Не запускается контроллер unifi: Не запускается UniFi Controller — что делать?
Базовая настройка Ubiquiti Unifi Controller и бесшовного WiFi
Одно из наиболее доступных и простых решений на рынке бесшовного WiFi можно реализовать на базе оборудования и ПО Ubiquiti серии Unifi. Рассмотрим базовый сценарий развертывания бесшовной беспроводной сети.
Установка Ubiquiti Unifi Controller
Ubiquiti Unifi Controller поддерживает сразу 3 платформы: Windows, Linux и Mac OS. Мы будем рассматривать его развертывание под Windows.
Cкачаем свежую версию контроллера с сайта Ubiquiti — https://www.ubnt.com/download/unifi — и запустим установку:
Процесс минималистичен, нельзя даже выбрать каталог для установки контроллера (к слову, он устанавливается в каталог %USERPROFILE%\Ubiquiti UniFi). После завершения установки, жмем Finish:
Настройка Ubiquiti Unifi Controller с помощью мастера UniFi Setup Wizard
В открывшемся окне контроллера жмем Launch a Browser to Manage the Network:
При первом запуске контроллера запускается мастер настройки. Выбираем страну и часовой пояс. При необходимости в этом же диалоговом окне можно запустить восстановление контроллера из резервной копии (см. зеленую стрелку на скриншоте). Жмем Next:
Контроллер сразу же обнаружит доступные точки доступа, подключенные к сети (если точки доступа присоединены к другому контроллеру, то в этом списке они не появятся). Отмечаем нужные нам точки доступа галочками и жмем Next:
На следующем шаге можно настроить первую WiFi сеть. Вводим ее SSID и ключ доступа. При необходимости можно сразу настроить гостевой доступ (см. зеленую стреку на скриншоте). Жмем Next:
Теперь создаем аккаунт администратора: вводим название учетной записи и пароль дважды. Next:
И завершаем работу мастера нажатием Finish:
Присоединение новых точек доступа к Ubiquiti Unifi Controller
После завершения работы мастера настройки, входим в контроллер под ранее созданной учетной записью администратора:
И попадаем в панель управления контроллером:
Доприсоединим точки доступа к контроллеру. Нужная нам точка доступа находится под управлением другого контроллера. Установим над ней контроль: войдем в меню Devices, кликнем по ней, в появившемся справа окне свойств нажмем Advanced Options:
Введем ее логин и пароль (по умолчанию — ubnt/ubnt) и нажмем Adopt:
Спустя полминуты точка доступа присоединится к нашему контроллеру:
Новые точки доступа, подключенные к сети, подключаются аналогичным образом, только для них не нужно вводить логинов и паролей — достаточно просто скомандовать Adopt.
Теперь между точками доступа уже работает роуминг клиентов. WiFi-сеть уже вещается, клиенты могут переходить из зоны покрытия одной точки доступа в зону покрытия другой, при этом не теряя соединение.
Легкий тюнинг
Если у вас есть план помещений/местности, где будет развернута беспроводная сеть, то его можно использовать полезным для обслуживания сети образом. Зайдем в меню Map, кликнем на Sample в правом верхнем углу, затем на Configure Maps:
В появившемся окне нажмем Add a map:
Откроется диалоговое окно проводника Windows, где можно выбрать графический план помещения. После подтверждения выбора мы окажемся в окне Add Map. Вверху вводим название и жмем Done:
Теперь на нашей карте размещен наш план. Раскидаем по нему точки доступа. Жмем по кнопке .. Unplaced Devices и перетягиваем точки доступа из открывшегося окошка на план:
Вверху плана можно включить отображение зоны покрытия точек доступа (кнопка Coverage) и частотный диапазон. Сами точки доступа кликабельны. Жмем на одну из точек доступа, затем на шестеренку. Справа откроются ее свойства. В меню Configuration можно задать Alias (название, которое будет отображаться в списке устройств и на плане местности). Наша первая точка доступа получила имя «1 этаж — офисный блок»:
В свойствах Radios можно выбрать каналы WiFi, частотный спектр и мощность передатчика:
В свойствах WLAN выбираются WLAN-группы, а также назначаются WiFi-сети, которые будут вещать точки доступа (для двухдиапазонных точек доступа наподобие Ubiquiti Unifi AP Pro, будет 2 набора опций для обоих частотных диапазонов). Нажмем Override:
Тут можно отключить вещание сети на точке доступа и задать VLAN:
Вернемся в режим конфигурации точки доступа и заглянем в секцию Network. Тут можно задать способ получения сетевых настроек точки доступа: статические или получаемые по DHCP. Нас вполне устраивает вариант с DHCP:
Обзор настроек Ubiquiti Unifi Controller
Посмотрим, что таится в глубинах конфигурации контроллера. Внизу слева кликнем по Settings:
В появившемся окне настроек есть 9 секций. Начнем с Site. Тут:
1. задается название т.н. «сайта». Параметр носит косметический характер. Для удобства администрирования мы предпочитаем использовать наши внутренние наименования локаций. Свой «сайт» мы назовем «Офис — Одинцово». Понятное название упрощает управление ИТ-ресурсами: не надо вспоминать, какой конкретно контроллер открыт. Видно сразу. Также точки доступа Ubiquiti Unifi могут «передаваться» между контроллерами (функцией Move). Контроллеры в одном широковещательном домене видят друг друга, видят имена друг друга, что позволяет перемещать точки доступа, не ломая себе голову, куда именно осуществляется перемещение;
2. включается/отключается автоматическое обновление прошивок точек доступа и IP-телефонов Ubiquiti;
3. включаются/отключаются светодиодные подсветки точек доступа;
4. включаются/отключаются email-оповещения;
5. включается/отключается монитор соединений точек доступа и Wireless Uplink;
6. настраивается SNMP и логирование событий на выделенный сервер syslog:
В секции Wireless Networks, как ни странно, осуществляется управление беспроводными сетями. Здесь можно создавать новые SSID и управлять уже созданными. Также тут осуществляется настройка шифрования и ключей безопасности сетей, сокрытие SSID, настройка VLAN, выбор групп, на основе которых можно настраивать политики доступа, о чем мы еще вспомним чуть ниже, и настройка расписаний работы беспроводных сетей:
В секции Networks можно настроить IP-сети. Тут же включаются DHCP, настраиваются WINS, настраиваются сетевые диапазоны IP для гостевых сетей, VPN и VLAN’ы. Для базовой настройки достаточно указать используемую подсеть, а также включить/выключить DHCP (в зависимости от того, есть ли он в вашей сети):
Теперь перейдем в секцию User Groups. Тут можно создавать группы пользователей и управлять ими, а также задавать им ограничения полосы пропускания. Хорошей практикой считается выделение полос пропускания для сотрудников (среднюю), гостей (минимально возможную для комфортного использования браузера и электронной почты) и руководства (максимально возможную):
Перейдем в секцию Controller. Тут можно нужно задать ему hostname или IP, включить его обнаружение на уровне L2 (широковещание), настроить параметры SMTP для отправки уведомлений на почту:
В секции Maintenance скрываются возможности сделать/восстановить резервную копию, а также настроить уровень подробности ведения логов.
На этом, пожалуй, наш мини-обзор можно считать оконченным.
Одно из главных преимуществ решений Ubiquiti в области бесшовного WiFi — это простота их реализации. А в сочетании с более чем доступной ценой оборудования, можно смело говорить о том, что конкурентов по соотношению цена/качество у Ubiquiti не так уж и много. Если они вообще есть.
Немного о Unifi. Запуск unifi controller в виде сервиса в win2k8r2. Фильтр мак-адресов.
Рано или поздно во всех компаниях возникает вопрос расширения зоны покрытия wi-fi сети. Самый просто вариант — покупаем еще одну точку доступа и создаем еще одну сеть. Вариант подходит тем, у кого все сотрудники «стационарны» и не перемещаются из зоны действия одной сети в другую.
Вариант второй: покупаем точку той же модели, что и предыдущая и настраиваем wi-fi repeater. Выглядит просто, но на деле приходится сталкиваться с различными проблемами.
Вариант третий: купить точки Ubiquiti UniFi. Их прелесть в том, что сами точки, по сути, просто передатчики. Вся логика вынесена в отдельную программу-контроллер, которая может быть установлена на windows, linux, mac os. Таким образом, расширяется сеть путем установки новых точек доступа и добавления их в контроллер.
Но если бы все было так просто, этой заметки не появилось бы в моем блоге. Всем админам хочется сделать систему максимально автономной и не требующей вмешательства в случае перезагрузок. По умолчанию, unifi controller запускается в виде обычного приложения. Т.е. после каждой перезагрузки, необходим ручной запуск — иначе новые устройства не смогут подключиться (старые будут работать). К счастью, производитель предусмотрел вариант запуска приложения в качестве сервиса. Согласно мануалу необходимо выполнить:
1. Закройте UniFi, если он запущен.
2. Добавьте в переменную PATH путь к Java. Путь будет таким C:\Program Files (x86)\Java\jre6\bin или C:\Program Files\Java\jre6\bin (либо jre7, в случае использования java 7).
3. Запустите с правами администратора командную строку (cmd.exe) и перейдите в директорию с файлами UniFi (cd «%userprofile%/Ubiquiti Unifi»).
4. Выполните java -jar lib\ace.jar installsvc
5. Запустите сервис.
А вот здесь, если у вас windows server 2008 r2, можно добавить пункт 6 — убедитесь, что сервис не стартует с «говорящей» ошибкой
The unifi controller service terminated with service-specific error: the operation completed successfully.
Проблема заключается в использовании 64-битной версии java. С ней запустить сервис, по какой-то причине, не удается. Для решения этой проблемы, необходимо доустановить jre x86 и изменить в переменной окружения PATH путь к java на директорию, содержащую версию x86 — C:\Program Files (x86)\Java\jre6\bin или C:\Program Files (x86)\Java\jre7\bin. После этого сервис запустится без ошибок.
Еще один вопрос, который может возникнуть — фильтрация MAC-адресов. Многие компании применяют этот метод в качестве одного из способов ограничения доступа в wi-fi сеть. По какой-то причине, разработчики UniFi не включили этот функционал в возможности контроллера. Но он доступен в виде дополнения от команды тестировщиков UniFi — unifi-lab-master.
Качаем дополнение, скачиваем Python 2.7 x86-64, если у вас windows x64 (не 3 ветку!), устанавливаем и добавляем в переменную PATH путь к нему — C:\Python27 по умолчанию. Качаем cURL с поддержкой SSL. Распаковываем его и кладем в директорию со скриптами unifi-lab. Редактируем, при необходимости, конфигурационный файл unifi_lab_production.ini и запускаем unifi_lab.py. В файл unifi_lab_mac_auth.list вносим мак-адреса устройств, которым разрешено подключение к сети (по одному в каждой строке). Файл перечитывается постоянно, поэтому изменения вступают в силу сразу после сохранения.
Для того, чтобы не запускать скрипт вручную, его можно конвертировать в exe при помощи py2exe. После этого создаем задание в планировщике на запуск программы при старте системы, настраиваем его на запуск вне зависимости от входа пользователя и снимаем галочку «Stop the task if it runs longer than 3 days».
Теперь перезагрузки будут не страшны — все запустится автоматически.
Диагностика и индикаторы состояния работы точек UniFi AP – gotoADM.ru
Диагностика и индикаторы состояния работы точек UniFi AP
Содержание:
В функционировании системы UniFi могут возникать различные неисправности:
- Потеря питания или кабельного подключения точками доступа.
- Логическое нарушение соединения точек доступа и контроллера в режиме L3 подключения.
- Не запускается контроллер UniFi.
Потеря питания или кабельного подключения отслеживаются по сообщению в Alerts и подсвечиванию точки доступа красным цветом на карте.
Состояния точек доступа UniFi:
Состояние точки доступа | Возможные причины | Рекомендуемые действия | |
Connected | Зеленый | Точка доступа успешно подключена к контроллеру | Штатный режим |
Provisioning | Зеленый | Точка доступа успешно подключена на ней | Штатный режим |
Adopting | Оранжевый | Точка доступа подключается к контроллеру | Действия не требуются |
Pending | Оранжевый | Точка доступа обнаружена | Можно подключить точку |
Managed by | Любое | Точка доступа настроена для работы с другим контроллером | Сбросьте точку кнопкой Reset к заводским настройкам или |
Isolated | Периодически | Невозможность пропинговать адрес Сonnectivity Monitor. | Проверить состояние узла, используемого в качестве |
Disconnected | Оранжевый | Потеряна связь точки доступа с контроллером | Кратковременно данное |
Проблемы логического взаимодействия точек доступа с контроллером из другой подсети возникают из-за невозможности точки найти контроллер. В этом случае проверьте следующие параметры сети:
- Совпадает ли VLAN, в котором находится контроллер, с VLAN точек доступа, не тегирован ли он?
- Корректно ли работает маршрутизация между подсетями точек доступа и контроллера?
- Как точка доступа должна находить контроллер в другой подсети (DHCP option 43, DNS, с помощью утилиты)?
- Не фильтруются ли необходимые для работы контроллера порты между подсетями?
Стабильность работы контроллера зависит от того, используются ли другие сервера и службы на данном компьютере. В идеале под контроллер UniFi должен быть выделен отельный физический или виртуальный сервер. Если это сделать невозможно, то вам необходимо учитывать взаимодействие всех установленных на компьютере служб.
Крайне нежелательно запускать контроллер UniFi из-под учетной записи, содержащей кириллические символы. Если ваше имя пользователя в ОС Windows на русском языке, создайте пользователя на английском языке, залогинтесь под ним и выполняйте установку от этого пользователя.
Для работы UniFi контроллера должны быть открыты следующие порты:
- TCP 8080
- TCP 8443
- TCP 8880
- TCP 8843
- TCP 22
- UDP 3478
При запуске контроллера UniFi проверяется доступность портов, и выводится сообщение, если какой-либо из портов занят. Также данную информацию можно посмотреть в логах в файле C:\Documents and Settings\user\Ubiquiti UniFi\logs\server.log
Если порт занят, остановите контроллер и в файле C:\Documents and Settings\user\Ubiquiti UniFi\data\system.properties измените данный порт на любой неиспользуемый.
Содержание:
Нашли ошибку в тексте? Выделите фрагмент текста и нажмите Ctrl+Enter
UniFi мой опыт использования / Хабр
Одним прекрасным зимним днем, после очередного вызова по поводу отсутствия сети у сотрудника, я решил что дальше так продолжаться не может и ударил кулаком по столу хлопнул очередную кружку чая.
Подсчитав бюджет нашего IT отдела я немного приуныл, не видать нам корпоративного WiFi-я, и засел за изучение других вариантов. Заяндексив в гугле: корпоративный wifi дешево, я засел за изучение. От всех уголков интернета мне предлагали купить себе чудо заморское под названием UniFi. Еще немного гугления в яндексе и я уже был готов благодарить богов за создателей компании Ubiquiti.
С чистой совестью я закрыл браузер и хлопнул еще одну кружку чая.
С того момента прошло несколько месяцев и вот настал тот светлый час, когда мне на телефон позвонили… Оторвавшись от своих мыслей я поднял трубку и услышал: твоя неведомая хрень приехала. Можешь… Дальше я уже не слышал, потому что бежал по лестнице на склад…
Далее я постараюсь без всякой лирики провести мини обзор.
Осторожно. Под катом много фоток.
Эпизод первый: Unboxing
Заказывал я UAP LR-3. Вот они красавцы:
Рядом с третьей коробкой лежит планка памяти DDR-3
Начинаем распаковку. Коробочка делится на 2 отсека:
- Собственно сами тарелочки + крепеж + инструкция
- PoE блоки питания + кабели + крепежные винты
Никаких дисков в комплекте не шло.
В разложенном виде весь комплект уместился на 1-м квадратном метре пола:
В комплекте ничего лишнего:
- 3 точки доступа
- 3 блока питания PoE
- 3 кабеля питания для БП
- 3 металлических кольца для крепления точек к фальшпотолку
- 3 держателя для точек (на фото не указаны)
- 9 болтов для крепления держателей
- Одна инструкция
Интересная особенность. На блоке питания есть кнопка сброса настроек подключенной к нему точки. В первых ревизиях ее не было и, если что-то случалось с точкой, приходилось лезть под потолок, снимать точку, и выполнять перезагрузку. Сейчас, конечно, все стало удобнее.
А вот и сама точка с держателем:
До финишной установки держатель лучше не защелкивать, ибо открыть его потом будет проблематично.
Ну и на закуску блок питания с пресловутой кнопочкой reset.:
Эпизод второй: Установка
Точки позиционируются как корпоративные, поэтому никаких предустановленных ip адресов не имеют. Так что, хотябы изначально, в сети должен функционировать DHCP сервер. Если вы утянули точку с работы купили точку себе домой — это может стать небольшой проблемой.
Идем дальше. Web-морды точки не имеют, но ubiquiti любезно предоставляет нам контроллер под windows, linux и mac. Вот он то управляется через web интерфейс.
Итак если вы счастливый обладатель windows или mac — идем на офф. сайт и качаем свеженькую версию контроллера. Не знаю как с mac-ом, но с установкой на windows проблем у меня не было.
Отдельно стоит упомянуть про linux системы. Жмякаем на офф сайте ссылку: Release notes and other downloads и попадаем на страницу с описанием установки для ubuntu и debian. Обладателям других систем предлагается скачать zip архив и попытаться запустить все самостоятельно.
Стоит упомянуть что по этой инструкции поставить контроллер на debian 7 (ну конечно же, ведь инструкция написана для 5 и 6 версии debian) мне не удалось, но в интернетах нашлась инструкция как это все заставить работать. Итак:
- Курим инструкцию по установке mongo-db
- Добавляем ключи безопасности:
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv 7F0CEB10
- Добавляем репозиторий mongo-db:
echo 'deb downloads-distro.mongodb.org/repo/debian-sysvinit dist 10gen'>>/etc/apt/sources.list
- Обновляемся:
sudo apt-get update
- Устанавливаем mongo-db:
sudo apt-get install mongodb-10gen
Уффф… Половина пути пройдена. Можно приступать к установке контроллера.
- Добавляем ключи безопасности:
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv C0A52C50
- Добавляем репозиторий:
echo 'deb www. ubnt.com/downloads/unifi/distros/deb/squeeze squeeze ubiquiti' >> /etc/apt/sources.list
- Обновляемся:
sudo apt-get update
- Ставим контроллер:
sudo apt-get install unifi
- Открываем init скрипт в своем любимом редакторе:
nano /etc/init.d/unifi
- Ищем строку: JAVA_HOME — :/JAVA_, либо как-то по другому но с префиксом JAVA_HOME, и заменяем ее на «JAVA_HOME=/usr/lib/jvm/java-6-openjdk-amd64»
- Перезапускаем контроллер:
sudo service unifi restart
Все. Поздравляю. Теперь можно зайти на: https://:8443/manage и заполнить все необходимое.
Подробно на создании новых SSID я останавливаться не буду, ибо это делается элементарно в пару кликов. Остановлюсь только на одном моменте. Если вы хотите WPA-Enterprise и настроили radius сервер, то для всех точек нужно создавать один и тот же секрет, а не для каждой точки свой. Но это вопрос отдельной статьи.
Эпизод третий: О сколько нам открытий чудных…
Сюда я бы хотел вынести небольшой обзор фишек данного решения + мои наблюдения за пользователями
Итак приступим. Киллер фишкой которая показана даже на коробке — это показ зоны покрытия сети.
Карт можно загружать сколько угодно и переключаться между ними. Точку на карту можно устанавливать перетаскиванием на нее мышкой. Масштаб карты устанавливается нажатием на треугольник справа.
Вещь это здоровская и вау эффект она создает отличный, но, к сожалению, абсолютно бесполезная. Дело тут в том, что при расчете зоны покрытия не учитываются стены и перегородки. Оттого реальная зона покрытия будет отличаться он представленной. Но, в ее защиту, скажу что толк от карты все же есть. Можно видеть в какой комнате существуют проблемы с подключением, увидеть сколько юзеров подключено именно к этой точке. Ну и, конечно же, оценить примерную зону покрытия.
Идем дальше. Вкладка статистика:
Вот тут уже веселее. Тут можно бегло оценить какая точка нагружена больше, а также увидеть подлеца лидера — скачавшего и передавшего больше всего данных.
Вкладка: Access Points
Показывает все точки найденные в сети и управлять ими. Если какая-либо из точек была зарегистрирована на другом контроллере — управлять ей не получится, но видеть мы ее будем.
Вкладка: Users
Вот мы и добрались до самой вкусной вкладки. Тут отображается вся текущая активность пользователей. Кто качает, с какой скоростью, уровень сигнала, сколько скачал, сколько отдал и т.д. Еще тут можно заблокировать особо рьяных качунов 🙂 либо заставить клиента переподключиться к сети.
В заключении текущего эпизода хочу поделиться своими наблюдениями:
- Все любят халяву. Тут дело в чем. Я создал 2 точки: корпоративную (WPA-Enterprise) и гостевую (без шифрования, без интернета, без доступа в корп. сеть). На следующий день в гостях у меня побывали около сотни android-ов, WindowsPhone-ов, парочки Nokia и один IPhone. Было даже парочка ноутбуков из общежития напротив.
- Все проблемы пользователей — создают себе пользователи. Теперь я в этом убедился. Когда один
дятелпользователь начинает долго и нудно накачивать гигабайты — все остальные нервно курят в сторонке наслаждаясь пингами в 3000 мс. - Иногда бывает что клиент подключается к точке с низким уровнем сигнала. Тогда помогает переподключение к wifi, либо принудительный разрыв связи на контроллере.
- Даже самые дешевые wifi адаптеры могут устойчиво работать с хорошими точками доступа. Бывало что дешевенькие карточки на дешевеньких точках разогревались до такой степени, что плавили пластиковый корпус. Сейчас такого нет.
- Мощности сигнала точек хватает чтобы пробить 3 этажа в здании советской постройки. Правда стена в полтора метра толщиной все еще прекрасно гасит сигнал
Кирпичное производство
Казалось бы причем здесь кирпичи, но за время тестов я успел прикончить одну точку. Не знаю кто конкретно в этом виноват, но одна точка у меня, предположительно, не включилась. Ну да ладно обо всем по порядку. Я включил точку в сеть и ушел по своим делам. Когда вернулся обнаружилось что точка не подает признаков жизни и лишь раз в несколько минут конвульсировала своими светодиодами. На лицо были все признаки убитой прошивки. Вот тогда то я и сделал свой первый кирпич. Дальнейшее расследование показало что на контроллере стояла галка автообновления прошивки. Возможно я такой «счастливчик» и во время обновления пропадало электричество, а возможно точка изначально была поломанной. В любом случае ubiquiti позаботилась о таких бедолагах как я и прошивку я таки обновил по tftp и эта точка перестала меня больше беспокоить. Если кому-то «повезло» так же как и мне — привожу инструкцию по воскрешению:
- Копируем себе прошивку с контроллера /usr/lib/unifi/dl/firmware/BZ2/3.1.3.2187/firmware.bin, либо качаем с офф. сайта
- Отключаем свой комп от сети и подрубаем LAN порт на блоке питания в свой ethernet порт
- Настройте свой сетевой интерфейс на 192. 168.1.1/24. В дальнейшем точка будет иметь IP 192.168.1.20
- Отключаем питание от точки. Нажимаем кнопку сброса. Не отпуская кнопку сброса подаем питание на точку. Продолжаем удерживать кнопку сброса. Примерно через 14 секунд у вас начнет мигать индикатор на точке: желтый/зеленый/выключен. Все кнопку можно отпускать. Собственно попинговать точку у меня не получилось, но прошивка обновилась без проблем.
- Если у вас windows, то в командной строке вбиваем:
tftp -i 192.168.1.20 PUT [путь к файлу прошивки]\firmware.bin
- Все прошивка должна залиться. Теперь главное запастись терпением и ждать. Когда прошивка обновится — отключите питание, включите снова и нажмите кнопку перезагрузки в течении ~7 секунд. Зеленый индикатор начнет мигать. Отпустите кнопку сброса и передерните питание на точке.
На сайте пишут что если ждать в сервисном режиме слишком долго, то обновить по tftp не получится и придется перезаходить в сервисный режим. Я делал не торопясь и все равно не смог дождаться когда отключится tftp. Так что торопиться не стоит.
И еще одно замечание. Одному зайти в сервисный режим не так-то просто: двух рук определенно мало, но при должной сноровке попасть туда все таки можно.
Выводы
4 коробки по 3 точки в каждой нам обошлись в 1700 вечно зеленых, в то время как железный контроллер других производителей стоит около 10000 без учета точек доступа.
1 Точка может обслуживать более 100 клиентов. Новое поколение с AC стандартом обслуживают более 200 пользователей, но цена у них, пока, в 3 раза выше.
Если на точке пропадает сеть — она автоматически превращается в репиттер, и меняет свой статус на контроллере.
Обрывы связи прекратились и я могу спокойно пить свой чай.
Каждую неделю мы с напарником проводим конкурс на самого отчаянного качуна. Правда пока мы не решили что с ними делать — поэтому ведем маленький блокнотик 😉
Точки смотрятся очень футуристично, особенно если кабели подвести с обратной стороны стены. Висит себе тарелочка, светится зеленым. Очень здорово.
Благодарности
Прежде всего хотелось бы поблагодарить ubiquiti за создание такого замечательного продукта, который позволил и нам приобщиться к миру корпоративного wifi.
Также хотелось бы поблагодарить Алексея — директора Атластелеком. За то, что он смог не только поставить нам оборудование, но и дал его нам на тест. Оказалось что в Беларуси не так-то просто найти сей заморский продукт.
Ну и конечно же спасибо тебе %gtuser% за то, что смог дочитать эту заметку до конца.
Настройка Unifi AP
Программно-технический комплекс (ПТК) Ubiquiti Unifi AP предназначен для создания беспроводной сети из многочисленных Вай-фай точек. Он состоит из программного контроллера и точек доступа WiFi. Позволяет обеспечить значительное количество пользователей выходом в глобальную сеть через Вайфай соединение.
Часто комплекс применяется на предприятиях и фирмах, т. к. система строится с учетом конкретных задач каждого сотрудника компании, в полном соответствии с его должностными обязанностями. Для Unifi осуществляется настройка через ПО под названием «Unifi controller», которое является полностью бесплатным, т. е. затраты идут только на оборудование системы. Поэтому цена Unifi AP доступна почти любому хозяину крупной беспроводной сети.
Достоинства
Кроме низкой стоимости, главным преимуществом ПТК является возможность перемещения пользователя с ПК или другим девайсом, подключенным к интернету через Вай-фай, в любое место зоны покрытия комплексом. При этом связь не будет прерываться и полностью отсутствует необходимость переключения между точками доступа с вводом паролей.
ПТК совместим с популярными операционными системами: Виндовс, Линукс и Mac OC. Практически контроллер можно установить в любой компьютер с указанными ОС, но рекомендуется, чтобы объем ОЗУ в ПК составлял не менее 2 Gb.
Типы системы
Можно классифицировать по назначению:
- Для оснащения внутри зданий и сооружений;
- Для внешнего монтажа под открытым небом.
Таким образом, они имеют и различную степень защиты.
В комплектацию входит следующее:
- Точки доступа;
- Специальные устройства для подачи питания в Unifi;
- Программное обеспечение;
- Монтажные элементы для установки и подвешивания точек.
Для оснащения внутри зданий и сооружений:
UniFi AP – стандартная точка доступа 2,4 GHz; UniFi AP-LR — более мощная используется при наличии множества перекрытий; UniFi AP-PRO — гигабитная на 2,4 GHz и 5 GHz; UniFi AP-AC — высокоскоростная двухдиапазонная точка с поддержкой 802.11ac, имеет возможность передачи данных на скорости 1300 Mbit/c. под открытым небом:
UniFi AP-Outdoor — самая дешевая на 2,4 GHz; UniFi AP-Outdoor 5G — более мощная функционирующая на 5 GHz.;
Как выполнить настройку комплекса?
К процедуре настраивания ПТК можно приступать непосредственно сразу закончив монтаж точек.
Обязательно должны быть выдержаны следующие условия:
- ПК либо ноутбук с инсталлированным контроллером необходимо размещать в зоне действия L2 сети;
- Обеспечить наличие портов 8080 и 3478;
- Применяемый интернет обозреватель должен поддерживать последнюю версию Adobe Flash Player;
- В ПК требуется установить последнюю модификацию «Java Runtime Environment»;
- Инсталлировать ПО с официальной страницы «ubnt. com» или с компакт-диска.
Инсталлировав и открыв controller, требуется указать «Запустить браузер для управления сетью Вай-фай». После этого ввод параметров будет доступен через интернет обозреватель. Запустив браузер необходимо согласиться с условиями сертификации приложения.
Процедура ввода параметров включает в себя следующее:
- Наименование точки для постоянных сотрудников;
- Код доступа для соединения;
- Активация пункта «Enable Guest Access» для возможности гостевого режима;
- Гостевое наименование точки.
Введя эти параметры, потребуется указать наименование администратора и задать ему пароль. Затем в интернет-обозревателе отобразится меню с дополнительными настройками.
Процесс инсталляции комплекса включает в себя следующие стадии:
- Подключение controller и точки к единой сети. На мониторе возникнет оповещение «Pending 1», а в вкладке «Alerts» отобразится сообщение о том, что точка в режиме ожидания и готова соединиться с контроллером. Требуется согласиться с условиями и кликнуть «Adopt». Но когда дисплей отображает не «Pending 1», а «Manage by other», надо осуществить сброс настроек точки;
- Во время процесса Ubiquiti unifi дважды отсоединится от системы. Это видно в закладке «Access Points». Затем в автоматическом режиме обновится программное обеспечение.
- Дождавшись полного завершения апгрейда прошивки, следует выполнить команду «Settings — System». В строчке «Connectivity Monitor» ввести «IP» или шлюз. В случае сбоя и недоступности «Айпи», то в автоматическом режиме пользователей переключит к другой точке Вай-фая. От юзеров даже не потребуется вводить пароль.
После соединения пользователя с Вай-фаем у него отобразится сайт авторизации. Здесь требуется переписать цифры с ваучера и установить отметку на «I accept the Term of Use». Затем кликнуть «Use Vousher».
Готово! Пользователь теперь может пользоваться выходом в глобальную сеть.
Лимитированние скорости передачи данных
ПТК может устанавливать предельные значения скорости для клиентов.
С этой целью необходимо сделать следующие шаги:
- Указать перечень гостей для лимитирования;
- Включить их в соответствующую сеть с ограничениями доступа.
Для указания перечня гостей следует выполнить несколько действий:
- Войти в раздел «Settings — User Groups»;
- Кликнуть «Create»;
- В строчке «Имя» указать наименование перечня гостей;
- 4. Установить отметки на Bandwidth Limit «Download» и «Upload», установить предел скорости в Kbit/c;
- Кликнуть «Create».
Эти пределы будут актуальны только для гостей именно из этого перечня.
Настройка хотспота на оборудовании Unifi
В этой инструкции мы расскажем, как настроить хотспот на Unifi. Правда, стоит учесть, что на данный момент использовать в качестве непосредственно хотспот-контроллера оборудование этой фирмы — не оптимальный вариант. Куда надежней будет настроить что-либо из этого списка: Mikrotik (Router OS), Keenetic, dd-wrt, openWRT, SNR(NAG), Linux(Debian), FreeBSD(pfSense), — и вот почему.
Дело в том, что статистика по авторизованным пользователям (время начала и конца сессии) хранится непосредственно на контроллере Unifi и не передается на наши сервера. В связи с этим встает вопрос сохранности этих данных — если возникнет форс-мажор в работе вашего контроллера, данные могут быть потеряны, и предоставить их по запросу властей не представится возможным.
Если вас не останавливает это предупреждение, приступим к настройке.
Заходим в настройки вашего контроллера юнифай и открываем вкладку Guest Control.
Обратите внимание на версию вашего ПО и по возможности обновите его. Система авторизации гарантированно работает на версии Unifi Controller 5.6.40 (upd. система работает на версии Unifi Controller 5.12.35)
Включаем портал (Enable Guest Portal), в качестве аутентификации выбираем Hotspot.
Также необходимо включить Override Default Templates.
В этой же вкладке (Guest Control) чуть ниже находим подраздел HOTSPOT и включаем RADIUS.
Создаем новый радиус профиль.
Называете его любым удобным Вам именем (в нашем случае просто — Radius). Далее прописываете наши данные:
IP Address — 130.193.37.200, Port — 1812, Password/Shared Secret — wfs123
Добавляете еще один радиус сервер (жмете на Add auth server) и прописываете:
IP Address — 84.201.136.88, Port — 1813, Password/Shared Secret — wfs123
В подразделе Access control в поле Pre-Authorization Access прописываете:
auth.wifisystem.ru
130.193.36.0/22
195. 14.118.0/23
Не забудьте сохранить изменения.
После того, как вы внесете изменения, в папке Ubiquiti UniFi будет создана новая директория (по пути \Ubiquiti UniFi\data\sites\default) под названием app-unifi-hotspot-portal.
Туда вам необходимо добавить файлы — скачать их можно из личного кабинета в разделе настроек вашего хотспота. Разархивируйте файлы в папку app-unifi-hotspot-portal, подтвердив замену файла index.
Осталось лишь зайти в раздел Wireless Networks и в настройках гостевой сети включить гостевые политики (Guest Policy).
Настройка завершена.
P.S.
Также вы можете настроить связку Mikrotik+Unifi, где в качестве хотспот-контроллера будет выступать микротик, а оборудование от Ubiquiti — использоваться для расширения зоны гостевого wi-fi.
! |
% PDF-1.4
%
4700 0 объект
>
endobj
xref
4700 447
0000000016 00000 н.
0000013620 00000 н.
0000013804 00000 п.
0000015407 00000 п.
0000015556 00000 п.
0000015679 00000 п.
0000015828 00000 п.
0000015978 00000 п.
0000016127 00000 п.
0000016278 00000 п.
0000016427 00000 п.
0000016551 00000 п.
0000016676 00000 п.
0000016791 00000 п.
0000016843 00000 п.
0000016895 00000 п.
0000016947 00000 п.
0000017028 00000 п.
0000017094 00000 п.
0000017533 00000 п.
0000022845 00000 п.
0000027511 00000 п.
0000027687 00000 п.
0000027836 00000 н.
0000027985 00000 п.
0000028161 00000 п.
0000028311 00000 п.
0000028462 00000 п.
0000028580 00000 п.
0000028698 00000 п.
0000028824 00000 п.
0000028973 00000 п.
0000029097 00000 н.
0000029248 00000 п.
0000029398 00000 п.
0000029549 00000 п.
0000029648 00000 п.
0000029798 00000 п.
0000029947 00000 н.
0000035121 00000 п.
0000039937 00000 н.
0000040061 00000 п.
0000040212 00000 п.
0000040363 00000 п.
0000040462 00000 п.
0000040613 00000 п.
0000040712 00000 п.
0000040811 00000 п.
0000040962 00000 п.
0000041061 00000 п.
0000041210 00000 п.
0000041360 00000 п.
0000041509 00000 п.
0000041633 00000 п.
0000041784 00000 п.
0000041883 00000 п.
0000042032 00000 п.
0000042183 00000 п.
0000042334 00000 п.
0000042452 00000 п.
0000042603 00000 п.
0000042702 00000 п.
0000042853 00000 п.
0000043029 00000 п.
0000043154 00000 п.
0000047912 00000 п.
0000048037 00000 п.
0000052948 00000 п.
0000053073 00000 п.
0000053187 00000 п.
0000053336 00000 п.
0000053435 00000 п.
0000053560 00000 п.
0000053685 00000 п.
0000053800 00000 п.
0000058021 00000 п.
0000062268 00000 п.
0000062344 00000 п.
0000062422 00000 п.
0000062503 00000 п.
0000062666 00000 п.
0000062747 00000 п.
0000062825 00000 п.
0000062974 00000 п.
0000063054 00000 п.
0000063134 00000 п.
0000063283 00000 п.
0000063459 00000 п.
0000063558 00000 п.
0000063638 00000 п.
0000063795 00000 п.
0000063824 00000 п.
0000063973 00000 п.
0000064097 00000 п.
0000064177 00000 п.
0000064253 00000 п.
0000064402 00000 п.
0000064482 00000 н.
0000064562 00000 п.
0000064712 00000 п.
0000064863 00000 п.
0000064943 00000 п.
0000065023 00000 п.
0000065173 00000 п.
0000065322 00000 п.
0000065579 00000 п.
0000065663 00000 п.
0000065720 00000 п.
0000065800 00000 п.
0000065879 00000 п.
0000065959 00000 п.
0000066083 00000 п.
0000066234 00000 п.
0000066355 00000 п.
0000066477 00000 п.
0000066601 00000 п.
0000066750 00000 п.
0000066828 00000 п.
0000066906 00000 п.
0000067069 00000 п.
0000067218 00000 п.
0000067316 00000 п.
0000067410 00000 п.
0000067504 00000 п.
0000067679 00000 п.
0000067828 00000 п.
0000067927 00000 н.
0000068051 00000 п.
0000068200 00000 н.
0000068314 00000 п.
0000068479 00000 п.
0000068560 00000 п.
0000068638 00000 п.
0000068762 00000 п.
0000068911 00000 п.
0000069060 00000 н.
0000069138 00000 п.
0000069237 00000 п.
0000069313 00000 п.
0000069389 00000 п.
0000069465 00000 п.
0000069550 00000 п.
0000069682 00000 п.
0000069814 00000 п.
0000069944 00000 н.
0000070082 00000 п.
0000070202 00000 п.
0000070342 00000 п.
0000070482 00000 п.
0000070622 00000 п.
0000070762 00000 п.
0000070844 00000 п.
0000070922 00000 п.
0000071071 00000 п.
0000071195 00000 п.
0000071275 00000 п.
0000071424 00000 п.
0000071574 00000 п.
0000071650 00000 п.
0000071730 00000 п.
0000071845 00000 п.
0000071996 00000 п.
0000072146 00000 п.
0000072222 00000 п.
0000072298 00000 п.
0000072374 00000 п.
0000072431 00000 п.
0000072686 00000 п.
0000072743 00000 п.
0000072827 00000 п.
0000072926 00000 п.
0000073026 00000 п.
0000073146 00000 п.
0000073246 00000 п.
0000073369 00000 п.
0000073445 00000 п.
0000073521 00000 п.
0000073600 00000 п.
0000073681 00000 п.
0000073766 00000 п.
0000073844 00000 п.
0000073921 00000 п.
0000074003 00000 п.
0000074234 00000 п.
0000074318 00000 п.
0000074396 00000 п.
0000074536 00000 п.
0000074674 00000 п.
0000074764 00000 п.
0000074846 00000 п.
0000074924 00000 п.
0000075002 00000 п.
0000075084 00000 п.
0000075170 00000 п.
0000075255 00000 п.
0000075340 00000 п.
0000075416 00000 п.
0000075515 00000 п.
0000075664 00000 п.
0000075800 00000 п.
0000075922 00000 п.
0000076028 00000 п.
0000076109 00000 п.
0000076254 00000 п.
0000076381 00000 п.
0000076510 00000 п.
0000076534 00000 п.
0000076613 00000 п.
0000076691 00000 п.
0000077313 00000 п.
0000077677 00000 п.
0000077820 00000 п.
0000077901 00000 п.
0000078020 00000 п.
0000078044 00000 п.
0000078123 00000 п.
0000078504 00000 п.
0000078573 00000 п.
0000078692 00000 п.
0000078716 00000 п.
0000078795 00000 п.
0000078873 00000 п.
0000079281 00000 п.
0000079626 00000 п.
0000079695 00000 п.
0000079814 00000 п.
0000079838 00000 п.
0000079917 00000 н.
0000079995 00000 п.
0000080399 00000 п.
0000080757 00000 п.
0000080826 00000 п.
0000080955 00000 п.
0000100768 00000 н.
0000101047 00000 н.
0000101506 00000 н.
0000137141 00000 н.
0000137182 00000 н.
0000147468 00000 н.
0000147509 00000 н.
0000147588 00000 н.
0000147612 00000 н.
0000147691 00000 п.
0000147769 00000 н.
0000332681 00000 н.
0000333043 00000 н.
0000333329 00000 н.
0000333398 00000 н.
0000333516 00000 н.
0000333595 00000 н.
0000333929 00000 н.
0000334253 00000 п.
0000334332 00000 н.
0000343050 00000 н.
0000343129 00000 н.
0000343257 00000 н.
0000343707 00000 н.
0000343786 00000 н.
0000344270 00000 п.
0000344349 00000 п.
0000344824 00000 н.
0000344903 00000 н.
0000345033 00000 н.
0000345461 00000 п.
0000345540 00000 н.
0000346008 00000 п.
0000346087 00000 н.
0000346570 00000 п.
0000346649 00000 н.
0000346779 00000 п.
0000347203 00000 н.
0000347282 00000 н.
0000347755 00000 н.
0000347834 00000 н.
0000348309 00000 н.
0000348388 00000 п.
0000349860 00000 н.
0000349939 00000 н.
0000349963 00000 н.
0000350042 00000 н.
0000350120 00000 н.
0000350555 00000 н.
0000350918 00000 н.
0000351061 00000 н.
0000351142 00000 н.
0000351261 00000 н.
0000351389 00000 н.
0000351518 00000 н.
0000351597 00000 н.
0000351726 00000 н.
0000352386 00000 н.
0000352465 00000 н.
0000352593 00000 н.
0000353018 00000 н.
0000353097 00000 н.
0000353225 00000 н.
0000353650 00000 н.
0000353729 00000 н.
0000354217 00000 н.
0000354296 00000 н.
0000354780 00000 н.
0000354859 00000 н.
0000354986 00000 н.
0000355407 00000 н.
0000355486 00000 н.
0000355972 00000 н.
0000356051 00000 н.
0000356531 00000 н.
0000356610 00000 н.
0000358106 00000 н.
0000358185 00000 н.
0000359695 00000 н.
0000359774 00000 н.
0000359902 00000 н.
0000360368 00000 н.
0000360447 00000 н.
0000361928 00000 н.
0000362007 00000 н.
0000362479 00000 п.
0000362558 00000 н.
0000364061 00000 н.
0000364140 00000 н.
0000364640 00000 н.
0000364719 00000 н.
0000365358 00000 н.
0000365437 00000 н.
0000365914 00000 н.
0000365993 00000 н.
0000366179 00000 н.
0000366231 00000 п.
0000366267 00000 н.
0000366346 00000 н.
0000367401 00000 н.
0000367741 00000 н.
0000367810 00000 н.
0000367928 00000 н.
0000368983 00000 п.
0000369415 00000 н.
0000369831 00000 н.
0000369910 00000 н.
0000369968 00000 н.
0000370019 00000 н.
0000370055 00000 н.
0000370134 00000 п.
0000370567 00000 н.
0000370907 00000 н.
0000370976 00000 п.
0000371094 00000 н.
0000371527 00000 н.
0000371816 00000 н.
0000372232 00000 н.
0000372311 00000 н.
0000372783 00000 н.
0000372862 00000 н.
0000372989 00000 н.
0000373409 00000 н.
0000373488 00000 н.
0000373971 00000 н.
0000374050 00000 н.
0000374547 00000 н.
0000374626 00000 н.
0000374754 00000 н.
0000375178 00000 н.
0000375257 00000 н.
0000375738 00000 н.
0000375817 00000 н.
0000376310 00000 н.
0000398612 00000 н.
0000398691 00000 п.
0000400164 00000 п.
0000400243 00000 п.
0000400371 00000 п.
0000400836 00000 н.
0000400915 00000 н.
0000402381 00000 н.
0000402460 00000 н.
0000403954 00000 н.
0000404033 00000 н.
0000404663 00000 н.
0000404742 00000 н.
0000405236 00000 п.
0000405315 00000 н.
0000405339 00000 н.
0000405418 00000 п.
0000405791 00000 н.
0000405860 00000 н.
0000405979 00000 н.
0000406463 00000 н.
0000406542 00000 н.
0000406566 00000 н.
0000406645 00000 н.
0000407009 00000 н.
0000407078 00000 н.
0000407197 00000 н.
0000407585 00000 н.
0000407664 00000 н.
0000407688 00000 н.
0000407767 00000 н.
0000408132 00000 н.
0000408201 00000 н.
0000408320 00000 н.
0000408708 00000 н.
0000408787 00000 н.
0000409262 00000 н.
0000409341 00000 п.
0000409471 00000 н.
0000410125 00000 н.
0000410204 00000 н.
0000410240 00000 п.
0000410319 00000 п.
0000410659 00000 п.
0000410728 00000 н.
0000410846 00000 н.
0000411263 00000 н.
0000411342 00000 п.
0000411378 00000 н.
0000411457 00000 н.
0000411797 00000 н.
0000411866 00000 н.
0000411984 00000 н.
0000412401 00000 п.
0000414921 00000 н.
0000452147 00000 н.
0000452188 00000 п.
0000455982 00000 п.
0000456061 00000 н.
0000456190 00000 н.
0000456611 00000 н.
0000456690 00000 н.
0000457161 00000 п.
0000457240 00000 н.
0000457712 00000 н.
0000457791 00000 н.
0000457921 00000 п.
0000458349 00000 н.
0000458428 00000 н.
0000458905 00000 н.
0000458984 00000 н.
0000459458 00000 п.
0000460297 00000 н.
0000460598 00000 н.
0000460953 00000 п.
0000461244 00000 н.
0000461599 00000 н.
0000461889 00000 н.
0000013415 00000 п.
0000009424 00000 н.
трейлер
] / Назад 3533089 / XRefStm 13415 >>
startxref
0
%% EOF
5146 0 объект
> поток
hW {TW? _ 7 BH05 («piPǍ (o mVQ-2Zԉ ^ E8> R’R + 3Otwg-Vv9 {N @ E} 89z̑2 瓈 P /) # N \) ‘Cϊ»: ej
; g, ~ MToṼv [\ k-k [JѳO {ĶBh c5IJq «D *] 7juME5fZf_-HydBob] 3 ۩ 3 oFfQ 竝 ט˜ M6zQ
qWvK / i`,]; n} /.я |
QA ~ iG] \ [֢ y 4rȔhϖ-Imr $ D% &, ס dgV չ w *! 9_Ih6ryPs, Uxmc / K ⱋ_ f9f] pU ֹ X3ZN77o r.l۰2w4is_` 爊 [ҢK {g
Настройка Ubiquiti Unifi Последняя редакция 21 ноября 2017 г.
Несколько человек обратились к нам с вопросом, как настроить программное обеспечение Unifi и точки доступа для работы с моим руководством по pfSense, так что вот оно. Контроллер Unifi не обязательно должен работать непрерывно для базовой конфигурации точки доступа Unifi, вы можете запускать его при необходимости на рабочем столе Mac, Linux или Windows, хотя для использования некоторых расширенных функций ведения журнала и телеметрии он должен быть работает постоянно и собирает данные со связанных точек доступа.Я успешно запускаю программное обеспечение Unifi на виртуальной машине Debian на ESXi уже пару лет. ВМ не требует много ресурсов, мой настроен следующим образом:
- Linux Debian 9 64-битная
- 1 процессор
- 2 ГБ ОЗУ
- 16 ГБ HD
- одиночное сетевое соединение 1 Гбит / с VL10_MANAGEMENT
Для поддержки полной функциональности программного обеспечения Unifi убедитесь, что вы можете получить доступ к учетной записи root через SSH, имя хоста задано, а DNS, DHCP и NTP работают.
Подключите точки доступа unifi к сети Vl10_MANAGEMENT либо напрямую к коммутатору PoE, либо с помощью одного из входящих в комплект инжекторов PoE. Обязательно используйте кабель Cat5e хорошего качества, предпочтительно с медным сердечником, если используется PoE, чтобы обеспечить адекватную пропускную способность по току и надежную работу. Остерегайтесь многожильных и CCA (алюминия с медной оболочкой), которые имеют более низкое качество.
Установить необходимые компоненты
ssh в вашу виртуальную машину Debian и войдите в учетную запись root, чтобы выполнить следующие шаги установки.
apt-get update
apt-get install dirmngr sudo
Добавить репозиторий Ubiquiti Unifi
Выберите один из следующих репозиториев:
- deb http://www.ubnt.com/downloads/unifi/debian oldstable ubiquiti
Debian
- http://www.ubnt.com/downloads/unifi/debian стабильный ubiquiti
Debian
- http://www.ubnt.com/downloads/unifi/debian тестирование ubiquiti
Более подробная информация о версиях доступна на форумах сообщества Unifi.В этом руководстве будет использоваться ветвь тестирования, которая на момент написания этого руководства охватывает v5.6.19, последнюю версию ветки 5.6.
echo "deb http://www.ubnt.com/downloads/unifi/debian testing ubiquiti" | тройник /etc/apt/sources.list.d/100-ubnt.list
Получить ключ GPG
apt-key adv --keyserver keyserver.ubuntu.com --recv C0A52C50
# apt-key adv --keyserver keyserver.ubuntu.com --recv C0A52C50
Выполняется: / tmp / apt-key-gpghome.FkeAPmqMG9 / gpg.1.sh --keyserver keyserver.ubuntu.com --recv C0A52C50
gpg: key 06E85760C0A52C50: открытый ключ "UniFi Developers " импортирован
gpg: Общее количество обработанных: 1
gpg: импортировано: 1
Установить пакет Unifi
apt-get update
apt-get install unifi -y
Будет загружен и установлен ряд необходимых пакетов. Перед продолжением убедитесь, что это успешно завершено.
запустить Unifi
Включить автоматический запуск unifi при загрузке
systemctl включить unifi
systemctl start unifi
и убедитесь, что служба запущена правильно, введя systemctl status unifi
● unifi.сервис - unifi
Загружено: загружено (/lib/systemd/system/unifi.service; включено; предустановка поставщика: en
Активен: активен (работает) с Fri 2017-11-03 12:14:18 PDT; 12с назад
Основной PID: 5035 (jsvc)
CGroup: /system.slice/unifi.service
├─5035 unifi -cwd / usr / lib / unifi -home / usr / lib / jvm / java-8-openjdk-am
├─5037 unifi -cwd / usr / lib / unifi -home / usr / lib / jvm / java-8-openjdk-am
├─5038 unifi -cwd / usr / lib / unifi -home / usr / lib / jvm / java-8-openjdk-am
├─5049 / usr / lib / jvm / java-8-openjdk-amd64 / jre / bin / java -Xmx1024M -XX: E
└─5934 bin / mongod --dbpath / usr / lib / unifi / data / db --port 27117 --unix
03 ноя, 12:14:17 unifi2 systemd [1]: запуск unifi...
3 ноября, 12:14:18 unifi2 unifi.init [4979]: Запуск Ubiquiti UniFi Controller: uni
03.11 12:14:18 unifi2 systemd [1]: Запущен unifi.
Отключить экземпляр Mongodb по умолчанию
Unifi запустит свою собственную версию MongoDB, поэтому мы можем и должны отключить запуск экземпляра по умолчанию при загрузке
systemctl stop mongodb
systemctl отключить mongodb
Откройте браузер и перейдите по адресу https: //: 8443, в моем случае это https: // unifi2: 8443, где вам будет представлен мастер установки.
Мастер настройки Unifi
Установите страну и часовой пояс в соответствии с вашим местоположением
- Установить страну = ваша страна
- Установить часовой пояс = ваш часовой пояс
- Auto backup = ON
Нажмите Next
Настроить устройства
Мастер Unifi — настройка устройств
Мы не будем выбирать здесь какие-либо представленные устройства, поскольку мы настроим их в основном приложении через мгновение.
Нажмите Далее
Настроить WiFi
Мастер Unifi — настройка Wi-Fi
Мы не будем настраивать SSID здесь, как мы будем делать их в основном приложении.
Нажмите Пропустить
Доступ к контроллеру
Мы настроим детали доступа администратора на этой странице.
Мастер Unifi — доступ к контроллеру
- Имя администратора = admin
- Адрес электронной почты администратора = [email protected] или адрес электронной почты администратора
- Пароль = somethingsecure
- Подтвердите пароль = somethingsecure снова
Аутентификация устройства
- Имя пользователя = admin
- Пароль = somethingelsesecure
Нажмите Далее
Подтвердите настройки
Мастер Unifi — подтвердите настройки
Проверьте правильность настроек и нажмите Готово
Учетные данные для входа в облако
Мастер Unifi
Я не использую облачный контроллер и предпочитаю, где это возможно, самостоятельное размещение, нажмите Пропустить
Unifi login
Введите имя пользователя и пароль, заданные во время установки мастера установки, и нажмите «Войти».Вам будет представлена панель управления, на которой не будут отображаться никакие данные, поскольку мы еще не внедрили точки доступа. Прежде чем мы приступим к внедрению ваших точек доступа, давайте сначала настроим программное обеспечение. Чтобы войти в раздел настроек, щелкните значок шестеренки в нижнем левом углу окна.
Сайт
Конфигурация сайта
- Имя сайта = по умолчанию
- Страна = США
- Часовой пояс = UTC -8: 00 Pacific
Услуги
- Advanced Features = [x] Это включает некоторые настройки, которые мы изменим позже
- Automatic Upgrades = [] Это может привести к понижению версии микропрограммы, поэтому оставьте это как руководство.
- светодиод = [x]
- Оповещения = [x]
- Speed Test = []
- Переназначение порта = []
- Монитор подключения к восходящему каналу = []
- SNMP = [] включить, если вы используете мониторинг SNMP
- Удаленное ведение журнала = [] включить, если вы используете удаленный сервер системного журнала
Аутентификация устройства
- Аутентификация SSH = [x]
- Имя пользователя = admin
- Пароль = yoursecurepassword
Нажмите Применить изменения
Настройка беспроводных сетей
Мы настроим SSID и свяжем их с правильной VLAN, используя следующую таблицу в качестве дополнения к нашим настройкам.Не стесняйтесь изменять значения SSID на более подходящие для вашей установки.
ЛВС SSID Идентификатор VLAN Диапазон IP-подсети VL10_MGMT WIFI-MGMT НЕТ 192.168. 10 0,0 / 24 VL20_VPNLAN WIFI-VPN 20 192.168. 20 .0/24 VL30_CLRNET WIFI-CLRNET 30 192.168. 30 0,0 / 24 VL40_GUEST WIFI-ГОСТЕВОЙ 40 192.168. 40 0,0 / 24
Конфигурация сети управления
Я не определился, стоит ли включать это, раскрытие вашей сети управления через Wi-Fi является ненужным риском, однако я лично использовал это раньше, и это может быть полезно для тех, кто настраивает систему впервые, из-за простоты доступа.Было бы упущением с моей стороны не сказать, что сети управления и термины простоты доступа не принадлежат одному предложению, поэтому, пожалуйста, рассмотрите последствия раскрытия вашей сети управления в вашей сети Wi-Fi.
Нажмите + Новая беспроводная сеть
- Имя / SSID = WIFI-MGMT
- Включено = [x]
- Безопасность = WPA Personal
- Ключ безопасности = действительно действительно очень безопасный пароль
- Гостевая политика = []
Откройте дополнительные параметры и установите
- Фильтрация многоадресной и широковещательной рассылки = [] (дополнительные сведения см. В этом разделе)
- VLAN = [] это немаркированная собственная сеть
- идентификатор VLAN = []
- Включить быстрый роуминг = []
- Скрыть SSID = []
- Режим WPA = Только WPA2
- Шифрование = только AES / CCMP
- Интервал смены ключей группы = 3600
- Группа пользователей = по умолчанию
- UAPSD = []
- Запланировано = []
- Расширение многоадресной рассылки []
802.11 элементов управления скоростью и маяками = по умолчанию
Фильтр Mac = по умолчанию
Аутентификация Radius Mac = по умолчанию
Нажмите Сохранить
Конфигурация сети VPN
Нажмите + Новая беспроводная сеть
- Имя / SSID = WIFI-VPN
- Включено = [x]
- Безопасность = WPA Personal
- Ключ безопасности = securepassword
- Гостевая политика = []
Откройте дополнительные параметры и установите
- Фильтрация многоадресной и широковещательной рассылки = [] (дополнительные сведения см. В этом разделе)
- VLAN = [x]
- ID VLAN = [20]
- Включить быстрый роуминг = [] это, как известно, вызывает некоторые проблемы в настоящее время
- Скрыть SSID = [] без дополнительной защиты
- Режим WPA = Только WPA2
- Шифрование = только AES / CCMP
- Интервал смены ключей группы = 3600
- Группа пользователей = по умолчанию
- UAPSD = []
- Запланировано = []
- Расширение многоадресной рассылки []
802.11 элементов управления скоростью и маяками = по умолчанию
Фильтр Mac = по умолчанию
Аутентификация Radius Mac = по умолчанию
Нажмите Сохранить
Конфигурация VPNLAN
Конфигурация Clearnet
Нажмите + Новая беспроводная сеть
- Имя / SSID = WIFI-CLRNET
- Включено = [x]
- Безопасность = WPA Personal
- Ключ безопасности = другой пароль
- Гостевая политика = []
Откройте дополнительные параметры и установите
- Фильтрация многоадресной и широковещательной рассылки = [] (дополнительные сведения см. В этом разделе)
- VLAN = [x]
- ID VLAN = [30]
- Включить быстрый роуминг = []
- Скрыть SSID = []
- Режим WPA = Только WPA2
- Шифрование = только AES / CCMP
- Интервал смены ключей группы = 3600
- Группа пользователей = по умолчанию
- UAPSD = []
- Запланировано = []
- Расширение многоадресной рассылки []
802.11 элементов управления скоростью и маяками = по умолчанию
Фильтр Mac = по умолчанию
Аутентификация Radius Mac = по умолчанию
Нажмите Сохранить
Конфигурация гостя
Моя гостевая сеть защищена брандмауэром на маршрутизаторе pfSense, и я не ограничиваю полосу пропускания для пользователей гостевой сети, поскольку время от времени использую гостевую сеть в качестве сети аварийного переключения. По этим причинам я не применяю гостевую политику в конфигурации ниже. Можно ограничить полосу пропускания и предоставить доступ через портал, я могу добавить это в качестве дополнения к этому руководству позже, если возникнет необходимость.
Нажмите + Новая беспроводная сеть
- Имя / SSID = WIFI-GUEST
- Включено = [x]
- Безопасность = WPA Personal
- Ключ безопасности = другой пароль
- Гостевая политика = []
Откройте дополнительные параметры и установите
- Фильтрация многоадресной и широковещательной рассылки = [] (дополнительные сведения см. В этом разделе)
- VLAN = [x]
- идентификатор VLAN = [40]
- Включить быстрый роуминг = []
- Скрыть SSID = []
- Режим WPA = Только WPA2
- Шифрование = только AES / CCMP
- Интервал смены ключей группы = 3600
- Группа пользователей = по умолчанию
- UAPSD = []
- Запланировано = []
- Расширение многоадресной рассылки []
802.11 элементов управления скоростью и маяками = по умолчанию
Фильтр Mac = по умолчанию
Аутентификация Radius Mac = по умолчанию
Нажмите Сохранить
После нажатия кнопки «Сохранить» страница ваших беспроводных сетей должна выглядеть так.
Окончательная конфигурация сети
Службы настройки
Настроить NTP
Чтобы обновления прошивки точки доступа можно было легко выполнять из веб-клиента, нам нужно установить точное время. Перейдите к Services> NTP и настройте серверы NTP.Все мои устройства синхронизируются с моим маршрутизатором pfSense, отсюда и адрес 192.168.10.1.
Конфигурация NTP
Контроллер
Настройки контроллера
Убедитесь, что имя контроллера установлено правильно в соответствии с записью вашего имени хоста, в моем случае Unifi2
- Имя контроллера = Unifi2 в соответствии с именем вашего хоста
- Имя хоста контроллера / IP = unifi2.local.lan FQDN или IP-адрес
Применить изменения
Принять точку доступа
Теперь мы настроили все параметры, необходимые для создания и настройки наших SSID, мы можем принять наши точки доступа.Перейдите к УСТРОЙСТВАМ, где вы должны увидеть точки доступа, ожидающие принятия. Принятие инициируется нажатием ADOPT рядом с соответствующей точкой доступа. После кратковременного отображения PROVISIONING статус должен измениться на CONNECTED.
Принятая точка доступа
После того, как точка доступа будет принята, вы сможете присоединиться к любому из предоставленных SSID. Убедитесь, что вы можете подключиться, получить соответствующий адрес DHCP и доступ к внутренним устройствам и интернет-сайтам.
Щелкните имя точки доступа, и в правой части окна браузера появится панель, где мы сможем настроить параметры, связанные с точкой доступа.
Псевдоним точки доступа
Перейдите в Общие> Псевдоним и установите более понятное имя , например. Кухня
Нажмите Сохранить
Лента рулевая
Перейдите в «Общие»> «Управление диапазоном» и установите для параметра «Предпочитать 5G» значение «ВКЛ.
Это заставит продвигать устройство с переполненных частот 2,4 ГГц в диапазон 5 ГГц.
Справедливость в эфире
Перейдите в Общие> Справедливость эфира и установите для него значение ВКЛ.
Это будет способствовать более справедливому распределению эфирного времени.
Примените указанные выше изменения.
Программное обеспечение Unifi
Новое программное обеспечение часто становится доступным через Unifi и программу бета-тестирования, и его стоит постоянно обновлять. Перед обновлением вашей системы обязательно сделайте резервную копию на случай, если вам нужно будет вернуться к предыдущей версии. Чтобы обновить установленный SSH в системе Unifi, введите wget -O
, e.g для версии 5.7.3 введите
wget https://dl.ubnt.com/unifi/5.7.3-91ad2e6240/unifi_sysvinit_all.deb -O ~ / unifi / downloads / 5.7.3-installer.deb
и для установки пакета .deb
sudo dpkg -i ~ / unifi / downloads / 5.7.3-installer.deb
После применения обычно стоит перезагрузить. Доступ к новой установке может занять несколько минут из-за преобразований базы данных, поэтому не паникуйте, если она не будет доступна сразу.
Прошивка точки доступа
Чтобы обновить точку доступа с помощью новой прошивки, щелкните точку доступа, которую нужно обновить, и перейдите к Config> Manage Device> Custom Upgrade. Здесь вы вводите ссылку на прошивку и затем нажимаете Обновить. В случае возникновения проблем стоит отметить, что для передачи HTTPS необходимо установить точное время. Если у вас возникли проблемы, проверьте правильность настроек NTP.
Невозможно создать руководство по настройке радиоприемников точек доступа, которое работало бы в каких-либо условиях, кроме небольшого набора настроек, не только дома и офисы сильно различаются по площади и конструкции, но и использование радиочастот и загрязнение окружающей среды также будут разными.Я хочу поделиться несколькими концепциями и идеями, которые хорошо сработали для меня и, вероятно, подойдут для значительного процента читателей.
Позиционирование точки доступа
Обычно точки доступа должны находиться в зоне прямой видимости мест, где могут использоваться клиенты, обычно это означает потолочный монтаж. Использование такого инструмента исследования сайта, как Netspot, позволяет вам фактически считывать уровень сигнала ваших точек доступа в вашем пространстве. Эта информация действительно может помочь определить оптимальное количество и размещение точек доступа.
Netspot
Избегайте перегруженных полос частот
Более высокая ширина канала может поддерживать более высокие скорости передачи данных, однако обратная сторона заключается в том, что доступно меньше неперекрывающихся каналов, что может привести к проблемам с перегрузкой.
Воспользуйтесь встроенным сканером среды Unifi RF, доступ к которому можно получить из меню инструментов каждой точки доступа. Выберите неперекрывающиеся каналы для каждой точки доступа.
Сканирование частоты Unifi
Wifi Explorer Адриана Грандо отлично подходит для проверки сети Wi-Fi.Недавно выпущенная профессиональная версия также позволяет использовать Metageek Wi-spy DBx для частотного анализа.
Wifi explorer
Для 2,4 ГГц есть только три неперекрывающихся канала, 1, 6 и 11, придерживайтесь ширины канала 20 МГц, поскольку увеличение до 40 МГц уменьшает количество неперекрывающихся каналов и затрудняет использование нескольких точек доступа. Вы можете видеть на изображении выше, что мои 3 точки доступа используют каналы 2,4 ГГц 1, 6 и 11 и 5,4 ГГц 36, 52 и 100 для предотвращения перегрузки.
Для 5 ГГц существует гораздо больше неперекрывающихся каналов, и можно настроить ширину канала 40 МГц или даже 80 МГц в определенных средах без перегрузки.
При использовании частотных диапазонов DFS убедитесь, что на вас не влияют расположенные поблизости радиолокаторы или другие источники помех, которые могут вызвать перераспределение вашей точки доступа на другие каналы, вызывая перегрузку. Программное обеспечение Unifi изменит вас в разделе регистрации, если это произойдет.
Настройка для оптимального использования сети 5 ГГц сложнее, чем 2,4 ГГц, см. Этот документ FCC для более подробной разбивки диапазона.
Радио мощность
Радиосвязь зависит от четких сигналов в обоих направлениях между точкой доступа и клиентом.Увеличение мощности передачи на точке доступа не решает волшебным образом проблемы дальности, потому что, хотя клиенты могут слышать точку доступа более четко, у них обычно нет мощности радио, чтобы иметь возможность передавать обратно так же громко. Вероятно, вам лучше отключить питание широковещательной передачи и позволить устройствам перейти на другие, более оптимальные точки доступа, где может возникнуть более сбалансированный поток связи.
Щелкните по каждой точке доступа по очереди и в разделе config установите следующие мощности передачи:
- Радио 2G Мощность передачи = низкая
- Radio 5G Мощность передачи = средняя
Убедитесь, что ваши устройства, особенно мобильные устройства, по-прежнему имеют доступ к Wi-Fi в вашем районе, и разумно убедитесь, что они передаются в точки доступа с лучшим SNR.
Отключить неиспользуемые скорости 802.11
В зависимости от устройств, используемых в вашей сети, вы можете увидеть некоторые преимущества в отключении некоторых скоростей, связанных со старыми устройствами Wi-Fi. Чтобы отключить эти частоты, перейдите в Настройки> Беспроводные сети. Измените настройки и измените параметры скорости 802.11 следующим образом:
2G Контроль скорости передачи данных
- Включить управление минимальной скоростью передачи данных = [x]
- Установить ползунок на 12 Мбит / с
- Также требуется, чтобы клиенты использовали ставки, равные или превышающие указанное значение = [x]
5G Контроль скорости передачи данных
- Включить управление минимальной скоростью передачи данных = [x]
- Установить ползунок на 12 Мбит / с
- Также требуется, чтобы клиенты использовали ставки, равные или превышающие указанное значение = [x]
Сохраните и убедитесь, что ваши устройства по-прежнему работают правильно.
Отключить скорость CCK
Блокировать LAN для WLAN Multicast и широковещательные данные
Multicast / Broadcast данные отправляются с самой низкой скоростью модуляции и могут отрицательно повлиять на производительность. Если эта функция вам не нужна, рекомендуется заблокировать этот трафик. Если после блокировки этого трафика вы заметили трудности с подключением к определенным устройствам Wi-Fi, например к принтерам, которые могут полагаться на эту систему для обнаружения, подумайте о добавлении определенных MAC-адресов к исключенным устройствам, прежде чем вернуться к полному отключению блокировки.Я добавил исключение для своего принтера (HP8600), портативного аудиоколонки (A7) и шлюза подсети (неизвестное имя хоста) для поддержки надежного обнаружения на изображении ниже. См. Этот документ Ubiquiti для получения дополнительной информации.
Блокировать LAN для WLAN многоадресной и широковещательной передачи данных
21 ноября 2017 г.
Уточненный блок LAN to WLAN section
18 ноября 2017 г.
Добавлена блокировка LAN в раздел многоадресных и широковещательных данных WLAN
UniFi — Настройка перенаправления портов USG и устранение неполадок — Тест справочного центра
Обзор
В этой статье описывается, как настроить переадресацию портов на шлюзе безопасности UniFi и как их устранять, если они не работают должным образом.
Переадресация портов позволяет перенаправлять трафик, предназначенный для одного или нескольких портов WAN IP вашего USG, на внутренний хост, чаще всего для того, чтобы сделать серверы доступными из Интернета.
Содержание
- Конфигурация переадресации портов
- Пример обзора сети
- Открытие вкладки переадресации порта
- Поля конфигурации переадресации портов
- Пример переадресации порта веб-сервера
- Пример переадресации порта SSH
- Просмотр списка переадресации портов
- Правила переадресации портов и межсетевого экрана
- Устранение неполадок перенаправления портов
- Проверка конфигурации и методика тестирования
- Проверить трафик по WAN
- Проверить трафик в локальной сети
- Трафик не достигает WAN
- Нет ответа от хоста LAN
- Статьи по теме
Конфигурация перенаправления портов
Наверх
Пример обзора сети
Прежде чем вы начнете, и чтобы было легче следовать этим примерам, обратите внимание, что сеть, изображенная в примерах, имеет USG с WAN, подключенным к Интернет-соединению с IP 192.0.2.117, и LAN с IP-адресом 172.16.0.1, подключенная к коммутатору UniFi. В локальной сети есть сервер Linux с адресом 172.16.0.7, на котором запущены веб-сервер и сервер SSH.
Открытие вкладки переадресации портов
К началу
Перенаправление портов шлюза безопасности UniFi
(USG) настраивается на панели свойств устройства в контроллере UniFi. Чтобы добраться туда, выполните следующие действия:
- Нажмите Устройства в левом меню
- Выберите свой USG, щелкнув по нему.
- Панель «Свойства» появится в правой части экрана, она откроется на вкладке «Сведения». Нажмите Configuration
- Щелкните Port Forward , чтобы развернуть. Вы начнете без настроенной переадресации портов, как показано ниже.
- Щелкните Create , чтобы настроить перенаправление первого порта.
Поля конфигурации переадресации портов
К началу
Следующие поля доступны для настройки в переадресации портов:
Имя: Описательное имя переадресации порта только для справки.Никакого функционального воздействия.
От: В этом поле указываются адреса источника, которые разрешены через переадресацию порта. Если вам нужно, чтобы услуга была доступна из любого места в Интернете, вы должны выбрать здесь «Anywhere». В случаях, когда вы можете ограничить исходный IP-адрес или сеть, которая может использовать переадресацию порта, лучше всего сделать это, поскольку это значительно ограничивает уязвимость вашей сети. Чтобы ограничить исходные IP-адреса, разрешенные через переадресацию порта, выберите «Limited» и в текстовом поле справа введите IP-адрес (например.грамм. 198.51.100.123) или IP-подсеть с маской CIDR (например, 100.70.60.0/24). Только указанный IP-адрес или сеть будут разрешены через переадресацию порта.
Примечание. Если вам нужно разрешить несколько исходных IP-адресов или подсетей, вы можете добавить несколько портов переадресации, с разными IP-адресами «От» или подсетями для каждой из них.
Порт: В поле Порт указывается внешний порт для переадресации. Этот порт на вашем WAN IP будет перенаправлен.
IP-адрес пересылки: В этом поле указывается внутренний IP-адрес, который будет использоваться для назначения пересылки этого порта.
Порт пересылки: Порт пересылки указывает внутренний порт, на который пересылается трафик.
Протокол: Здесь вы можете выбрать TCP, UDP или оба (TCP и UDP) в качестве протокола пересылки. Большинство сервисов используют TCP. Если не требуются и TCP, и UDP, вы должны указать один или другой, а не оба.
Пример переадресации порта веб-сервера
К началу
Теперь, когда вы знакомы с каждым полем на вкладке Port Forward, давайте создадим несколько примеров Port Forward.В первом примере мы открываем HTTP (порт TCP 80) для сервера Linux по адресу 172.16.0.7.
Нажмите Применить после заполнения полей соответствующим образом. Конфигурация будет предоставлена универсальной группе безопасности, и переадресация портов будет активна после завершения подготовки. Убедитесь, что ваш порт переадресован из-за пределов вашей сети в Интернете.
Пример переадресации порта SSH
К началу
В этом примере мы перенаправим внешний порт 2222 на SSH сервера Linux на порт 22.SSH — распространенный пример службы, которую люди часто настраивают внешне на другом порту, чем на внутреннем, в основном, чтобы избежать большинства атак методом грубой силы. В этом нет никакой реальной безопасности, поскольку любая система, восприимчивая к атаке методом перебора SSH, будет обнаружена и скомпрометирована независимо от порта, но есть смысл в значительном сокращении спама в журналах из-за сбоев аутентификации и не тратить ресурсы системы на обработку попыток. . Предпочтительно ограничивать исходные IP-адреса или сети для такого перенаправленного трафика, но если у вас есть требование оставить SSH открытым для Интернета, использование альтернативного внешнего порта не повредит.
Еще раз нажмите Применить . После завершения подготовки универсальной группы безопасности служба SSH сервера Linux будет доступна из Интернета через 192.0.2.117 порт 2222.
Просмотр списка переадресации портов
К началу
Теперь на панели переадресации портов будут отображаться две настроенные записи:
Вы можете щелкнуть карандашом справа от записи, чтобы отредактировать ее, или мусорной корзиной, чтобы удалить.
Примечание. Если кнопки редактирования и удаления не видны, посмотрите на полосу прокрутки в нижней части передней панели порта, непосредственно под надписью «Отображение X-Y записей Z».Прокрутите вправо, чтобы найти кнопки редактирования и удаления.
Правила переадресации портов и межсетевого экрана
К началу
В правилах брандмауэра WAN IN, отображаемых в контроллере, вы увидите правила, добавленные для перенаправления трафика, связанного с вашим портом.
Эти правила нельзя редактировать, потому что они связаны с переадресацией портов, и все особенности их конфигурации исходят от переадресации портов. Вы редактируете или удаляете переадресацию портов, чтобы редактировать или удалять эти правила.
Устранение неполадок перенаправления портов
Наверх
Существует ряд потенциальных причин, по которым переадресация портов не работает после их настройки, большинство из которых не связаны с самим USG, но USG предоставляет мощные инструменты, помогающие точно определить причину проблемы.
В этом разделе описан процесс устранения неполадок, когда переадресация портов не работает должным образом.
Проверка конфигурации и методика тестирования
К началу
Во-первых, внимательно посмотрите на настроенный порт переадресации.Тонкая опечатка в IP-адресе или номере порта иногда сбивала с толку всех нас. Контроллер UniFi не допускает недопустимых символов, поэтому не нужно внимательно следить за пробелами или чем-либо в этих строках. Просто убедитесь, что IP-адрес и порт введены правильно.
При тестировании переадресации порта обязательно делайте это из Интернета. Сотовый телефон с отключенным Wi-Fi — хороший вариант, если больше ничего нет под рукой.
В следующих разделах описан процесс поиска и устранения неисправностей с точки зрения WAN и LAN.
Проверить трафик в WAN
К началу
Первым шагом в устранении неполадок переадресации портов является обеспечение того, чтобы трафик достиг вашего интерфейса WAN. Если трафик не достигает WAN USG, он не может быть перенаправлен. Захват пакетов с помощью tcpdump является предпочтительным методом устранения неполадок, поскольку просмотр трафика, присутствующего или отсутствующего в сети, окончательно определяет, где существует проблема. Интерфейс WAN на USG: eth0 и eth3 на USG Pro.Примеры в этой статье относятся к USG, поэтому мы будем использовать eth0 . Если вы используете USG Pro, замените его на eth3 .
Без какой-либо фильтрации вывод tcpdump будет трудно расшифровать. Часто бывает достаточно простого фильтра для порта назначения, хотя, если это порт, совместно используемый другим активным трафиком в сети, одного этого недостаточно. Например, переадресация порта HTTP требует более жесткой фильтрации для устранения постороннего шума. В нашем случае использования мы будем фильтровать по узлу назначения 192.0.2.117 (IP-адрес WAN USG) и порт назначения 80 с использованием фильтра хоста dst 192.0.2.117 и порта dst 80.
SSH в USG для запуска. Затем запустите следующий tcpdump для поиска входящих HTTP-запросов:
cmb @ usg1: ~ $
sudo tcpdump -ni eth0 dst host 192.0.2.117 и dst port 80
tcpdump: подробный вывод подавлен, используйте -v или -vv для полного декодирования протокола
прослушивание eth0, link-type EN10MB (Ethernet), размер захвата 262144 байта
17:44:00.
3 IP 198.51.100.114.51514> 192.0.2.117.80: флаги [S], seq 2179876751, win 29200, параметры [mss 1460, sackOK, TS val 3839 ecr 0, nop, wscale 6], длина 0 Это показывает попытку подключения к порту 80 на IP-адресе WAN 192.0.2.117 USG, полученном с удаленного хоста в Интернете с IP 198.51.100.114, с использованием исходного порта 51514 (исходные порты случайны из диапазона эфемерных портов). Часть «Флаги [S]» сообщает нам, что это SYN-пакет, первый пакет попытки установления связи TCP. Поскольку мы видим этот запрос в WAN, мы знаем, что он достигает USG.Если при попытке доступа к http://192.0.2.117 в этом захвате ничего не должно было отображаться, значит, мы знаем, что что-то вышестоящее от USG не позволяет трафику достичь его. См. Раздел «Трафик, не попадающий в глобальную сеть» ниже для получения инструкций по устранению неполадок.
Если вы видите, что трафик поступает в глобальную сеть, тогда необходимо проверить, покидает ли он локальную сеть.
Проверить трафик в локальной сети
К началу
Теперь, когда вы проверили, что трафик поступает в WAN, следующим шагом будет проверка LAN, чтобы увидеть, выходит ли трафик через интерфейс LAN.В этом примере мы используем универсальную группу безопасности, где порт LAN — eth2 . При использовании USG Pro порт LAN — eth0 , поэтому замените его соответственно на tcpdump .
Здесь мы будем фильтровать внутренний IP-адрес веб-сервера и порт 80:
cmb @ usg1: ~ $ sudo tcpdump -ni eth2 host 172.16.0.7 и порт 80
tcpdump: подробный вывод подавлен, используйте -v или -vv для полного декодирования протокола.
прослушивает eth2, тип канала EN10MB (Ethernet) , размер захвата 262144 байта
18:00:38.268095 IP 198.51.100.114.51519> 172.16.0.7.80: флаги [S], seq 1565978093, win 29200, параметры [mss 1460, sackOK, TS val 3
233 ecr 0, nop, wscale 6], длина 0
18:00 : 38.268351 IP 172.16.0.7.80> 198.51.100.114.51519: флаги [R.], seq 0, ack 1565978094, win 0, длина 0
Мы видим SYN точно так же, как при захвате WAN. Здесь мы видим, что его IP-адрес назначения был переведен на IP-адрес внутреннего сервера 172.16.0.7. Если вы видите, что преобразованный SYN покидает сетевой адаптер LAN, это означает, что переадресация порта работает.Пакет, показанный в ответе от сервера, указывает на то, в чем проблема в данном случае. Флаги [R.] означают, что сервер отправил в ответ RST ACK, что является способом TCP сообщить удаленному хосту, что этот порт ничего не слушает. После проверки веб-сервера служба nginx не была настроена для запуска. После запуска службы веб-сервера вывод tcpdump показывает еще несколько пакетов в обмене. Успешное соединение будет выглядеть примерно так, как показано ниже, с разницей в количестве отображаемых строк в зависимости от объема переданных данных:
18:06:17.151027 IP 198.51.100.114.51523> 172.16.0.7.80: флаги [S], seq 4065224865, win 29200, параметры [mss 1460, sackOK, TS val 3972 ecr 0, nop, wscale 6], длина 0
18:06 : 17.151269 IP 172.16.0.7.80> 198.51.100.114.51523: флаги [S.], seq 2746330992, ack 4065224866, win 28960, параметры [mss 1460, sackOK, TS val 232937488 ecr 3
972, nop, wscale 7], длина 0
18: 06: 17.152707 IP 198.51.100.114.51523> 172.16.0.7.80: флаги [.], Ack 1, win 457, options [nop, nop, TS val 3
972 ecr 232937488], длина 0
18:06 : 17.155836 IP 172.16.0.7.80> 198.51.100.114.51523: флаги [.], Ack 110, win 227, options [nop, nop, TS val 232937488 ecr 3
973], длина 0
18: 06: 17.157676 IP 198.51.100.114 .51523> 172.16.0.7.80: флаги [F.], seq 110, ack 1105, win 491, options [nop, nop, TS val 3
974 ecr 232937488], длина 0
18: 06: 17.157904 IP 172.16.0.7. 80> 198.51.100.114.51523: флаги [F.], seq 1105, ack 111, win 227, options [nop, nop, TS val 232937488 ecr 3
974], длина 0
Чаще всего возникает сбой, когда узел LAN не отвечает на перенаправляемый трафик.Если вывод tcpdump показывает, что SYN отправляются на хост LAN, но ничего не возвращается в ответ, проблема в самом хосте LAN. См. Раздел «Нет ответа от узла LAN» ниже для получения инструкций по устранению неполадок. Вывод tcpdump будет выглядеть примерно так:
xxx18: 09: 46.403313 IP 198.51.100.114.51525> 172.16.0.7.80: флаги [S], seq 1697746705, win 29200, параметры [mss 1460, sackOK, TS val 3
296 ecr 0, nop, wscale 6], длина 0
18:09:47.400988 IP 198.51.100.114.51525> 172.16.0.7.80: флаги [S], seq 1697746705, win 29200, параметры [mss 1460, sackOK, TS val 3
546 ecr 0, nop, wscale 6], длина 0
18: 09: 49.403930 IP 198.51.100.114.51525> 172.16.0.7.80: флаги [S], seq 1697746705, win 29200, параметры [mss 1460, sackOK, TS val 3
047 ecr 0, nop, wscale 6], длина 0
Трафик не достигает WAN
К началу
Если трафик не отображается на вашем WAN-интерфейсе USG, значит, его блокирует что-то вышестоящее от USG.Часто это брандмауэр или другой своего рода фильтр пакетов, встроенный в ваш модем или в какой-либо другой брандмауэр или маршрутизатор восходящего потока. Обратитесь к руководству вашего модема, чтобы узнать больше о его конфигурации в этом отношении.
Другое распространенное обстоятельство — ваш интернет-провайдер блокирует порт, который вы пытаетесь использовать. Интернет-служба бизнес-класса, как правило, не имеет заблокированных портов, однако для бытовых служб довольно часто бывает, что порты общих серверов (25, 80, 443 и т. Д.) Блокируются.
Нет ответа от хоста LAN
К началу
Когда вы видите, что трафик, покидающий локальную сеть, направляется к соответствующему целевому хосту, как показано в окончательных выходных данных tcpdump , показанных выше, с тремя SYN подряд, отправленными на порт 80 172.16.0.7, хост не отвечает на трафик для некоторых причина. Часто это брандмауэр хоста, блокирующий трафик в этой системе. Другой распространенной причиной является то, что на узле LAN отсутствует шлюз по умолчанию или его шлюз по умолчанию настроен, указывающий на другую систему.Чтобы ответить через USG, чтобы переадресация порта работала, шлюз по умолчанию хоста LAN должен указывать на внутренний IP-адрес USG.
Статьи по теме
К началу
Настройка облачного сервера для запуска UniFi Controller
Developer
Старший менеджер по разработке приложений Крис Тьюмас описывает процесс использования виртуальных машин Azure для настройки контроллера UniFi в вашей домашней сети.
Если вы используете контроллер UniFi для настройки домашней сети и хотите настроить гостевой доступ и направить их на гостевой портал, вам потребуется, чтобы контроллер UniFi работал круглосуточно.Если вы не хотите, чтобы ваш домашний компьютер работал постоянно (или хотя бы в течение дня, каждый день), вы можете настроить виртуальную машину в Azure для создания облачного контроллера UniFi.
Чтобы запустить программное обеспечение UniFi Controller в Azure, выполните следующие действия:
- Создайте новый ресурс виртуальной машины (ВМ)
- Дайте виртуальной машине имя, регион, группу ресурсов, образ Windows Server 2016 Datacenter и выберите наименьший размер (Я выбрал стандартные B1). Наконец, введите имя пользователя и пароль для администратора виртуальной машины.
- Несмотря на то, что это относительно недорогая виртуальная машина, вам также следует подумать о настройке расписания для этой виртуальной машины, чтобы она отключалась на ночь и запускалась утром, если вы не планируете подключать гостей к вашей сети в предрассветные часы. утро.
- Нажмите кнопку «Далее», чтобы выбрать диски, и выберите вариант Стандартный жесткий диск.
- Оставьте для остальных параметров значения по умолчанию, затем нажмите кнопку «Просмотреть и создать». После прохождения проверки нажмите кнопку «Создать».
- После инициализации виртуальной машины вы увидите следующий экран (обратите внимание, что вся сеть была создана для вас):
Затем нажмите кнопку «Перейти к ресурсу». Когда вы увидите раздел обзора, обратите внимание на общедоступный IP-адрес и запишите его для дальнейшего использования:
Теперь нам нужно сделать общедоступный IP-адрес сервера статическим:
- Нажмите «Сеть» ”В левой части портала.
- В представлении« Сеть »щелкните Общедоступный IP-адрес:
- Установите для параметра« Назначение статический »значение и нажмите« Сохранить ».
Затем нам нужно установить статический локальный IP-адрес сервера:
- Вернитесь в раздел «Сеть» (верхнее навигационное меню приведет вас туда), затем щелкните Сетевой интерфейс:
- Нажмите IP конфигурации слева, затем нажмите ipconfig1.
- Установите статическое назначение и нажмите «Сохранить».
Наконец, нам нужно открыть порты, необходимые для запуска контроллера. Для этого нам нужно добавить правила для входящего порта:
- Вернитесь к сети, а затем нажмите кнопку «Добавить правило входящего порта»:
- Мы собираемся разрешить доступ RDP для вас. чтобы иметь возможность удаленно подключаться и настраивать контроллер / виртуальную машину.Вы можете оставить исходный IP-адрес как Any, но чтобы добавить безопасность, разрешая только IP-адреса из вашего дома, введите свой IP-адрес. RDP требует, чтобы порт 3389 был открыт и использует TCP (вы также можете использовать блок CIDR, чтобы разрешить любые IP-адреса в вашем доме — ознакомьтесь с моей записью в блоге CIDR для получения дополнительной информации):
- Повторите этот последний шаг и добавьте следующую входящую безопасность правила, как показано здесь (обратите внимание на Приоритет):
(Примечание : при настройке порта 8443 вы можете установить исходный IP-адрес на свой домашний IP-адрес для дополнительной безопасности, поскольку это порт, который позволяет получить доступ к веб-странице конфигурации контроллера )
После настройки сети , вернитесь к виртуальной машине и нажмите кнопку «Подключиться».Это загрузит файл RDP, настроенный для удаленного доступа, в виртуальную машину. Запустите этот файл RDP и подключитесь, используя имя пользователя и пароль, которые вы указали при создании виртуальной машины. После того, как вы установили соединение, выполните следующие шаги внутри виртуальной машины:
- установите браузер Chrome, так как контроллер UniFi лучше всего работает в этом браузере
- Загрузите последнюю версию UniFi SDN Controller для Windows: https: // www .ui.com / download / unifi /
- Загрузите 64-разрядную версию Java 8: https: // www.oracle.com/technetwork/java/javase/downloads/jre8-downloads-2133155.html
- Установите Java, принимая все параметры по умолчанию
- Установите контроллер UniFi и запустите его после установки
- При появлении запроса установите оба флажка чтобы позволить Java открывать требуемые порты
- Когда контроллер запущен, нажмите кнопку «Запустить браузер для управления сетью». Обязательно запустите это в Chrome, так как IE не полностью поддерживается.
- Выберите часовой пояс и нажмите Далее.
- Первоначально настраивать устройства не будем; нажмите «Далее», а затем нажмите «Пропустить» на следующем экране WiFi.
- Введите свои учетные данные администратора и нажмите «Далее»
- Просмотрите сведения о конфигурации и нажмите «Далее»
- Вы можете привязать облачный контроллер к своей учетной записи ubnt.com, если она у вас есть, иначе вы можете пропустите это
- Если вы присутствуете на экране входа в систему, снова войдите в систему управления. Щелкните значок «Настройки» в левом нижнем углу экрана.
Необходимо выполнить сброс точки доступа, чтобы очистить любую предыдущую конфигурацию.После его сброса вы выполните команду set-inform с IP-адресом вашего контроллера UniFi в Azure. Это сообщит вашей AP, что контроллер расположен по этому IP-адресу, и он станет видимым для вашего контроллера, чтобы его можно было принять.
- SSH в точку доступа (пароль по умолчанию ubnt)
- Выполните команду сброса: syswrapper.sh restore-default
- Выполните команду set-inform с IP-адресом вашего контроллера Unifi в Azure: set-inform http: //
: 8080 / inform.Обратите внимание: вы можете найти DNS-имя в обзоре вашей виртуальной машины в Azure
. Вернувшись к контроллеру на виртуальной машине Azure, щелкните меню «Устройства» слева. Теперь вы должны увидеть, что ваша точка доступа находится в состоянии готовности к установке. После того, как вы освоите свое устройство, все готово! Через свой контроллер, который вы также можете запускать где угодно, перейдя к своему контроллеру через DNS в веб-браузере (https: // ваше DNS-имя: 8443), вы можете настроить гостевую сеть и настроить точку доступа. И, что лучше всего, теперь, когда ваш контроллер работает в Azure, ваша гостевая сеть будет продолжать работать, пока работает ваша виртуальная машина.Наслаждайтесь!
Настройка UniFi Controller на Google Cloud Platform
[Примечание 2020/05] Google изменил операционную систему по умолчанию на Debian Buster, но контроллер UniFi не поддерживается на Buster. Вместо этого вам нужно выбрать Stretch. Шаг 4 теперь обновлен, чтобы отразить изменение. Видео устарело.
[Примечание 2020/01] Если Google взимает плату за исходящий трафик в некоторые удаленные области земного шара, вы можете остановить Lighttpd в качестве исправления. Войдите в виртуальную машину и введите sudo systemctl stop lighttpd
и sudo systemctl disable lighttpd
.Это означает, что вам нужно будет использовать полный URL-адрес https: //my.ctrl.dns: 8443
, но ваш браузер уже должен это знать. По-видимому, я обнаружил ошибку в Fail2Ban, которую нужно исправить, но на это нужно время.
Созданный мной скрипт настроит UniFi Controller на GCP со следующими дополнениями:
- Автоматически приобретайте и устанавливайте сертификат Let’s Encrypt, чтобы избавиться от предупреждений о сертификате HTTPS. Для сертификата вам необходимо иметь доменное имя для вашего контроллера, динамическое или статическое.
- Поддержка динамического DNS для помощи в настройке доменного имени.
- Нет необходимости каждый раз вводить https: //your.server.dns: 8443. Вы просто вводите DNS-имя вашего контроллера, и оно будет автоматически перенаправлено на HTTPS-порт 8443.
- Файлы резервных копий будут скопированы в корзину Google Storage для автономного хранения.
- Fail2Ban защищает ваш контроллер от злоумышленников, пытающихся подобрать пароль: к IP-адресу злоумышленника будет отказано в доступе в течение часа после каждых трех неудачных попыток.
- Микроэкземпляр GCP уровня бесплатного пользования поставляется только с 600 МБ памяти. Сценарий создаст файл подкачки для размещения контроллера.
- Базовая система Linux и контроллер UniFi будут автоматически обновлены до последних стабильных выпусков.
- Если база данных MongoDB, поддерживающая UniFi Controller, нуждается в ремонте, перезагрузка сделает свое дело. Существует сценарий поддержки для запуска команд восстановления по мере необходимости перед запуском контроллера.
- HAVEGEd будет хранить энтропию для шифрования.Без достаточной энтропии перезагрузка сервера может занять 30 минут или больше.
Попытка всего этого не будет стоить ни цента. С новой учетной записью вы получите кредит на первый год. По крайней мере, вы можете посмотреть это 10-минутное видео, чтобы увидеть всю процедуру, включая перенос текущего контроллера:
(под значком шестеренки YouTube доступны субтитры)
1. Предварительные мероприятия
Сделайте резервную копию текущего контроллера в Настройки> Обслуживание .Это всегда хорошая идея. Вы также можете сначала улучшить свой пароль. В Google Cloud к вашему контроллеру может получить доступ любой, кто угадывает ваше имя пользователя и пароль. Ты этого не хочешь. Fail2Ban заблокирует IP-адрес на час после трех неудачных попыток, но это не поможет, если ваш пароль можно угадать.
Для правильного сертификата SSL требуется DNS-имя, указывающее на ваш контроллер. Вы можете зарегистрировать свой собственный домен или использовать один из бесплатных, которые предлагают провайдеры динамических DNS.Если вы хотите использовать службу dDNS, вам необходимо сначала настроить ее. В конце есть ссылки на некоторых провайдеров. Если вы сами управляете своим DNS, вам не понадобится dDNS.
Затем вам нужно создать учетную запись на Google Cloud Platform. Для этого вам понадобится кредитная карта, но микро-экземпляра, который Google предлагает бесплатно, достаточно для небольшого контроллера UniFi, а бесплатных 5 ГБ в облачном хранилище достаточно для резервных копий. Google не гарантирует, что это предложение будет действовать вечно, но оно действует уже много лет, и они обязательно сообщат вам, если это изменится.Текущая цена микро-экземпляра составляет 4,28 доллара в месяц, например, если вам нужно запустить другой.
Прежде всего, используйте хороший пароль или, что еще лучше, настройте двухфакторную аутентификацию для своей учетной записи Google. Если кто-то взломает вашу учетную запись, злоумышленник может выставить огромный счет всего за несколько часов. Вы также можете установить предел расходов в Биллинг> Бюджеты и предупреждения . Создайте новый бюджет для всего платежного аккаунта и установите его. 50 или даже 10 долларов должно быть достаточно, если вы когда-нибудь захотите провести несколько часов тестирования на дополнительном контроллере.Однако функция бюджета не защитит вас от взлома вашего аккаунта. Первое, что сделает злоумышленник, — снимет ограничение.
Если вы настроили предупреждения о бюджете (50%, 90% и 100% по умолчанию), вам необходимо назначить себя администратору биллинга, чтобы получать электронные письма с предупреждениями. Это делается в разделе IAM & Admin> IAM . Найдите свою личность в списке и щелкните столбец Роли . Выберите Биллинг> Project Billing Manager , чтобы добавить эту роль к своей личности.
[ОБНОВЛЕНИЕ:] Некоторые читатели сообщили, что им необходимо включить API хранилища в API и службы> Панель управления> Включить API и службы> поиск Google Cloud Storage JSON API > нажмите Google Cloud Storage JSON API Плитка > щелкните Включить кнопку . В моей учетной записи это было включено по умолчанию, но моя учетная запись старше и, возможно, значение по умолчанию было изменено. [Спасибо, Лимбо и Хрисилис!]
2.Создание корзины для хранения (необязательно)
UniFi Controller создаст резервные копии автоматически. По умолчанию используется один раз в месяц, но вы можете изменить это в Контроллер UniFi> Настройки> Автозагрузка . Я делаю резервные копии раз в неделю и храню данные за последние 26 или полгода. Эти резервные копии хранятся на компьютере, на котором работает контроллер. Если этот компьютер по какой-то причине потерян, резервные копии тоже. Вы должны хранить их в другом месте, и корзина Google Storage — идеальное место.Если вы создадите корзину, сценарий будет синхронизировать резервные копии с корзиной ежедневно.
В консоли GCP перейдите на Хранилище> Браузер и создайте новую корзину. Имя сегмента должно быть глобально уникальным, поэтому все очевидные из них уже используются. Используйте что-то вроде petri-office-unifi-backup . Для бесплатного предложения выберите «Региональный» в качестве класса хранения и выберите «». Региональное расположение в США. Я нахожусь в Европе, а Восточное побережье немного ближе, поэтому я использую его.
3. Настройка виртуальной сети
Это то, что вам нужно будет сделать только один раз. Все ваши будущие контроллеры UniFi будут использовать одни и те же сетевые настройки.
Переключитесь на Сеть VPC> Правила брандмауэра . Создайте новое правило брандмауэра и назовите его allow-unifi , например, имя не имеет значения. В поле Target tags введите unifi . Вы можете использовать любое имя для тега, но вам нужно будет запомнить его для следующего шага.В диапазоне Source IP введите 0.0.0.0/0 для обозначения любого адреса. В разделе Протоколы и порты выберите Указанные протоколы и порты и скопируйте их в поля TCP и UDP:
tcp: 8443,8080,8880,8843,6789,443,80
UDP: 3478
Переключитесь на Сети VPC> Внешние IP-адреса и нажмите Зарезервировать статический адрес . Вам нужно дать адресу имя, выбрать регион, в котором будет работать ваша виртуальная машина, и нажать Зарезервировать .Я предлагаю вам использовать тот же регион, что и для хранилища. Вы пока не можете прикрепить адрес, так как вы еще не создали виртуальную машину. (Google будет взимать плату за статические адреса, пока они не используются. План состоит в том, чтобы контроллер работал в непрерывном режиме, так что это не проблема. Просто не забудьте освободить адрес, если он вам больше не нужен.) Если вы сами управляете своим DNS, добавьте на этом этапе запись A для этого IP.
4. Создайте виртуальную машину
В Compute Engine> Экземпляры ВМ создайте новый экземпляр.Вы можете называть это как угодно. Выберите Zone в США для бесплатного предложения. Вам необходимо разместить виртуальную машину в зоне, которая находится в том же регионе, что и статический адрес. Тип машины должен быть micro для бесплатного экземпляра. По умолчанию размер загрузочного диска составляет 10 ГБ, что достаточно, но впоследствии его сложно расширить. Бесплатное предложение составляет 30 ГБ, но я предпочитаю установить загрузочный диск на 15 ГБ на случай, если мне понадобится запустить другую виртуальную машину. Чтобы изменить размер, нажмите «Изменить» и установите размер.[ОБНОВЛЕНИЕ:] Новая операционная система по умолчанию — Debian GNU / Linux 10 (Buster), но UniFi Controller не поддерживается на Buster. Измените версию на Debian GNU / Linux 9 (Stretch) и нажмите «Выбрать» для сохранения. [Престижность Джеймсу!]
Если вы создали корзину для резервных копий, вам необходимо разрешить виртуальной машине запись в Google Storage. Разрешение по умолчанию — только чтение. В Access Scopes выберите Set access for each API. В появившемся списке измените Storage на Read Write .
Нет необходимости выбирать параметры HTTP и HTTPS в разделе Межсетевой экран . Вы уже создали свои собственные правила брандмауэра.
Щелкните Управление, диски, сеть, ключи SSH , чтобы открыть дополнительные параметры. На появившейся вкладке «Управление» добавьте следующие пары ключ / значение метаданных. Первый обязателен: сценарий, который творит чудеса. Все остальные необязательны, и порядок не имеет значения. Невозможно выполнить какую-либо проверку ошибок или сообщить об ошибках сценария, некоторые функции просто не будут работать, если метаданные ошибочны.При необходимости вы можете вернуться и поменять их. Изменения вступят в силу после следующей перезагрузки. См. Раздел «Техническое обслуживание» в конце, чтобы узнать, как перезагрузить компьютер.
Ключ Значение Назначение URL-адрес сценария запуска гс: //petri-unifi/startup.sh Обязательно! ddns-url http: //your.dyn.dns/update.php? Key = xxxxx Помогает получить доступ к контроллеру часовой пояс Европа / Хельсинки Позволяет настроить час перезагрузки DNS-имя ваш.server.dns Требуется для сертификата HTTPS ковш ваше-ведро-имя-здесь Требуется для автономного резервного копирования
Некоторые пользователи сообщали о проблемах с URL-адресом gs: style для сценария. Вместо этого вы можете попробовать https://storage.googleapis.com/petri-unifi/startup.sh [Спасибо, Miczita]
Щелкните вкладку Networking и добавьте unifi в поле Network Tags . Этот тег связывает созданные вами ранее правила брандмауэра с этим экземпляром виртуальной машины.Этот шаг легко забыть, но если вы его пропустите, доступ к контроллеру будет закрыт! Щелкните Default в разделе Network Interfaces и выберите статический IP-адрес, который вы создали ранее, как внешний IP-адрес .
Нажмите Создать . Иди принеси кофе. Даже если кажется, что виртуальная машина запущена, сценарий еще не готов. Обычно на это уходит меньше пяти минут, но дайте десять.
5. Настройте контроллер
Подключитесь к новому контроллеру.На первом экране мастера UniFi щелкните , восстановить из предыдущей резервной копии и загрузить последнюю резервную копию. Дождитесь завершения восстановления. Войдите в новый контроллер, используя свое старое имя пользователя и пароль. В Settings> Controller добавьте DNS-имя или IP-адрес нового контроллера в поле Controller Hostname / IP и отметьте Override inform host with controller hostname / IP . Подтвердите изменение. Нажмите Применить настройки .
Подключитесь к своему старому контроллеру. Сделайте то же изменение в Settings> Controller и добавьте DNS-имя или IP-адрес в поле Controller Hostname / IP и отметьте Override inform host with controller hostname / IP . Этот параметр предназначен для текущих устройств, которые уже связаны с текущим контроллером. Теперь они начнут связываться с новым контроллером в Google Cloud.
Снова подключитесь к новому контроллеру. Проверьте страницу устройств, чтобы узнать, подключатся ли устройства в конечном итоге.В противном случае вам, возможно, придется принудительно повторно инициализировать их на старом контроллере. В этом случае перейдите на страницу Devices на старом контроллере, выберите каждое устройство по очереди и на вкладке Config нажмите Provision в разделе Manage Device .
[ОБНОВЛЕНИЕ:] По умолчанию контроллер больше не регистрирует неудачные попытки входа в систему. Ведение журнала требуется для защиты Fail2Ban. Вам необходимо изменить уровень ведения журнала контроллера: Настройки> Обслуживание> Службы> Журнал уровень и изменить Mgmt на Еще и нажмите Применить .[Спасибо, Гейб!]
Как настроить новую сеть с помощью контроллера GCP
Если вы начинаете с нуля, у вас не будет резервной копии контроллера для переноса на контроллер UniFi на базе GCP. В этом случае у вас есть три альтернативы:
- Установите временный контроллер на локальный компьютер, настройте сеть и перенесите контроллер в GCP, как описано выше.
- Если вы хотите выполнить установку в чистом облаке, вам необходимо сообщить устройствам адрес контроллера.Если у вас есть шлюз безопасности UniFi, подключите его WAN-интерфейс к Интернету, а ваш ноутбук — напрямую к LAN-интерфейсу. Подключитесь к USG с помощью браузера (https://192.168.1.1) и настройте URL-адрес inform на http: //your.server.dns: 8080 / inform . После того, как вы применили USG в контроллере, другие устройства UniFi появятся в контроллере, когда вы начнете их подключать.
- Если у вас есть другой маршрутизатор, кроме USG, вы можете либо настроить DNS-сервер для преобразования имени unifi в IP-адрес вашего облачного контроллера, либо установить параметр DHCP 43 на своем DHCP-сервере.Примеры того и другого есть в Руководстве по принятию L3 от Ubiquiti. В крайнем случае, подключитесь по SSH к каждому устройству по очереди и используйте команду
set-inform http: //your.server.dns: 8080 / inform
.
Техническое обслуживание, поиск и устранение неисправностей
Если ваши устройства не переключаются на новый контроллер, причина обычно либо в брандмауэре, либо в DNS. Правило ли ваше правило брандмауэра VPC и соответствует ли сетевой тег виртуальной машины тегу в правиле? Правильно ли ваше DNS-имя в метаданных и в полях Override Inform Host обоих контроллеров и указывает ли DNS-имя на правильный IP-адрес? В любом случае устройства будут пытаться подключиться в течение нескольких минут перед повторным подключением к старому контроллеру.Иногда для урегулирования DNS требуются часы, в зависимости от настроек времени жизни. В этом случае оставьте его на ночь, а на следующее утро принудительно установите устройства.
Let’s Encrypt ограничивает количество сертификатов, выдаваемых на домен, до пяти в неделю (одновременно). Обычно это не проблема, но если вы используете бесплатные домены, предлагаемые поставщиками dDNS, самые популярные домены уже будут использовать пять сертификатов этой недели. В этом случае скрипт будет пытаться получить сертификат раз в час, пока не добьется успеха.Сначала вы увидите предупреждения о сертификатах, но со временем адресная строка должна стать зеленой. Вы также можете предвидеть это и выбрать менее популярный домен (или зарегистрировать свой).
Не настраивайте два контроллера для резервного копирования в один сегмент. Они будут удалять резервные копии друг друга. Вы можете создать новую корзину или папки внутри корзины. В метаданных установите bucket на your-bucket / foldername .
Google блокирует отправку электронной почты прямо на SMTP-порт 25 из GCP, потому что не хочет, чтобы все спамеры были на борту.Если вы хотите получать уведомления по электронной почте, вам необходимо настроить SMTP с аутентификацией на порт 587 или 465 в настройках UniFi > Контроллер> Почтовый сервер . Вы можете использовать свою личную учетную запись электронной почты или даже почтовую систему Google, если сможете доказать, что не являетесь спамером.
Облачная консоль обычно начинает отображать рекомендации по увеличению производительности за счет обновления до более крупной виртуальной машины (по стоимости), даже если график использования ЦП обычно остается ниже 15%.Очевидно, обновления, которые отправляют устройства, вызывают очень короткие всплески, потому что иногда устройства сообщают, что контроллер занят. Это может вызвать неточности в отчетах, я не уверен. Если вы можете смириться с этим, просто отклоните предложение. По моему опыту, микроэкземпляр может обслуживать как минимум те же 30 устройств, что и Cloud Key. Вы также можете использовать этот сценарий на виртуальных машинах любого типа. При выборе типа машины вы видите стоимость в месяц. Вы получите лучшую цену, если сможете использовать ресурс в течение 1 или 3 лет.
Если кажется, что контроллер неисправен, первое решение — перезагрузить его. Перезагрузка — это также способ повторно запустить скрипт, если вы внесли изменения в метаданные. Безопасный способ перезагрузки — Stop , а затем Start виртуальной машины. Это не изменит IP-адрес, поскольку вы зарезервировали статический адрес. Не используйте кнопку Reset . Сброс немедленно перезапустит виртуальную машину, что может повредить базу данных UniFi и / или файловую систему Linux (если вам действительно не повезло).
Базовая система Linux и контроллер UniFi будут автоматически обновлены до последних стабильных выпусков. Если для обновления требуется перезапуск сервера или перезагрузка, это произойдет после 04:00 UTC. Установите метаданные часового пояса , чтобы настроить перезагрузку на 04:00 по местному времени. Перезагрузка сделает недоступным беспроводной гостевой портал на пару минут, поэтому вы не хотите, чтобы это происходило в часы пик.
Автоматическое обновление системы представляет собой риск. Например, может быть обновление для Java или MongoDB, несовместимое с установленным контроллером UniFi.Вы никак не можете предотвратить установку обновления. Однако я решил, что НЕ обновлять систему — еще больший риск. Я не доверяю целевой аудитории (вам) регулярно входить в систему через SSH и запускать apt-get. В любом случае, если риск осознается, я верю, что он будет временным. Несовместимость затронет и многих других пользователей, и для решения этой проблемы будет выпущено другое обновление. Это другое обновление также будет установлено автоматически. Если вы знакомы с Linux, вы также можете войти в виртуальную машину и отредактировать файл / etc / apt / apt.conf.d / 51unattended-upgrade-unifi в соответствии с вашими требованиями.
При автоматическом обновлении не выполняется обновление основных версий Linux. Раз в пару лет целесообразно обновлять базовую операционную систему. Cloud Way заключается в создании нового контроллера UniFi:
- Сделайте резервную копию старого контроллера.
- Создайте новую корзину (или папку).
- Удалите статический IP-адрес со старой виртуальной машины ( Сеть VPC> Внешние IP-адреса и Изменить на Нет )
- Создайте новую виртуальную машину, как описано выше, и восстановите резервную копию
- Удалить старую виртуальную машину
- Готово! Поскольку IP-адрес тот же, нет необходимости обновлять какие-либо настройки, и переключение происходит немедленно.
Если ваш контроллер начинает работать и перезагрузка не помогает, просто создайте новый. Так же, как при обновлении базового Linux, создайте новую виртуальную машину. Если вы не можете подключиться к старому контроллеру для получения резервной копии, используйте последнюю автоматическую резервную копию в сегменте хранилища. Вот для чего они нужны. Не влюбляйтесь в свою виртуальную машину, обращайтесь с ней как с карандашами: очень полезные, но заменяемые.
Если вас беспокоит безопасность скрипта, вам лучше сначала его прочитать (ссылка в конце).Имейте в виду, что сценарий находится в моей корзине, поэтому я могу обновить его при необходимости. Я также мог внести вредоносные изменения, которые вступили бы в силу на вашем сервере после следующей загрузки (например, после обновления системы). Если вы осторожны, вам следует удалить всю строку startup-script-url из метаданных, как только вы будете удовлетворены другими настройками метаданных. После настройки системы скрипт ничего не делает. Если вам когда-либо понадобится что-то перенастроить, вы можете просто добавить startup-script-url обратно, Stop и Start VM для запуска сценария, а затем снова удалить строку.
В настоящее время Google предлагает бесплатно один микроэкземпляр с 30 ГБ дискового пространства и 5 ГБ дискового хранилища в регионах США. В обоих случаях ежемесячно предоставляется 1 ГБ бесплатного исходящего (т. Е. Исходящего) трафика, за исключением Китая и Австралии. Выходные данные используются, когда вы загружаете резервные копии на свой компьютер и когда ваши устройства загружают обновления с контроллера. Статический IP-адрес является бесплатным, если он подключен к работающей виртуальной машине. Если вы превысите эти лимиты, с вас будет взиматься плата, но, как правило, она мизерная.Например, когда вы обновляете свой Linux, вы некоторое время будете запускать другой микро-экземпляр. Функция бюджета должна уберечь вас от неприятных сюрпризов.
Ссылки
Некоторые провайдеры динамических DNS и как выглядят их однострочные URL-адреса обновления:
- Afraid.org
http://freedns.afraid.org/dynamic/update.php?xxxdynamicTokenxxx
- DNSPark
https: // имя пользователя: [email protected]/api/dynamic/update.php? Hostname = home.example.com
- DuckDNS
https://www.duckdns.org/update?domains={YOURVALUE}&token={YOURVALUE}
- DynDNS
https: // {пользователь}: {ключ клиента программы обновления}@members.dyndns.org/v3/update?hostname={hostname}
- Dynu [спасибо, Моисей!]
https://api.dynu.com/nic/update?hostname=HOSTNAME&alias=ALIAS&username=USERNAME&password=PASSWORD
- EasyDNS
https: // имя пользователя: dynamictoken @ api.cp.easydns.com/dyn/generic.php?hostname=example.com
- NameCheap
https://dynamicdns.park-your-domain.com/update?host=[host ]&domain=[domain_name ]&password=[ddns_password]
- Sitelutions
https://dnsup.
Последняя редакция 21 ноября 2017 г.
Несколько человек обратились к нам с вопросом, как настроить программное обеспечение Unifi и точки доступа для работы с моим руководством по pfSense, так что вот оно. Контроллер Unifi не обязательно должен работать непрерывно для базовой конфигурации точки доступа Unifi, вы можете запускать его при необходимости на рабочем столе Mac, Linux или Windows, хотя для использования некоторых расширенных функций ведения журнала и телеметрии он должен быть работает постоянно и собирает данные со связанных точек доступа.Я успешно запускаю программное обеспечение Unifi на виртуальной машине Debian на ESXi уже пару лет. ВМ не требует много ресурсов, мой настроен следующим образом:
- Linux Debian 9 64-битная
- 1 процессор
- 2 ГБ ОЗУ
- 16 ГБ HD
- одиночное сетевое соединение 1 Гбит / с VL10_MANAGEMENT
Для поддержки полной функциональности программного обеспечения Unifi убедитесь, что вы можете получить доступ к учетной записи root через SSH, имя хоста задано, а DNS, DHCP и NTP работают.
Подключите точки доступа unifi к сети Vl10_MANAGEMENT либо напрямую к коммутатору PoE, либо с помощью одного из входящих в комплект инжекторов PoE. Обязательно используйте кабель Cat5e хорошего качества, предпочтительно с медным сердечником, если используется PoE, чтобы обеспечить адекватную пропускную способность по току и надежную работу. Остерегайтесь многожильных и CCA (алюминия с медной оболочкой), которые имеют более низкое качество.
Установить необходимые компоненты
ssh в вашу виртуальную машину Debian и войдите в учетную запись root, чтобы выполнить следующие шаги установки.
apt-get update
apt-get install dirmngr sudo
Добавить репозиторий Ubiquiti Unifi
Выберите один из следующих репозиториев:
- deb http://www.ubnt.com/downloads/unifi/debian oldstable ubiquiti
- http://www.ubnt.com/downloads/unifi/debian стабильный ubiquiti
- http://www.ubnt.com/downloads/unifi/debian тестирование ubiquiti
Debian
Debian
Более подробная информация о версиях доступна на форумах сообщества Unifi.В этом руководстве будет использоваться ветвь тестирования, которая на момент написания этого руководства охватывает v5.6.19, последнюю версию ветки 5.6.
echo "deb http://www.ubnt.com/downloads/unifi/debian testing ubiquiti" | тройник /etc/apt/sources.list.d/100-ubnt.list
Получить ключ GPG
apt-key adv --keyserver keyserver.ubuntu.com --recv C0A52C50
# apt-key adv --keyserver keyserver.ubuntu.com --recv C0A52C50
Выполняется: / tmp / apt-key-gpghome.FkeAPmqMG9 / gpg.1.sh --keyserver keyserver.ubuntu.com --recv C0A52C50
gpg: key 06E85760C0A52C50: открытый ключ "UniFi Developers " импортирован
gpg: Общее количество обработанных: 1
gpg: импортировано: 1
Установить пакет Unifi
apt-get update
apt-get install unifi -y
Будет загружен и установлен ряд необходимых пакетов. Перед продолжением убедитесь, что это успешно завершено.
запустить Unifi
Включить автоматический запуск unifi при загрузке
systemctl включить unifi
systemctl start unifi
и убедитесь, что служба запущена правильно, введя systemctl status unifi
● unifi.сервис - unifi
Загружено: загружено (/lib/systemd/system/unifi.service; включено; предустановка поставщика: en
Активен: активен (работает) с Fri 2017-11-03 12:14:18 PDT; 12с назад
Основной PID: 5035 (jsvc)
CGroup: /system.slice/unifi.service
├─5035 unifi -cwd / usr / lib / unifi -home / usr / lib / jvm / java-8-openjdk-am
├─5037 unifi -cwd / usr / lib / unifi -home / usr / lib / jvm / java-8-openjdk-am
├─5038 unifi -cwd / usr / lib / unifi -home / usr / lib / jvm / java-8-openjdk-am
├─5049 / usr / lib / jvm / java-8-openjdk-amd64 / jre / bin / java -Xmx1024M -XX: E
└─5934 bin / mongod --dbpath / usr / lib / unifi / data / db --port 27117 --unix
03 ноя, 12:14:17 unifi2 systemd [1]: запуск unifi...
3 ноября, 12:14:18 unifi2 unifi.init [4979]: Запуск Ubiquiti UniFi Controller: uni
03.11 12:14:18 unifi2 systemd [1]: Запущен unifi.
Отключить экземпляр Mongodb по умолчанию
Unifi запустит свою собственную версию MongoDB, поэтому мы можем и должны отключить запуск экземпляра по умолчанию при загрузке
systemctl stop mongodb
systemctl отключить mongodb
Откройте браузер и перейдите по адресу https: //: 8443, в моем случае это https: // unifi2: 8443, где вам будет представлен мастер установки.
Мастер настройки Unifi
Установите страну и часовой пояс в соответствии с вашим местоположением
- Установить страну = ваша страна
- Установить часовой пояс = ваш часовой пояс
- Auto backup = ON
Нажмите Next
Настроить устройства
Мастер Unifi — настройка устройств
Мы не будем выбирать здесь какие-либо представленные устройства, поскольку мы настроим их в основном приложении через мгновение.
Нажмите Далее
Настроить WiFi
Мастер Unifi — настройка Wi-Fi
Мы не будем настраивать SSID здесь, как мы будем делать их в основном приложении.
Нажмите Пропустить
Доступ к контроллеру
Мы настроим детали доступа администратора на этой странице.
Мастер Unifi — доступ к контроллеру
- Имя администратора = admin
- Адрес электронной почты администратора = [email protected] или адрес электронной почты администратора
- Пароль = somethingsecure
- Подтвердите пароль = somethingsecure снова
Аутентификация устройства
- Имя пользователя = admin
- Пароль = somethingelsesecure
Нажмите Далее
Подтвердите настройки
Мастер Unifi — подтвердите настройки
Проверьте правильность настроек и нажмите Готово
Учетные данные для входа в облако
Мастер Unifi
Я не использую облачный контроллер и предпочитаю, где это возможно, самостоятельное размещение, нажмите Пропустить
Unifi login
Введите имя пользователя и пароль, заданные во время установки мастера установки, и нажмите «Войти».Вам будет представлена панель управления, на которой не будут отображаться никакие данные, поскольку мы еще не внедрили точки доступа. Прежде чем мы приступим к внедрению ваших точек доступа, давайте сначала настроим программное обеспечение. Чтобы войти в раздел настроек, щелкните значок шестеренки в нижнем левом углу окна.
Сайт
Конфигурация сайта
- Имя сайта = по умолчанию
- Страна = США
- Часовой пояс = UTC -8: 00 Pacific
Услуги
- Advanced Features = [x] Это включает некоторые настройки, которые мы изменим позже
- Automatic Upgrades = [] Это может привести к понижению версии микропрограммы, поэтому оставьте это как руководство.
- светодиод = [x]
- Оповещения = [x]
- Speed Test = []
- Переназначение порта = []
- Монитор подключения к восходящему каналу = []
- SNMP = [] включить, если вы используете мониторинг SNMP
- Удаленное ведение журнала = [] включить, если вы используете удаленный сервер системного журнала
Аутентификация устройства
- Аутентификация SSH = [x]
- Имя пользователя = admin
- Пароль = yoursecurepassword
Нажмите Применить изменения
Настройка беспроводных сетей
Мы настроим SSID и свяжем их с правильной VLAN, используя следующую таблицу в качестве дополнения к нашим настройкам.Не стесняйтесь изменять значения SSID на более подходящие для вашей установки.
ЛВС | SSID | Идентификатор VLAN | Диапазон IP-подсети |
---|---|---|---|
VL10_MGMT | WIFI-MGMT | НЕТ | 192.168. 10 0,0 / 24 |
VL20_VPNLAN | WIFI-VPN | 20 | 192.168. 20 .0/24 |
VL30_CLRNET | WIFI-CLRNET | 30 | 192.168. 30 0,0 / 24 |
VL40_GUEST | WIFI-ГОСТЕВОЙ | 40 | 192.168. 40 0,0 / 24 |
Конфигурация сети управления
Я не определился, стоит ли включать это, раскрытие вашей сети управления через Wi-Fi является ненужным риском, однако я лично использовал это раньше, и это может быть полезно для тех, кто настраивает систему впервые, из-за простоты доступа.Было бы упущением с моей стороны не сказать, что сети управления и термины простоты доступа не принадлежат одному предложению, поэтому, пожалуйста, рассмотрите последствия раскрытия вашей сети управления в вашей сети Wi-Fi.
Нажмите + Новая беспроводная сеть
- Имя / SSID = WIFI-MGMT
- Включено = [x]
- Безопасность = WPA Personal
- Ключ безопасности = действительно действительно очень безопасный пароль
- Гостевая политика = []
Откройте дополнительные параметры и установите
- Фильтрация многоадресной и широковещательной рассылки = [] (дополнительные сведения см. В этом разделе)
- VLAN = [] это немаркированная собственная сеть
- идентификатор VLAN = []
- Включить быстрый роуминг = []
- Скрыть SSID = []
- Режим WPA = Только WPA2
- Шифрование = только AES / CCMP
- Интервал смены ключей группы = 3600
- Группа пользователей = по умолчанию
- UAPSD = []
- Запланировано = []
- Расширение многоадресной рассылки []
802.11 элементов управления скоростью и маяками = по умолчанию
Фильтр Mac = по умолчанию
Аутентификация Radius Mac = по умолчанию
Нажмите Сохранить
Конфигурация сети VPN
Нажмите + Новая беспроводная сеть
- Имя / SSID = WIFI-VPN
- Включено = [x]
- Безопасность = WPA Personal
- Ключ безопасности = securepassword
- Гостевая политика = []
Откройте дополнительные параметры и установите
- Фильтрация многоадресной и широковещательной рассылки = [] (дополнительные сведения см. В этом разделе)
- VLAN = [x]
- ID VLAN = [20]
- Включить быстрый роуминг = [] это, как известно, вызывает некоторые проблемы в настоящее время
- Скрыть SSID = [] без дополнительной защиты
- Режим WPA = Только WPA2
- Шифрование = только AES / CCMP
- Интервал смены ключей группы = 3600
- Группа пользователей = по умолчанию
- UAPSD = []
- Запланировано = []
- Расширение многоадресной рассылки []
802.11 элементов управления скоростью и маяками = по умолчанию
Фильтр Mac = по умолчанию
Аутентификация Radius Mac = по умолчанию
Нажмите Сохранить
Конфигурация VPNLAN
Конфигурация Clearnet
Нажмите + Новая беспроводная сеть
- Имя / SSID = WIFI-CLRNET
- Включено = [x]
- Безопасность = WPA Personal
- Ключ безопасности = другой пароль
- Гостевая политика = []
Откройте дополнительные параметры и установите
- Фильтрация многоадресной и широковещательной рассылки = [] (дополнительные сведения см. В этом разделе)
- VLAN = [x]
- ID VLAN = [30]
- Включить быстрый роуминг = []
- Скрыть SSID = []
- Режим WPA = Только WPA2
- Шифрование = только AES / CCMP
- Интервал смены ключей группы = 3600
- Группа пользователей = по умолчанию
- UAPSD = []
- Запланировано = []
- Расширение многоадресной рассылки []
802.11 элементов управления скоростью и маяками = по умолчанию
Фильтр Mac = по умолчанию
Аутентификация Radius Mac = по умолчанию
Нажмите Сохранить
Конфигурация гостя
Моя гостевая сеть защищена брандмауэром на маршрутизаторе pfSense, и я не ограничиваю полосу пропускания для пользователей гостевой сети, поскольку время от времени использую гостевую сеть в качестве сети аварийного переключения. По этим причинам я не применяю гостевую политику в конфигурации ниже. Можно ограничить полосу пропускания и предоставить доступ через портал, я могу добавить это в качестве дополнения к этому руководству позже, если возникнет необходимость.
Нажмите + Новая беспроводная сеть
- Имя / SSID = WIFI-GUEST
- Включено = [x]
- Безопасность = WPA Personal
- Ключ безопасности = другой пароль
- Гостевая политика = []
Откройте дополнительные параметры и установите
- Фильтрация многоадресной и широковещательной рассылки = [] (дополнительные сведения см. В этом разделе)
- VLAN = [x]
- идентификатор VLAN = [40]
- Включить быстрый роуминг = []
- Скрыть SSID = []
- Режим WPA = Только WPA2
- Шифрование = только AES / CCMP
- Интервал смены ключей группы = 3600
- Группа пользователей = по умолчанию
- UAPSD = []
- Запланировано = []
- Расширение многоадресной рассылки []
802.11 элементов управления скоростью и маяками = по умолчанию
Фильтр Mac = по умолчанию
Аутентификация Radius Mac = по умолчанию
Нажмите Сохранить
После нажатия кнопки «Сохранить» страница ваших беспроводных сетей должна выглядеть так.
Окончательная конфигурация сети
Службы настройки
Настроить NTP
Чтобы обновления прошивки точки доступа можно было легко выполнять из веб-клиента, нам нужно установить точное время. Перейдите к Services> NTP и настройте серверы NTP.Все мои устройства синхронизируются с моим маршрутизатором pfSense, отсюда и адрес 192.168.10.1.
Конфигурация NTP
Контроллер
Настройки контроллера
Убедитесь, что имя контроллера установлено правильно в соответствии с записью вашего имени хоста, в моем случае Unifi2
- Имя контроллера = Unifi2 в соответствии с именем вашего хоста
- Имя хоста контроллера / IP = unifi2.local.lan FQDN или IP-адрес
Применить изменения
Принять точку доступа
Теперь мы настроили все параметры, необходимые для создания и настройки наших SSID, мы можем принять наши точки доступа.Перейдите к УСТРОЙСТВАМ, где вы должны увидеть точки доступа, ожидающие принятия. Принятие инициируется нажатием ADOPT рядом с соответствующей точкой доступа. После кратковременного отображения PROVISIONING статус должен измениться на CONNECTED.
Принятая точка доступа
После того, как точка доступа будет принята, вы сможете присоединиться к любому из предоставленных SSID. Убедитесь, что вы можете подключиться, получить соответствующий адрес DHCP и доступ к внутренним устройствам и интернет-сайтам.
Щелкните имя точки доступа, и в правой части окна браузера появится панель, где мы сможем настроить параметры, связанные с точкой доступа.
Псевдоним точки доступа
Перейдите в Общие> Псевдоним и установите более понятное имя , например. Кухня
Нажмите Сохранить
Лента рулевая
Перейдите в «Общие»> «Управление диапазоном» и установите для параметра «Предпочитать 5G» значение «ВКЛ.
Это заставит продвигать устройство с переполненных частот 2,4 ГГц в диапазон 5 ГГц.
Справедливость в эфире
Перейдите в Общие> Справедливость эфира и установите для него значение ВКЛ.
Это будет способствовать более справедливому распределению эфирного времени.
Примените указанные выше изменения.
Программное обеспечение Unifi
Новое программное обеспечение часто становится доступным через Unifi и программу бета-тестирования, и его стоит постоянно обновлять. Перед обновлением вашей системы обязательно сделайте резервную копию на случай, если вам нужно будет вернуться к предыдущей версии. Чтобы обновить установленный SSH в системе Unifi, введите wget
, e.g для версии 5.7.3 введите
wget https://dl.ubnt.com/unifi/5.7.3-91ad2e6240/unifi_sysvinit_all.deb -O ~ / unifi / downloads / 5.7.3-installer.deb
и для установки пакета .deb
sudo dpkg -i ~ / unifi / downloads / 5.7.3-installer.deb
После применения обычно стоит перезагрузить. Доступ к новой установке может занять несколько минут из-за преобразований базы данных, поэтому не паникуйте, если она не будет доступна сразу.
Прошивка точки доступа
Чтобы обновить точку доступа с помощью новой прошивки, щелкните точку доступа, которую нужно обновить, и перейдите к Config> Manage Device> Custom Upgrade. Здесь вы вводите ссылку на прошивку и затем нажимаете Обновить. В случае возникновения проблем стоит отметить, что для передачи HTTPS необходимо установить точное время. Если у вас возникли проблемы, проверьте правильность настроек NTP.
Невозможно создать руководство по настройке радиоприемников точек доступа, которое работало бы в каких-либо условиях, кроме небольшого набора настроек, не только дома и офисы сильно различаются по площади и конструкции, но и использование радиочастот и загрязнение окружающей среды также будут разными.Я хочу поделиться несколькими концепциями и идеями, которые хорошо сработали для меня и, вероятно, подойдут для значительного процента читателей.
Позиционирование точки доступа
Обычно точки доступа должны находиться в зоне прямой видимости мест, где могут использоваться клиенты, обычно это означает потолочный монтаж. Использование такого инструмента исследования сайта, как Netspot, позволяет вам фактически считывать уровень сигнала ваших точек доступа в вашем пространстве. Эта информация действительно может помочь определить оптимальное количество и размещение точек доступа.
Netspot
Избегайте перегруженных полос частот
Более высокая ширина канала может поддерживать более высокие скорости передачи данных, однако обратная сторона заключается в том, что доступно меньше неперекрывающихся каналов, что может привести к проблемам с перегрузкой.
Воспользуйтесь встроенным сканером среды Unifi RF, доступ к которому можно получить из меню инструментов каждой точки доступа. Выберите неперекрывающиеся каналы для каждой точки доступа.
Сканирование частоты Unifi
Wifi Explorer Адриана Грандо отлично подходит для проверки сети Wi-Fi.Недавно выпущенная профессиональная версия также позволяет использовать Metageek Wi-spy DBx для частотного анализа.
Wifi explorer
Для 2,4 ГГц есть только три неперекрывающихся канала, 1, 6 и 11, придерживайтесь ширины канала 20 МГц, поскольку увеличение до 40 МГц уменьшает количество неперекрывающихся каналов и затрудняет использование нескольких точек доступа. Вы можете видеть на изображении выше, что мои 3 точки доступа используют каналы 2,4 ГГц 1, 6 и 11 и 5,4 ГГц 36, 52 и 100 для предотвращения перегрузки.
Для 5 ГГц существует гораздо больше неперекрывающихся каналов, и можно настроить ширину канала 40 МГц или даже 80 МГц в определенных средах без перегрузки.
При использовании частотных диапазонов DFS убедитесь, что на вас не влияют расположенные поблизости радиолокаторы или другие источники помех, которые могут вызвать перераспределение вашей точки доступа на другие каналы, вызывая перегрузку. Программное обеспечение Unifi изменит вас в разделе регистрации, если это произойдет.
Настройка для оптимального использования сети 5 ГГц сложнее, чем 2,4 ГГц, см. Этот документ FCC для более подробной разбивки диапазона.
Радио мощность
Радиосвязь зависит от четких сигналов в обоих направлениях между точкой доступа и клиентом.Увеличение мощности передачи на точке доступа не решает волшебным образом проблемы дальности, потому что, хотя клиенты могут слышать точку доступа более четко, у них обычно нет мощности радио, чтобы иметь возможность передавать обратно так же громко. Вероятно, вам лучше отключить питание широковещательной передачи и позволить устройствам перейти на другие, более оптимальные точки доступа, где может возникнуть более сбалансированный поток связи.
Щелкните по каждой точке доступа по очереди и в разделе config установите следующие мощности передачи:
- Радио 2G Мощность передачи = низкая
- Radio 5G Мощность передачи = средняя
Убедитесь, что ваши устройства, особенно мобильные устройства, по-прежнему имеют доступ к Wi-Fi в вашем районе, и разумно убедитесь, что они передаются в точки доступа с лучшим SNR.
Отключить неиспользуемые скорости 802.11
В зависимости от устройств, используемых в вашей сети, вы можете увидеть некоторые преимущества в отключении некоторых скоростей, связанных со старыми устройствами Wi-Fi. Чтобы отключить эти частоты, перейдите в Настройки> Беспроводные сети. Измените настройки и измените параметры скорости 802.11 следующим образом:
2G Контроль скорости передачи данных
- Включить управление минимальной скоростью передачи данных = [x]
- Установить ползунок на 12 Мбит / с
- Также требуется, чтобы клиенты использовали ставки, равные или превышающие указанное значение = [x]
5G Контроль скорости передачи данных
- Включить управление минимальной скоростью передачи данных = [x]
- Установить ползунок на 12 Мбит / с
- Также требуется, чтобы клиенты использовали ставки, равные или превышающие указанное значение = [x]
Сохраните и убедитесь, что ваши устройства по-прежнему работают правильно.
Отключить скорость CCK
Блокировать LAN для WLAN Multicast и широковещательные данные
Multicast / Broadcast данные отправляются с самой низкой скоростью модуляции и могут отрицательно повлиять на производительность. Если эта функция вам не нужна, рекомендуется заблокировать этот трафик. Если после блокировки этого трафика вы заметили трудности с подключением к определенным устройствам Wi-Fi, например к принтерам, которые могут полагаться на эту систему для обнаружения, подумайте о добавлении определенных MAC-адресов к исключенным устройствам, прежде чем вернуться к полному отключению блокировки.Я добавил исключение для своего принтера (HP8600), портативного аудиоколонки (A7) и шлюза подсети (неизвестное имя хоста) для поддержки надежного обнаружения на изображении ниже. См. Этот документ Ubiquiti для получения дополнительной информации.
Блокировать LAN для WLAN многоадресной и широковещательной передачи данных
21 ноября 2017 г.
Уточненный блок LAN to WLAN section
18 ноября 2017 г.
Добавлена блокировка LAN в раздел многоадресных и широковещательных данных WLAN
UniFi — Настройка перенаправления портов USG и устранение неполадок — Тест справочного центра
Обзор
В этой статье описывается, как настроить переадресацию портов на шлюзе безопасности UniFi и как их устранять, если они не работают должным образом.
Переадресация портов позволяет перенаправлять трафик, предназначенный для одного или нескольких портов WAN IP вашего USG, на внутренний хост, чаще всего для того, чтобы сделать серверы доступными из Интернета.
Содержание
- Конфигурация переадресации портов
- Пример обзора сети
- Открытие вкладки переадресации порта
- Поля конфигурации переадресации портов
- Пример переадресации порта веб-сервера
- Пример переадресации порта SSH
- Просмотр списка переадресации портов
- Правила переадресации портов и межсетевого экрана
- Устранение неполадок перенаправления портов
- Проверка конфигурации и методика тестирования
- Проверить трафик по WAN
- Проверить трафик в локальной сети
- Трафик не достигает WAN
- Нет ответа от хоста LAN
- Статьи по теме
Конфигурация перенаправления портов |
Наверх
Пример обзора сети
Прежде чем вы начнете, и чтобы было легче следовать этим примерам, обратите внимание, что сеть, изображенная в примерах, имеет USG с WAN, подключенным к Интернет-соединению с IP 192.0.2.117, и LAN с IP-адресом 172.16.0.1, подключенная к коммутатору UniFi. В локальной сети есть сервер Linux с адресом 172.16.0.7, на котором запущены веб-сервер и сервер SSH.
Открытие вкладки переадресации портов
К началу
Перенаправление портов шлюза безопасности UniFi
(USG) настраивается на панели свойств устройства в контроллере UniFi. Чтобы добраться туда, выполните следующие действия:
- Нажмите Устройства в левом меню
- Выберите свой USG, щелкнув по нему.
- Панель «Свойства» появится в правой части экрана, она откроется на вкладке «Сведения». Нажмите Configuration
- Щелкните Port Forward , чтобы развернуть. Вы начнете без настроенной переадресации портов, как показано ниже.
- Щелкните Create , чтобы настроить перенаправление первого порта.
Поля конфигурации переадресации портов
К началу
Следующие поля доступны для настройки в переадресации портов:
Имя: Описательное имя переадресации порта только для справки.Никакого функционального воздействия.
От: В этом поле указываются адреса источника, которые разрешены через переадресацию порта. Если вам нужно, чтобы услуга была доступна из любого места в Интернете, вы должны выбрать здесь «Anywhere». В случаях, когда вы можете ограничить исходный IP-адрес или сеть, которая может использовать переадресацию порта, лучше всего сделать это, поскольку это значительно ограничивает уязвимость вашей сети. Чтобы ограничить исходные IP-адреса, разрешенные через переадресацию порта, выберите «Limited» и в текстовом поле справа введите IP-адрес (например.грамм. 198.51.100.123) или IP-подсеть с маской CIDR (например, 100.70.60.0/24). Только указанный IP-адрес или сеть будут разрешены через переадресацию порта.
Примечание. Если вам нужно разрешить несколько исходных IP-адресов или подсетей, вы можете добавить несколько портов переадресации, с разными IP-адресами «От» или подсетями для каждой из них.
Порт: В поле Порт указывается внешний порт для переадресации. Этот порт на вашем WAN IP будет перенаправлен.
IP-адрес пересылки: В этом поле указывается внутренний IP-адрес, который будет использоваться для назначения пересылки этого порта.
Порт пересылки: Порт пересылки указывает внутренний порт, на который пересылается трафик.
Протокол: Здесь вы можете выбрать TCP, UDP или оба (TCP и UDP) в качестве протокола пересылки. Большинство сервисов используют TCP. Если не требуются и TCP, и UDP, вы должны указать один или другой, а не оба.
Пример переадресации порта веб-сервера
К началу
Теперь, когда вы знакомы с каждым полем на вкладке Port Forward, давайте создадим несколько примеров Port Forward.В первом примере мы открываем HTTP (порт TCP 80) для сервера Linux по адресу 172.16.0.7.
Нажмите Применить после заполнения полей соответствующим образом. Конфигурация будет предоставлена универсальной группе безопасности, и переадресация портов будет активна после завершения подготовки. Убедитесь, что ваш порт переадресован из-за пределов вашей сети в Интернете.
Пример переадресации порта SSH
К началу
В этом примере мы перенаправим внешний порт 2222 на SSH сервера Linux на порт 22.SSH — распространенный пример службы, которую люди часто настраивают внешне на другом порту, чем на внутреннем, в основном, чтобы избежать большинства атак методом грубой силы. В этом нет никакой реальной безопасности, поскольку любая система, восприимчивая к атаке методом перебора SSH, будет обнаружена и скомпрометирована независимо от порта, но есть смысл в значительном сокращении спама в журналах из-за сбоев аутентификации и не тратить ресурсы системы на обработку попыток. . Предпочтительно ограничивать исходные IP-адреса или сети для такого перенаправленного трафика, но если у вас есть требование оставить SSH открытым для Интернета, использование альтернативного внешнего порта не повредит.
Еще раз нажмите Применить . После завершения подготовки универсальной группы безопасности служба SSH сервера Linux будет доступна из Интернета через 192.0.2.117 порт 2222.
Просмотр списка переадресации портов
К началу
Теперь на панели переадресации портов будут отображаться две настроенные записи:
Вы можете щелкнуть карандашом справа от записи, чтобы отредактировать ее, или мусорной корзиной, чтобы удалить.
Примечание. Если кнопки редактирования и удаления не видны, посмотрите на полосу прокрутки в нижней части передней панели порта, непосредственно под надписью «Отображение X-Y записей Z».Прокрутите вправо, чтобы найти кнопки редактирования и удаления.
Правила переадресации портов и межсетевого экрана
К началу
В правилах брандмауэра WAN IN, отображаемых в контроллере, вы увидите правила, добавленные для перенаправления трафика, связанного с вашим портом.
Эти правила нельзя редактировать, потому что они связаны с переадресацией портов, и все особенности их конфигурации исходят от переадресации портов. Вы редактируете или удаляете переадресацию портов, чтобы редактировать или удалять эти правила.
Устранение неполадок перенаправления портов |
Наверх
Существует ряд потенциальных причин, по которым переадресация портов не работает после их настройки, большинство из которых не связаны с самим USG, но USG предоставляет мощные инструменты, помогающие точно определить причину проблемы.
В этом разделе описан процесс устранения неполадок, когда переадресация портов не работает должным образом.
Проверка конфигурации и методика тестирования
К началу
Во-первых, внимательно посмотрите на настроенный порт переадресации.Тонкая опечатка в IP-адресе или номере порта иногда сбивала с толку всех нас. Контроллер UniFi не допускает недопустимых символов, поэтому не нужно внимательно следить за пробелами или чем-либо в этих строках. Просто убедитесь, что IP-адрес и порт введены правильно.
При тестировании переадресации порта обязательно делайте это из Интернета. Сотовый телефон с отключенным Wi-Fi — хороший вариант, если больше ничего нет под рукой.
В следующих разделах описан процесс поиска и устранения неисправностей с точки зрения WAN и LAN.
Проверить трафик в WAN
К началу
Первым шагом в устранении неполадок переадресации портов является обеспечение того, чтобы трафик достиг вашего интерфейса WAN. Если трафик не достигает WAN USG, он не может быть перенаправлен. Захват пакетов с помощью tcpdump является предпочтительным методом устранения неполадок, поскольку просмотр трафика, присутствующего или отсутствующего в сети, окончательно определяет, где существует проблема. Интерфейс WAN на USG: eth0 и eth3 на USG Pro.Примеры в этой статье относятся к USG, поэтому мы будем использовать eth0 . Если вы используете USG Pro, замените его на eth3 .
Без какой-либо фильтрации вывод tcpdump будет трудно расшифровать. Часто бывает достаточно простого фильтра для порта назначения, хотя, если это порт, совместно используемый другим активным трафиком в сети, одного этого недостаточно. Например, переадресация порта HTTP требует более жесткой фильтрации для устранения постороннего шума. В нашем случае использования мы будем фильтровать по узлу назначения 192.0.2.117 (IP-адрес WAN USG) и порт назначения 80 с использованием фильтра хоста dst 192.0.2.117 и порта dst 80.
SSH в USG для запуска. Затем запустите следующий tcpdump для поиска входящих HTTP-запросов:
cmb @ usg1: ~ $
sudo tcpdump -ni eth0 dst host 192.0.2.117 и dst port 80
tcpdump: подробный вывод подавлен, используйте -v или -vv для полного декодирования протокола
прослушивание eth0, link-type EN10MB (Ethernet), размер захвата 262144 байта
17:44:00.
Ключ | Значение | Назначение |
URL-адрес сценария запуска | гс: //petri-unifi/startup.sh | Обязательно! |
ddns-url | http: //your.dyn.dns/update.php? Key = xxxxx | Помогает получить доступ к контроллеру |
часовой пояс | Европа / Хельсинки | Позволяет настроить час перезагрузки |
DNS-имя | ваш.server.dns | Требуется для сертификата HTTPS |
ковш | ваше-ведро-имя-здесь | Требуется для автономного резервного копирования |
Некоторые пользователи сообщали о проблемах с URL-адресом gs: style для сценария. Вместо этого вы можете попробовать https://storage.googleapis.com/petri-unifi/startup.sh [Спасибо, Miczita]
Щелкните вкладку Networking и добавьте unifi в поле Network Tags . Этот тег связывает созданные вами ранее правила брандмауэра с этим экземпляром виртуальной машины.Этот шаг легко забыть, но если вы его пропустите, доступ к контроллеру будет закрыт! Щелкните Default в разделе Network Interfaces и выберите статический IP-адрес, который вы создали ранее, как внешний IP-адрес .
Нажмите Создать . Иди принеси кофе. Даже если кажется, что виртуальная машина запущена, сценарий еще не готов. Обычно на это уходит меньше пяти минут, но дайте десять.
5. Настройте контроллер
Подключитесь к новому контроллеру.На первом экране мастера UniFi щелкните , восстановить из предыдущей резервной копии и загрузить последнюю резервную копию. Дождитесь завершения восстановления. Войдите в новый контроллер, используя свое старое имя пользователя и пароль. В Settings> Controller добавьте DNS-имя или IP-адрес нового контроллера в поле Controller Hostname / IP и отметьте Override inform host with controller hostname / IP . Подтвердите изменение. Нажмите Применить настройки .
Подключитесь к своему старому контроллеру. Сделайте то же изменение в Settings> Controller и добавьте DNS-имя или IP-адрес в поле Controller Hostname / IP и отметьте Override inform host with controller hostname / IP . Этот параметр предназначен для текущих устройств, которые уже связаны с текущим контроллером. Теперь они начнут связываться с новым контроллером в Google Cloud.
Снова подключитесь к новому контроллеру. Проверьте страницу устройств, чтобы узнать, подключатся ли устройства в конечном итоге.В противном случае вам, возможно, придется принудительно повторно инициализировать их на старом контроллере. В этом случае перейдите на страницу Devices на старом контроллере, выберите каждое устройство по очереди и на вкладке Config нажмите Provision в разделе Manage Device .
[ОБНОВЛЕНИЕ:] По умолчанию контроллер больше не регистрирует неудачные попытки входа в систему. Ведение журнала требуется для защиты Fail2Ban. Вам необходимо изменить уровень ведения журнала контроллера: Настройки> Обслуживание> Службы> Журнал уровень и изменить Mgmt на Еще и нажмите Применить .[Спасибо, Гейб!]
Как настроить новую сеть с помощью контроллера GCP
Если вы начинаете с нуля, у вас не будет резервной копии контроллера для переноса на контроллер UniFi на базе GCP. В этом случае у вас есть три альтернативы:
- Установите временный контроллер на локальный компьютер, настройте сеть и перенесите контроллер в GCP, как описано выше.
- Если вы хотите выполнить установку в чистом облаке, вам необходимо сообщить устройствам адрес контроллера.Если у вас есть шлюз безопасности UniFi, подключите его WAN-интерфейс к Интернету, а ваш ноутбук — напрямую к LAN-интерфейсу. Подключитесь к USG с помощью браузера (https://192.168.1.1) и настройте URL-адрес inform на http: //your.server.dns: 8080 / inform . После того, как вы применили USG в контроллере, другие устройства UniFi появятся в контроллере, когда вы начнете их подключать.
- Если у вас есть другой маршрутизатор, кроме USG, вы можете либо настроить DNS-сервер для преобразования имени unifi в IP-адрес вашего облачного контроллера, либо установить параметр DHCP 43 на своем DHCP-сервере.Примеры того и другого есть в Руководстве по принятию L3 от Ubiquiti. В крайнем случае, подключитесь по SSH к каждому устройству по очереди и используйте команду
set-inform http: //your.server.dns: 8080 / inform
.
Техническое обслуживание, поиск и устранение неисправностей
Если ваши устройства не переключаются на новый контроллер, причина обычно либо в брандмауэре, либо в DNS. Правило ли ваше правило брандмауэра VPC и соответствует ли сетевой тег виртуальной машины тегу в правиле? Правильно ли ваше DNS-имя в метаданных и в полях Override Inform Host обоих контроллеров и указывает ли DNS-имя на правильный IP-адрес? В любом случае устройства будут пытаться подключиться в течение нескольких минут перед повторным подключением к старому контроллеру.Иногда для урегулирования DNS требуются часы, в зависимости от настроек времени жизни. В этом случае оставьте его на ночь, а на следующее утро принудительно установите устройства.
Let’s Encrypt ограничивает количество сертификатов, выдаваемых на домен, до пяти в неделю (одновременно). Обычно это не проблема, но если вы используете бесплатные домены, предлагаемые поставщиками dDNS, самые популярные домены уже будут использовать пять сертификатов этой недели. В этом случае скрипт будет пытаться получить сертификат раз в час, пока не добьется успеха.Сначала вы увидите предупреждения о сертификатах, но со временем адресная строка должна стать зеленой. Вы также можете предвидеть это и выбрать менее популярный домен (или зарегистрировать свой).
Не настраивайте два контроллера для резервного копирования в один сегмент. Они будут удалять резервные копии друг друга. Вы можете создать новую корзину или папки внутри корзины. В метаданных установите bucket на your-bucket / foldername .
Google блокирует отправку электронной почты прямо на SMTP-порт 25 из GCP, потому что не хочет, чтобы все спамеры были на борту.Если вы хотите получать уведомления по электронной почте, вам необходимо настроить SMTP с аутентификацией на порт 587 или 465 в настройках UniFi > Контроллер> Почтовый сервер . Вы можете использовать свою личную учетную запись электронной почты или даже почтовую систему Google, если сможете доказать, что не являетесь спамером.
Облачная консоль обычно начинает отображать рекомендации по увеличению производительности за счет обновления до более крупной виртуальной машины (по стоимости), даже если график использования ЦП обычно остается ниже 15%.Очевидно, обновления, которые отправляют устройства, вызывают очень короткие всплески, потому что иногда устройства сообщают, что контроллер занят. Это может вызвать неточности в отчетах, я не уверен. Если вы можете смириться с этим, просто отклоните предложение. По моему опыту, микроэкземпляр может обслуживать как минимум те же 30 устройств, что и Cloud Key. Вы также можете использовать этот сценарий на виртуальных машинах любого типа. При выборе типа машины вы видите стоимость в месяц. Вы получите лучшую цену, если сможете использовать ресурс в течение 1 или 3 лет.
Если кажется, что контроллер неисправен, первое решение — перезагрузить его. Перезагрузка — это также способ повторно запустить скрипт, если вы внесли изменения в метаданные. Безопасный способ перезагрузки — Stop , а затем Start виртуальной машины. Это не изменит IP-адрес, поскольку вы зарезервировали статический адрес. Не используйте кнопку Reset . Сброс немедленно перезапустит виртуальную машину, что может повредить базу данных UniFi и / или файловую систему Linux (если вам действительно не повезло).
Базовая система Linux и контроллер UniFi будут автоматически обновлены до последних стабильных выпусков. Если для обновления требуется перезапуск сервера или перезагрузка, это произойдет после 04:00 UTC. Установите метаданные часового пояса , чтобы настроить перезагрузку на 04:00 по местному времени. Перезагрузка сделает недоступным беспроводной гостевой портал на пару минут, поэтому вы не хотите, чтобы это происходило в часы пик.
Автоматическое обновление системы представляет собой риск. Например, может быть обновление для Java или MongoDB, несовместимое с установленным контроллером UniFi.Вы никак не можете предотвратить установку обновления. Однако я решил, что НЕ обновлять систему — еще больший риск. Я не доверяю целевой аудитории (вам) регулярно входить в систему через SSH и запускать apt-get. В любом случае, если риск осознается, я верю, что он будет временным. Несовместимость затронет и многих других пользователей, и для решения этой проблемы будет выпущено другое обновление. Это другое обновление также будет установлено автоматически. Если вы знакомы с Linux, вы также можете войти в виртуальную машину и отредактировать файл / etc / apt / apt.conf.d / 51unattended-upgrade-unifi в соответствии с вашими требованиями.
При автоматическом обновлении не выполняется обновление основных версий Linux. Раз в пару лет целесообразно обновлять базовую операционную систему. Cloud Way заключается в создании нового контроллера UniFi:
- Сделайте резервную копию старого контроллера.
- Создайте новую корзину (или папку).
- Удалите статический IP-адрес со старой виртуальной машины ( Сеть VPC> Внешние IP-адреса и Изменить на Нет )
- Создайте новую виртуальную машину, как описано выше, и восстановите резервную копию
- Удалить старую виртуальную машину
- Готово! Поскольку IP-адрес тот же, нет необходимости обновлять какие-либо настройки, и переключение происходит немедленно.
Если ваш контроллер начинает работать и перезагрузка не помогает, просто создайте новый. Так же, как при обновлении базового Linux, создайте новую виртуальную машину. Если вы не можете подключиться к старому контроллеру для получения резервной копии, используйте последнюю автоматическую резервную копию в сегменте хранилища. Вот для чего они нужны. Не влюбляйтесь в свою виртуальную машину, обращайтесь с ней как с карандашами: очень полезные, но заменяемые.
Если вас беспокоит безопасность скрипта, вам лучше сначала его прочитать (ссылка в конце).Имейте в виду, что сценарий находится в моей корзине, поэтому я могу обновить его при необходимости. Я также мог внести вредоносные изменения, которые вступили бы в силу на вашем сервере после следующей загрузки (например, после обновления системы). Если вы осторожны, вам следует удалить всю строку startup-script-url из метаданных, как только вы будете удовлетворены другими настройками метаданных. После настройки системы скрипт ничего не делает. Если вам когда-либо понадобится что-то перенастроить, вы можете просто добавить startup-script-url обратно, Stop и Start VM для запуска сценария, а затем снова удалить строку.
В настоящее время Google предлагает бесплатно один микроэкземпляр с 30 ГБ дискового пространства и 5 ГБ дискового хранилища в регионах США. В обоих случаях ежемесячно предоставляется 1 ГБ бесплатного исходящего (т. Е. Исходящего) трафика, за исключением Китая и Австралии. Выходные данные используются, когда вы загружаете резервные копии на свой компьютер и когда ваши устройства загружают обновления с контроллера. Статический IP-адрес является бесплатным, если он подключен к работающей виртуальной машине. Если вы превысите эти лимиты, с вас будет взиматься плата, но, как правило, она мизерная.Например, когда вы обновляете свой Linux, вы некоторое время будете запускать другой микро-экземпляр. Функция бюджета должна уберечь вас от неприятных сюрпризов.
Ссылки
Некоторые провайдеры динамических DNS и как выглядят их однострочные URL-адреса обновления:
- Afraid.org
http://freedns.afraid.org/dynamic/update.php?xxxdynamicTokenxxx
- DNSPark
https: // имя пользователя: [email protected]/api/dynamic/update.php? Hostname = home.example.com
- DuckDNS
https://www.duckdns.org/update?domains={YOURVALUE}&token={YOURVALUE}
- DynDNS
https: // {пользователь}: {ключ клиента программы обновления}@members.dyndns.org/v3/update?hostname={hostname}
- Dynu [спасибо, Моисей!]
https://api.dynu.com/nic/update?hostname=HOSTNAME&alias=ALIAS&username=USERNAME&password=PASSWORD
- EasyDNS
https: // имя пользователя: dynamictoken @ api.cp.easydns.com/dyn/generic.php?hostname=example.com
- NameCheap
https://dynamicdns.park-your-domain.com/update?host=[host ]&domain=[domain_name ]&password=[ddns_password]
- Sitelutions
https://dnsup.