13
Unifi Controller "Sites" und 5.11.50 Update
Guten Morgen in die Runde,
habe mich gestern mal wieder über Unifi geärgert und das obwohl ich Updates eh nur noch mache, wenn jemand vor Ort ist. Kurz: langsam verstehe ich @aqui: s Kritik
In dem Kontext sind einige Fragen aufgetaucht. Vielleicht könnt Ihr ja das ein oder andere Fragezeichen lösen:
a) Cloudkey UC-CK (der kleine): Das Ding ist im Prinzip "leer", d.h. Speicherplatz ist mehr oder weniger zu 80 bis 90% frei (intern & SD-Karte) und trotzdem macht der Stick einmal im Jahr die Grätsche und muss "resettet" werden. Meine Lernkurve liegt darin, dass ich das mittlerweile per Fernwartung durchführe und auf Backups zurückgreife. Ich vermute, das liegt an den "STATISTICS DATA RETENTION", die verkürze ich aber eh schon jedes mal, weil die Mongo-DB offenbar schnell überfordert ist (lt. Unifi). Gibts da nen Trick?! Irgendwie passt das nicht zusammen. Sind tägl. ca. 20 bis 30 verwaltete Wifi-Clients - also eigentlich nicht die Welt!
b) Der Stick updated "offiziell" nur auf 5.11.50 (08/19). Alle anderen Setups laufen schon auf 5.12.22. Das wäre jetzt nicht besonders tragisch und wird verm. noch nachgereicht. Nur scheint im derzeitigen Status das Routing zu spinnen. VPN kann ich zwar aufbauen, aber die Geräte im fernen Netzwerk nicht connecten (kein ssh, kein ping) ... und zwar in keines der Subnetze dort. Ist da ein Bug bekannt?! Denn das ist ein neues Phänomen ohne an den Netzwerkeinstellungen rumgefrickelt zu haben. Kleiner Nebeneffekt: Ohne SSH kann ich aus der Ferne das 5.12.22 auch nicht manuell draufbügeln.
c) Grundsätzlich: Wir hatten das Thema gestern ja schon mit der Sophos SG105 ... auch die "kleine" USG von Unifi ist schnell überfordert bei Internetanschlüssen jenseits der 200 Mbit und da muss DPI noch nicht aktiviert sein. Hier hängt ne 400 Mbit Glasfaserleitung dahinter und selbst im Restore-Zustand steht die Leistung hinter der USG nicht zur Verfügung. Vielleicht hat ja jemand noch nen Tipp - außer aufrüsten. Und wenn nicht, ist es ne "Warnung" an evtl. Neukunden
d) Ich betreue verschiedene dezentrale Netzwerk-Setups - viele kleine (d.h. 1 AC/AP). Und damit stellt sich immer die Frage des "Controllers" (ja, ich weiß @aqui
. Von Raspi, UC-CK, Windows, iOS und Synology/Docker habe ich alles mal gemacht oder noch im Einsatz. Bisher immer sauber getrennt - auch wegen "DSGVO". Aber die "Sites" lassen mich nicht los. Ich finde allerdings wenig Infos zu deren Einsatzmöglichkeiten und welche Voraussetzungen man dafür benötigt. Muss dazu eine feste VPN-Verbindung zwischen Installation und Controller bestehen oder geht das evtl. auch irgendwie ohne?! Mit fester VPN-Verbindung (Fritzbox) zwischen 2 Standorten läuft es stabil - aber ist das Voraussetzung?! Ziel wäre dann sozusagen mehre Mini-Netzwerke auf meiner Synology zusammenzuführen. Die macht das leistungsmäßig mit "links".
VG
habe mich gestern mal wieder über Unifi geärgert und das obwohl ich Updates eh nur noch mache, wenn jemand vor Ort ist. Kurz: langsam verstehe ich @aqui: s Kritik
In dem Kontext sind einige Fragen aufgetaucht. Vielleicht könnt Ihr ja das ein oder andere Fragezeichen lösen:
a) Cloudkey UC-CK (der kleine): Das Ding ist im Prinzip "leer", d.h. Speicherplatz ist mehr oder weniger zu 80 bis 90% frei (intern & SD-Karte) und trotzdem macht der Stick einmal im Jahr die Grätsche und muss "resettet" werden. Meine Lernkurve liegt darin, dass ich das mittlerweile per Fernwartung durchführe und auf Backups zurückgreife. Ich vermute, das liegt an den "STATISTICS DATA RETENTION", die verkürze ich aber eh schon jedes mal, weil die Mongo-DB offenbar schnell überfordert ist (lt. Unifi). Gibts da nen Trick?! Irgendwie passt das nicht zusammen. Sind tägl. ca. 20 bis 30 verwaltete Wifi-Clients - also eigentlich nicht die Welt!
b) Der Stick updated "offiziell" nur auf 5.11.50 (08/19). Alle anderen Setups laufen schon auf 5.12.22. Das wäre jetzt nicht besonders tragisch und wird verm. noch nachgereicht. Nur scheint im derzeitigen Status das Routing zu spinnen. VPN kann ich zwar aufbauen, aber die Geräte im fernen Netzwerk nicht connecten (kein ssh, kein ping) ... und zwar in keines der Subnetze dort. Ist da ein Bug bekannt?! Denn das ist ein neues Phänomen ohne an den Netzwerkeinstellungen rumgefrickelt zu haben. Kleiner Nebeneffekt: Ohne SSH kann ich aus der Ferne das 5.12.22 auch nicht manuell draufbügeln.
c) Grundsätzlich: Wir hatten das Thema gestern ja schon mit der Sophos SG105 ... auch die "kleine" USG von Unifi ist schnell überfordert bei Internetanschlüssen jenseits der 200 Mbit und da muss DPI noch nicht aktiviert sein. Hier hängt ne 400 Mbit Glasfaserleitung dahinter und selbst im Restore-Zustand steht die Leistung hinter der USG nicht zur Verfügung. Vielleicht hat ja jemand noch nen Tipp - außer aufrüsten. Und wenn nicht, ist es ne "Warnung" an evtl. Neukunden
d) Ich betreue verschiedene dezentrale Netzwerk-Setups - viele kleine (d.h. 1 AC/AP). Und damit stellt sich immer die Frage des "Controllers" (ja, ich weiß @aqui
. Von Raspi, UC-CK, Windows, iOS und Synology/Docker habe ich alles mal gemacht oder noch im Einsatz. Bisher immer sauber getrennt - auch wegen "DSGVO". Aber die "Sites" lassen mich nicht los. Ich finde allerdings wenig Infos zu deren Einsatzmöglichkeiten und welche Voraussetzungen man dafür benötigt. Muss dazu eine feste VPN-Verbindung zwischen Installation und Controller bestehen oder geht das evtl. auch irgendwie ohne?! Mit fester VPN-Verbindung (Fritzbox) zwischen 2 Standorten läuft es stabil - aber ist das Voraussetzung?! Ziel wäre dann sozusagen mehre Mini-Netzwerke auf meiner Synology zusammenzuführen. Die macht das leistungsmäßig mit "links".VG
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 515659
Url: https://administrator.de/contentid/515659
Printed on: April 19, 2024 at 15:04 o'clock
13 Comments
Latest comment
Moin,
muss der Controller denn in deinen Szenarien immer online sein?
M.M.n. muss das nur bei Verwendung des CP über den Controller sein. Den Rest machen die APs alleine.
Wenn Du die Controller zentral hosten willst, nimm lieber eine VM je Kunde.
Damit ist die Trennung sauber und Du kannst jeden nach Absprache separat warten. Ansonsten sind alle down...
Gruß Looser
muss der Controller denn in deinen Szenarien immer online sein?
M.M.n. muss das nur bei Verwendung des CP über den Controller sein. Den Rest machen die APs alleine.
Wenn Du die Controller zentral hosten willst, nimm lieber eine VM je Kunde.
Damit ist die Trennung sauber und Du kannst jeden nach Absprache separat warten. Ansonsten sind alle down...
Gruß Looser
Nicht alle, nicht immer. In dem iOS-Update habe ich das auch mal ohne probiert. D.h. aber auch, dass kein Firmware-Upgrade für die AP/AC gibt und wenn die Kundin meint, sie möchte ein Guest-Wifi, dann muss ich da erstmal hin und das neu konfigurieren.
Grundsätzlich finde ich es aber sinnvoll, dass ein Controller durchläuft, ich die Auslastung sehen kann, Probleme vom Kunden eroieren kann (z.B. mit Logfiles), Setups aus der fernde modifzieren kann, ... usw. Das ist ja irgendwie Sinn und Zweck von sowas. Bei Unifi sogar vom iPhone aus. Und das habe ich auch schon eingesetzt.
Naja, wenn die einzelne VMs nicht dezentral beim Kunden laufen soll, dann schließt sich der Kreis zu meiner Frage wieder. Und ich muss trotzdem alle Controller einzeln updaten. In meinem Fall ist das Vorgehen dazu vor allem in jedem Netzwerk ein anderes
Grundsätzlich finde ich es aber sinnvoll, dass ein Controller durchläuft, ich die Auslastung sehen kann, Probleme vom Kunden eroieren kann (z.B. mit Logfiles), Setups aus der fernde modifzieren kann, ... usw. Das ist ja irgendwie Sinn und Zweck von sowas. Bei Unifi sogar vom iPhone aus. Und das habe ich auch schon eingesetzt.
Naja, wenn die einzelne VMs nicht dezentral beim Kunden laufen soll, dann schließt sich der Kreis zu meiner Frage wieder. Und ich muss trotzdem alle Controller einzeln updaten. In meinem Fall ist das Vorgehen dazu vor allem in jedem Netzwerk ein anderes
die Frage bei d) läuft eigentlich auf folgendes hinaus: "Was sind Sites"?
Muss ich mir das vorstellen, dass Unternehmen mit Fillialen und Standleitung bzw. fixen VPNs dazwischen hier die verschiedenen Subnetzwerke verwalten können?!
Oder kann die Sites auch "unabhängige" Netzwerke einbinden?!
Während ich das so schreibe kann ich mir die 2. Option eh nicht mehr vorstellen. Wie sollen die "doofen" Endgeräte ohne VPN durch die NAT den Controller finden. Sonst gäbs ja auch ne Unifi-Cloud ohne Controller.
(Aber man wird ja mal - vor dem 3. Kaffee - träumen dürfen )
PS: Wenn man jetzt mal von einer übergreifenden VPN-Kopplung aller Kunden absieht , wäre sowas mit IPv6 eigentlich lösbar?! Die NAT wäre dann doch angeblich nicht unbedingt notwendig?!
Muss ich mir das vorstellen, dass Unternehmen mit Fillialen und Standleitung bzw. fixen VPNs dazwischen hier die verschiedenen Subnetzwerke verwalten können?!
Oder kann die Sites auch "unabhängige" Netzwerke einbinden?!
Während ich das so schreibe kann ich mir die 2. Option eh nicht mehr vorstellen. Wie sollen die "doofen" Endgeräte ohne VPN durch die NAT den Controller finden. Sonst gäbs ja auch ne Unifi-Cloud ohne Controller.
(Aber man wird ja mal - vor dem 3. Kaffee - träumen dürfen
)PS: Wenn man jetzt mal von einer übergreifenden VPN-Kopplung aller Kunden absieht
, wäre sowas mit IPv6 eigentlich lösbar?! Die NAT wäre dann doch angeblich nicht unbedingt notwendig?!
Mahlzeit Visucius,
zu a) Ich habe aus der Praxis gelernt, dass der Stick aufgrund der Datenbank nur eine begrenzte Anzahl von Sites kann. Auf der SD-Karte werden ja nur Backups gespeichert. Ab un zu hilft es, mal die Datenbank zu komprimieren. Wir "hosten" über 100 Sites auf einer Linux VM und da stottert es ab und zu mal, nach Komprimierung der DB istt dann alles wieder in Ordnung.
zu b) 5.12.22 ist soweit ich weiß wieder zurückgezogen worden. Da gabs wohl Bugs. Wichtig ist, welche Controllerversion von der Firmware gezogen wird. Wahrscheinlich ist beim downgraden irgendwas passiert...
zu c) Die kleine USG ist aus Erfahrungswerten max bis 200 Mbit geeignet, dann lieber die USG Pro oder Dreammachine Pro. Was manchmal hilft ist FW Update vom Modem, falls Draytek.
zu d) Die Sites musst du dir als Register in einem Ordner vorstellen, jede Site ist ein Register, in dem die Daten des dafür vorgesehenen Kunden stehen. Dort konfigurierst du auch nur das Netzwerk dieses Kunden. Weiterhin werden die Sites für Site-2-Site VPN genutzt, was sich erstaunlich leicht einrichten lässt. Voraussetzung dafür ist, das eine Site eine feste öffentliche IP hat. Und zu guter letzt kannst du jede Site individuell konfigurieren.
zu a) Ich habe aus der Praxis gelernt, dass der Stick aufgrund der Datenbank nur eine begrenzte Anzahl von Sites kann. Auf der SD-Karte werden ja nur Backups gespeichert. Ab un zu hilft es, mal die Datenbank zu komprimieren. Wir "hosten" über 100 Sites auf einer Linux VM und da stottert es ab und zu mal, nach Komprimierung der DB istt dann alles wieder in Ordnung.
zu b) 5.12.22 ist soweit ich weiß wieder zurückgezogen worden. Da gabs wohl Bugs. Wichtig ist, welche Controllerversion von der Firmware gezogen wird. Wahrscheinlich ist beim downgraden irgendwas passiert...
zu c) Die kleine USG ist aus Erfahrungswerten max bis 200 Mbit geeignet, dann lieber die USG Pro oder Dreammachine Pro. Was manchmal hilft ist FW Update vom Modem, falls Draytek.
zu d) Die Sites musst du dir als Register in einem Ordner vorstellen, jede Site ist ein Register, in dem die Daten des dafür vorgesehenen Kunden stehen. Dort konfigurierst du auch nur das Netzwerk dieses Kunden. Weiterhin werden die Sites für Site-2-Site VPN genutzt, was sich erstaunlich leicht einrichten lässt. Voraussetzung dafür ist, das eine Site eine feste öffentliche IP hat. Und zu guter letzt kannst du jede Site individuell konfigurieren.
Cool FFSephiroth, sehr interessantes Feedback!
zu a) Auf dem Stick soll auch weiterhin nur eine "Site" laufen. Das Ding hasse ich schon genug Wenn da so viel Platz ist will ich den mal etwas stärker auslasten. Die monatl. Backups laufen jetzt "wöchentlich" und 3 Monate rückwärts.
zu b) Ok, das erklärt, warum eine andere Installation damit am Montag nach dem Update solche Probleme verursachte. Die Firmware auf dem Stick wurde - in Absprache mit dem Support - gestern manuell auf 1.1 hochgezogen. Autoupdate hatte nicht funktioniert.
zu c) Die USG hängt direkt am Telekom-Glasfasermodem - kein Telekom-Router dazwischen
zu d) Das klingt jetzt aber schon ein wenig so, als könnte das Teil durch die NAT ohne VPN an den Controller kommunizieren?! Nehmen wir der Einfachheithalber an, ich miete mir für ein paar EUR nen VServer? Damit könnte ich die verschiedenen Installationen "zusammenführen" (auf verschiedenen Sites des gleichen Controllers)?
zu a) Auf dem Stick soll auch weiterhin nur eine "Site" laufen. Das Ding hasse ich schon genug
Wenn da so viel Platz ist will ich den mal etwas stärker auslasten. Die monatl. Backups laufen jetzt "wöchentlich" und 3 Monate rückwärts.zu b) Ok, das erklärt, warum eine andere Installation damit am Montag nach dem Update solche Probleme verursachte. Die Firmware auf dem Stick wurde - in Absprache mit dem Support - gestern manuell auf 1.1 hochgezogen. Autoupdate hatte nicht funktioniert.
zu c) Die USG hängt direkt am Telekom-Glasfasermodem - kein Telekom-Router dazwischen
zu d) Das klingt jetzt aber schon ein wenig so, als könnte das Teil durch die NAT ohne VPN an den Controller kommunizieren?! Nehmen wir der Einfachheithalber an, ich miete mir für ein paar EUR nen VServer? Damit könnte ich die verschiedenen Installationen "zusammenführen" (auf verschiedenen Sites des gleichen Controllers)?
zu c) Du kannst die Sites anderer Installationen exportieren und auf deinen Controller importieren. Egal ob Cloudkey oder Controller auf nem VServer. Geht ganz einfach.
Noch was allgemeines.. die Cloudkeys sind recht empfindlich, was Stromaudfälle angeht...hat mich auch schon 2 Stück gekostet...deshalb wart ich jetzt auf die Dreammachine Pro. Die Ist Modem, USG, CloudKey und NVR in einem.
Noch was allgemeines.. die Cloudkeys sind recht empfindlich, was Stromaudfälle angeht...hat mich auch schon 2 Stück gekostet...deshalb wart ich jetzt auf die Dreammachine Pro. Die Ist Modem, USG, CloudKey und NVR in einem.
Genau, diese Importfunktion habe ich gestern gesehen - werde ich testen. Da freue ich mich.
Irgendwie gingen die Unifi-Innovationen 2019 an mir vorbei. Habe mir gerade mal die "normale" DM angesehen, weil sie für meine kleinen Setups ein kompakter Startpunkt darstellen und weniger Verkabelung voraussetzen.
Allerdings ist die Leistung der integrierten USG offenbar auch nicht für höhere Bandbreiten gemacht, die Switch-Funktion limitiert und preislich ist das ganze kein Schnapper. Außer das Teil hätte eine herausragende Wifi-Leistung und ich spare mir damit ACs. Der von Dir genannte Pro ist "nix für mich"
Die HD-ACs scheinen mir durch die Bank deutlich leistungsfähiger zu sein (in wall, nano, flex). Habt ihr einen Vergleich - vor allem was die Reichweite/Durchdringung angeht?! Der Preis spielt ja auch in einer anderen Liga. Lohnt sich das dahingehend, dass man ggfs. einfach eine Flcähe mit weniger HW ausleuchten kann? Für meine Setups ist ja nicht wichtig, dass der 500 Wificlients parallel verarbieten kann, sondern dass ich möglichst wenig Verkabelung habe. Und ehrlichweise haben sich uncabled Uplinks als nicht so "wartungsarm" herausgestellt, wie es die Werbung verspricht
Irgendwie gingen die Unifi-Innovationen 2019 an mir vorbei. Habe mir gerade mal die "normale" DM angesehen, weil sie für meine kleinen Setups ein kompakter Startpunkt darstellen und weniger Verkabelung voraussetzen.
Allerdings ist die Leistung der integrierten USG offenbar auch nicht für höhere Bandbreiten gemacht, die Switch-Funktion limitiert und preislich ist das ganze kein Schnapper. Außer das Teil hätte eine herausragende Wifi-Leistung und ich spare mir damit ACs. Der von Dir genannte Pro ist "nix für mich"
Die HD-ACs scheinen mir durch die Bank deutlich leistungsfähiger zu sein (in wall, nano, flex). Habt ihr einen Vergleich - vor allem was die Reichweite/Durchdringung angeht?! Der Preis spielt ja auch in einer anderen Liga. Lohnt sich das dahingehend, dass man ggfs. einfach eine Flcähe mit weniger HW ausleuchten kann? Für meine Setups ist ja nicht wichtig, dass der 500 Wificlients parallel verarbieten kann, sondern dass ich möglichst wenig Verkabelung habe. Und ehrlichweise haben sich uncabled Uplinks als nicht so "wartungsarm" herausgestellt, wie es die Werbung verspricht
Hi,
ich kommentiere mal nur zu d)
Prinzipiell ist das möglich und habe ich so auch mit verschiedenen Standorten im Einsatz. Das ganze nennt sich L3 Adoption. Das kann man entweder bei der Initialeinrichtung des AP in der App angeben (man gibt die öffentliche Adresse des Controllers an, diese wird auf den AP geschrieben der sich dann ganz normals durch NAT dahin verbindet). Die Adresse nennt sich inform-url und ist normalerweise auf Port 8080 des Controllers.
Wenn man das ganze nicht per App machen will, kann man sich auch per SSH auf den AP verbinden und dort die inform-url setzen.
Weitere Infos gibts hier: Unifi Doku
Ob das ganze dann DSGVO konform ist mit der Site-Trennung, kann ich aber nicht sagen. Auch wenn der Port 8080 unverschlüsselt ist, wird bei der ersten Verbindung ein AES256 Key zwischen AP und Controller ausgehandelt und damit ab sofort verschlüsselt.
Viele Grüße
Terminatorthree
ich kommentiere mal nur zu d)
Prinzipiell ist das möglich und habe ich so auch mit verschiedenen Standorten im Einsatz. Das ganze nennt sich L3 Adoption. Das kann man entweder bei der Initialeinrichtung des AP in der App angeben (man gibt die öffentliche Adresse des Controllers an, diese wird auf den AP geschrieben der sich dann ganz normals durch NAT dahin verbindet). Die Adresse nennt sich inform-url und ist normalerweise auf Port 8080 des Controllers.
Wenn man das ganze nicht per App machen will, kann man sich auch per SSH auf den AP verbinden und dort die inform-url setzen.
Weitere Infos gibts hier: Unifi Doku
Ob das ganze dann DSGVO konform ist mit der Site-Trennung, kann ich aber nicht sagen. Auch wenn der Port 8080 unverschlüsselt ist, wird bei der ersten Verbindung ein AES256 Key zwischen AP und Controller ausgehandelt und damit ab sofort verschlüsselt.
Viele Grüße
Terminatorthree
Vielen Dank. Das klingt auch in meinen (gebeutelten) Augen plausibel.
Bei meinen Setups lautet die "inform-url" ja auch auf den lokalen Controller. Da trage ich halt jetzt mein DynDNS (goip) ein. Für den Umzug benötige ich dann - wenn ich das richtig entsinne - diese "device-pw" mit dem ich anfangs nix anfangen konnte
Vielen Dank für die (Auf-)Klärung und Euch allen ein schönes WE. (ich habe ja heute Abend noch was vor )
Bei meinen Setups lautet die "inform-url" ja auch auf den lokalen Controller. Da trage ich halt jetzt mein DynDNS (goip) ein. Für den Umzug benötige ich dann - wenn ich das richtig entsinne - diese "device-pw" mit dem ich anfangs nix anfangen konnte
Vielen Dank für die (Auf-)Klärung und Euch allen ein schönes WE. (ich habe ja heute Abend noch was vor
)
Wollte nur "Vollzug" melden
Vielen Dank für Eure Tipps! Bis auf einen AC hat es überall mit Site-Export/Import über DynDNS einwandfrei geklappt. Und so wie das bisher aussieht hat das auch noch einen weiteren positiven Effekt:
In einem Setup hatte ich ja zwischen 2 "Standorten" ne Fixe FB-VPN. Und über diese VPN meldet sich ein AC an meinem Synology-Controller. Der nächtliche IP-Wechsel unterbrach temporär die VPN und erzeugte eine Fehlermeldung im Controller.
Nicht "schlimm" aber "unsmart" und tritt in dem neuen Setup (bis jetzt) nicht mehr auf.
Vielen Dank für Eure Tipps! Bis auf einen AC hat es überall mit Site-Export/Import über DynDNS einwandfrei geklappt. Und so wie das bisher aussieht hat das auch noch einen weiteren positiven Effekt:
In einem Setup hatte ich ja zwischen 2 "Standorten" ne Fixe FB-VPN. Und über diese VPN meldet sich ein AC an meinem Synology-Controller. Der nächtliche IP-Wechsel unterbrach temporär die VPN und erzeugte eine Fehlermeldung im Controller.
Nicht "schlimm" aber "unsmart" und tritt in dem neuen Setup (bis jetzt) nicht mehr auf.
Kleiner Tipp: In Facebook gibt's eine tolle Gruppe zu Unifi. Das Schwarmwissen dort ist echt unbezahlbar.
Danke für den Hinweis ... mal sehen, wer mir mal seinen Facebook-Account leiht. Bin doch von der "alten Garde"
PS: Bezieht sich Deine Empfehlung auf "Ubiquity Unifi Gruppe Deutsch"?
PS: Bezieht sich Deine Empfehlung auf "Ubiquity Unifi Gruppe Deutsch"?
Ubiquiti Unifi DACH Nutzergruppe
1
