Erfahrungsaustausch Unifi

Status
Für weitere Antworten geschlossen.

frankyst72

Benutzer
Mitglied seit
01. Jun 2015
Beiträge
1.955
Punkte für Reaktionen
3
Punkte
58
-- Dieser Thread ist aus einem anderen heraus kopiert um beide Themen sauber zu trennen. Die ersten Beiträge wirken daher etwas aus dem Zusammenhang gerissen -- MfG Matthieu

Router ist ein Unifi Security Gateway (würde mittlerweile pfsense wählen, im Nachhinein ist man immer schlauer)
darf ich fragen warum? bin auch dabei auf Unifi umzustellen...
 
Zuletzt bearbeitet von einem Moderator:

Busta2

Benutzer
Mitglied seit
05. Sep 2013
Beiträge
306
Punkte für Reaktionen
5
Punkte
18
darf ich fragen warum? bin auch dabei auf Unifi umzustellen...

Klar:
Zuerst mal finde ich den Unifi Gedanken (eine zentrale Oberfläche für alle Devices) genial und bin auch hier über idomix auf die Unifi-Geräte gestoßen. Damals war ich mir sicher, dass das das richtige ist und habe mich gar nicht groß mit Alternativen beschäftigt.

Bei der Einrichtung haben sich dann aber einige Schwachpunkte und Ärgernisse aufgetan, wobei ich gleich vorab sage, dass man die meisten wohl vermeiden kann, wenn man keine ausgefalleneren/professionelleren Lösungen sucht. Außerdem sind die WLAN Produkte wohl gut und empfehlenswert, nur beim Rest tendiere ich zu 'Schuster bleib bei deinen Leisten'.

-Layer 3 Funktionalität: Ursprünglich wurden Switch und Security Gateway damit beworben. Kurz nach dem Kauf musste ich feststellen, dass der Punkt klammheimlich von der Website verschwunden ist, auch wenn einige Händler den Switch immer noch damit bewerben. Es gibt seit Jahren in der Community die Forderung nach Layer 3 Routing, kommt aber nicht. --> nicht existent

-QoS: USG wird mit "Enterprise QoS" beworben, wirkliches QoS kann der Router aber nicht, tatsächlich können vermutlich Fritzboxen mehr. Ich meine, dass das in den wenigsten Büros nötig ist (Netzwerke sind schnell genug), aber wenn ich schon beim Kauf darauf achte, dann will ich auch eine Netzwerkumgebung mit funktionierendem QoS für meine VoIP Dienste. --> nicht existent

-Firewall: Die Einrichtung ist null intuitiv, standardmäßig wird außerdem kein inter-VLAN Traffic geblockt. Das lässt sich mit einer Firewallregel schnell beheben, ist aber vollkommen irrsinnig.

-Ich kann damit leben, dass ein Neustart ein paar Minuten benötigt, denn der kommt sehr selten vor. Nur: Wenn auch nur eine Firewallregel verändert wird, wird das USG neu provisioniert. Das dauert ein paar Minuten und dann kann man testen, ob die Firewall jetzt so funktioniert, wie man das gerne hätte. Da wird man bei der Installation schnell wahnsinnig. Vergleich Fritzbox, da wird die Firewalländerung augenblicklich wirksam. Wieso geht das bei Unifi nicht?

-seit Jahren gibt es die Forderung zum Beispiel Ports oder APs zeitgesteuert ausschalten zu können

-Sonst auch noch viel Ärger bei der Einrichtung, v.a. da ich auf VLANs und 802.1x mit RADIUS Server setze.


Cisco SG300 Switches kosten auch nicht mehr und eine pfSense Firewall eher sogar weniger. Im Nachhinein wäre ich sehr zuversichtlich, dass damit die Einrichtung schneller gegangen wäre (ich habe zwar keine Erfahrung damit, aber bespielsweise auf administrator.de gibt es gute Tutorials, insbesondere von aqui) und außerdem Funktionalität und vielleicht auch Geschwindigkeit höher wären. Eine graphische Oberfläche hat halt auch den Nachteil, dass Funktionen womöglich nicht an der Stelle sind, an der man sie erwartet.


Ich würde mich immer noch freuen, wenn der Unifi Controller deutlich mehr Möglichkeiten böte, bin aber eher ernüchtert und habe da wenig Zuversicht. Mittlerweile läuft aber alles gut und auch ohne Ausfälle, das Draytek Vigor Modem ist vielleicht schneller als Fritzboxen und läuft problemloser (schwer zu sagen, habe keine aktuelle Fritzbox und momentan hakt die Geschwindigkeit eher am Provider). Wenn man auf Layer 3, VLANs, 802.1x verzichtet, dann hat man vermutlich mit Unifi auch in sehr kurzer Zeit ein funktionierendes Netzwerk. Nur stellt sich mir dann etwas die Frage, weshalb man nicht gleich eine Fritzbox und einen einfachen Switch nutzt, von mir aus mit Unifi APs.

Also zusammengefasst fehlt für mich die Berechtigung von Unifi - für einfache Anwendungen gibt es andere Lösungen, für komplexere taugt Unifi nichts.
 
Zuletzt bearbeitet von einem Moderator:

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Klar:
Zuerst mal finde ich den Unifi Gedanken (eine zentrale Oberfläche für alle Devices) genial und bin auch hier über idomix auf die Unifi-Geräte gestoßen. Damals war ich mir sicher, dass das das richtige ist und habe mich gar nicht groß mit Alternativen beschäftigt.
Soll ich dazu den Beitrag in einen neuen Thread ziehen? Ich hätte durchaus Lust das Thema eingehender zu diskutieren. Mein USG ist seit 2 Tagen in Betrieb und löst (wie in DE wahrscheinlich bei vielen) eine Fritzbox ab. Was die Möglichkeiten angeht ist die Fritzbox einfach auf andere Dinge fokussiert. Ich brauche kein DECT-Heizungsthermostat, sondern will neugierige IoT-Geräte (etwa meine Heizungsanlage) in ein eigenes Netz klammern usw. Was dir bspw. an Layer3 Routing fehlt würde mich mal interessieren. Auf den ersten Blick ist alles wichtige da, auch statische Routen.

MfG Matthieu
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Wie versprochen habe ich das ganze jetzt mal rauskopiert und die Beiträge um ein paar Sätze gekürzt. Ich hoffe der Zusammenhang bleibt trotzdem erhalten.

MfG Matthieu
 

blackfir3

Benutzer
Mitglied seit
04. Mai 2008
Beiträge
294
Punkte für Reaktionen
0
Punkte
16
Ich habe auch UniFi zuhause:
2x AP AC Pro (für jede Etage einen) nicht genau mittig im Haus sondern bisschen versetzt
1x AP AC Mesh (für Außen)
1x UniFi Switch 24 POE-500W

Das USG habe ich auch liegen, bzw letztens mal mit einem einfachen DSL Modem (billiges TP Link) probiert. Aber irgendwie wollte das nicht so ganz und hatte dann keine Lust mehr.
Aber September gibt es dann FTTH (50 / 5 erstmal) statt jetzt DSL 16 / 1.
Wenn FTTH stabil läuft aber ich mich nochmal wieder ans USG wagen :)

Aktuell läuft momentan eine Fritzbox 7490
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Ich hab jetzt ein paar Tage Zeit gehabt mit dem Equipment zu "spielen". Folgendes konnte ich schon probieren:
- Portfreigaben laufen trotz Dual-NAT problemlos per Exposed Host
- VPN von Fritzbox auf USG verlagert, ging auch recht problemlos (man muss natürlich das VPN auf der Fritte vorher deaktivieren)
- Die "statische" IP-Vergabe anhand der MAC funktioniert auch per USG ähnlich problemlos wie auf der Fritzbox
Die Fähigkeiten der DPI sind wirklich erstaunlich. Da kommt schon einiges an Metriken zustande. Mal schauen wie nach einiger Laufzeit der Stand der Dinge ist. Da ich keine Performanceprobleme habe, muss ich allerdings gestehen dass es mir wohl nur mäßig Erkenntnisse bringen wird.

Hinsichtlich Switch bin ich etwas gespalten. Ich habe mir jetzt erst Mal einen billigen Switch besorgt der auch managbar ist, vor allem weil der 24 Port non-PoE von Unifi nicht lieferbar ist. Mal sehen was der so kann. Die PoE-Switche sind recht teuer und ich brauche nicht überall PoE. Es gibt PoE-"Patchpanel", das bevorzuge ich derzeit (hab aber noch keines besorgt). Der große Vorteil (aber für den "gewohnten" Admin auch größte Herausforderung) ist die veränderte Sichtweise in der Konfiguration. Es wird nicht mehr je Geräte konfiguriert, sondern übergreifend. Man kann die Switche so fast komplett geräteunabhängig konfigurieren, stattdessen legt man Netzwerke und Profile an. Das ist schon sehr nah am SDN-Gedanken.

Der Vergleich zur SG300 hinkt daher in meinen Augen, weil die Konfiguration wieder im Gerät selbst gemacht wird, isoliert auf dieses eine Gerät. Man zahlt bei Unifi (wie auch bei Synology) die Software eben mit und das finde ich auch voll in Ordnung. Die pfSense ist im Übrigen nicht günstiger.

Bei Layer-3 Switching bin ich etwas gespalten. Die Zielgruppe für das Unifi-Equipment braucht IMHO kein Layer3-Switching im Switch, da dürfte auch das Routing im USG ausreichen. Ärgerlicher finde ich es da, dass man keine Geräte aus den höherwertigen Linien mit dem Unifi-System betreiben kann. Man hat in der Konfiguration wieder zwei Welten ...

Nächste Punkte sind für mich VLAN und Radius mit dem von mir gekauften Switch (sofern das reibungslos funktioniert, muss ich jetzt sehen) und ein tieferer Einstieg in die Konfiguration des integrierten DNS. Ich möchte damit verhindern, dass ich meine DS als extern anspreche, obwohl sie intern ist.

MfG Matthieu
 

Busta2

Benutzer
Mitglied seit
05. Sep 2013
Beiträge
306
Punkte für Reaktionen
5
Punkte
18
Hi,

"integrierten DNS"

Bitte berichte mal, ob und wie du das geschafft hast. Das wäre für mich auch relevant. Wobei man wohl auch alternativ den DNS der DS oder von pihole nutzen könnte.


Ja, Standarddinge laufen gut. Wo siehst du den Einsatzbereich von DPI? Ist bei mir aktiviert, wird aber von mir nicht bewusst genutzt.

pfSense ist ja zuerst mal eine openSource Firewall. Die Hardware mag am Ende ähnlich viel wie USG kosten, ehrlich gesagt für mich nicht weiter relevant.
Ich nutze einen non PoE 24 Port und einen PoE 16 Port, die sind zwar beide nicht voll belegt, aber so kann ich auf alle Eventualitäten reagieren. Vorteil des PoE Switch ist, dass er automatisch PoE Geräte erkennt, du musst dich also gar nicht drum kümmern da irgendwas zu konfigurieren.

Radius/802.1x läuft bei mir soweit ganz ok (nur für WLAN, nicht LAN, VLAN Zuweisung über Radius), allerdings muss auf MacBooks nach dem Ruhemodus WLAN de- und dann wieder aktiviert werden, da er erst dann eine Netzwerkverbindung herstellt. Dafür habe ich leider noch keine Lösung. Schön wäre eine Info direkt im Unifi Controller, wer sich von welchem Gerät mit welchen Zugangsdaten einloggt, denn der Sinn von RADIUS wäre ja gerade eben dann zu reagieren, wenn da was falsch läuft und den User zu sperren. Beispielsweise hat hier jemand seine Zugangsdaten an Gäste gegeben, ich kann aber nicht sofort sehen, um welche Zugangsdaten es geht.

Klar, zentrale Software wäre supi - mein Eindruck war aber einfach, dass ich mit den 'konventionellen' Methoden mehr in weniger Zeit erreicht hätte. Dann bringt mir die zentrale Software nichts. Außerdem geht ein wenig das verständnis verloren, welche Einstellung Switch / USG / beides betrifft.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat