-
Moin, moin,
Erst einmal herzlichen Dank an alle für Eure vielen Tipps.
Danke auch für die Links mit den Installationsanleitungen.
Keine Ahnung ob ich hier nen Link Posten darf, benutzte aber vmware google einfach mal „jpaul unifi controller vmware“ läuft bei mir schon ein paar Jahre stabil und absolut stressfrei. Aktualisiere jhalt regelmäßig und das war es.
Leider gibt es das Image nicht mehr zum Download. Ich werden wohl ein ARCH Linux in einer VM aufsetzen (im DHCP eine "fest" IP zu ordnen) und dort den UniFi Controller betreiben.
Zum Linux based Controller.
...
Beim erst einrichten dann drauf achten kein Cloud Konto zu machen. Das ist so gemacht wie bei Microsoft. Cloud Konto ist ganz dick und lokal ein bissel versteckt. Sie fragen inzwischen ob Sie Analysedaten senden dürfen. Da natürlich nein klicken.
Auch dafür Danke, das habe ich nicht gewusst und werde suchen wo ich mir das Konto lokal einrichten kann.
Mit dem Blocken des Verkehrs geht es mir hauptsächlich um zwei Punkte:
- Ich möchte die Hardware im Zweifelsfall auch ohne Cloud/Internet in Betrieb nehmen können. So weit ich es verstanden habe, geht das zum Beispiel bei Aruba nicht.
- Ich möchte meine Geräte möglichst datensparsam betreiben. Das die Seriennummern auf dem Vertriebsweg meinem Konto zugeordnet werden finde ich grenzwertig. Das alle Betriebsdaten zu Ubiquiti gefunkt werden, halte ich persönlich für inakzeptabel. Als Netzwerkadministrator in einer Firma würde ich mich eher an die Firmenrichtlinien halten und dort geht es ja auch um Kosten. Wenn "alle Daten" bei Ubiquiti liegen, dann können die auch schneller einen Fehler finden.
Auf jeden Fall habe ich jetzt ein gutes Gefühl, dass die Inbetriebnahme gut laufen wird.
Gruß
Thomas
-
Hallo Thomas,
Leider gibt es das Image nicht mehr zum Download. Ich werden wohl ein ARCH Linux in einer VM aufsetzen (im DHCP eine "fest" IP zu ordnen) und dort den UniFi Controller betreiben.
Ob ARCH Linux unterstützt wird kann ich nicht einschätzen. Ich vermute aber mal, dass es zumindestens mehr Arbeit mit Installation und Update wird. Ich habe schon mal von einem Installations und Update-Script gelesen, aber es selber bisher noch nicht benutzt.
Ich lasse es bei mir in einem Debian Lxc Container laufen. Ein minimal installiertes Debian als VM funktioniert hatürlich auch. Dann kannst Du nämlich das APT-Repository von Ubiquiti nutzen, was das Updaten in meinem Augen wesentlich erleichtert. Siehe https://help.ui.com/hc/en-us/articles/220066768-UniFi-Network-How-to-Install-and-Update-via-APT-on-Debian-or-Ubuntu (https://help.ui.com/hc/en-us/articles/220066768-UniFi-Network-How-to-Install-and-Update-via-APT-on-Debian-or-Ubuntu)
Für die Einrichtung finde ich diesen Artikel von Ubiquiti https://help.ui.com/hc/en-us/articles/204909754-UniFi-Layer-3-Adoption-for-Remote-UniFi-Network-Applications sehr hilfreich. Dort wird auch erklärt, wie die automatische Integration vie DNS oder DHCP klappt. Bei mir hatte ich das teilweise so, dass im remote Vlan ein unifi DNS Alias existierte, der auf den Controller im loklaen, über VPN verbundenen, LAN gezeigt hat. Dadurch finden neue Geräte den Controller automatisch.
Viel Erfolg
Ulf