Unifi Netzwerk Komponenten

Aus Debacher-Wiki
Wechseln zu:Navigation, Suche

In meinem lokalen Netzwerk existieren immer mehr WLAN-Geräte, u.a. auch Atheros Allplay Musikgeräte. Das hat meine einfachen TP-Links Accesspoints doch sehr belastet. Zumindest gab es hier im Netzwerk Ausfälle im Internetradio beim Einschalten eines Tablets.

Ich war also auf der Suche nach deutlich leistungsfähigeren Accesspoints, die möglichst auch sowohl 2,4 GHz also auch 5 GHz beherrschen sollten. Schnell landet man dann bei managebaren Geräten. Hier schieden alle Systeme aus, bei denen die Management-Software nicht für Linux verfügbar ist.

Bei TP-Link habe ich nur Dokumente gefunden, die darauf schließen lassen, dass die Software nur unter Windows läuft. Für die Software selber habe ich keinen Download-Link gefunden. Netgear bietet anscheinend nur eine App für mobile Geräte, das finde ich auch nicht so prickelnd. Ich möchte im Idealfall die Software auf einem NAS laufen lassen können. Falls ich mich hier irgendwo irre, so waren zumindest für mich die Informationen von Ubiquiti an leichtesten zu finden und zu verifizieren.

Letztendlich fiel meine Auswahl auf den UAP-AC-LITE von Ubiquiti Networks (83,32€ bei Amazon). Bevor ich das Geräte bestellt habe habe ich mir die Management-Software von https://www.ubnt.com/download/unifi/unifi-ap-ac-lite herunter geladen (Version Unifi 5.5.19) und auf meinem Ubuntu 16.04 Desktop installiert.

Installation der Controller-Software

Man ist hinsichtlich der Software aber nicht auf einen Desktop-Rechner angewiesen. Software liefert der Hersteller auch für die Smartphone-Betriebssysteme und es gibt auch eine Lösung für das Synology-NAS. Damit ist auch meine Entscheidung gefallen, welches NAS ich mir als Zweit-NAS zulegen werden, nachdem meine Buffalo LinkStation Live nach fast 10 Jahren Dauerbetrieb ihren Geist aufgegeben hat. Es wird wohl ein Synology ds216+ii werden. Darauf läuft Docker und für Unifi gibt es ein Docker-Image.

Bei der Installation mittels:

sudo dpkg -i unifi_sysvinit_all.deb

tauchten Abhängigkeiten auf, die auf diesem Weg nicht aufgelöst werden konnten. Mittels

sudo apt-get -f install

wurden dann die fehlenden Pakete nachinstalliert. Da mir nicht ganz klar war, ob die Installation des Unifi-Paketes damit dann auch vervollständigt war, habe ich den ersten Schritt einfach noch einmal ausgeführt. Danach waren dann die MongoDB-Datenbank und das Unifi-Tool aktiviert und gestartet.

Konfiguration

Die Konfigurationsoberfläche ist dann im Browser unter folgender URL erreichbar:

https://localhost:8443


Bei der ersten Anmeldung legt man das Land und die Zeitzone fest, in der man sich befindet. Die Auswahl von Deutschland als Land für übrigens zu Einschränkungen bei der Sendeleistung.

Danach legt man dann noch einen Benutzeraccount an, über diesen Benutzeraccount greift man zukünftig auch auf die Access-Points zu.

An dieser Stelle habe ich mein Drahtlos-Netzwerk konfiguriert, indem ich die SSID und den Sicherheitsschlüssel eingetragen habe. Mehr war an dieser Stelle nicht zu tun.

Was mich sehr positiv überrascht hat ist die Tatsache, dass die Oberfläche sofort auf Deutsch war. In allen Berichten, die ich vorher gesehen bzw. gelesen hatte war die Oberfläche immer nur auf Englisch vorhanden. Das zeigt doch ein entsprechendes Interesse des Herstellers.

Unifi3.png

Als dann mein Accesspoint kam habe ich ihn im Netzwerk angeschlossen und mir in der Fritz!Box seine IP-Adresse heraus gesucht. Es gibt nämlich ein klitzekleines Problem. Ein neuer AccessPoint versucht sich beim SoftwareController anzumelden, die voreingestellt URL passt aber nicht unbedingt zum vorhandenen Netz. Es ist im Auslieferungszustand:

http://unifi:8080/inform 

Da die Software auf meinem Desktop-Rechner läuft müsste die URL lauten:

http://192.168.1.1:8080/inform (IP-Adresse an die eigene Situation anpassen)

Das lässt sich bequem einstellen, wenn man eine SSH-Verbindung zu dem Accesspoint aufbaut:

ssh ubnt@192.168.1.48 (IP-Adresse des Accesspoint)

Das Passwort ist auch ubnt.

Nach der Anmeldung gibt man help ein:

$ ssh ubnt@192.168.1.48
ubnt@192.168.1.48's password: 


BusyBox v1.19.4 (2017-06-09 08:09:26 PDT) built-in shell (ash)
Enter 'help' for a list of built-in commands.

BZ.v3.8.3# help
UniFi Command Line Interface - Ubiquiti Networks

  info                      display device information
  set-default               restore to factory default
  set-inform <inform_url>   attempt inform URL (e.g. set-inform http://192.168.0.8:8080/inform)
  upgrade <firmware_url>    upgrade firmware (e.g. upgrade http://192.168.0.8/unifi_fw.bin)
  reboot                    reboot the device

BZ.v3.8.3# 

Weitere Informationnen kann man mit info bekommen

BZ.v3.4.14# info

Model:       UAP-AC-Lite
Version:     3.4.14.3413
MAC Address: f0:9f:c2:39:ca:8c
IP Address:  192.168.1.49
Hostname:    UBNT
Uptime:      190 seconds

Status:      Unable to resolve (http://unifi:8080/inform)


Hier sieht man dann dass die Zeile

set-inform http://192.168.1.1:8080/inform

zum gewünschten Ergebnis führt.

Den upgrade-Befehl habe ich hier nicht benutzt, ein entsprechendes Angebot kam auch in der Controller-Oberfläche.

Unifi5.png

Danach kann man die Shell wieder verlassen, der AccessPoint taucht jetzt als verfügbares Gerät in der Software auf (er wusste ja jetzt, wo er sich melden musste) und möchte adoptiert werden (adopt).

Wenn man das gemacht hat, dann ist man eigentlich schon fertig. Die vorher gemachten Einstellungen werden an den Access-Point übertragen.

Unifi6.png

Auch die Anmeldedaten für den SSH-Zugriff sind durch die Adoption geändert. Es gelten die in der Oberfläche eingestellten Zugangsdaten auch für den Shell-Zugriff!

Erweiterte Funktionen

Ich habe dann doch noch folgende Einstellungen vorgenommen:

Unifi1.png

Und trotzt der gegebenen Warnungen die Erweiterteten Funktionen aktiviert.

Wenn ich jetzt unter Geräte auf meinen AccessPoint klicke, dann gibt es zusätzlich ein Menü Bandsteuerung.

Unifi2.png

Hier kann ich einstellen, dass der AccessPoint Verbidungen im 5 GHz Bereich bevorzugen soll. Das erscheint mir sinnvoll zu sein.


LED

Der LED-Ring des Gerätes leuchtet normalerweise blau. Das Leuchten passt nicht in jede Umgebung, insofern kann man es natürlich abschalten. Dafür gibt es zwei Stellen, einmal global und dann natürlich auch individuell am Gerät. Ich kann hier beides in einem Bild zeigen, da ich rechts die Eigenschaften des Access-Points geöffnet habe .

Unifi4.png

Global ist hier also die LED eingestellt, aber dann bei dem konkreten Gerät deaktiviert.

Gastzugang mit Voucher

Ein wirklich interessantes Feature ist der Gastzugang zum WLAN, der sich mit einer großen Anzahl an Zusatzfunktionen nett gestalten lässt.

Im ersten Schritt legt man sich eine Benutzergruppe für die Gäste neu an:

Unifi-gast-1.png

Dieser Gruppe kann man dann nämlich Einschränkungen hinsichtlich der Bandbreite einstellen.

Dann legt man sich ein zusätzliches Drahtlos-Netzwerk an

Unifi-gast-2.png

Wichtig ist hier, dass man die vorher erstellte Benutzergruppe angibt und das Häkchen bei Gastrichtlinie anwenden setzt. Die Sicherheit kann offen bleiben, das lässt sich später korrigieren. Wenn man hier eine Passwort-Absicherung machen würde, dann müsste der Gast schon mal eine Passwort eingeben, um sich dann anmelden zu können.

Die weiteren Einstellungen erfolgen dann unter Gastkontrolle. Hier gibt es eine Reihe von Einstellmöglichkeiten.

Unifi-gast-3.png

Ich habe in dem Screenshot die Felder markiert, an denen ich Änderungen bzw. Eintragungen vorgenommen habe. Diese Einstellungen sind auch auf vielen Seiten gut dokumentiert.

Für die Nutzungsbedingungen muss ich mich einmal genauer mit der Vorlage unter https://www.datenschutz-guru.de/mustervertrag-nutzungsbedingungen-fuer-gaeste-wlan/ beschäftigen. Eine erste Anpassung davon ist unter Nutzungsbedingungen Gäste WLAN zu finden.

Rechts unten im Screenshot sieht man noch einen Teil des Vorschaubildes der Anmeldeseite. Das ließe sich noch viel stärker anpassen.

Im unteren Teil der Seite gibt es weitere Einstellungen.

Unifi-gast-4.png

Hier ist vor allem der Bereich Zugriffskontrolle missverständlich. Es ist so, dass alle Rechner, die in der Rubrik Zugriff vor der Anmeldung eingetragen sind, auch nach der Anmeldung erreichbar sind. Da nützt es nichts, wenn im Bereich darunter das gesamte lokale Netz verboten ist. Die Erlaubnis ist stärker als das Verbot. Also erlaubt man nur die wirklich notwendige(n) Adresse(n) und das ist vor allem der Router.

Der Gast soll ja ins Internet, aber nicht ins lokale Netz.

Wichtig ist auch noch der Link Zum Hotspot-Manager gehen. Dort kann man die Voucher erstellen und verwalten.

Unifi-gast-5.png

Hier kann man die Voucher erstellen, verwalten und Drucken, aber auch die damit angemeldeten Benutzer überwachen.

Den Anmeldebildschirm kann man übrigens unter http://<Adresse>:8880/guest/s/default/ aufrufen, wobei default wohl der eingestellte Name der Zone ist, also auch ein anderer Bezeichner möglich ist.

Unifi als Brücke

Es tat sich plötzlich die Notwendigkeit auf einen weit ab stehenden Rechner per WLAN mit Netzwerkzugang zu versorgen. Der Rechner steht so ungünstig, dass dort mit einem USB-WLAN-Stick kein sinnvoller Empfang möglich ist. Es stand aber noch ein UAP-ACP-PRO herum, der schon einmal adoptiert worden war. Der Access-Point lässt sich im Raum besser positionieren, als der Rechner und beide Geräte dann per LAN-Kabel miteinander verbinden.

Ich habe den Access-Point also ohne LAN-Verbindung gestartet. Der blaue Ring hat eine Weile geblinkt. Irgendwann hat sich dann in der Oberfläche die Statusmeldung von "Getrennt" auf "Isoliert" verändert. Ich konnte dann seine Konfiguration verändern. Es wurden mir die verfügbaren Access-Points angezeigt, mit denen eine Verbindung möglich war. Ich habe hier auf Verbinden geklickt. Es hat noch eine Weile gedauert, dann wurde als Status "Verbunden (Drahtlos)" angezeigt.

Eine kleine Änderung habe ich noch bei den Einstellungen zur Zone vorgenommen.

Unifi-bruecke1.png

Hier habe ich sichergestellt, dass Verbindungs-Monitor und Drahtlos-Uplink aktivieren angeklickt ist und zusätzlich Automatische Ausfallsicherung für Uplink aktivieren angwählt. Danach habe ich den Accees-Point an seinen eigentlichen Bestimmungsort verfrachtet. Dort hat er es auch mit einer anderen Gegenstelle zu tun als am Ort der Konfiguration, aber die Konfigurations-Einstellung ist wohl genau dafür gedacht.

Jedenfalls war der Access-Point auch am neuen Ort nach einigem Blinken des blauen Ringes verbunden, die Meldung hier war übrigens eine Zeit lang Heartbeat Missed. Ich habe dann den Rechner am Secondry-Anschluss angeschlossen, wodurch dieser nun erfolgreich ins Netz kommt.

Weitere Hinweise unter:

Unifi auf Diskstation

In meiner bisherigen Konfiguration lief die Unifi-Software auf meinem Arbeitsplatzrechner. Nicht ganz ideal, der der nachts in der Regel nicht läuft. Da ich mir sowieso ein neue NAS-System zulegen musste, war die Tatsache, dass man auf der Synology DiskStation DS216+II auch Docker installieren kann ein Kaufargument für das Gerät. Es gibt dann sogar eine Lösung, bei der man die Software direkt installiert ohne Docker. Hier muss man aber auf der Diskstation Fremdpakete zulassen.

Die Installation mit Docker findet man unter https://idomix.de/unifi-controller-im-docker-container-auf-synology-diskstation-installieren beschrieben. Ich fand die Möglichkeit der direkten Installation ganz spannend und habe mich dabei an https://idomix.de/unifi-controller-auf-synology-diskstation-installieren orientiert, wobei diese Beschreibung allein nicht mehr zum Ziel führt, wie auch die Diskussionen auf der Seite zeigen.

Ich bin letztendlich folgendermaßen vorgegangen:

Installation von Java8

Java 8 ist in der normalen Paketverwaltung enthalten, in der Rubrik Entwickler-Tools. Mit diesem Paket lief die Software später aber nicht, ich musste erst ein Update von dem Java vornehmen. Mir ist im Nachhinein nicht ganz klar, ob das Paket aus der Paketverwaltung überhaupt schon lauffähig ist. Ich habe also im Menü auf Java 8 geklickt:

Ds216-java2.png

In dem Screenshot wird schon die aktualisierte Versionsnummer angezeigt, ursprünglich war es wohl 1.8.0_112.

Auf der Seite wird beschrieben, wo man das Update-Paket findet. Hier einmal die Website von Oracle dazu:

Ds216-java.png

Das von mir gewählte Paket habe ich markiert. Dieses Paket habe ich mir dann herunter geladen und auf der DiskStation installiert. Beide Schritte brauchen etwas Zeit.

Der Contoller

Danach geht es daran das Unifi-Paket zu installieren. Dazu muss man erst einmal die Installation von Fremdquellen erlauben (Einstellungen -> Allgemein -> Vertrauensebene):

Ds216-java3.png

Danach kann man dann das Repository http://synology.acmenet.ru/ hinzufügen.

Ds216-java4.png

Danach steht dann das Paket in der Rubrik Community zur Verfügung.

Ds216-java5.png

Ich habe mir den UniFi-Controller 5 installiert. In den meisten Beschreibung ist die Rede davon, dass man auch das Paket MongoDB installieren muss. Aktuell ist das aber nicht zu sehen, weil es in das UniFi-Paket integriert ist. Zumindest läuft bei mir diese Datenbank, was ein Blick in das Protokoll zeigt.

Ds216-java6.png

Übernahme der Konfiguration

Danach habe ich dann die URL aufgerufen. Dort kann man die Konfiguration neu beginnen, oder eine gespeichertes Backup einlesen. Ich habe also auf dem bisherigen System ein Backup erstellt (Einstellungen -> Wartung -> BACKUP DOWNLOADEN).

Ds216-java7.png

Dieses Backup (Dateiname 5.5.19.unf) habe ich dann auf dem neuen System eingespielt. Dabei ist auf der Diskstation anscheinend die MongoDB abgestürzt. Aber nach einem Neustart des UniFi-Controllers hat das System funktioniert. Es wurden die Access-Points angezeigt, aber als nicht verfügbar in Rot. Das hat sich erst geändert, als ich den bisherigen Controller gestoppt habe.

Ich habe noch nicht einmal die Inform-URL in den Accesspoints geändert, da info mir die richtige neue URL automatisch lieferte:

ssh 192.168.1.xx

BusyBox v1.19.4 (2017-06-09 08:09:26 PDT) built-in shell (ash)
Enter 'help' for a list of built-in commands.

BZ.v3.8.3# info

Model:       UAP-AC-Lite
Version:     3.8.3.6587
MAC Address: f0:9f:c2:c0:ff:ee
IP Address:  192.168.1.xx
Hostname:    Erdgeschoss
Uptime:      2337514 seconds

Status:      Connected (http://192.168.1.51:8080/inform)

Noch einmal zu dem Java-Problem

Noch einmal zu dem Problem mit dem Java. Vor der Aktualisierung haben alle Browser Probleme gehabt, es wurde eine HTTPS-Verbindung begonnen, aber ohne Zertifikat. Man konnte also nch nicht einmal eine Ausnahme anlegen. Nach dem Java-Update kam "ganz normal" ein ungültiges Zertifikat, für das ich dann eine Ausnahme anlegen konnte. Momentan läuft also meine bisherige Konfiguration auf der neuen Umgebung.


Nachtrag vom 8.11.17

Inzwischen lagen schon mindestens zwei Updates für den Unifi-Controller an. Beide waren recht unproblematisch, wenn man davon absieht, dass der Server mit den Paketen sehr langsam ist und der Download schon mal knapp eine Stunde dauern kann. Es läuft jetzt die Version 5.5.24-171107.

Auch das Update vom Java verlief unproblematisch, es läuft jetzt die Version 8.0.151-0014.