Ubiquiti Unifi

Tror inte det, hade en USG själv förut och letade om man kunde göra det.
Du får nog testa en pihole eller adguard home för det.

Är det vettigt eller korkat eller same same att sätta UniFi-utrustningen självt på ett eget VLAN? Vi pratar litet företagsnätverk med ett dussin accesspunkter, en stor switch och en handfull små.

Jag tycker iaf det är bättre att ha ett management-nät för alla switchar och accesspunkter. Då kan man t.ex. blockera åtkomst till SSH osv till enheterna på ett enkelt sätt.

Men ja det blir lite extra jobb såklart.

Du får ju tänka på att den inte är rundstrålande. Sitter den lite avsides från de andra prylarna?, annars hade jag satsat på samma serie. Eftersom det inte är funktionen i sig du är ute efter.

Ac-mesh är den billigare för utomhusbruk

Jag tycker att det är vettigt. Det blir mer skyddat speciellt om du har brandväggsregler mellan näten

Så vad är best practice här egentligen: Ska man lägga nätverksutrustningen på ett eget VLAN och köra de "vanliga användarna" i det otaggade nätverket? Tvärtom? Eller bägge på separata VLAN, ingen otaggad trafik?

Saken är nämligen den att jag inte verkar kunna byta nätverk/VLAN på det som skulle bli vårt huvudsakliga SSID. Vissa inställningar sparas liksom inte, och jag kan inte heller stänga av eller helt ta bort varken det nätverket eller det automatgenererade nätverket med samma namn och suffix _IoT. Dessa verkar skapas/styras från UniFis helt nya tjänst IDentity som min UDM Pro är kopplat till (för viss gemensam administration med annat bolag i koncernen).

Däremot kan jag faktiskt sätta bägge dessa nätverk till att inte spridas av några basstationer, samt manuellt skapa ett WLAN med samma SSID men de inställningar jag vill ha. Men då är jag inte längre säker på att anslutning via UniFi desktop-klienten kommer fungera. Skall testa detta nu…

Best practice är att default VLAN ska vara tomt. Sedan ska du använda de taggade VLANen till management, användare osv.

Ingen koll på identity och vad det är eller fungerar. Men man tycker att man borde kunna ändra VLAN-tagg, då det brukar vara site-specifikt vilken tagg man använder

Jag tänkte ursprungligen som dig men fick tag på en UDR. Den ska köras med en U6 Lite AP och ersätta nummer två som hade behövts om jag använt UDM Pro.

UDR har en fläkt som hörs rätt väl om man börjar aktivera funktioner på den. Om du, som jag, hade tänkt att ha UDR:en framme någonstans centralt kommer säkert den bli ett lika stort irritationsmoment som en undanstuvad UDM Pro ovanpå en garderob, på grund av fläkten.

Jag är nöjd med min UDR men räknar med att på sikt byta ut den mot en UDM Pro eller liknande i framtiden. Om den blir så störande som jag tror att den kommer vara, på eller eventuellt i TV-bänken, kommer den nog bytas ut snabbare. Vi får se. Väggarna i vardagsrummet är för tillfället rivna så det är en bit kvar innan jag vet.

I nyare UniFi firmware finns en mDNS reflector man kan slå på. Tyvärr innebär det att all mDNS trafik vidarebefordras till alla VLAN. Har hittat en mer konfigurerbar mDNS relay som kan installeras på UDM, så den delen av problemet är nog löst.

Mitt problem nu är att det (utöver mDNS) verkar omöjligt att routa trafik in/ut på ett gäst WLAN/SSID. Har provat allt jag kommit på: koppla gäst WLAN och icke-gäst WLAN till samma VLAN, lägga dem på olika VLAN men med nya Traffic Rules inställd på att tillåta trafik däremellan, samt olika typer av mer old school brandväggsregler. Är det överhuvudtaget möjligt och hur gör man i sådana fall? Känns som att gästnätverk verkar komma med helt egna regler som inte går att konfigurera alls…

Nu har jag nog visserligen tänkt att köra helt utan autentisering i gästportalen och istället sätta gästlösenordet på WPA, så i värsta fall får jag väl helt enkelt köra ett "vanligt" SSID istället för gäst. Men hade ändå velat visa terms of service etc. när gäster ansluter, även om det sedan inte krävs mer än att klicka i en checkbox (för lösenordet har de som sagt redan matat in via WPA).

Sätt upp gästnätet som ett vanligt nät istället, gästfunktionerna som finns i nya gui:t är helt värdelösa. Jag har ett gästnät som ett vanligt nät fast med device isolation och brandväggsregler för att inte kunna nå min UDM-Pro, eller annat heller för den delen.

Ja som sagt det blir ju min fallback om det inte går att lösa. Men hade varit fint att kunna visa terms of service etc. vilket väl inte är möjligt med ett vanligt WiFi.

Annars så verkar gästfunktionerna i nya interfacet vara mer eller mindre exakt samma som i det gamla? Man har bara gjort om vad inställningarna heter, hur de är grupperade och på vilka sidor man hittar dem. I det nya interfacet finns alla inställningar direkt under gästnätverket och framstår som att de endast skulle påverka nätverket man är inne på, men allt som rör själva portalen påverkar även andra gästnätverk vilket är knasigt. I gamla interfacet låg konfiguration av portalen på en egen sida vilket helt klart var mer logiskt om man ser till hur det verkar fungera.

Jag vill minnas att det går att lägga in brandväggsregler på gästnätet också och verkar vara "224.0.0.251 or IPv6 address ff02::fb and UDP port 5353" enligt https://stevessmarthomeguide.com/multicast-dns/ för MDNS

Ja, fast problemet är inte mDNS trafiken. Där räcker det att slå på mDNS reflektorn för att enheterna skall annonsera sina tjänster mot gästverket. Problemet är att det sedan inte går att ansluta till (eller ens pinga) dem.

Ja, men samma sak där. Öppna i brandväggen mot de enheterna (sonos/apple) som ska kunna nås?

Ja som jag skrev i första inlägget så har jag försökt det också. Men antingen så går det inte, eller så gör jag fel. Vilket inte alls är osannolikt, då terminologin i brandväggen är svårbegriplig och Ubiquitis dokumentation väldig mager. Jag har tolkat det som att Guest IN skall öppnas för trafik med destination i det VLAN där mina mediaspelare finns, vilket också styrks av vissa trådar på UI community forum, men jag får det inte att fungera.

Även provat andra varianter med Guest OUT, LAN IN, LAN OUT, etc. Andra säger att UI support meddelat att det inte är möjligt. Vaga minnen av att jag någonstans också sett att det är möjligt men då endast från gäst-WLAN till trådbundna enheter, ej till trådlösa enheter (vilket är det enda jag hunnit testa med) för då gäller helt andra dolda regler som inte går att påverka.

Hur borde brandväggsreglerna se ut? Räcker det med en kombinerad regel eller måste man ha separata regler både för nätverket trafiken kommer från och en annan för nätverket dit trafiken skall?

Hej,
Tänkte höra lite om hur ni upplever stabiliteten i Dream Machine serien.
Jag har installerat ett unifi AP system hos en släkting som fungerar super, men ingen router eller cloud key från Unifi.
När jag söker på Google om Dream Machine brukar rekommendationen ofta vara att köra router i form av OPNSense eller PFSense och resten Unifi produkter. Många kritiserar Dream Routers för dålig "core" stabilitet och jag tänkte höra hur ni som haft någon Dream Router en längre period upplever det idag? Stabilitet är viktigast i detta scenario och att behöva starta om routern lite då och då är inte ett OK alternativ.

Det hade ju varit väldigt skönt att slänga in en Dream Router Pro SE istället för alla separata prylar och Telia routern (Telia routern har dock aldrig krånglat ännu). Även saknat remote management vid ett tillfälle när unifi APs behövde en restart, men då kunde min släkting dra ut och in alla kontakter och det funkade fint efter det och det har bara skett en gång på flera år.

Tack på förhand!

UniFi Dream Router är beta och inget man kan köra utan att förvänta sig lite omstarter och märkliga fenomen.

Jag har haft min UDM Base i 2 års tid nu utan problem. Har bara startats om när jag har uppgraderat firmware. Kör den ihop med några Flex Mini-switchar och en UniFi 6 Long Range AP som också varit problemfria.

Jag har installerat ett 10+ olika Unifi-brandväggar (USG, UDM och UDM-Pro) och jag kan inte säga att det varit mycket krångel öht. Det är väl egentligen bara IPsec-tunnlar till annan typ av brandvägg som varit mindre stabilt.
Den enda Unifi-produkt som jag upplevt instabil är Cloudkey gen 1.

pfSense är riktigt bra, finns massvis med inställningar om man är ute efter det. Men behöver man bara grundläggande funktionalitet så funkar Unifi-serien.