Ubiquiti Controller fråga, flera siter.

frav · 27 jun 2017 15:05

Hej!

Jag tänkte påbörja att byta ut min ASUS & Netgear nätverksutrustning steg för steg till Ubiquiti UniFi produkter.

Jag har två "siter" med egna internetförbindelser. Jag skulle vilja managera dessa i samma Controller gränsnitt, om det är möjligt. Tänkte först ut införskaffa 2st UniFiSwitch US-8-150W (1st per site), samt om det räcker med en UniFi CloudKey. Därefter kommer det vart det lider bli UniFi USG & UniFi APs + någon extra UniFi switch.

Men första frågan är alltså om jag kan få in olika icke sammanlänkade siter i samma CloudKey Controller, eller om jag behöver 2st CloudKey enheter?

Zaphod · 27 jun 2017 15:40

Nja, utan någon förbindelse mellan siterna blir det ju svårt att managera dessa i samma Controller.

Hade du även haft en USG på respektive site kunde du ju enkelt kört VPN mellan dem och managerat allt i samma controller

frav · 27 jun 2017 16:54

Förbindelse är där ju på internet-nivå. Båda ställena har internet via fiber.

Zaphod · 28 jun 2017 08:08

Jo visst är där internet, men du vill väl inte köra din controller och dina accesspunkter på Internetsidan antar jag, utan på dina privata nät. Dina privata nät på respektive sida har ju ingen kontakt med varandra. Controllertrafiken vill du nog inte köra oskyddat över internet, därav att jag skrev VPN mellan siterna.

frav · 28 jun 2017 14:23

Men den heter ju CloudKey. Hur mycket info har man då delat med sig? I.o.m. att man parar ihop den med ett konto hos Ubiquiti & väl kan ha åtkomst från vilken "internet browser som helst"? Så konfigurations infon är väl ändå spridd för vinden utanför ens egna territoriet?

mexitegel · 28 jun 2017 15:19

Cloudkeyn behöver ha direkt åtkomst till alla accesspunkterna för att fungera bra. Det går kanske att mecka till det med VPN:er eller öppna upp brandväggar etc. men då får man troligen mer huvudvärk i form av att säkerheten mellan näten. En cloudkey är så billig att det inte är motiverat att göra på något annat sätt än det rekommenderade.

Cloudkeyn använder en molntjänst i vilken du kan logga in för att managera alla dina clloudkeys mm. Gissar att det är därifrån namnet kommer.

Zaphod · 29 jun 2017 17:51

Ok, har inte använt cloudkey, använder bara den vanliga controllern. Jag sköter om fem olika kontor på jobbet, allt managerat i samma controller, som egna siter. Dock har vi ju pfSense på alla kontor och har då konfat VPN mellan alla kontor. Det är inga konstigheter och ställer inte till några problem.

mexitegel · 29 jun 2017 18:32

Mitt svar baserades på antagandet att TS ville ha två fysiskt och logiskt åtskilda nät. Kopplar man samman näten på ett eller annat vis funkar det såklart bra med en gemensam controller. Men då är det ju per definition inte två nät längre

.

Zaphod · 29 jun 2017 21:34

Det har du helt rätt i, vill man hålla det som två nät går det ju inte att koppla ihop dem, inte utan att få mycket pyssel iallafall...hålla det som två helt skilda nät, med en cloudkey...det tror jag inte går.

Sammy_j · 29 jun 2017 22:12

Jag kör en controller till tre olika siter men allt går via VPN mellan varje site.

Har du inte VPN så krävs en CloudKey på varje site. Det cloudtjänsten gör är att förenkla inloggningen.

dunderklumpen · 30 jun 2017 23:36

Sammy_j skrev:
Har du inte VPN så krävs en CloudKey på varje site. Det cloudtjänsten gör är att förenkla inloggningen.

Stämmer det verkligen? Jag ska sätta upp 2 AP i sommarstugan nästa vecka, men jag hade tänkt styra allt från controllern hemma. På Ubiquitis hemsida står det så här:

Multi-Site Management was introduced in UniFi version 3. This feature allows you to have multiple logically separated "sites" to manage groups of devices. For example, you could have a building on the East coast and one on the West coast, each needing different SSIDs or security protocols, both managed from a single controller.

Taget härifrån: https://help.ubnt.com/hc/en-us/articles/204952174-UniFi-Configuring-Multiple-Sites

Framförallt sista delen med olika ssid tyder på att man ska kunna köra helt separata nät i samma controller, tycker jag.

Hade varit bra att få kläm på innan jag drar igång installationen

mexitegel · 1 jul 2017 08:15

Med site menas en gruppering av AP. SSID är ju en en form av logisk indelning av trådlösa nät. Inte att näten i sig är skilda. För att controllers ska kunna upptäcka AP så du kan konfigurera och managera dem behöver de sitta på samma nät som controllern.

Det kan dock vara möjligt att det går att få att fungera om du sätter upp controllern på ett av dina nät och öppnar upp portar utifrån och in i din brandvägg samt konfigurerar upp varje AP på din andra site med SSH och sätter controllerns adress manuelllt.

EDIT: Det bör även funka om du sätter upp intern och extern DNS och kör FQDN på controllern samt öppnar nödvändiga portar i FW. Då kan du konfigurera upp alla AP på ditt lokala nät från controllern (och slipper mecka med SSH) och bara flytta AP till din andra site. De kommer då hitta controllern.

dunderklumpen · 1 jul 2017 09:32

Tack för svaret, @mexitegel. Det ska bli spännande att se vad det blir av det. Jag har anslutet controllern till Ubiquitis cloud-access också, och jag ser min controller från andra nät än hemma. Jag får helt enkelt testa att sätta upp en AP i sommarstugan och se till vilken site jag kan ansluta den. Hemma-siten, stugan eller en helt ny.

Återkommer när fibern är igång i stugan

mexitegel · 1 jul 2017 13:34

Som sagt. Om inte controllern och APs kan kommunicera (på minst UDP port 10001 och TCP port 8080, det kan vara fler portar - minns inte detta på rak arm) så kommer det inte fungera. En AP i din sommarstuga kan inte nå din Controller i ditt hemmanätverk helt magiskt då båda sitter bakom varsin firewall på privata IP-nät.

dunderklumpen · 1 jul 2017 14:06

Helt rätt, så klart. Men verkar någorlunda lätt, om än inte magiskt. Det är set-inform URL:en till controllern som är avgörande. Med Ubiquitis app är det någorlunda lätt, tydligen.

Discovery utility
Not many environments can have a DHCP server that's configurable, even less likely with a DNS server. That's where UniFi Discovery Utility comes in. It listens to the multicast/broadcast packets from UniFi APs and allow you to tell the AP to inform any URL you'd like. (only APs in default state or not in contact with any controller will be displayed)

UniFi Discovery utility is installed along with your UniFi controller.

On Windows, it's in Start Menu->Ubiquiti UniFi->UniFi-Discover
On Mac, /Applications/UniFi-Discover.app (or use Spotlight to find it)
Run "java -jar <unifi_base>/lib/ace.jar discover"

To perform L3 adoption with the discovery utility:

Wait until the AP shows up
If the AP is not in default state. click "reset", specify the SSH username/password and click "Apply"
Click on "manage", modify the inform URL and leave the SSH username/password as ubnt/ubnt and click "Apply"
Open a browser to your remote UniFi controller and you should see it being "Pending Approval"
Click on "adopt". You'll see it going to "Adopting" state, ignore it as it'll eventually become "Adoption Failed" or "Disconnected"
perform [step 3] again (no need to wait for [step 5] to finish)
AP is now managed by the controller

Once adopted, the Controller will upgrade these units automatically.

The option of the Ubiquiti Discovery Tool Chrome Extension is also available, downloadable directly from Google Chrome here, or from our UBNT download page.

Note: If your L3 controller is available over the WAN then you need to make sure the necessary ports are open at the controller side (minimum port 8080 for inform). If you do not have a static IP then you may want to consider using a dynamic DNS service, and use the domain name instead of the IP for the inform address. If you're using a USG then you can use the DDNS client that is available on that device itself.

Från https://help.ubnt.com/hc/en-us/arti...yer-3-methods-for-UAP-adoption-and-management