[Ubiquiti-Netwerkapparatuur] Ervaringen & Discussie - Deel 4

Hulliee schreef op maandag 29 maart 2021 @ 12:23:
[...]


Als je de WiFi-scheduler bedoelt, die geldt voor het WiFi-netwerk. Dus niet per AP. Helaas.

DutchKel schreef op maandag 29 maart 2021 @ 12:38:
[...]

Eigenlijk zoek ik ook nog iets om 1 access point in de nacht uit te zetten ipv allemaal. Die op de 1e verdieping wil ik uit hebben, die van de andere verdiepingen komen bijna niet door de vloeren heen dus daar zul je niet zo snel last hebben van de straling. Bij ons is nu dus ook het hele wifi netwerk 's nachts down. Althans, dat hoop ik.

Tylen schreef op maandag 29 maart 2021 @ 12:41:
[...]


Puur uit nieuwsgierigheid. Wat is de reden daarvoor?

DutchKel schreef op maandag 29 maart 2021 @ 12:38:
[...]

Eigenlijk zoek ik ook nog iets om 1 access point in de nacht uit te zetten ipv allemaal. Die op de 1e verdieping wil ik uit hebben, die van de andere verdiepingen komen bijna niet door de vloeren heen dus daar zul je niet zo snel last hebben van de straling. Bij ons is nu dus ook het hele wifi netwerk 's nachts down. Althans, dat hoop ik.

[ Voor 3% gewijzigd door The Druid op 29-03-2021 12:49 ]

DutchKel schreef op maandag 29 maart 2021 @ 12:43:
[...]

Ik slaap beter als er geen gsm in de buurt is en de wifi uit is. Staat de wifi aan in combinatie met een gsm in de buurt dan word ik 's nachts vaak wakker en slaap ik onrustiger.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78

<?php
/**
 * PHP API usage example
 *
 * contributed by: Art of WiFi
 * description:    example PHP script to disable/enable the port of a UniFi switch
 * note:           Requires controller version 5.5.X or higher. This example assumes an override alreay exists for the desired port.
 *                 To create a new port override simply append one (similar in structure to $updated_override) as needed to the
 *                 $existing_overrides array
 */

/**
 * using the composer autoloader
 */
//require_once('vendor/autoload.php');

/**
 * include the config file (place your credentials etc. there if not already present)
 * see the config.template.php file for an example
 */
require_once('../src/Client.php');
require_once('config.php');
/**
 * the site to use to log in to the controller
 */
$site_id = 'default';

/**
 * the MAC address of the UniFi switch to re-configure
 */
$device_mac = 'xx:xx:xx:xx:xx:xx';

/**
 * index of port to modify/add
 */
$port_idx = 6;

/**
 * port configuration id to apply when enabling/disabling the port
 *
 * NOTE:
 * port configurations are available through list_portconf()
 */
$port_conf_id = 'xxxxxxxxxxxxxxxxxxx';

/**
 * initialize the UniFi API connection class and log in to the controller and do our thing
 */
$unifi_connection   = new UniFi_API\Client($controlleruser, $controllerpassword, $controllerurl, $site_id, $controllerversion, false);
$set_debug_mode     = $unifi_connection->set_debug($debug);
$loginresults       = $unifi_connection->login();
$data               = $unifi_connection->list_devices($device_mac);
$device_id          = $data[0]->device_id;
$existing_overrides = $data[0]->port_overrides;

foreach ($existing_overrides as $key => $value) {
    if (!empty($value->port_idx) && $value->port_idx === $port_idx) {
        $updated_override = [
            'portconf_id' => $port_conf_id,
            'port_idx'    => $port_idx,
            'poe_mode'    => 'off',
            'name'        => 'blabla',
        ];

        $existing_overrides[$key] = $updated_override;
    }
}

$payload = [
    'port_overrides' => $existing_overrides
];

$update_device = $unifi_connection->set_device_settings_base($device_id, $payload);

/**
 * provide feedback in json format
 */
echo json_encode($update_device, JSON_PRETTY_PRINT);

[ Voor 82% gewijzigd door ed1703 op 29-03-2021 12:55 ]

ed1703 schreef op maandag 29 maart 2021 @ 12:51:
[...]

Als je een RPI'tje hebt draaien met PHP is het mogelijk om met de Unifi API client aan de gang te gaan.
Met een cronjob is het mogelijk deze scipts aan te roepen.

[ Voor 10% gewijzigd door DutchKel op 29-03-2021 12:57 ]

DutchKel schreef op maandag 29 maart 2021 @ 12:55:
[...]

Ik heb helaas een udmp hier draaien. Al kan ik kijken of daar ook cronjob op draait.

Het alternatief met een poe adapter ertussen en een smartplug hou ik nog even als reserve. Dat vind ik persoonlijk een iets minder nette oplossing, vooral omdat de switch bij mij in poe voorziet.

Edit: dit draait wellicht ook op een normale linux machine. Die heb ik wel draaien. Strakjes maar eens testen of dat gaat lukken.

1

 https://192.168.0.1/proxy/network/api/s/default/

[ Voor 6% gewijzigd door xbeam op 29-03-2021 18:52 ]

RobertMe schreef op zondag 28 maart 2021 @ 19:17:
[...]

Het gaat in deze niet om de snelheid van de poorten, daarbij is 1Gbit/s niet het issue. Het gaat om de het maximale dat de switch kan verwerken. Bij bv de 8 poorts switches zie je dat ze 16Gbit/s kunnen verwerken. Wat effectief dus neer komt op dat je bv op poort 1 & 2 twee apparaten kunt aansluiten, en je een file transfer van 1 naar 2 kunt doen met 1 Gbit/s, en andersom van 2 naar 1, met 1 Gbit/s, tegelijkertijd. En op hetzelfde moment kun je hetzelfde doen met poort 3 & 4, 5 & 6, en 7 & 8. En zo kun je dus op die 16 Gbit/s van wat de switch maximaal kan forwarden. Voor elke poort 1Gbit/s in, en 1Gbit/s out.
Nu de UDMP. Die heeft maar een 1Gbit/s backplane. Dus i.p.v. dat er maximaal 16Gbit/s doorheen kan, kan er nog maar 1 Gbit/s doorheen. En dat is een bottleneck waar je zomaar tegenaan kunt lopen. Bv dus als je een NAS hebt en een file transfer van/naar de NAS doet, waarbij dat verkeer via de UDMP switch loopt. Elke andere poort van de UDMP (op ik gok de WAN poort, en dan de SFP+ poorten na) kunnen dan "geen verkeer meer verwerken" (/zal langzamer gaan).

Vergelijk het met een autoweg. Bij een gewone 8 poorts switch en de UDMP heb je bij beide op één punt 8 opritten de autoweg op. Alleen bestaat bij de switch de autoweg ook uit 8 rijbanen. Dus iedereen kan tegelijkertijd "invoegen". Bij de UDMP daarentegen heb je maar 1 rijbaan. Dus als op alle rijbanen tegelijkertijd verkeer komt (8 apparaten die tegelijkertijd wat doen) heb je een file qua invoegen. Is er al een file op één oprit, dan heb je ook een file op de autoweg, en op de 7 andere opritten gaat zich dan ook meteen een file vormen.

TL;DR: met een echte switch heb je geen problemen v.w.b. snelheid, met de UDMP heb je dat mogelijk wel. In die zin zijn de 8 poorten geen "switch" die je zomaar kunt vergelijken met een dedicated switch.

Shanquish schreef op maandag 29 maart 2021 @ 14:59:
[...]


De backplane is 2.5Gbit/sec vanaf rev. 3.1 volgens deze wiki

maar dan nog is het "te weinig" en niet te vergelijken met een dedicated switch en doet het mij wat denken aan de 3com officeconnect hubs van vroeger.

ed1703 schreef op maandag 29 maart 2021 @ 15:13:
[...]

Maar die revisie was er alleen met EA, alleen v5 en hoger is nog te koop, waardoor je wel teruggaat.
Ik zou de UDMP niet volprikken met high-speed devices iig. Het is een lelijke vlek op de verkoopmarketing van het apparaat.

[ Voor 4% gewijzigd door Shanquish op 29-03-2021 15:35 ]

loyske schreef op maandag 29 maart 2021 @ 11:49:
[...]


Had tijdje terug dezelfde vraag als jij en was ook huiverig, maar bleek niet nodig.

Draai hier de volgende devices:

USG-3P (4.4.52.5363511)
US-16-150W (5.43.23.12533)
2x AC Lite (4.3.28.11361)

Allen op de laatste stabiele firmware die ik aangeboden kreeg. Geen problemen mee gehad!

Shanquish schreef op maandag 29 maart 2021 @ 14:59:
[...]


De backplane is 2.5Gbit/sec vanaf rev. 3.1 volgens deze wiki

maar dan nog is het "te weinig" en niet te vergelijken met een dedicated switch en doet het mij wat denken aan de 3com officeconnect hubs van vroeger.

Frankdoc schreef op maandag 29 maart 2021 @ 16:17:
[...]


Dus eigenlijk moet je wel via SFP werken om wat toekomstgericht te zijn?
Ik zou nog wel een DAC kabel kopen, maar min Unifi Switch ( 16 poort 150w poe ) is blijkbaar SFP en niet SFP+ waardoor het ook niet veel nut heeft.. Als het al zou werken, want je leest mixed results.

RobertMe schreef op maandag 29 maart 2021 @ 16:43:
[...]

Die mixed results komen volgens mij voornamelijk voor bij de SFP+ DAC van Ubiquiti zelf die niet goed werkt in de UDMP. Laatst zat daarvoor ook nog een fix in een firmware van de UDMP. Heb ook al verhalen gelezen van gebruikers die vanalles hadden geprobeerd maar het niet aan de praat kregen. Vervolgens een third party kabel gekocht en dat was plug & play.

Ron555 schreef op maandag 29 maart 2021 @ 17:54:
[...]

Als je alleen de Netgear aansluit op de UDM en al je apparatuur aansluit op de UDM is er geen probleem.
Je eigen apparatuur communiceert onderling binnen de Netgear switch. Naar buiten (www) via de udm heb je 1GB .

Meer heb je niet (nodig) aan gezien de wan van de UDM ook max 1GB is.

Die 16GB is wat ie tussen zijn eigen poorten (8x1GB up en down) max kan verplaatsen aan data.

Ron555 schreef op maandag 29 maart 2021 @ 17:54:
[...]

Als je alleen de Netgear aansluit op de UDM en al je apparatuur aansluit op de UDM is er geen probleem.
Je eigen apparatuur communiceert onderling binnen de Netgear switch. Naar buiten (www) via de udm heb je 1GB .

Meer heb je niet (nodig) aan gezien de wan van de UDM ook max 1GB is.

Die 16GB is wat ie tussen zijn eigen poorten (8x1GB up en down) max kan verplaatsen aan data.

AngelusHD schreef op maandag 29 maart 2021 @ 19:16:
[...]


Duidelijk, ik heb alleen wel 1000mbit up en down, niet dat ik nou vaak download en upload tegelijk, maar dat is dus wel een bottleneck.

Ron555 schreef op maandag 29 maart 2021 @ 19:22:
[...]


Lijkt me niet.
Alleen als je de poorten op de UDM gebruikt en die allemaal op "volle snelheid" met elkaar wil laten communiceren gaat het "fout"

The Eagle schreef op maandag 29 maart 2021 @ 08:47:
Even een hele andere vraag:
Wat is de laatste FW zonder issues voor switches, AP's en de USG? Ik ken uiteraard de hele lijst, maar welke is stabiel en welke niet? Ik zag laatst dat het alweer 170+ dagen geleden is dat ik de boel geupgrade heb. Draait nu stabiel maar wordt denk ik weer eens tijd. Alleen geen zin in gezeik

1
2
3
4
5

UniFi Security Gateway 3P   4.4.52.5363511
UniFi Switch 16 POE-150W    5.43.23.12533
UniFi Switch 8  5.43.23.12533
UniFi AP-AC-In Wall 4.3.28.11361
UniFi AP-AC-Mesh    4.3.28.11361

blaaspijp schreef op maandag 29 maart 2021 @ 19:30:
[...]


Volgens mij niet.
Alleen de backplane tussen de interne switch en de internet en spf poort is beperkt tot 1Gb.

Dit is dus alleen een probleem als je vanaf de interne switch een 10Gb spf+ uplink hebt naar een andere switch.
Dan is de backplane een beperkende factor.
Maar dat is bij elke switch het geval als je alleen maar 1Gb poorten hebt.

ed1703 schreef op maandag 29 maart 2021 @ 12:51:
[...]

Als je een RPI'tje hebt draaien met PHP is het mogelijk om met de Unifi API client aan de gang te gaan.
Met een cronjob is het mogelijk deze scipts aan te roepen.

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78

<?php /** * PHP API usage example * * contributed by: Art of WiFi * description: example PHP script to disable/enable the port of a UniFi switch * note: Requires controller version 5.5.X or higher. This example assumes an override alreay exists for the desired port. * To create a new port override simply append one (similar in structure to $updated_override) as needed to the * $existing_overrides array */ /** * using the composer autoloader */ //require_once('vendor/autoload.php'); /** * include the config file (place your credentials etc. there if not already present) * see the config.template.php file for an example */ require_once('../src/Client.php'); require_once('config.php'); /** * the site to use to log in to the controller */ $site_id = 'default'; /** * the MAC address of the UniFi switch to re-configure */ $device_mac = 'xx:xx:xx:xx:xx:xx'; /** * index of port to modify/add */ $port_idx = 6; /** * port configuration id to apply when enabling/disabling the port * * NOTE: * port configurations are available through list_portconf() */ $port_conf_id = 'xxxxxxxxxxxxxxxxxxx'; /** * initialize the UniFi API connection class and log in to the controller and do our thing */ $unifi_connection = new UniFi_API\Client($controlleruser, $controllerpassword, $controllerurl, $site_id, $controllerversion, false); $set_debug_mode = $unifi_connection->set_debug($debug); $loginresults = $unifi_connection->login(); $data = $unifi_connection->list_devices($device_mac); $device_id = $data[0]->device_id; $existing_overrides = $data[0]->port_overrides; foreach ($existing_overrides as $key => $value) { if (!empty($value->port_idx) && $value->port_idx === $port_idx) { $updated_override = [ 'portconf_id' => $port_conf_id, 'port_idx' => $port_idx, 'poe_mode' => 'off', 'name' => 'blabla', ]; $existing_overrides[$key] = $updated_override; } } $payload = [ 'port_overrides' => $existing_overrides ]; $update_device = $unifi_connection->set_device_settings_base($device_id, $payload); /** * provide feedback in json format */ echo json_encode($update_device, JSON_PRETTY_PRINT);

https://github.com/Art-of...s/disable_switch_port.php

Yoshimi schreef op maandag 29 maart 2021 @ 20:59:
[...]


Weet je in hoeverre dit anders is dan een WiFi schedule in de controller aan te maken waarbij je de radio’s in feite uitschakelt (bijv tussen 23:00 en 06:00)? Of betekent het soms dat het SSID niet gebroadcast wordt, maar de radio aanblijft?

[ Voor 3% gewijzigd door ed1703 op 29-03-2021 21:52 ]

The Eagle schreef op maandag 29 maart 2021 @ 15:35:
[...]

Als ik kijk naar wat het aanbod nu is dan zijn jouw versies de versies die ik zou krijgen
Nu
USG 4.4.51.xxxxx
US 8 POE 4.3.21.xxxxxx
3x AP AC PRO 4.3.21.xxxxx
RB Pi Controller 5.14.23

Als ik het zo lees kan ik de hardware wel updaten, maar de controller beter nog even niet?

loyske schreef op dinsdag 30 maart 2021 @ 09:25:
[...]


Ik draai de laatste controller 6.1.71 en dat werkt ook allemaal. Ja, ze zijn het op de schop aan het gooien, maar dat is een ander verhaal. Ik zie trouwens geen reclame! Pihole die het blocked!?

[ Voor 9% gewijzigd door Miki op 30-03-2021 09:26 ]

Miki schreef op dinsdag 30 maart 2021 @ 09:21:
Psst.. Unifi Dream Machine Pro kopen?

[Afbeelding]

Het mocht -iets- subtieler van mij

Verder is de topology bij de In-walls nog steeds niet best. Alle bedrade aansluitingen op de In-walls worden aan de Unifi switch toegewezen en niet achter de In-walls geprojecteerd.
Verder heb ik geen bijzonderheden kunnen ontdekken of stabiliteitsproblemen.

[ Voor 13% gewijzigd door Will_M op 30-03-2021 11:06 ]

Miki schreef op dinsdag 30 maart 2021 @ 09:21:
Psst.. Unifi Dream Machine Pro kopen?

[Afbeelding]

Het mocht -iets- subtieler van mij

AngelusHD schreef op maandag 29 maart 2021 @ 20:58:
[...]


Dus zoals jij het nu zegt is dus de switch op de UDM als op de UDM pro voorzien van een Switching-capaciteit 16 Gbit/s (UDM is 8.). De verbinding (backplane?) is de connectie tussen de switch naar Wan en Spf+. Dus bij het aansluiten van een extra switch van 8 tot 24 poorts zal de onderlinge connectie dus beperkt zijn tot 1Gbit/s.

Klinkt mij een stuk logischer, of het zo is hoor ik graag

Miki schreef op dinsdag 30 maart 2021 @ 09:21:
Psst.. Unifi Dream Machine Pro kopen?

[Afbeelding]

Het mocht -iets- subtieler van mij

Verder is de topology bij de In-walls nog steeds niet best. Alle bedrade aansluitingen op de In-walls worden aan de Unifi switch toegewezen en niet achter de In-walls geprojecteerd.
Verder heb ik geen bijzonderheden kunnen ontdekken of stabiliteitsproblemen.

[ Voor 6% gewijzigd door Tha Render_2 op 30-03-2021 13:19 ]

Miki schreef op dinsdag 30 maart 2021 @ 09:21:
Verder is de topology bij de In-walls nog steeds niet best. Alle bedrade aansluitingen op de In-walls worden aan de Unifi switch toegewezen en niet achter de In-walls geprojecteerd.

Miki schreef op dinsdag 30 maart 2021 @ 09:26:
[...]

Je hebt een USG

Als je al een router van ze hebt dan zullen ze je niet lastig vallen.

Yowzawood schreef op dinsdag 30 maart 2021 @ 13:22:
[...]

Ja, ongekend dom blijft dat.... zeker omdat ze de Flex Mini wel goed laten zien.
Ben wel een beetje klaar met al het gepruts van Ubiquiti.

[ Voor 16% gewijzigd door rikadoo op 30-03-2021 13:36 ]

RobertMe schreef op dinsdag 30 maart 2021 @ 13:24:
[...]

Moet je daarvoor echt een USG of UDM hebben? Ik heb op een andere locatie wat spulletjes geplaatst, maar daar staat een EdgeRouter. Zul je natuurlijk zien dat ze daar wel volle bak gaan spammen met hun UDM.

Will_M schreef op dinsdag 30 maart 2021 @ 13:53:
@Miki

Er MOET gewoon een waardige opvolger komen voor de USG-3P, liefst in een 10" behuizing welke een rackmount mogelijk maakt (en niet zoals de huidige 3P als "los doosje" wat je nérgens netjes in kunt monteren).

Dan nog een mooi 10" Rackmount kitje voor de CKG2 / CKG2+ en ik ben 'estetisch' gezien ook weer helemaal tevreden

Miki schreef op dinsdag 30 maart 2021 @ 13:45:
[...]

Ga er maar vanuit, de banner wordt zichtbaar op het moment dat je geen internet statistieken kunt genereren. Als je dus met je huidige controller versie icm Edge router geen statistieken kunt bekijken dan weet je hoe laat het is

Ah ja, ik zou graag een router bij Ui willen afnemen maar dan moet WAN met dubbele vlan’s en imgp proxy beschikbaar komen op de UDM.

Tha Render_2 schreef op dinsdag 30 maart 2021 @ 13:14:
Ik zou op enkele plaatsen wifi site surveys willen doen, daarvoor heb je natuurlijk een access point nodig. Nu kan je niet met elk type afzonderlijk gaan testen, vaak nam ik de ac-lite mee maar is er een groot verschil in zendkracht tussen tussen de ac-lite, u6-lite en de ac-m (voor buiten)? Ik zou veronderstellen van niet, de LR vermijd ik bij site surveys om geen foute verwachtingen te creëren. De u6-lite is amper bestelbaar dus zou de survey terug doen met de ac-lite als baseline? Alleen het stralings pattern van de ac-m is wel heel anders dan de rest.

Miki schreef op dinsdag 30 maart 2021 @ 13:45:
Ga er maar vanuit, de banner wordt zichtbaar op het moment dat je geen internet statistieken kunt genereren. Als je dus met je huidige controller versie icm Edge router geen statistieken kunt bekijken dan weet je hoe laat het is

RobertMe schreef op dinsdag 30 maart 2021 @ 14:06:
Daar ging ik eigenlijk ook al vanuit ja. Deden ze nu natuurlijk ook al kinda. Maar nu in 6.1 is het wel een enorme banner geworden. En ergens anders kwam ik melding van iemand tegen dat het ding ook nog steeds een willekeurig id/class heeft in de HTML waardoor een adblocker hem ook niet kan herkennen.

Wat mij betreft is dit dan ook zwaar not done. De oude variant vond ik niet zo extreem storend. Want ja, leeg plekje in de statistieken dus om daar naar de USG verwijzen om die stats te krijgen is dan wel acceptabel. Maar in 6.1 is het gewoon echt een dikke banner geworden, en het feit dat die dus blijkbaar een steeds wisselend id/class heeft toont ook wel aan dat ze zich bewust ervan zijn dat de meeste het zullen willen verbergen als zijnde onwenselijk.

Ah ja, ik zou graag een router bij Ui willen afnemen maar dan moet WAN met dubbele vlan’s en imgp proxy beschikbaar komen op de UDM.

Will_M schreef op dinsdag 30 maart 2021 @ 13:53:
Er MOET gewoon een waardige opvolger komen voor de USG-3P

liefst in een 10" behuizing welke een rackmount mogelijk maakt (en niet zoals de huidige 3P als "los doosje" wat je nérgens netjes in kunt monteren).

Dan nog een mooi 10" Rackmount kitje voor de CKG2 / CKG2+ en ik ben 'estetisch' gezien ook weer helemaal tevreden

grep analytics /tmp/system.cfg
system.analytics.status=disabled
system.analytics.anonymous=disabled

nero355 schreef op dinsdag 30 maart 2021 @ 15:12:
[...]

DNAT/SNAT in de UniFi Controller zou ook wel een beetje tijd mogen worden na al die tijd...

Wel in de firmware/OS en niet in de Controller... handig joh!

RobertMe schreef op dinsdag 30 maart 2021 @ 16:15:
Zit dat dan ook in de UDM? Want bij de USG kregen ze het natuurlijk gratis en voor niks van EdgeOS / VyOS. Vervolgens dan alleen nooit in de controller opgenomen. Als het een feature is die ze ook expliciet / zelf in de UDM firmware hebben ingebakken zou ik het echt raar vinden.

nero355 schreef op dinsdag 30 maart 2021 @ 16:44:
[...]

UDM meuk geen idee, maar het zit inderdaad wel in de USG omdat die stiekem een EdgeRouter Lite maar dan anders is

De UDM serie schijnt weer wel gewoon een Linux OS te zijn met IPTables aan boord als ik het goed heb begrepen dus daarmee zou het misschien wel kunnen...

[ Voor 26% gewijzigd door xbeam op 30-03-2021 17:07 ]

nero355 schreef op dinsdag 30 maart 2021 @ 16:44:
[...]
De UDM serie schijnt weer wel gewoon een Linux OS te zijn met IPTables aan boord als ik het goed heb begrepen dus daarmee zou het misschien wel kunnen...

xbeam schreef op dinsdag 30 maart 2021 @ 16:57:
Nope Het is alpine OS dat werkt net weer iets anders. Wel mooi os voor je pi
het heeft een eigen CLI en is bedoeld om dockers te draaien
https://alpinelinux.org/about/

You can then add on top of that just the packages you need for your project, so whether it’s building a home PVR, or an iSCSI storage controller, a wafer-thin mail server container, or a rock-solid embedded switch, nothing else will get in the way.

Het probleem met de udm is de bridge tussen de unifi-os Podman en alpine-os hardware routing aansturing.
Aanpassing aan de alpine kant worden overschreven van unifi-os waarbij de kans op corruptie heel groot is

xbeam schreef op dinsdag 30 maart 2021 @ 16:57:
[...]


Nope Het is alpine OS dat werkt net weer iets anders. Wel mooi os voor je pi
het heeft een eigen CLI en is bedoeld om dockers te draaien
https://alpinelinux.org/about/

Will_M schreef op dinsdag 30 maart 2021 @ 13:53:
@Miki

Er MOET gewoon een waardige opvolger komen voor de USG-3P, liefst in een 10" behuizing welke een rackmount mogelijk maakt (en niet zoals de huidige 3P als "los doosje" wat je nérgens netjes in kunt monteren).

Dan nog een mooi 10" Rackmount kitje voor de CKG2 / CKG2+ en ik ben 'estetisch' gezien ook weer helemaal tevreden

[ Voor 22% gewijzigd door Comp User op 30-03-2021 19:29 ]

Comp User schreef op dinsdag 30 maart 2021 @ 19:26:
[...]


"nergens" is ook weer een groot woord - voorbeeld.

Oké het is geen 10" maar dat is de edgerouter equivalent ook niet.

[ Voor 4% gewijzigd door Will_M op 30-03-2021 19:52 ]

RobertMe schreef op dinsdag 30 maart 2021 @ 17:47:
[...]

Alpine Linux is gewoon een heel licht gewicht Linux distributie. Daardoor wel populair geworden voor Docker / als base van OCI containers. Maar je kunt het net zo goed gewoon bare metal draaien. En qua andere CLI. Het is zo lichtgewicht doordat het op busybox draait i.p.v. de defacto standaard GNU tools, en vanuit Busybox zit ook al de shell erin (ash?). Zo spannend is het allemaal eigenlijk niet.

* RobertMe heeft toevallig afgelopen weekend wat gebruik gemaakt van Alpine. Nieuwe VPS afgenomen bij TransIP. Goedkoopste met 1GB RAM. En ik moet en zal (Debian met) ZFS on root draaien. Eerdere keren heb ik dat gedaan door via PXE te booten vanaf netboot.xyz. Maar met booten van Debian live kreeg ik kernel panics omdat die out of memory ging. ArchLinux hetzelfde, ook OOM tijdens boot. Alpine kon ik wel booten, maar daar zat geen ZFS in (in het zeer lichtgewicht netboot image). Vervolgens zelf vanuit een Alpine docker container een eigen netboot image gemaakt met ZFS ingebakken, op andere server gezet, en daarvan kon ik vervolgens perfect booten en de handmatige Debian installatie uitvoeren.

En meer on topic. Ik bedenk me nu dat ik thuis ook nog een VM heb draaien met Alpine. Daarin heb ik OpenVPN (client) draaien en dient als gateway voor een VLAN in huis. Dat is dus incl. NAT en alle toeters en bellen (lees: DNAT voor port forwards). Uiteraard gewoon op basis van IPTables. Dat hoeft dus allemaal geen probleem te zijn. Grootste issue voor UI zal zijn om (met beperkte mankracht?) alle eindjes aan elkaar te knopen. Waarbij ze dus potentieel van basis OS naar podman container dat gateway gebeuren doet naar "UniFi client" naar SDN webui moeten.

Maar afhankelijk van de isolatie / permissies / capabilities acht ik de kans 99% dat ze ook vanuit een gateway container gewoon controle over IPTables moeten kunnen hebben. Immers draait het toch allemaal op dezelfde kernel. Enige wat ze dan moeten doen is capabilities zo inregelen dat iptables beschikbaar is.
Ik kan mij namelijk niet indenken dat het wel mogelijk is om "wireguard in Docker te draaien", maar IPTables niet. Immers ziiten beiden voor 75% in de kernel, en de CLI tools doen maar "de kernel configureren".

[ Voor 5% gewijzigd door xbeam op 30-03-2021 22:38 ]

nero355 schreef op dinsdag 30 maart 2021 @ 15:12:
[...]

DNAT/SNAT in de UniFi Controller zou ook wel een beetje tijd mogen worden na al die tijd...

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

  ___ ___      .__________.__
 |   |   |____ |__\_  ____/__|
 |   |   /    \|  ||  __) |  |   (c) 2010-2021
 |   |  |   |  \  ||  \   |  |   Ubiquiti Inc.
 |______|___|  /__||__/   |__|
            |_/                  http://www.ui.com

      Welcome to UniFi Dream Machine!
# cat /mnt/data/log/messages | grep DPT=53
# iptables -t nat -L -n -v --line-numbers
Chain PREROUTING (policy ACCEPT 6282 packets, 1126K bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1    2569K  452M DNSFILTER  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
2    2569K  452M UBIOS_PREROUTING_JUMP  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
3    2568K  452M HONEYPOT   all  --  *      *       0.0.0.0/0            0.0.0.0/0           
4        0     0 DNAT       udp  --  br60   *      !192.168.60.10       !192.168.60.10        udp dpt:53 to:192.168.60.10
5        0     0 DNAT       tcp  --  br60   *      !192.168.60.10       !192.168.60.10        tcp dpt:53 to:192.168.60.10
6     4073  281K DNAT       udp  --  br0    *      !192.168.60.10       !192.168.60.10        udp dpt:53 to:192.168.60.10

Bor schreef op dinsdag 30 maart 2021 @ 20:29:
Hebben jullie dit al gezien?

Whistleblower: Ubiquiti Breach “Catastrophic”

Will_M schreef op dinsdag 30 maart 2021 @ 21:02:
[...]


Dát specifieke artikeltje nog niet maar dat wat er aan dat alles ten grondslag lag wel, begin dit jaar.

Ik heb op m'n spullen gelukkig nog geen rare activiteiten / inlogpogingen kunnen waarnemen

Bor schreef op dinsdag 30 maart 2021 @ 20:29:
Hebben jullie dit al gezien?

Whistleblower: Ubiquiti Breach “Catastrophic”

Bor schreef op dinsdag 30 maart 2021 @ 21:06:
[...]


Dit is ook redelijk vers van de pers volgens mij. Direct maar even een news-submit gedaan voor op de FP.

Will_M schreef op dinsdag 30 maart 2021 @ 21:51:
[...]


Wat ik eigenlijk het méést kwalijke (lees: Verontrustende) aan dat artikel vind is die beurs/koers wijziging sinds de éérste berichten in Januari aangaande de "Hack".

Met wat pech gaat er 'iemand' "short"....

[ Voor 14% gewijzigd door Boudewijn op 30-03-2021 21:57 ]

blaaspijp schreef op dinsdag 30 maart 2021 @ 21:23:
Binnenkort lijkt TPLINK nog net een beetje meer op ubiquiti.

Bor schreef op dinsdag 30 maart 2021 @ 20:29:
Hebben jullie dit al gezien?

Whistleblower: Ubiquiti Breach “Catastrophic”

Will_M schreef op dinsdag 30 maart 2021 @ 22:04:
@Boudewijn Dat kún je er uit halen maar dan werken er een aantal erg handige functies niet meer tenzij je middels een eigen VPN naar binnen / buiten kunt werken.

Dat je een CKG2+ (met disk) hebt is waarschijnlijk vanwege Unifi Protect én wat camera's?

Boudewijn schreef op dinsdag 30 maart 2021 @ 22:26:
[...]

Ja de camera's zijn toekomstmuziek maar heb inderdaad meteen de CKG2+ gekocht voor bij de vriendin.
Eigen VPN kan ik prima doen en heb ook niet de behoefte om remote dat netwerk te managen.

Hoe kun je het alsnog uit krijgen? Het leek vrij onmogelijk bij installatie (vond ik toen al vrij lelijk).

xbeam schreef op dinsdag 30 maart 2021 @ 22:28:
[...]


Protect werkt prima zonder cloud acces. Sinds een paar maanden heeft de protect iOS app local access mogelijk.

Boudewijn schreef op dinsdag 30 maart 2021 @ 22:29:
Ik hoef geen app op mijn telefoon

winwiz schreef op dinsdag 30 maart 2021 @ 22:40:
[...]


Dat staat er bij mijn UDM-Pro als sinds ik hem heb en dat is al enige maanden

winwiz schreef op dinsdag 30 maart 2021 @ 22:38:
[...]


Dit gaat toch per netwerk. Je kunt voor die AP een apart netwerk maken met zijn eigen sceduler

nero355 schreef op dinsdag 30 maart 2021 @ 22:31:
[...]

My people!

Maar ehh...

Waarom dan niet gewoon een volledige DIY setup op basis van ONVIF en zo

[ Voor 19% gewijzigd door Boudewijn op 30-03-2021 23:02 ]

winwiz schreef op dinsdag 30 maart 2021 @ 22:40:
[...]


Dat staat er bij mijn UDM-Pro als sinds ik hem heb en dat is al enige maanden

Boudewijn schreef op dinsdag 30 maart 2021 @ 23:01:
[...]

Het hangt bij mijn vriendin. Handig voor de toekomst.

Ondertussen wel besloten dat we onze huishoudens gaan mergen dus een DIY setup kan het zomaar zijn.

HKLM_ schreef op dinsdag 30 maart 2021 @ 23:03:
[...]


Op de UDM-Pro is die er inderdaad al eventjes alleen hij is super traag als ik bijvoorbeeld honeypot op poort 22 kan het zo een half uur duren voordat de UDM dat laat zien en ik er een melding van krijg...

[ Voor 29% gewijzigd door Will_M op 30-03-2021 23:11 ]

Will_M schreef op dinsdag 30 maart 2021 @ 22:42:
[...]


De UDM-Pro Soft / Firm-ware is dus eigenlijk gewoon een publieke Bêta-Test om daarna pas 'veilig' uit te kunnen rollen naar de overige apparaten welke er mee kunnen draaien?

The Eagle schreef op woensdag 31 maart 2021 @ 11:09:
[...]

Gezien de vele firmware updates voor de andere UBNT producten: verbaast je dat?

xbeam schreef op dinsdag 30 maart 2021 @ 22:28:
[...]


Protect werkt prima zonder cloud acces. Sinds een paar maanden heeft de protect iOS app local access mogelijk.

[ Voor 12% gewijzigd door gday op 31-03-2021 11:41 ]

gday schreef op woensdag 31 maart 2021 @ 11:40:
[...]


Als ik 'remote access' uitzet in mijn UDM Pro werkt Protect echt nooit in mijn iOS-app. Zelfs niet als ik gewoon op hetzelfde LAN zit. Via de browser is het allemaal geen probleem. Mijn UDM Pro zit nog op 1.8.6. Is dat verbeterd met 1.9.2?

xbeam schreef op woensdag 31 maart 2021 @ 11:44:
[...]

Waneer protect geen verbind heeft met internet zal de iOS app local verbinding maken. Je dan wel zorgen dat firewall deze verbinding toestaat waneer je protect in ander subnet draait,

gday schreef op woensdag 31 maart 2021 @ 11:50:
[...]


Ik kan inderdaad zien dat de Protect-app een groene melding geeft dat ie verbinding maakt via LAN, maar dat doet ie alleen als ik remote access ingeschakeld heb. Dat werkt ook vanuit een ander subnet.

Ik heb nu als proef remote access uitgeschakeld, en mezelf in hetzelfde subnet geplaatst, maar de Protect-app geeft dan aan dat ik geen controllers heb.

UniFi Protect iOS 1.4.9
Improvements
Video streaming and Timelapse stability improvements.
Add smart detection type option for Smart Detection zones.
Add Privacy zone management for G3-Instant camera.
Bugfixes
Fix issue where users with iOS version 10-12 could not connect to controller in same network.
Fix issue where wrong controller is opened when opening push notification.

[ Voor 34% gewijzigd door xbeam op 31-03-2021 12:14 ]

xbeam schreef op woensdag 31 maart 2021 @ 12:06:
[...]


En als je het internet/wan los koppelt?

xbeam schreef op woensdag 31 maart 2021 @ 12:06:
[...]


En als je het internet/wan los koppelt?

Welke versie iOS app gebruik je.
Lees net dit bij de aankomende release


[...]

geenwindows schreef op woensdag 31 maart 2021 @ 12:19:
hier op mijn android foon werkt de app ook niet als 'cloud access' uit staat, ondanks dat de UNVR4 en de foon in het zelfde netwerk zitten, het is zelfs niet eens mogelijk om de app te gebruiken met het lokale account...
Ik benader Protect wel via m'n desktop, die heeft tenminste een beeldscherm waar ik wel het een en ander fatsoenlijk kan zien. Yep, size does matter!

[ Voor 16% gewijzigd door gday op 31-03-2021 12:23 ]

geenwindows schreef op woensdag 31 maart 2021 @ 12:19:
hier op mijn android foon werkt de app ook niet als 'cloud access' uit staat, ondanks dat de UNVR4 en de foon in het zelfde netwerk zitten, het is zelfs niet eens mogelijk om de app te gebruiken met het lokale account...
Ik benader Protect wel via m'n desktop, die heeft tenminste een beeldscherm waar ik wel het een en ander fatsoenlijk kan zien. Yep, size does matter!

Update on our response

Since Tuesday’s outage, we have taken several mitigation measures:

Mobile app has been updated to remove Internet dependency for locally accessing your UniFi Protect controller (released on Android and iOS today)
Moving forward, for UniFi Protect cameras, no automatic firmware updates will be pushed unless auto-update is turned on
We are enhancing our cloud infrastructure to minimize outages as the UniFi Protect platform continues to grow
We are improving our public communication for any future incidents
Supplemental information

As there was speculation about the source of the August 25 incident, in the interest of transparency, we want to share a few additional details:

The August 25 outage was caused by a firmware update pushed to UniFi Protect cameras which fixed a connectivity issue
When all cameras came back online, the resulting load to our cloud infrastructure caused the outage
Additional complications on August 28, 2020

On August 28, during scheduled maintenance to improve the resilience of our cloud infrastructure, our servers experienced challenges that extended beyond the maintenance window. Some users were unable to access UniFi Protect cameras during this period (video recordings were not affected). Users with a UDM Pro or UNVR connecting through unifi.ui.com were not impacted.

[ Voor 52% gewijzigd door xbeam op 31-03-2021 12:33 ]

Mobile app has been updated to remove Internet dependency for locally accessing your UniFi Protect controller (released on Android and iOS today)

[ Voor 57% gewijzigd door gday op 31-03-2021 12:42 ]

xbeam schreef op woensdag 31 maart 2021 @ 12:30:
[...]


Ik ging eigenlijk vanuit dat al gefixed was na de laatste grote cloud storing
https://community.ui.com/...aa-4ce7-ae1f-95e14ceaf4ca

[...]

gday schreef op woensdag 31 maart 2021 @ 12:32:
Is dat niet een belofte die ze al jaren doen? Ik heb het idee dat de klachten altijd aanzwellen als de diensten van Ubiquiti er weer eens uit liggen waardoor je je lokale beelden niet kunt bekijken, waarna Ubiquiti zsm local access belooft en het dan vervolgens weer vergeet, tot de volgende outage. De enige progressie die ik heb gezien is dat ze daadwerkelijk aangeven wanneer je via LAN verbonden bent, na de handshake die altijd via hun cloud moet lopen.


[...]


Ik snap echt niet hoe ze dat voor zich zien, aangezien je in de app verplicht bent om met een SSO-account in te loggen. Aangezien de koppeling tussen je controller en dat SSO-account verdwijnt als je remote access uitzet, gaat dit dus nooit werken tenzij ze ondersteuning gaan toevoegen voor het handmatig toevoegen van je controller in de app zelf.

dat klopt deels, ik kan inderdaad op m'n desktop gewoon het lokale account gebruiken om het een en ander te kunnen inzien (geen config aanpassen, dat kan blijkbaar enkel de cloud account...)

[ Voor 12% gewijzigd door xbeam op 31-03-2021 13:02 ]

xbeam schreef op woensdag 31 maart 2021 @ 12:50:
[...]


Dat zou prima moeten kunnen. net zo als bij SDN controller bestaat je cloud login ook local in protect. Je kan lokaal zonder internet altijd met je cloud login op je udm inloggen. Dit kan ook op de NVR 4.
Maar waarom dat niet met de app kan en ze zelf zeggen dat het wel kan. Geen idee


[...]

Ik heb gewoon volledig admin rechten op mijn nvr als ik lokaal inlog zonder internet

gday schreef op woensdag 31 maart 2021 @ 12:20:
Helaas, ook bij die versie (1.4.9) zie ik het volgende.

Eerst wil ie controllers zoeken.
[Afbeelding]

Die vindt ie niet, dus geeft ie me de optie om eentje in te stellen.
[Afbeelding]

Dat wil ik niet, want ik heb een UDM Pro, en dan eindig ik in dit scherm.
[Afbeelding]

Als ik remote access inschakel op de UDM Pro gaat alles meteen weer werken.

[...]

Aangezien ik ook een G4 Doorbell heb is dat geen optie.

geenwindows schreef op woensdag 31 maart 2021 @ 12:19:
hier op mijn android foon werkt de app ook niet als 'cloud access' uit staat, ondanks dat de UNVR4 en de foon in het zelfde netwerk zitten, het is zelfs niet eens mogelijk om de app te gebruiken met het lokale account...
Ik benader Protect wel via m'n desktop, die heeft tenminste een beeldscherm waar ik wel het een en ander fatsoenlijk kan zien. Yep, size does matter!

DforceNL schreef op woensdag 31 maart 2021 @ 13:04:
Sinds kort zie ik in het overzicht van de draadloze clients iets opvallends. Bij sommige devices wordt aangegeven dat deze verbonden is op poort1 en poort8 terwijl deze toch echt middels WiFi verbonden zijn. De poort8 begrijp ik niet want de DreamMachine heeft maar 4 poorten. Iemand een idee wat dit kan zijn?

Mijn setup is als volgt. ModemZiggo -> DreamMachine met op poort 1 een 8 poorts switch, poort 2 en 3 een AP. Hieronder een overzicht van 3 devices die allen via WiFi verbonden zijn maar waarbij twee dus een poort aangegeven wordt.

[Afbeelding]

nero355 schreef op woensdag 31 maart 2021 @ 16:54:
[...]

Doe eens gek en kies eens gewoon die CK2+ die erbij staat

De software van de CK2+ en de UDM Pro zijn vergelijkbaar dus misschien pakt die hem wel op...?!

Maar eigenlijk ben ik het helemaal hiermee eens :

[...]

Dump die dumbass apps en gebruik gewoon je browser op een apparaat met een fatsoenlijk groot scherm!

[ Voor 19% gewijzigd door gday op 31-03-2021 20:41 ]

ANdrode schreef op woensdag 31 maart 2021 @ 20:48:
Ik wil eigenlijk willen weten hoe ze hun firrmware authenticatie doen. Als ze in een continuous delivery straat signatures maken dan moet je signatures waar geen externe vertrouwde timestamp in zit van na de hack (en mogelijk zelfs de keys) als compromised zien.

Hopelijk gebruiken ze voor productie firmwares een proces met een hardware security module waardoor het key-materiaal niet kan lekken en je niet zonder interactie van meerdere personen een signature kan maken.

En dit is vaak het punt waar hoe je security zou willen zien een software/devops engineer tegenkomt en er een key in een environment variabele de build in geduwd wordt

[ Voor 11% gewijzigd door HKLM_ op 31-03-2021 20:56 ]

HKLM_ schreef op woensdag 31 maart 2021 @ 20:53:
[...]
Daar ga je never achter komen, ubnt heeft niks gezegd en ik verwacht ook niet dat ze dat ooit gaan doen.

ANdrode schreef op woensdag 31 maart 2021 @ 20:58:
[...]


Ze moeten op dit gebied wel met een geloofwaardig verhaal komen. Hoewel je er met moderne ideeën (zero trust) er niet vanuit gaat dat het WiFi netwerk überhaupt veilig is, kan je toch best wat als je de controle over de AP firmware hebt.

Ook al is het alleen maar voor een botnet

offtopic:
Of een overlay-netwerk

HKLM_ schreef op woensdag 31 maart 2021 @ 20:53:
[...]

Daar ga je never achter komen, ubnt heeft niks gezegd en ik verwacht ook niet dat ze dat ooit gaan doen.

Ze hebben wat mij betreft echt wel een serieuze vertrouwens deuk, en maken die op deze manier erger... ik weet eigenlijk niet of ik bij het vervangen van mijn hardware in de toekomst nog wel voor ubnt zou gaan kiezen.

xbeam schreef op zondag 14 maart 2021 @ 18:44:
[...]

Ik zit er serieus over te denken om thuis voor de UDM een firebox voor ssl DPI te gaan plaatsen (yes we are red) puur allen omdat ik als de dood ben dat mij zoiets als dit overkomt.
https://www.bloomberg.com...-of-150-000-security-cams
Het vermoede is dat ze via een Ontwikkelaar de platform admin credentials hebben achterhaald/mee gelezen.
[...]
De manier hoe ubnt het unifi beheer platform heeft opgezet is precies om het bovenstaande risky.
Daarnaast mag ik hopen dat ubnt geen super admin accounts heeft waarmee ze toegang hebben tot alle unifi portals.

De UDM mist momenteel te veel monitoring om goed inzicht te krijgen en de nieuwe GUI maakt het momenteel alleen nog maar erger. Daarnaast wat hij wel weer geeft is dat vaak onbetrouwbaar en verkeerd.
Als ik op dit moment ziet hoe slecht er ontwikkelt wordt staat mijn security vertrouwen momenteel in een ijskast van min twintig

International hackers expose footage from 150,000 security cameras managed by Verkada

[ Voor 85% gewijzigd door xbeam op 31-03-2021 23:17 ]

xbeam schreef op woensdag 31 maart 2021 @ 21:40:
[...]
Het probleem bij andere vendors is dat ze met een vergelijkbare SSO cloud omgeving werken voor je klant beheer. Je schiet er technische zo bar weinig mee op als keer op keer blijk dat het de fabrikant zelf is die slordig met de dev en admin logins omgaat.

[ Voor 14% gewijzigd door ANdrode op 31-03-2021 23:33 ]

ANdrode schreef op woensdag 31 maart 2021 @ 23:22:
[...]


Ik ken partijen die bij aerohive weggegaan zijn ivm het on-line management platform. UI heeft een ontzettend sterk aanbod en een platform dat ook offline kan.

Maar dwing mensen dan niet om naar iets dat via cloud gaat te gaan, hierop verlies je klanten.

edit: ars technica noemt dat er signing keys gelekt zijn. Wie bewaart firmware signing keys buiten een hsm...

Niet dat die een silver bullet zijn (of makkelijk) maar het maakt keybeheer een stuk makkelijker.

Adam says the attacker(s) had access to privileged credentials that were previously stored in the LastPass account of a Ubiquiti IT employee, and gained root administrator access to all Ubiquiti AWS accounts, including all S3 data buckets, all application logs, all databases, all user database credentials, and secrets required to forge single sign-on (SSO) cookies.

Such access could have allowed the intruders to remotely authenticate to countless Ubiquiti cloud-based devices around the world. According to its website, Ubiquiti has shipped more than 85 million devices that play a key role in networking infrastructure in over 200 countries and territories worldwide.

Adam says the attacker(s) had access to privileged credentials that were previously stored in the LastPass account of a Ubiquiti IT employee,

[ Voor 55% gewijzigd door xbeam op 01-04-2021 00:35 ]