Unifi switch en APs wel of niet met Edgerouter

Beste Tweakers,

Ik draai al een jaar of 2 naar volle tevredenheid een setup met 2x een unifi AC-PRO, een unifi 8p 150W switch en unifi controller 1, primair aangeschaft om van het belabberde en instabiele wifi af te zijn. Het draait al vanaf dag 1 als een zonnetje.

Inmiddels wil ik wat volgende stappen gaan maken en ook mijn eigen router in deze setup gaan betrekken. De USG (of de pro) zou een logische keuze zijn, echter begrijp ik toch ook dat je daar veel zaken mee mist. Op de Ubiquiti forums zingt het al tijden rond dat er een HD versie zou komen, maar volgens velen is de USG dood. Persoonlijk denk ik dat Ubiquiti veel resources in hun Protect lancering heeft gestoken, en een eventuele USG-HD stond minder hoog op de prioriteitenlijst.

Met dit in het achterhoofd ben ik ook met een schuin oog naar de Edge-serie aan het kijken, ik begrijp echter dat Unifi en de Edge-serie niet per se een gelukkig huwelijk zijn.

Ik was benieuwd naar mensen met een vergelijkbare setup en hoe dit in de praktijk uitpakt.

Mijn wensen zijn uiteindelijk om een eigen prive netwerk te hebben (eigen LAN), hiernaast een volledig separaat gasten-netwerk en een apart IoT netwerk, wat via firewall regels wel met het privenetwerk kan praten.

Veel van deze inspiratie komt overigens van het YouTube kanaal Crosstalk Solutions. Voor vele waarschijnlijk kiddie-stuf, maar erg leerzaam voor de beginnende Tweaker.

Thanks!

Kasper1985 schreef op dinsdag 25 juni 2019 @ 09:01:
Wat jij beschrijft is exact wat ik hier heb draaien dmv vlans. Dit allemaal opgezet op de Edgerouter en vervolgens hoef je in de unifi controller alleen maar aan te geven dat een WLAN in een VLAN draait.

En dan bedoel je de situatie met gastennetwerk en IoT netwerk? Ik neem aan dat je dan VLANs in je Edgerouter aanmaakt deze binnen de wireless-network settings van de unifi-controller overneemt? Stel je dan via de firewall in welke VLAN wel of niet met andere VLANs mag communiceren?

Waar je wel rekening mee moet houden is dat als je een zware glas verbinding hebt 500/500 of 1000/1000 bijvorbeeld dat je dan waarschijnlijk uitkomt bij een hogere versie van de Edge router. Ik heb hier zelf geen ervaring mee maar een collega met 1000/1000 glas vertelde dat de kleinste Edgerouter X nogal moeite had met zijn verbinding. Maar dan heb je het over flink downloaden en 6-7 gebruikers in huis.

Ik zit op 250/25 van Ziggo dus dat zal geen probleem zijn .

Kasper1985 schreef op dinsdag 25 juni 2019 @ 09:19:

Als voorbeeld heb ik: 10: management 20: IoT 30: Gasten 1: default/vertrouwd (is nog work in progress).

Wat wordt je onderscheid tussen VLAN 10 en VLAN 1? Puur nieuwsgierigheid .

Deze worden allemaal getagged op een poort van de Edgerouter en gaan via 2 edge switches naar het AP.

Maakt het nog uit dat ik een Unifi switch heb staan?

Ik heb een paar simpele firewall regels zodat telefoons in het vertrouwde netwerk nog wel kunnen verbindinden met de chromcast audio en receiver in het IoT netwerk. De Edgerouter heeft ook een mDNS functie waardoor dit allemaal blijft werken in verschillende VLANS.

De default setting is dat VLANS allemaal met elkaar kunnen communiceren dus je moet alles wel expliciet dicht timmeren in de firewall.

Dit dus inderdaad. Ik wil dat het gastennetwerk volledig losstaat van alles en alleen met extern kan verbinden. Tussen het "thuis" netwerk en het IoT netwerk moet wel communicatie mogelijk zijn, zodat je met je telefoon zaken kan aansturen. Echter, wil ik weer niet dat alles in het IoT netwerk zomaar kan communiceren met het vertrouwde netwerk. Stel dat ooit mijn koelkast gehacked wordt.... (moet ik die nog wel kopen hahaha)

MisteRMeesteR schreef op dinsdag 25 juni 2019 @ 09:41:
[...]

Nee, je Unifi switch is _gewoon_ een L2 device welke met de bekende VLAN ID's moet om gaan, deze moet je dus wel evt. aanmaken cq. definiëren in je controller en toestaan op je trunk interface richting ER en AP's.

Mmm hier wordt het dus stoeien met mijn beginnende kennis. Bedoel je dat ik ook aparte VLANs moet definieren op de switch? Ik weet wel dat ik in de controller VLAN kan toekennen aan de WLANs, maar ik weet even niet wat je bedoelt met toestaan op je trunk interface.

Ik ben zeker niet vies van een beetje experimenteren hier en daar, maar is er een manier om bijvoorbeeld je config te laten controleren nadat deze draait? Ik ken zelf namelijk niemand in mijn directe omgeving die hier verstand van heeft en zoals jullie al eerder zeiden valt of staat alles met adequate firewall rules. Ik ben namelijk als de dood dat ik door mijn onervarenheid ergens dingen open laat staan, die niet open zouden moeten staan.

Edit 1:
Ik heb een ER besteld! Ben heel benieuwd. Thanks allemaal.

[ Voor 8% gewijzigd door Pabz op 25-06-2019 20:59 ]

haha mooi dit.

Ik ben voor de 4 gezwicht, gewoon omdat het kon . Nee maar serieus, deze leek me ook wat meer toekomstbestendig, gezien de ontwikkeling van de snelheden. Stel dat ik straks in huis bijvoorbeeld toch op hogere snelheden QoS wil doen, leek de 4 me beter. Ik zat eerst op KPN 500/500 glas, maar helaas door een verhuizing nu Ziggo 250/25. Ik verwacht wel dat dit de komende jaren weer beter zal worden.

[ Voor 21% gewijzigd door Pabz op 26-06-2019 17:26 ]

Kasper1985 schreef op woensdag 26 juni 2019 @ 00:30:
Tot slot: Zorg dat je zeker in het begin een interface apart houd voor nood. Trek die los van de switch en geef die een dhcp server in een niet gebruikt subnet. Mocht je je buiten sluiten hoef je alleen maar draadje in biiv port 4 te stoppen en kan je er weer bij.

Wat bedoel je hier precies mee? Dat je een laptop / PC met een draadje fysiek verbind of dat je een apart WLAN instelt om je instellingen over te kunnen doen?

Edit 1: Hoe en waarop draai je UNMS en wat is handig. Voor unifi heb ik een controller die 24/7 aanstaat.

[ Voor 9% gewijzigd door Pabz op 27-06-2019 11:07 ]

Kasper1985 schreef op donderdag 27 juni 2019 @ 12:10:
@Pabz

UNMS draai ik in de cloud op een VSI. Maar ik werk voor een cloud provider dus ik kan onder het mom van "testen" binnen 10 minuten 10 VSI's de lucht in schoppen verdeeld over 10 data centers wereldwijd allemaal achter een juniper firewall bijwijze van.

Ik heb weleens ergens gezien dat UNMS en unifi gewoon op dezelfde bak kunnen draaien tegelijk in hetzelfde OS. Hoe dat werkt en of dat handig is heb ik geen ervaring mee.

Edit: met controller bedoel je zo'n cloud controller? daar gaat UNMS dus niet bij kunnen. Misschien een raspberry pi?

Na wat onderzoek heb ik gezien dat je UNMS ook op een Pi kunt draaien. Ga me daar eens in verdiepen.

Unifi controller draait lokaal in een docker container maar ga ik wanneer ik tijd heb verhuizen naar de cloud. Heb je UNMS echt nodig voor 1 enkele router?

Nee waarschijnlijk niet haha, maar ben wel nieuwsgierig naar de interface. En misschien gewoon omdat het kan .

Heb trouwens gisteren Ziggo in Bridge laten zetten en de edgerouter draait als een zonnetje. Gevoelsmatig is het laden van pagina's wat snappier dan op de Ziggo router, maar misschien is dat wel wishfull thinking.
Firewall regels via de wizard was een eitje. Merk wel dat ik nu nog een uitzondering voor de SSH toegang van Unifi Cloud key moet instellen . Kennelijk mocht die van de Ziggo router wel gewoon door, maar nu niet meer haha.
IoT netwerk draait ook al en ga nu met gasten-toegang, Pi-Hole en PiVPN etc aan de slag.

Weer veel geleerd .