Zwei Jahre mit dem UniFi-System von Ubiquiti: Ein Erfahrungsbericht

Der Aufbau meins UniFi-Systems
Der Aufbau meins UniFi-Systems

Seit zwei Jahren habe ich hier das UniFi-System von Ubiquiti im Einsatz. Zeit also für einen weiteren Erfahrungsbericht. Ich könnte jetzt einfach schreiben, dass alles immer noch super läuft und ich total zufrieden bin. Und der Blog-Artikel wäre fertig. Aber ich will das doch ein wenig ausführlicher machen. Insbesondere, da sich in meinem ersten Blog-Artikel über die Zeit eine Menge Kommentare und Fragen gesammelt haben, wird das jetzt hier ein etwas längerer Text.

Mein aktueller Ausbau

Der Aufbau meins UniFi-SystemsAngefangen hatte ich ja zunächst mit einem Access-Point und mit diesem das WLAN der FritzBox ersetzt. Davon war sich so begeistert, dass ich die FritzBox komplett in den Ruhestand geschickt und schon ein paar Tage später den UniFi-Securtiy-Gateway USG – also den Router des UniFi-Systems – und die UniFi-Switches angeschafft habe. Somit hatte ich in kürzester Zeit mein gesamtes Lokales Netz auf UniFi umgestellt.

Access-Points

Im Laufe der Zeit habe ich das System dann noch etwas erweitert, insbesondere habe ich noch ein paar APs ergänzt. Aktuell habe ich in jeder Etage (Erdgeschoss und Obergeschoss) jeweils ein „Ufo“, also einen AP-AC-Pro bzw. einen AP-AC-LR an der Decke hängen. Wie ich bereits woanders mehrfach geschrieben habe, macht der AC-LR = Long-Range hier in Deutschland eigentlich wenig Sinn, da die dafür benötigte Signalstärke hier nicht erlaubt ist und vom Controller automatisch deaktiviert wird. Somit hat dieser nicht mehr Reichweite als der AC-Pro. Ich hätte diesen damals gegen einen AC-Pro austauschen können, denke aber, dass man den Unterschied in der Leistungsfähigkeit der beiden APs in der Praxis nicht bemerken wird.

Im Garten habe ich dann noch einen AP-AC-Mesh installiert. Ich habe diesen gewählt, da ich den ursprünglich per WLAN-Mesh, also ohne LAN-Kabel anbinden wollte. Außerdem kann man diesen prima an die Wand hängen und die Antennen individuell ausrichten. Inzwischen ist dieser aber auch direkt per LAN-Kabel und PoE versorgt. Der Aufwand, ein Kabel direkt von einem PoE-Switch zum AP zu verlegen war der gleiche, wie das Kabel zum PoE-Adapter zu verlegen. Durch die Wand muss das Kabel ja ohnehin, denn der PoE-Adapter ist nicht für den Außen-Einsatz geeignet.

Auch am Hauseingang habe ich einen AP-AC-Mesh aufgehangen. So können sich unsere Autos (ja Ihr dürft mich gerne für bekloppt halten ;-) problemlos mit dem WLAN verbinden und so z.B. Updates für das Navi oder Ähnliches herunterladen. Auch die Steuerung des Smarthomes ist damit etwas komfortabler...

Wenn ich aktuell im Haus weiter ausbauen würde, würde ich vermutlich wieder zum AC-Pro greifen. Inzwischen gibt es zwar auch die HD-Serie, bei der der UAP-nanoHD vermutlich der Interessanteste sein dürfte, da die anderen HD-Modelle deutlich teurer sind. Der nanoHD ist etwas kleiner als der AC-Pro und beherrscht MiMo im Wave2-Standard. Letzteres dürfte aber vor allem interessant sein, wenn sehr viele Geräte gleichzeitig das WLAN nutzen. In der Praxis wird man den Unterschied daher vermutlich kaum bemerken. Bei mir sind in der Regel ca. 10-15, vielleicht maximal 20 Geräte gleichzeitig per WLAN verbunden, diese verteilen sich aber auf alle 4 APs. Pro AP sind normalerweise nicht mehr 10 Geräte online, eher weniger. Und der größte Teil der Geräte idled ja ohnehin die meiste Zeit. Die Investition in mehrere APs erscheint mir daher deutlich sinnvoller, da sich damit ja nicht nur der Durchsatz, sondern vor allem die gesamte WLAN-Abdeckung im Haus oder auf dem gesamten Grundstück verbessern lässt – Um wieder auf auf den Ursprung zurückzukommen, warum ich mich überhaupt mit den UniFi-Access-Points beschäftigt habe.

Security-Gateway

Erst kürzlich habe ich dann noch den kleinen USG durch den USG Pro4 ersetzt. Ich wollte endlich eine Lösung im 19-Zoll-Rack und mehr Performance kann ja auch nie schaden. Immerhin sind hier inzwischen immer 40-50 Geräte parallel im Netz. Aktuell teste ich auch das Intrusion Prevention System (IPS), das mit dem kleinen USG wenig Sinn gemacht hätte, da es den maximalen Durchsatz des USGs deutlich reduziert. Laut Angaben von UniFi sind beim kleinen USG mit aktiviertem IDS/IPS nur noch 85MBit möglich. Mit dem USG-Pro4 sollen es 250MBit sein, aktuell liefert der Speedtest aber die normalen Werte, was beim kleinen USG nicht der Fall war.

Mein aktueller UniFi-Bestand

Mein neues UniFi System

  • Einen USG Pro4
  • Einen 16 Port 150W PoE Switch
  • Einen 24 Port Switch (ohne PoE)
  • Drei 8 Port Switches (mit PoE PassThrough)
  • Ein AP-AC-Pro
  • Ein AP-AC-LR
  • Zwei AP AC-Mesh

Der UniFi-Controller läuft immer noch zuverlässig auf meinen Windows-2008R2-Server, aber ich habe bereits den neuen CloudKey Gen2 vorbestellt. Ich hoffe, dass dieser Anfang Februar geliefert wird. Warum ich nun doch auf den CloudKey umsteige, werde ich weiter unten erläutern.

Power over Ethernet – PoE

Da ich einen US-16-150W PoE-Switch im Einsatz habe, versorge ich auch alle anderen PoE-fähigen Geräte damit. Also die APs und auch die kleinen US-8-Switches, die wiederum jeweils einen PassThrouh-Port haben, an dem entweder ein AP oder auch ein Yealink-SIP-Telefon hängt. Die SIP-Geräte meiner Cloud-Telefon-Anlage werden natürlich ebenfalls per PoE versorgt.

Verkabelung

Auf die drei kleinen US-8-Switches hätte ich zwar gerne verzichtet, aber als wir unser Haus vor zwölf Jahren gekauft haben, war die Komplett-Vernetzung sämtlicher Geräte im Haus einfach noch nicht vorstellbar. Und so habe ich leider nicht in alle Räume ausreichende LAN-Kabel verlegt. Smartphones gab es da noch nicht und das WLAN wurde nur benötigt, um vielleicht mal das Notebook auf dem Sofa zu nutzen. Und wer hätte damals schon daran gedacht, dass man mal Firmware-Updates für die Wohnzimmer-Beleuchtung oder die Personenwaage einspielen muss.

So wurde damals nur das Büro mit ausreichenden Netzwerkdosen versorgt und der Rest des Hauses wurde etwas vernachlässigt. Also dienen die kleinen US-8 nun als LAN-Multiplikator. Denn auch wenn die meisten Geräte heute per WLAN genutzt werden können, wähle ich sofern möglich immer noch lieber die Variante per LAN-Kabel. Alles läuft natürlich zentral in einem 19-Zoll-Serverschrank zusammen. Man glaubt ja kaum, wie schnell so ein Schrank voll ist...

Pi-hole

Nicht zu vergessen ist natürlich noch der Pi-hole, der hier als zentraler DNS-Server und Werbe-Blocker fungiert und somit auch eine wichtige Funktion erfüllt. Darauf gehe ich aber bereits in einem anderen Blog-Artikel sehr ausführlich ein.

Provider

Da ich das Ganze hier nicht nur privat nutze, sondern insbesondere für meine Firma benötige, ist für mich natürlich der zuverlässige Internet-Zugang eine absolute Grundvoraussetzung. Also habe ich inzwischen zwei Internet-Anbindungen. Dank des USG, der ja zwei WAN-Ports hat (dazu muss man den als VoIP bezeichneten Port als WAN2 konfigurieren), habe ich neben dem Kabel-Anschluss bei Unitymedia noch einen Vodafone-DSL-Anschluss, der als Ausfallsicherung konfiguriert ist. Bei Unitymedia habe ich einen Business-Anschluss mit 400/20 MBit und fester IPv4-Adresse. Bei Vodafone habe ich einen normalen DSL-Anschluss mit 50/10 MBit.

Auch wenn Unitymedia wirklich zuverlässig ist, kommt es ja meist im unpassendsten Moment, dass die Leitung mal für ein paar Minuten weg ist. Ich will mich überhaupt nicht beklagen, aber es kommt dann eben doch alle ein bis zwei Monate mal vor. Oder irgendwelche Pappnasen buddeln auf der Straße das Kabel kaputt. Sowas dauert dann natürlich etwas länger...

Bevor ich den zusätzlichen DSL-Anschluss gebucht habe, hatte ich mir ein LTE-Modem von Netgear angeschafft und eine zusätzliche SIM-Karte zu meinem Mobilfunktarif gebucht, mit der ich mein Inklusiv-Volumen mitnutzen konnte. Das hatte zwar grundsätzlich funktioniert, aber irgendwie war das trotzdem Murks, da es doch immer eine Weile gedauert hat, bis der Failover geklappt hat, bzw. weil das LTE-Modem einfach nicht schnell genug reagiert hat oder erst die LTE-Verbindung neu herstellen musste. Außerdem haben natürlich alle Geräte im Netz weiter munter an der Leitung gesaugt, ganz zum Leidwesen meines Inklusiv-Volumens...

Der Failover zwischen Unitymedia-Kabel und Vodafone-DSL hingegen klappt wirklich reibungslos. Im Idealfall bekommt man das gar nicht mit. Eventuell gibts im Browser mal eine kurze Gedenksekunde, aber die kann ja auch andere Gründe haben. Per Mail vom UniFi-Controller wird man dann aber darüber informiert, dass mal kurz „umgeschaltet“ wurde. Aber wie gesagt, so häufig kommt das nun auch nicht vor.

Meine Konfiguration

Genauso wichtig wie die Auswahl und Verkablung der Hardware ist aber auch die Konfiguration des gesamten Systems. Habe ich zunächst nur zwischen dem privatem und dem Gastnetz (als reines WLAN) unterschieden, sieht mein Netzwerk inzwischen doch deutlich differenzierter aus.

Aktuell senden meine APs vier verschiedene WLAN-SSIDs aus (mehr als vier SSIDs sind leider nicht möglich) und es gibt aktuell fünf VLANs sowie das Management-LAN, das ohne VLAN-ID auskommt. Im Management-LAN befinden sich also die ganzen UniFi-Geräte oder auch der Pi-hole, da diese ja von jedem Gerät im lokalen Netz gesehen und genutzt werden müssen.

Adressbereiche

Das gesamte Netz habe ich auf den privaten Class-A-Netzadressbereich eingerichtet. Natürlich benötige ich niemals so viele IP-Adressen, aber der Adressbereich 10.x.x.x lässt sich einfach optisch viel übersichtlicher aufteilen, als der üblicherweise genutzte Class-C-Adressbereich 192.168.x.x. Bei mir beginnen also jetzt alle IP-Adressen mit der 10 und das zweite Oktett entspricht der VLAN-ID. So sieht das im Controller in der Endgeräte-Liste sehr übersichtlich aus. Dem größten Teil meiner Geräte habe ich übrigens eine statische IP-Adresse zugewiesen.

Das Gastnetz

Das klassisches Gastnetz ist natürlich vorhanden und hat eine eigene VLAN-ID. Dort ist auch die Client-Isolation aktiviert, das bedeutet, die Geräte im Gastnetz können sich gegenseitig nicht sehen und nicht miteinander kommunizieren. Das Gastnetz (also das entsprechende VLAN) ist auch auf einigen Switch-Ports im LAN eingerichtet, sodass z.B. der Firmen-PC meiner Frau über LAN nur ins Gastnetz kommt.

Ich habe allerdings einige Geräte, wie z.B. den Netzwerk-Drucker von der Client-Isolation ausgenommen, sodass auch aus dem Gastnetz gedruckt werden kann. Das Gast-Portal (Captive-Portal) nutze ich nicht – die Anmeldung im Gastnetz erfolgt ganz normal mit einem allgemeinen Passwort.

Weitere VLANs

Sehr wichtig war mir, dass mein gesamtes Firmen-Netz komplett vom Rest des Netzes getrennt ist. Die PCs, Drucker, Server, Firmen-iPad (dafür gibt eine eigene Office-SSID), etc., befinden sich natürlich auch in einem eigenen VLAN, auf das die Geräte der anderen VLANs keinen Zugriff haben. Lediglich der Drucker ist wie gesagt davon ausgenommen, sodass jeder im Netz drucken kann. Außerdem hat natürlich mein eigener PC als Netzwerk-Admin Zugriff auf alle anderen VLANs.

Das ist auch einer der Gründe, warum ich nun doch einen CloudKey einsetzen will. Denn aktuell befindet sich der Unifi-Controller auf dem Server im Office-VLAN. Um das sauberer zu trennen, wird der Controller also zukünftig autark auf dem CloudKey im Management-LAN laufen. Denn da gehört der ja auch hin. Aktuell hat UniFi aber wohl noch ein paar Lieferschwierigkeiten bei den neuen Gen2-CloudKeys. Mal sehen, wann der kommt.

Ebenfalls in einem getrennten VLAN befinden sich alle VoIP-Telefone. Diese benötigen ebenfalls außer der Administration (die ja von meinem PC aus möglich ist) keinerlei Zugriff auf das restliche lokale Netz. Und da diese an der Cloud-Telefon-Anlage von Placetel angebunden sind, findet ja nicht mal eine direkte Kommunikation untereinander statt.

Firewall-Regel zum Blocken des Zugriffs vom LAN auf das VoIP-VLANDie Firewall-Regeln werden im UniFi-Controller unter Einstellungen -> Routing & Firewall -> LAN Eingehend konfiguriert. Wichtig ist, dass die Regeln vor den vorkonfigurierten Regeln ausgeführt werden. Auch die Freigaben z.B. für den Drucker müssen vor den Block-Regeln stehen. Im Support-Forum von UniFi ist das auch nochmal mit einigen Beispielen beschrieben.

Ein weiteres VLAN, das ich auch als Gastnetz (allerdings ohne Client-Isolation) eingerichtet habe, ist für die Kids. Das Notebook der Kids befindet sich zwar aktuell quasi alleine in diesem VLAN, aber ich wollte den Rechner ebenfalls komplett getrennt vom Rest des Netzes haben. Und es geht vermutlich schneller als mir lieb ist, dass sich die Kids das Notebook nicht mehr teilen, sondern jeder ein eigenes haben wird...

Der Rest der Geräte, also Smartphones, Tablets, Multimedia-Kram wie Apple-TV, AV-Receiver, etc. und auch die Smarthome-Geräte, wie die Innogy-Zentrale, die Philips-Hue-Bridge, oder Amazon Alexa befinden sich im „Default“-VLAN. Ein Großteil dieser Geräte muss ja untereinander kommunizieren können, z.B. um mit dem iPhone das Licht zu steuern oder per AirPlay ein Video auf dem Apple-TV zu streamen. Diese Geräte benötigen aber eigentlich keinen Zugriff auf die Geräte in den anderen VLANs.

Insgesamt sind das zusätzlich zum Management-LAN also fünf VLANs, deren Geräte abgesehen von einigen Ausnahmen nur untereinander, oder im Falle des Gastnetzes gar nicht miteinander kommunizieren können. Ein Aufteilung in weitere VLAN ist im Augenblick nicht vorgesehen, da mir eine weitere Trennung mit zu vielen Ausnahmen verbunden wäre, was die Konfiguration dann wieder unnötig komplex machen würde.

Fazit

Soweit zu meiner aktuellen Konfiguration. Wie man unschwer herauslesen kann, bin ich mit dem UniFi-System immer noch total zufrieden und würde es jederzeit wieder wählen. Gerade die Skalierbarkeit und die umfangreichen Konfigurations-Möglichkeiten machen das System für mich quasi konkurrenzlos.

Falls Ihr Anmerkungen oder Fragen dazu habt, immer her damit ;-)

Bisher 9 Kommentare
  1. sinned

    sinned

     

    4. Februar 2019, 21:21 Uhr

    Ubiquiti klingt ganz interessant. Auch Kollegen auf der Arbeit berichten viel gutes.
    Für meine kleine 45m² Wohnung scheint mir das allerdings etwas überdimensioniert. Ich suche aktuell noch einen Access Point der ohne Controller auskommt und trotzdem Fähigkeiten wie Multi SSID mitbringt

  2. Thomas Mielke

    4. Februar 2019, 21:22 Uhr

    @Sinned: Ok, für eine kleine Wohnung ist das in der Tat vermutlich etwas überdimensioniert. Allerdings sind andere Lösungen die diese Möglichkeiten bieten auch nicht unbedingt günstiger. Wenn Du den USG 3P, einen kleinen 8-Port Switch (den mit Passthru) und einen AP-AC-Lite nimmst, solltest Du unter 300 Euro bleiben. Ein vergleichbarer WLAN-Router mit den ähnlichen Möglichkeiten ist sicher nicht viel günstiger.

  3. Sissi

    Sissi

     

    5. März 2019, 16:39 Uhr

    Hallo Thomas,
    habe mit viel Interesse beide Artikel zu Ubiquiti gelesen - wobei ich immer noch nicht ganz sicher bin, ob ich bei uns im Haus mit 1 AP pro Etage auskomme (ca. 135m² - 15x9m). Es wäre eine Deckenmontage, am Ende des ersten Drittels (also nach 5m, mittig) vom Haus - Wände sind Holzmassiv, also zumindest kein Beton. Denkst du ein AC PRO reicht aus?

  4. Thomas Mielke

    5. März 2019, 16:44 Uhr

    @Sissi: Ich denke, dass ein AC-Pro je Etage erst mal reichen sollte. Aber das musst Du testen. Wenn es nicht reicht, kannst Du ja immer noch erweitern. Eventuell auch nur in der Mesh-Variante, also ohne Kabel zum AP.

  5. Sissi

    Sissi

     

    5. März 2019, 17:17 Uhr

    Danke fürs Feedback! Ja, versuchen werd ich es jedenfalls erstmal so :)

  6. Markus Bechler

    Markus Bechler

     

    18. März 2019, 10:49 Uhr

    Hi Thomas,

    vielen dank für deine super Blogbeiträge :). Ich habe selbst eine UniFi Umgebung in Betrieb und bin super zurieden damit. Allerdings hab ich zwei Fragen an dich.
    Hattest du anfänglich auch Probleme mit dem USG was Verbindungen innerhalb des Netzwerkes angeht? Ich habe meine USG-Pro4 am Freitag in Betrieb genommen und habe nun deutlich Probleme alle meine Sonos Boxen zu erreichen bzw. das diese sich im WLAN anmelden - hast du da eine Idee? Beim USG habe ich nun noch keine weiteren Einstellungen vorgenommen - sollte ich hier DPI aktivieren? Sieht man dann geblockte Verbindungen oder muss ich mir hier irgendwo einen rsyslog Server aufbauen?

    Zum anderen habe ich gesehen dass du zum 24 Port Switch 2000 FDX hast vom PoE Switch - hat das einen speziellen Grund oder einfach nur Performance?

    Vielen Dank und viele Grüße,
    Markus

  7. Thomas Mielke

    18. März 2019, 11:04 Uhr

    @Markus Bechler: DPI kannst Du aktivieren, dazu muss aber der Controller dauerhaft laufen, bzw. Du benötigst einen CloudKey. Allerdings ist das eine reine Statistik und kein Fehlerprotokoll. Ich habe mir einen RaspberryPi als Syslog-Server eingerichtet und leite alle Protokolle dorthin um. Im Controller kann man diese ja leider nicht einsehen.

    Wegen Deiner Sonos-Probleme: Hast Du Auto-Optimize-Network aktiviert? Das macht bei manchen Geräten Probleme. Wenn ja, dann schalte das mal aus.

    Den 2GB FDX habe ich aktiviert, weil ich noch Ports dafür frei hatte. Ob die Performance dadurch spürbar besser wird, glaube ich nicht. Das ist vermutlich nur messbar...

  8. Markus Bechler

    Markus Bechler

     

    18. März 2019, 15:25 Uhr

    Hallo Thomas,
    danke für deine rasche Antwort. Den Auto-Optimize-Network hab ich tatsächlich an... dann werde ich den heute mal deaktivieren un sehen wie sich das verhält. Der Controller läuft aktuell auf einem CloudKey soll aber durch einen CloudKey Gen2+ abgelöst werden... sobald das 19" Rackmount in DE verfügbar ist.
    Das mit den Logs hab ich nun auch schon mehrfach gelesen, wie ist die Performance auf dem RPi und dem Syslog Server - ich überlege eine Splunk Docker Instanz auf meinem NAS zu betreiben!

    Noch eine Frage zum USG - gibt es irgendwo ein HowTo um alle nötigen Default Regeln einzustellen etc. oder ist das im Auslieferzustand schon mal "verwendbar"? Ich hab nur Probleme mit Windows DirectAccess vom Arbeitslaptop in Richtung Arbeitgeber (aktuell muss ich ins Guest WLAN, dort geht es)...

    Viele Grüße und vielen Dank!

  9. Thomas Mielke

    18. März 2019, 16:20 Uhr

    @Markus Bechler: Wenn Du ein neues Netzwerk definierst, dann sollte das im Prinzip sowas wie Standard-Einstellungen haben.

Dein Kommentar?

Menschlich? Dann gib bitte die 5 Zeichen genau so ein, wie Du sie in der Grafik lesen kannst. Keine 5 Zeichen? Erzeuge einfach einen neuen Code.

Gravatar:

Wenn Du möchtest, dass Dein Bild neben Deinem Kommentar erscheint, dann melde Dich einfach bei Gravatar an.

Nutzungshinweise:

Dein Kommentar erscheint nicht automatisch, sondern wird erst nach einer Prüfung manuell freigeschaltet. Ich behalte mir vor alle Kommentare zu löschen, die

  • rassistische, sexistische oder gewaltverherrlichende Inhalte haben,
  • zu kriminellen Aktionen aufrufen oder diese verteidigen,
  • beleidigende Inhalte besitzen,
  • Werbung für Dritte darstellen oder deren Inhalte einem Link auf fremde Angebote gleichkommt.