Zwei Jahre mit dem UniFi-System von Ubiquiti: Ein Erfahrungsbericht

Der Aufbau meins UniFi-Systems
Der Aufbau meins UniFi-Systems

Seit zwei Jahren habe ich hier das UniFi-System von Ubiquiti im Einsatz. Zeit also für einen weiteren Erfahrungsbericht. Ich könnte jetzt einfach schreiben, dass alles immer noch super läuft und ich total zufrieden bin. Und der Blog-Artikel wäre fertig. Aber ich will das doch ein wenig ausführlicher machen. Insbesondere, da sich in meinem ersten Blog-Artikel über die Zeit eine Menge Kommentare und Fragen gesammelt haben, wird das jetzt hier ein etwas längerer Text.

Mein aktueller Ausbau

Der Aufbau meins UniFi-SystemsAngefangen hatte ich ja zunächst mit einem Access-Point und mit diesem das WLAN der FritzBox ersetzt. Davon war sich so begeistert, dass ich die FritzBox komplett in den Ruhestand geschickt und schon ein paar Tage später den UniFi-Securtiy-Gateway USG – also den Router des UniFi-Systems – und die UniFi-Switches angeschafft habe. Somit hatte ich in kürzester Zeit mein gesamtes Lokales Netz auf UniFi umgestellt.

Access-Points

Im Laufe der Zeit habe ich das System dann noch etwas erweitert, insbesondere habe ich noch ein paar APs ergänzt. Aktuell habe ich in jeder Etage (Erdgeschoss und Obergeschoss) jeweils ein „Ufo“, also einen AP-AC-Pro bzw. einen AP-AC-LR an der Decke hängen. Wie ich bereits woanders mehrfach geschrieben habe, macht der AC-LR = Long-Range hier in Deutschland eigentlich wenig Sinn, da die dafür benötigte Signalstärke hier nicht erlaubt ist und vom Controller automatisch deaktiviert wird. Somit hat dieser nicht mehr Reichweite als der AC-Pro. Ich hätte diesen damals gegen einen AC-Pro austauschen können, denke aber, dass man den Unterschied in der Leistungsfähigkeit der beiden APs in der Praxis nicht bemerken wird.

Im Garten habe ich dann noch einen AP-AC-Mesh installiert. Ich habe diesen gewählt, da ich den ursprünglich per WLAN-Mesh, also ohne LAN-Kabel anbinden wollte. Außerdem kann man diesen prima an die Wand hängen und die Antennen individuell ausrichten. Inzwischen ist dieser aber auch direkt per LAN-Kabel und PoE versorgt. Der Aufwand, ein Kabel direkt von einem PoE-Switch zum AP zu verlegen war der gleiche, wie das Kabel zum PoE-Adapter zu verlegen. Durch die Wand muss das Kabel ja ohnehin, denn der PoE-Adapter ist nicht für den Außen-Einsatz geeignet.

Auch am Hauseingang habe ich einen AP-AC-Mesh aufgehangen. So können sich unsere Autos (ja Ihr dürft mich gerne für bekloppt halten ;-) problemlos mit dem WLAN verbinden und so z.B. Updates für das Navi oder Ähnliches herunterladen. Auch die Steuerung des Smarthomes ist damit etwas komfortabler...

Wenn ich aktuell im Haus weiter ausbauen würde, würde ich vermutlich wieder zum AC-Pro greifen. Inzwischen gibt es zwar auch die HD-Serie, bei der der UAP-nanoHD vermutlich der Interessanteste sein dürfte, da die anderen HD-Modelle deutlich teurer sind. Der nanoHD ist etwas kleiner als der AC-Pro und beherrscht MiMo im Wave2-Standard. Letzteres dürfte aber vor allem interessant sein, wenn sehr viele Geräte gleichzeitig das WLAN nutzen. In der Praxis wird man den Unterschied daher vermutlich kaum bemerken. Bei mir sind in der Regel ca. 10-15, vielleicht maximal 20 Geräte gleichzeitig per WLAN verbunden, diese verteilen sich aber auf alle 4 APs. Pro AP sind normalerweise nicht mehr 10 Geräte online, eher weniger. Und der größte Teil der Geräte idled ja ohnehin die meiste Zeit. Die Investition in mehrere APs erscheint mir daher deutlich sinnvoller, da sich damit ja nicht nur der Durchsatz, sondern vor allem die gesamte WLAN-Abdeckung im Haus oder auf dem gesamten Grundstück verbessern lässt – Um wieder auf auf den Ursprung zurückzukommen, warum ich mich überhaupt mit den UniFi-Access-Points beschäftigt habe.

Security-Gateway

Erst kürzlich habe ich dann noch den kleinen USG durch den USG Pro4 ersetzt. Ich wollte endlich eine Lösung im 19-Zoll-Rack und mehr Performance kann ja auch nie schaden. Immerhin sind hier inzwischen immer 40-50 Geräte parallel im Netz. Aktuell teste ich auch das Intrusion Prevention System (IPS), das mit dem kleinen USG wenig Sinn gemacht hätte, da es den maximalen Durchsatz des USGs deutlich reduziert. Laut Angaben von UniFi sind beim kleinen USG mit aktiviertem IDS/IPS nur noch 85MBit möglich. Mit dem USG-Pro4 sollen es 250MBit sein, aktuell liefert der Speedtest aber die normalen Werte, was beim kleinen USG nicht der Fall war.

Mein aktueller UniFi-Bestand

Mein neues UniFi System

  • Einen USG Pro4
  • Einen 16 Port 150W PoE Switch
  • Einen 24 Port Switch (ohne PoE)
  • Drei 8 Port Switches (mit PoE PassThrough)
  • Ein AP-AC-Pro
  • Ein AP-AC-LR
  • Zwei AP AC-Mesh

Der UniFi-Controller läuft immer noch zuverlässig auf meinen Windows-2008R2-Server, aber ich habe bereits den neuen CloudKey Gen2 vorbestellt. Ich hoffe, dass dieser Anfang Februar geliefert wird. Warum ich nun doch auf den CloudKey umsteige, werde ich weiter unten erläutern.

Power over Ethernet – PoE

Da ich einen US-16-150W PoE-Switch im Einsatz habe, versorge ich auch alle anderen PoE-fähigen Geräte damit. Also die APs und auch die kleinen US-8-Switches, die wiederum jeweils einen PassThrouh-Port haben, an dem entweder ein AP oder auch ein Yealink-SIP-Telefon hängt. Die SIP-Geräte meiner Cloud-Telefon-Anlage werden natürlich ebenfalls per PoE versorgt.

Verkabelung

Auf die drei kleinen US-8-Switches hätte ich zwar gerne verzichtet, aber als wir unser Haus vor zwölf Jahren gekauft haben, war die Komplett-Vernetzung sämtlicher Geräte im Haus einfach noch nicht vorstellbar. Und so habe ich leider nicht in alle Räume ausreichende LAN-Kabel verlegt. Smartphones gab es da noch nicht und das WLAN wurde nur benötigt, um vielleicht mal das Notebook auf dem Sofa zu nutzen. Und wer hätte damals schon daran gedacht, dass man mal Firmware-Updates für die Wohnzimmer-Beleuchtung oder die Personenwaage einspielen muss.

So wurde damals nur das Büro mit ausreichenden Netzwerkdosen versorgt und der Rest des Hauses wurde etwas vernachlässigt. Also dienen die kleinen US-8 nun als LAN-Multiplikator. Denn auch wenn die meisten Geräte heute per WLAN genutzt werden können, wähle ich sofern möglich immer noch lieber die Variante per LAN-Kabel. Alles läuft natürlich zentral in einem 19-Zoll-Serverschrank zusammen. Man glaubt ja kaum, wie schnell so ein Schrank voll ist...

Pi-hole

Nicht zu vergessen ist natürlich noch der Pi-hole, der hier als zentraler DNS-Server und Werbe-Blocker fungiert und somit auch eine wichtige Funktion erfüllt. Darauf gehe ich aber bereits in einem anderen Blog-Artikel sehr ausführlich ein.

Provider

Da ich das Ganze hier nicht nur privat nutze, sondern insbesondere für meine Firma benötige, ist für mich natürlich der zuverlässige Internet-Zugang eine absolute Grundvoraussetzung. Also habe ich inzwischen zwei Internet-Anbindungen. Dank des USG, der ja zwei WAN-Ports hat (dazu muss man den als VoIP bezeichneten Port als WAN2 konfigurieren), habe ich neben dem Kabel-Anschluss bei Unitymedia noch einen Vodafone-DSL-Anschluss, der als Ausfallsicherung konfiguriert ist. Bei Unitymedia habe ich einen Business-Anschluss mit 400/20 MBit und fester IPv4-Adresse. Bei Vodafone habe ich einen normalen DSL-Anschluss mit 50/10 MBit.

Auch wenn Unitymedia wirklich zuverlässig ist, kommt es ja meist im unpassendsten Moment, dass die Leitung mal für ein paar Minuten weg ist. Ich will mich überhaupt nicht beklagen, aber es kommt dann eben doch alle ein bis zwei Monate mal vor. Oder irgendwelche Pappnasen buddeln auf der Straße das Kabel kaputt. Sowas dauert dann natürlich etwas länger...

Bevor ich den zusätzlichen DSL-Anschluss gebucht habe, hatte ich mir ein LTE-Modem von Netgear angeschafft und eine zusätzliche SIM-Karte zu meinem Mobilfunktarif gebucht, mit der ich mein Inklusiv-Volumen mitnutzen konnte. Das hatte zwar grundsätzlich funktioniert, aber irgendwie war das trotzdem Murks, da es doch immer eine Weile gedauert hat, bis der Failover geklappt hat, bzw. weil das LTE-Modem einfach nicht schnell genug reagiert hat oder erst die LTE-Verbindung neu herstellen musste. Außerdem haben natürlich alle Geräte im Netz weiter munter an der Leitung gesaugt, ganz zum Leidwesen meines Inklusiv-Volumens...

Der Failover zwischen Unitymedia-Kabel und Vodafone-DSL hingegen klappt wirklich reibungslos. Im Idealfall bekommt man das gar nicht mit. Eventuell gibts im Browser mal eine kurze Gedenksekunde, aber die kann ja auch andere Gründe haben. Per Mail vom UniFi-Controller wird man dann aber darüber informiert, dass mal kurz „umgeschaltet“ wurde. Aber wie gesagt, so häufig kommt das nun auch nicht vor.

Meine Konfiguration

Genauso wichtig wie die Auswahl und Verkablung der Hardware ist aber auch die Konfiguration des gesamten Systems. Habe ich zunächst nur zwischen dem privatem und dem Gastnetz (als reines WLAN) unterschieden, sieht mein Netzwerk inzwischen doch deutlich differenzierter aus.

Aktuell senden meine APs vier verschiedene WLAN-SSIDs aus (mehr als vier SSIDs sind leider nicht möglich) und es gibt aktuell fünf VLANs sowie das Management-LAN, das ohne VLAN-ID auskommt. Im Management-LAN befinden sich also die ganzen UniFi-Geräte oder auch der Pi-hole, da diese ja von jedem Gerät im lokalen Netz gesehen und genutzt werden müssen.

Adressbereiche

Das gesamte Netz habe ich auf den privaten Class-A-Netzadressbereich eingerichtet. Natürlich benötige ich niemals so viele IP-Adressen, aber der Adressbereich 10.x.x.x lässt sich einfach optisch viel übersichtlicher aufteilen, als der üblicherweise genutzte Class-C-Adressbereich 192.168.x.x. Bei mir beginnen also jetzt alle IP-Adressen mit der 10 und das zweite Oktett entspricht der VLAN-ID. So sieht das im Controller in der Endgeräte-Liste sehr übersichtlich aus. Dem größten Teil meiner Geräte habe ich übrigens eine statische IP-Adresse zugewiesen.

Das Gastnetz

Das klassisches Gastnetz ist natürlich vorhanden und hat eine eigene VLAN-ID. Dort ist auch die Client-Isolation aktiviert, das bedeutet, die Geräte im Gastnetz können sich gegenseitig nicht sehen und nicht miteinander kommunizieren. Das Gastnetz (also das entsprechende VLAN) ist auch auf einigen Switch-Ports im LAN eingerichtet, sodass z.B. der Firmen-PC meiner Frau über LAN nur ins Gastnetz kommt.

Ich habe allerdings einige Geräte, wie z.B. den Netzwerk-Drucker von der Client-Isolation ausgenommen, sodass auch aus dem Gastnetz gedruckt werden kann. Das Gast-Portal (Captive-Portal) nutze ich nicht – die Anmeldung im Gastnetz erfolgt ganz normal mit einem allgemeinen Passwort.

Weitere VLANs

Sehr wichtig war mir, dass mein gesamtes Firmen-Netz komplett vom Rest des Netzes getrennt ist. Die PCs, Drucker, Server, Firmen-iPad (dafür gibt eine eigene Office-SSID), etc., befinden sich natürlich auch in einem eigenen VLAN, auf das die Geräte der anderen VLANs keinen Zugriff haben. Lediglich der Drucker ist wie gesagt davon ausgenommen, sodass jeder im Netz drucken kann. Außerdem hat natürlich mein eigener PC als Netzwerk-Admin Zugriff auf alle anderen VLANs.

Das ist auch einer der Gründe, warum ich nun doch einen CloudKey einsetzen will. Denn aktuell befindet sich der Unifi-Controller auf dem Server im Office-VLAN. Um das sauberer zu trennen, wird der Controller also zukünftig autark auf dem CloudKey im Management-LAN laufen. Denn da gehört der ja auch hin. Aktuell hat UniFi aber wohl noch ein paar Lieferschwierigkeiten bei den neuen Gen2-CloudKeys. Mal sehen, wann der kommt.

Ebenfalls in einem getrennten VLAN befinden sich alle VoIP-Telefone. Diese benötigen ebenfalls außer der Administration (die ja von meinem PC aus möglich ist) keinerlei Zugriff auf das restliche lokale Netz. Und da diese an der Cloud-Telefon-Anlage von Placetel angebunden sind, findet ja nicht mal eine direkte Kommunikation untereinander statt.

Firewall-Regel zum Blocken des Zugriffs vom LAN auf das VoIP-VLANDie Firewall-Regeln werden im UniFi-Controller unter Einstellungen -> Routing & Firewall -> LAN Eingehend konfiguriert. Wichtig ist, dass die Regeln vor den vorkonfigurierten Regeln ausgeführt werden. Auch die Freigaben z.B. für den Drucker müssen vor den Block-Regeln stehen. Im Support-Forum von UniFi ist das auch nochmal mit einigen Beispielen beschrieben.

Ein weiteres VLAN, das ich auch als Gastnetz (allerdings ohne Client-Isolation) eingerichtet habe, ist für die Kids. Das Notebook der Kids befindet sich zwar aktuell quasi alleine in diesem VLAN, aber ich wollte den Rechner ebenfalls komplett getrennt vom Rest des Netzes haben. Und es geht vermutlich schneller als mir lieb ist, dass sich die Kids das Notebook nicht mehr teilen, sondern jeder ein eigenes haben wird...

Der Rest der Geräte, also Smartphones, Tablets, Multimedia-Kram wie Apple-TV, AV-Receiver, etc. und auch die Smarthome-Geräte, wie die Innogy-Zentrale, die Philips-Hue-Bridge, oder Amazon Alexa befinden sich im „Default“-VLAN. Ein Großteil dieser Geräte muss ja untereinander kommunizieren können, z.B. um mit dem iPhone das Licht zu steuern oder per AirPlay ein Video auf dem Apple-TV zu streamen. Diese Geräte benötigen aber eigentlich keinen Zugriff auf die Geräte in den anderen VLANs.

Insgesamt sind das zusätzlich zum Management-LAN also fünf VLANs, deren Geräte abgesehen von einigen Ausnahmen nur untereinander, oder im Falle des Gastnetzes gar nicht miteinander kommunizieren können. Ein Aufteilung in weitere VLAN ist im Augenblick nicht vorgesehen, da mir eine weitere Trennung mit zu vielen Ausnahmen verbunden wäre, was die Konfiguration dann wieder unnötig komplex machen würde.

Fazit

Soweit zu meiner aktuellen Konfiguration. Wie man unschwer herauslesen kann, bin ich mit dem UniFi-System immer noch total zufrieden und würde es jederzeit wieder wählen. Gerade die Skalierbarkeit und die umfangreichen Konfigurations-Möglichkeiten machen das System für mich quasi konkurrenzlos.

Falls Ihr Anmerkungen oder Fragen dazu habt, immer her damit ;-)

Bisher 23 Kommentare
  1. sinned

    sinned

     

    4. Februar 2019, 21:21 Uhr

    Ubiquiti klingt ganz interessant. Auch Kollegen auf der Arbeit berichten viel gutes.
    Für meine kleine 45m² Wohnung scheint mir das allerdings etwas überdimensioniert. Ich suche aktuell noch einen Access Point der ohne Controller auskommt und trotzdem Fähigkeiten wie Multi SSID mitbringt

  2. Thomas Mielke

    4. Februar 2019, 21:22 Uhr

    @Sinned: Ok, für eine kleine Wohnung ist das in der Tat vermutlich etwas überdimensioniert. Allerdings sind andere Lösungen die diese Möglichkeiten bieten auch nicht unbedingt günstiger. Wenn Du den USG 3P, einen kleinen 8-Port Switch (den mit Passthru) und einen AP-AC-Lite nimmst, solltest Du unter 300 Euro bleiben. Ein vergleichbarer WLAN-Router mit den ähnlichen Möglichkeiten ist sicher nicht viel günstiger.

  3. Sissi

    Sissi

     

    5. März 2019, 16:39 Uhr

    Hallo Thomas,
    habe mit viel Interesse beide Artikel zu Ubiquiti gelesen - wobei ich immer noch nicht ganz sicher bin, ob ich bei uns im Haus mit 1 AP pro Etage auskomme (ca. 135m² - 15x9m). Es wäre eine Deckenmontage, am Ende des ersten Drittels (also nach 5m, mittig) vom Haus - Wände sind Holzmassiv, also zumindest kein Beton. Denkst du ein AC PRO reicht aus?

  4. Thomas Mielke

    5. März 2019, 16:44 Uhr

    @Sissi: Ich denke, dass ein AC-Pro je Etage erst mal reichen sollte. Aber das musst Du testen. Wenn es nicht reicht, kannst Du ja immer noch erweitern. Eventuell auch nur in der Mesh-Variante, also ohne Kabel zum AP.

  5. Sissi

    Sissi

     

    5. März 2019, 17:17 Uhr

    Danke fürs Feedback! Ja, versuchen werd ich es jedenfalls erstmal so :)

  6. Markus Bechler

    Markus Bechler

     

    18. März 2019, 10:49 Uhr

    Hi Thomas,

    vielen dank für deine super Blogbeiträge :). Ich habe selbst eine UniFi Umgebung in Betrieb und bin super zurieden damit. Allerdings hab ich zwei Fragen an dich.
    Hattest du anfänglich auch Probleme mit dem USG was Verbindungen innerhalb des Netzwerkes angeht? Ich habe meine USG-Pro4 am Freitag in Betrieb genommen und habe nun deutlich Probleme alle meine Sonos Boxen zu erreichen bzw. das diese sich im WLAN anmelden - hast du da eine Idee? Beim USG habe ich nun noch keine weiteren Einstellungen vorgenommen - sollte ich hier DPI aktivieren? Sieht man dann geblockte Verbindungen oder muss ich mir hier irgendwo einen rsyslog Server aufbauen?

    Zum anderen habe ich gesehen dass du zum 24 Port Switch 2000 FDX hast vom PoE Switch - hat das einen speziellen Grund oder einfach nur Performance?

    Vielen Dank und viele Grüße,
    Markus

  7. Thomas Mielke

    18. März 2019, 11:04 Uhr

    @Markus Bechler: DPI kannst Du aktivieren, dazu muss aber der Controller dauerhaft laufen, bzw. Du benötigst einen CloudKey. Allerdings ist das eine reine Statistik und kein Fehlerprotokoll. Ich habe mir einen RaspberryPi als Syslog-Server eingerichtet und leite alle Protokolle dorthin um. Im Controller kann man diese ja leider nicht einsehen.

    Wegen Deiner Sonos-Probleme: Hast Du Auto-Optimize-Network aktiviert? Das macht bei manchen Geräten Probleme. Wenn ja, dann schalte das mal aus.

    Den 2GB FDX habe ich aktiviert, weil ich noch Ports dafür frei hatte. Ob die Performance dadurch spürbar besser wird, glaube ich nicht. Das ist vermutlich nur messbar...

  8. Markus Bechler

    Markus Bechler

     

    18. März 2019, 15:25 Uhr

    Hallo Thomas,
    danke für deine rasche Antwort. Den Auto-Optimize-Network hab ich tatsächlich an... dann werde ich den heute mal deaktivieren un sehen wie sich das verhält. Der Controller läuft aktuell auf einem CloudKey soll aber durch einen CloudKey Gen2+ abgelöst werden... sobald das 19" Rackmount in DE verfügbar ist.
    Das mit den Logs hab ich nun auch schon mehrfach gelesen, wie ist die Performance auf dem RPi und dem Syslog Server - ich überlege eine Splunk Docker Instanz auf meinem NAS zu betreiben!

    Noch eine Frage zum USG - gibt es irgendwo ein HowTo um alle nötigen Default Regeln einzustellen etc. oder ist das im Auslieferzustand schon mal "verwendbar"? Ich hab nur Probleme mit Windows DirectAccess vom Arbeitslaptop in Richtung Arbeitgeber (aktuell muss ich ins Guest WLAN, dort geht es)...

    Viele Grüße und vielen Dank!

  9. Thomas Mielke

    18. März 2019, 16:20 Uhr

    @Markus Bechler: Wenn Du ein neues Netzwerk definierst, dann sollte das im Prinzip sowas wie Standard-Einstellungen haben.

  10. Florian I.

    Florian I.

     

    29. April 2019, 13:14 Uhr

    Hallo Thomas,

    vielen Dank für deinen super Blog Eintrag. Ich habe seit kurzem in meiner DHH 3 AC-Lite (je Stockwerk einer). Nachdem ich es endlich geschafft habe, dass ich OHNE VLAN das Gast-Netzwerk isoliert bekomme (alle Tutorials sagten man muss den Zugriff intern erstmal freigeben und dann blockieren. Ist allerdings neuerdings nicht mehr so, einfach als Gast-Netzwerk einrichten und man hat es, Zugriff auf Internet funktioniert sofort) würde mich aber dennoch interessieren, wie lange du gebraucht hast, damit alles richtig funktioniert. Ich denke, wenn man mal die Obefläche richtig verstanden hat geht es relativ schnell!?
    Vielleicht kannst du ja auch einmal ein Tutorial erstellen mit Tipps und Tricks zu VLANs, Firewall Regeln, Netzwerkdrucker für alle erreichbar usw. Würde mich freuen.
    Wenn nicht trotzdem enorm hilfreicher Blog :)

    Beste Grüße

  11. Thomas Mielke

    29. April 2019, 13:28 Uhr

    @Florian: Wenn Du ein Netz als Gastnetz einrichtest, dann werden die benötigten Firewall-Regeln schon automatisch gesetzt. Man muss dafür also nicht alles manuell einstellen.

    Einen Drucker kannst Du ganz einfach für das Gastnetz freigegeben: Unter Einstellungen -> Gaststeuerung kannst Du unter Zugriffskontrolle -> Zugriff vor der Anmeldung alle IP-Adressen eintragen, die auch vom Gastnetz erreichbar sein dürfen. Die Einstellungen sorgen dann für die notwendigen Firewall-Regeln.

  12. Nicole

    Nicole

     

    29. April 2019, 18:18 Uhr

    Hallo Thomas, ich baue gerade ein Apartmenthaus über 3 Etagen mit 8 Zimmer je Etage ( Fläche ca 200am pro Etage). Habe jetzt je Etage 2 Kabel für Access Points verlegen lassen. Ich habe so gar keine Ahnung und habe versucht mich einzulesen und tendiere nun auch zu Ubiquiti, aber weiß nicht welchen Access Point und welchen Switch ich nehmen soll, das high end Produkt oder gehts auch kleiner. Muss ich noch zusätzliche auf den Etagen mit repeatern versärken oder reicht das so?

  13. Thomas Mielke

    29. April 2019, 18:21 Uhr

    @Nicole: Welchen Switch Du benötigst, hängt davon, wie viele Geräte Du außer den Access-Points anschließen musst. Bei der Fläche würde ich pro Etage zwei AP-AC-Pro oder zwei AP-Nano-HD einsetzen. Die APs sollten je Etage so verteilt sein, dass diese alles abdecken. Außerdem ist die Montage an der Decke anzuraten. Repeater oder Ähnliches benötigst Du natürlich nicht, denn dafür hast Du ja die APs, die über die gesamte Fläche verteilt sind.

    Du benötigst also insgesamt 6 APs. Die APs werden ja über PoE (also über das Netzwerkkabel) mit Strom versorgt und optional mit oder ohne PoE-Adapter angeboten. Hier würde ich jeweils die preisgünstigere Variante ohne PoE-Adapter empfehlen und die APs direkt über einen einen zentralen PoE-Switch versorgen. Naheliegend wäre da der US-8-150W. Damit kannst Du alles zentral versorgen und verwalten.

    Falls Du noch weitere Geräte per Kabel anbinden musst, also z.B. PCs oder Drucker, dann benötigst Du natürlich ein entsprechend größeres Modell, oder Du setzt mehrere der kleinen kompakten US-8-60W ein.

  14. Stephan Mieth

    Stephan Mieth

     

    15. Mai 2019, 14:07 Uhr

    Hallo Thomas,

    wir betreiben bei uns auch unser WLAN komplett über Unifi Geräte. Also CloudKey + POe Switche und AC-AP-Pros. Nur das Gateway ist eine bintec.
    Wir haben aktuell 2 Probleme welche ich nicht lösen kann.
    1. Ich bekomme absolut kein Zertifikat installiert, welches die Seite für das GästeWLAN als sichere HTTPs Seite zertifiziert,
    Das WLAN hat 2 SSIDs eines für die Gäste und eines produktiv. Seit dem wir die SSID für Produktive zugeschaltet haben, dauert es auf Seite der Gäste sehr lange bis die Seite für die Anmeldung auftaucht. Hast du dazu vielleicht eien IDEE?

  15. Thomas Mielke

    15. Mai 2019, 14:13 Uhr

    @Stephan: Du benötigst natürlich ein Zertifikat, das von einer Zertifizierungsstelle ausgestellt wurde. Ein Self-Signed-Zertifikat wird nicht funktionieren. Da bekommt man immer eine entsprechende Meldung im Browser. Für den Eigengebrauch ist das OK, weil man im Browser eine Ausnahme einrichten kann. Aber das ist für Gäste natürlich nicht praktikabel.

    Ich betreibe den Controller auf meinem CloudKey per HTTPS und habe dazu das Wildcard-Zertfikat meiner Domain installiert. Im lokalen DNS (über den Pi-hole) habe ich dann einfach eine Subdomain definiert, die auf die lokale IP-Adresse des CloudKey zeigt. Und schon ist der Controller per SSL erreichbar. Für das Gästeportal/Captive-Portal, sollte das ähnlich funktionieren.

    Ich selber nutze das Gästeportal aber nicht, daher kann ich Dir leider nicht sagen, wie das da mit der Performance aussieht. Wenn es aber schon mal schneller war, dann könnte das auch ein Routing-Problem oder Ähnliches sein. Schau doch mal in die Logfiles Deines Bintecs. Vielleicht ist da was erkennbar. Ein USG wäre da sicher hilfreich, da dieser natürlich hinsichtlich des Routings für das Gasteportal provisioniert würde.

  16. Bersa

    Bersa

     

    16. Mai 2019, 16:11 Uhr

    Hallo Thomas,

    ich habe mir deine Erfahrungen mit dem UniFi System duchgelesen und stehe nun am Anfang meines eigenen Systemaufbaus. Die Entscheidung ist gefallen, dass ich mit UniFi starten möchte. Nun möchte ich mir zunächst eine rudimentäre Grundausstattung zulegen, damit ich meine eigenen Erfahrungen machen kann. Da wir uns aktuell noch in einer Mietwohnung befinden, aber in absehbarer Zeit in ein Haus umziehen werden, möchte ich das System erst im Haus weiter ausbauen.

    Ich würde mir gerne im ersten Schritt nur das USG, einen kleinen Switch und einen AC-AP-Pro kaufen wollen, um sozusagen die Funktion eines Standardrouters incl. Firewall abdecken zu können. Von Unitymedia-Seite aus existiert ein Cisco Kabelmodem. Auch wenn diese Konfiguration auf den ersten Blick nicht sonderlich viel Sinn macht, hätte Sie für mich den Charm meinen unbrauchbaren WLan-Router zu ersetzen und gleichzeitig in die Systemwelt einzusteigen. Nun habe ich zwei Fragen an dich:

    1.) Kann man dies so machen, oder habe ich einen Denkfehler?
    2.) Muss der Systemcontroller für die oben genannte Konfiguration permanent laufen? Wenn ja, kann man Ihn auf einer WD MyCloud zum laufen bringen?

    Vielen Dank im Voraus

  17. Thomas Mielke

    16. Mai 2019, 16:20 Uhr

    @Bersa: Für das genannte Szenario hätte ich Dir zum Einstieg auch genau die Komponenten vorgeschlagen. Den Controller kannst Du auch auf einem PC oder MAC installieren. Oder eben auf einer NAS. Permanent laufen muss der Controller nur, wenn Du das Gäste-Portal/Captive-Portal nutzen willst oder die Insight-Statistiken benötigst.

  18. Harry Weber

    Harry Weber

    @HRW

    26. Mai 2019, 09:21 Uhr

    Hallo Thomas, nun habe ich mir auch das "StarterSet" AccesPoint + WiFi Antenne gekauft da ich ständig Aussetzer mit Devolo und Co hatte.
    Da meine englisch Kenntnisse nicht so gut sind und alles sehr knapp auf Englisch gehalten ist, bitte ich um Hilfe. Wie komme ich zu deutschen Beschreibungen, Anleitungen zur Installation der einzelnen Komponenten. Firmensoftware und Gerätesoftware. Wie zum Controller-Programm in Deutsch. Ja scheitern leider bereits an der Inbetriebnahme und hoffe es kann mir Jemand helfen.
    Erwarte dankend eure Informationen, da ich nur Gutes gelesen habe.

  19. Thomas Mielke

    27. Mai 2019, 10:33 Uhr

    @Harry: Hm. Das UniFi-System ist ja nicht unbedingt ein Consumer-Produkt, das man mit wenigen Klicks einrichten kann. Daher gibt es von Ubiquiti auch keine deutschsprachige Einleitung. Eigentlich gibt es gar keine richtige Anleitung, sondern nur ein sehr umfangreiches Hilfe-Portal und eine Online-Community. In der Community gibt es aber auch recht viel deutschsprachige Beiträge.

    Den Controller kann man aber auf eine deutschsprachige Benutzeroberfläche umschalten: Unten links das Zahnrad, dann User Interface. Dort kann man im Bereich Localization die Sprache einstellen. Vielleicht hilft Dir das schon mal weiter.

  20. Uwe Kiewel

    Uwe Kiewel

     

    28. Mai 2019, 14:04 Uhr

    Grundsätzlich, was das WLAN betriff, meine volle Zustimmung bzgl. Unifi Hardware.
    Allerdings: Wegen unlösbaren Problemen irgendwo im Bereich von Multicast bzw. IGMPv3 in Zusammenhang mit IPTV der Swisscom habe ich die Switche gegen Cisco Modelle der 350er Serie ausgetauscht. Die Unifis haben meiner Meinung nach nur eine rudimentäre IGMPv3 Unterstützung. Der IGMPv3 Querier Support fehlt gänzlich und ist wohl die Ursache meiner Probleme.

  21. Rouven Schuerken

    Rouven Schuerken

     

    2. Juni 2019, 21:39 Uhr

    Hey,

    spannender Blog - und gerade mit dem Unifi USG hadere ich aktuell.
    So wie der Markus Bechler gibt es ein Problem mit dem DirectAccess - magst DU (ich kann es ja nicht) vielleicht mal anfragen ob er mich mal antickert (du darfst ihm meine E-Mail Adresse geben) was seine Probleme waren/sind und ob er sie lösen konnte?
    Ich bekomme das DirectAccess aktuell auch nicht mehr hin....

  22. Oliver

    Oliver

     

    25. Juni 2019, 13:12 Uhr

    Hallo Thomas,

    schön erklärt und geschrieben. Aber für mich bleibt eine Frage offen.
    Du schreibst das du eine Leitung von Unitymedia hast die du als Hauptleitung benutzt. Wenn diese ausfällt greift die Vodafone BackUp Leitung. Richtg?

    Ist es nicht möglich beide Leitungen parallel zu nutzen? Quasi eine aktiv/aktiv Leitung? Somit wären dann ja beide Leitungen parallel benutzbar.

    Danke für Dein Feedback.

    Grüße Oliver

  23. Thomas Mielke

    25. Juni 2019, 13:14 Uhr

    @Oliver: Ja, man könnte beide Leitungen auch als Load-Balancing konfigurieren. Meine 400er/20er Unitymedia-Leitung reicht aber ehrlich gesagt völlig, so dass ich keinen spürbaren Vorteil durch die zusätzliche 50er/10er Leitung von Vodafone hätte. Hinzu kommt, dass ich bei Unitymedia eine feste IP-Adresse habe und diese unter anderem für VPN und andere Dinge benötige. Ein Load-Balancing würde mir da vermutlich „zwischenfunken“. Mit entsprechenden Firewall-Regeln könnte man da zwar sicher einiges optimieren, aber das ist mir dafür ehrlich gesagt zu aufwendig.

Dein Kommentar?

Menschlich? Dann gib bitte die 5 Zeichen genau so ein, wie Du sie in der Grafik lesen kannst. Keine 5 Zeichen? Erzeuge einfach einen neuen Code.

Gravatar:

Wenn Du möchtest, dass Dein Bild neben Deinem Kommentar erscheint, dann melde Dich einfach bei Gravatar an.

Nutzungshinweise:

Dein Kommentar erscheint nicht automatisch, sondern wird erst nach einer Prüfung manuell freigeschaltet. Ich behalte mir vor alle Kommentare zu löschen, die

  • rassistische, sexistische oder gewaltverherrlichende Inhalte haben,
  • zu kriminellen Aktionen aufrufen oder diese verteidigen,
  • beleidigende Inhalte besitzen,
  • Werbung für Dritte darstellen oder deren Inhalte einem Link auf fremde Angebote gleichkommt.