Kategorie SDN

UniFi: Probleme bei Update auf UniFi Controller 5.11

Es ist mal wieder so weit: Mein UniFi-Controller hat Updates gefunden. Bisher war das kein Problem, allerdings scheint nun innerhalb der Repositories für die Release-Info eine Änderung passiert zu sein. Beim Konsolenaufruf des Befehls

sudo apt-get update

störte sich mein Xubuntu daran:

Get:7 http://dl.ubnt.com/unifi/debian stable InRelease [3.024 B]
Reading package lists… Done
E: Repository ‘http://dl.ubnt.com/unifi/debian stable InRelease’ changed its ‘Codename’ value from ‘unifi-5.10’ to ‘unifi-5.11’
N: This must be accepted explicitly before updates for this repository can be applied. See apt-secure(8) manpage for details.

Man kann die Pakete trotz der Fehlermeldung mit folgendem Befehlssatz wieder laden:

sudo apt-get update --allow-releaseinfo-change

Trotz bisher immer erfolgreicher Updatevorgänge sichert vorher die aktuelle Konfiguration des UniFi-Controllers über das Webinterface, damit eine Wiederherstellung der Konfiguration leicht von der Hand geht, sollte es doch mal so richtig krachen.

Security/Wireless: WPA2-KRACK-Leak

Wofür steht KRACK?

Die Abkürzung KRACK steht für Key Reinstallation Attack, was das Verfahren des Angriffs beschreibt.

Wie funktioniert der Angriff?

Wie einige von Euch vermutlich schon mitbekommen haben, ist jüngst eine schwerwiegende Sicherheitslücke in der Implementierung des WPA2-Standards bekannt geworden, der es Angreifern ermöglicht, den Encryption-Key für den Traffic​ innerhalb des 4-Way-Handshakes abzufangen, auszunullen und dadurch lesbar zu machen.

Der Angreifer positioniert sich dann als Man-in-the-Middle und kann (unverschlüsselten) Traffic mitlesen. Website-Traffic, der über HSTS und PFS abgesichert ist, kann vom Client dann aus Sicherheitsgründen nicht mehr aufgerufen werden.

Weiterlesen

Ubiquiti UniFi: Topology View

Ubiquiti UniFi Topology View für Netzwerktransparenz

Um sich die Verbindungen der Geräte einer Ubiquiti UniFi-Umgebung anzeigen zu lassen, gibt es seit Anfang des Jahres ca. die (noch in der Beta-Phase befindliche) Topology View, die die Verbindungen der Endgeräte mit der UniFi-Umgebung transparent macht. Setzt man aus allen drei Bereichen UniFi-Produkte ein, erhält man neben der Anbindung von Wireless-Clients zu Access Points ebenfalls die Übersicht, welches Access Point an welchem Switch und wie der Switch mit dem Security Gateway verbunden sind. Da ich aber momentan weder einen UniFi-Switch, noch eine USG einsetze, sehe ich diese Informationen nicht. Informationen zu den Produkten von Ubiquti findest Du auf www.ubnt.com. Ich erhalte vom Hersteller keinerlei Provision sondern schreibe die Artikel basierend auf eigener Erfahrung und Überzeugung.

ubiquiti unifi

 

Schnelle Verlinkung

Dank der UniFi-typischen dynamischen Verlinkung von Objekten, kann mit Klick auf ein Netzwerkgerät oder ein Endgerät dessen Eigenschaften aufgerufen werden. So kann z.B. schnell nachvollzogen werden, wie gut die Signalstärke des WLANs bezogen auf einzelne Clients ist und welche MAC-Adressen sich hinter den Geräten verbergen.

Leider ist Ubiquiti UniFi (noch) nur “SDN Lite”-fähig

Da die Optionen und die Kompatibilität mit anderen Drittherstellern momentan noch stark eingeschränkt sind bzw. es keine Kompatibilität über offene Protokolle, wie z.B. OpenFlow oder OpenStack mit Drittherstellern gibt, ist der Schritt zwar von Ubiquiti in die richtige Richtung getan worden, allerdings bin ich der Auffassung, dass Umgebungen, die nur mit eigenen Produkten eines Herstellers gut funktionieren, noch nicht ausgereift sind – oder das Management des Unternehmens noch etwas der Zeit hinterher ist.

(Noch) nicht wirklich für größere Unternehmen empfehlenswert

Grade in größeren Umgebungen ist es oft nicht einfach oder teils nicht möglich, Produkte des gleichen Herstellers in den Bereichen Security, Networking und Wireless einzusetzen. Oft sind hier die Verantwortlichkeiten verteilt auf unterschiedliche Teams und Budgets, die sich nicht immer miteinander in Einklang bringen lassen. Aber auch für spezielle technische Konstrukte ist eine solche Geschlossenheit der Systeme nur von Nachteil für den Hersteller, da es etliche Situationen gibt, in denen z.B. die USG lange noch nicht ausreichend Features oder die notwendigen Optionen bei der Anbindung bietet. Auch in Puncto Performance ist es oft nicht unbedingt optimal, sich nur einem Hersteller zu widmen, da andere Hersteller teils deutlich mehr Funktionen und Transparenz bieten.

Guter Ansatz mit viel Potential

Alles in Allem ist die Übersicht aber ein guter Ansatz und führt zu einer höheren Transparenz im Netzwerk – hoffentlich bald auch für Produkte anderer Hersteller. Ein Ansatz, z.B. Switche und deren Uplinks auch visuell einzubinden, wären Ciscos CDP, Brocade/Foundrys FDP oder der offene Standard LLDP. In jedem Fall gibt es noch einige Optionen und Schnittstellen, die die Entwickler von Ubiquiti in die Software implementieren könnten, um den Produkten um den UniFi-Controller herum einen deutlichen Schub nach vorn zu verschaffen. Gerne mit offenen und verbreiteten Standards.

Du möchtest mehr zu Ubiquiti UniFi erfahren? Dann sieh Dich hier um.

Ubiquiti UniFi: Firmware-Upgrade via App

UniFi Firmware-Upgrade? Nur am Computer. Bisher.

Bisher habe ich Updates auf der Ubiquiti UniFi-Umgebung zur Sicherheit immer am PC durchgeführt. Man weiß ja nie… Doch mittlerweile habe ich mich auch an die Update-Prozedur via UniFi-App gewagt – und bin begeistert. Wie gewohnt habe ich mich via App am Controller angemeldet und das Firmware-Update von zwei Access Points gestartet. Nacheinander versteht sich. Komplett ohne Verbindungsverlust. So soll es sein!

Upgrade mit der UniFi-App

Im Dashboard der App sind gewöhnlich alle Systeme als “Active” angezeigt – das war bei mir bis zum Beginn des Updates auch so. Der Screenshot stammt aus der Zeitspanne, als der erste Access Point bereits mit dem Reboot beschäftigt war und das neue Image geladen hat. Bevor ich den zweiten Access Point aktualisiert habe, habe ich den RF-Scan beim ersten abschließen lassen, da während des RF-Scans alle aktiven Verbindungen gekappt und erst nach gründlichem Scan aller Frequenzbänder wieder Verbindungen von Clients durch den Access Point aufgenommen werden.

Das Vorgehen

Das Update wird über einen Link in der Konfiguration eines Access Points gestartet. In der Konfigurationsansicht des Access Points muss nur ganz nach unten gescrollt werden, bis die blau hinterlegte Schrift unter dem Menüpunkt “Actions” erscheint. Hier gibt es drei Funktionen:

  • Locate: Lässt zum Auffinden eines umbeschrifteten Access Points den LED-Ring am AP blinken.
  • Restart: Startet den einzelnen Access Point neu. Achtung! RF-Informationen müssen nach jedem Neustart erneut gescannt und zwischengespeichert werden.
  • Upgrade to [Versionsnummer]: Aktualisieren der Firmware des Access Points. Immer mit einem Neustart verbunden. Zu aktualisierendes Gerät nicht vom Strom trennen!

Die letzte der Funktionen ist für ein Upgrade der Firmware auszuwählen. Bitte nicht verrückt werden, wenn der AP nicht sofort wieder online ist. Der Upgrade-Prozess kann je nach Firmware bis zu einer guten Viertelstunde dauern.

Einen Zwischenstatus erhält man über die Übersicht im Dashboard. Hier werden nicht nur aktive, sondern auch inaktive (ausgeschaltete oder grade neustartende UniFi-Geräte) und grade hinzuzufügende Geräte (Status: Pending) angezeigt. Erst wird der Access Point als “inactive” angezeigt, dann als “pending” und letztendlich ist er wieder aktiv. Wer Wert auf aussagefähige RF-Daten legt, sollte nach jedem Neustart und Upgrade, was einen Neustart mit sich bringt, den RF-Scan starten. Datenverkehr ist dann über den AP bis Abschluss des Scans nicht möglich.

Wie bekomme ich die App?

Lade sie Dir einfach im AppStore oder Google PlayStore herunter. Entweder Du suchst in den Stores oder Du verwendest die unten eingebetteten Links.

Zur Konfiguration musst Du die Zugangsdaten und die URL Deines UniFi-Controllers parat haben. Nach einmaliger Eingabe kannst Du unter iOS auch die TouchID nutzen, um Dich zu authentifizieren. Die Daten werden aktuell nur lokal auf dem Gerät zwischengespeichert. Es ist ohne Cloud-Key keine Kommunikation mit einer Cloud-Komponente für die Verwendung erforderlich.

Ubiquiti UniFi: Recovery des Controllers aus Backup

Recovery des UniFi-Controllers aus Backup

Um aus einem bestehenden Backup die Konfiguration eines UniFi-Controllers wiederherzustellen, sind wenige Schritte notwendig. Ich möchte Dir mit diesem Post die Angst vor dem Recovery-Prozess nehmen und aufzeigen, welche Schritte notwendig sind, um die Konfiguration wiederherzustellen.

Vorbereitungen

Damit Dein System wieder genau so wiederhergestellt werden kann, wie Du es vorher eingerichtet hattest, müssen ein paar Grundvoraussetzungen getroffen worden sein:

Auf dem alten System

Idealerweise sollte vor dem Crash Deines UniFi-Controllers und vor jedem Update ein Backup der Konfiguration gemacht werden. Stellt man es korrekt ein, macht der Controller das auch automatisch über einen Cronjob – allerdings liegen die Backups dann immer noch lokal. Entweder man erstellt sich einen eigenen Cronjob, der auf ein externes Medium archiviert oder man ruft die Oberfläche ab und an auf und erstellt ein Backup.

Auf dem neuen System

  • Das Betriebssystem muss bereits eingerichtet worden sein
  • Die UniFi-Controller-Software muss incl. aller Abhängigkeiten zu anderen Paketen installiert worden sein
  • Die Netzwerkdienste (IP, Subnetzmaske, Gateway, DNS) müssen eingerichtet sein und falls Du eine Firewall verwendest, muss der Port TCP:8443 vom Rechner, von dem Du konfigurierst zum UniFi-Controller freigegeben sein. Später müssen für Gastportal etc. weitere Ports freigegeben sein. Hier findest Du mehr Infos (ubnt.com)

Aufruf des Setup-Wizards

Nun muss der Setup-Wizard über https://[Deine Controller-IP/Hostname]:8443 aufgerufen werden, wobei Du den unterstrichenen Teil der URL durch Deine Controller-IP oder den Hostname Deines Controllers ersetzen musst.

Gib die Zeitzone gemäß Deines Standorts an und klicke auf den Link ” […] restore from a previous backup“, um Dein vorher erstelltes Backup wiederherzustellen. Das Laden der Konfiguration dauert dann einen kleinen Augenblick. Währenddessen bekommt man eine Wartemeldung.

Sobald erscheint “System has been restored“, kann die Controller-IP oder der Hostname über den TCP-Port 8443 aufgerufen werden und mit vorherigen Login-Credentials eingeloggt werden. Je nachdem, auf wie lange die “Data Retention” gesetzt worden ist, kann es sein, dass ggf. nur noch historische Daten von wenigen Tagen oder ggf. gar keine historische Daten mehr vorhanden sind. Dies lässt sich allerdings händisch konfigurieren.

 

Recovery-FAQ

Ich habe kein Backup, wie erstelle ich eins?

Im Reiter “Maintenance” der Controllereinstellungen findet sich der Punkt “Backup”. Dort kann ein Backup erstellt und sofort heruntergeladen werden. Zudem kann hier die Data Retention gewählt werden, also der Zeitraum, der im Backup an historischen Daten vorgehalten werden soll. Es kann auch nur die Konfiguration ohne historische Daten gesichert werden, dann ist allerdings keiner der Graphen mehr mit Informationen gefüllt.

Ich habe den Wizard durchgeklickt. Kann ich trotzdem ein Backup einspielen?

Ja, das geht. Dazu in den Konfigurationstab des Controllers wechseln, auf “Choose File” unter dem Punkt “Restore” im Reiter “Maintenance” gehen und alte Konfiguration hochladen. Das Backup sollte aus dem gleichen Software-Release stammen, mindestens aus dem gleichen Major-Release.

Ubiquiti UniFi: Update auf 5.3.8

Der Netzwerkhersteller Ubiquiti (ubnt.com) hat seinen UniFi-Controller erneut aktualisiert. Allerdings sind hier ein paar Dinge zuerst scheinbar “verschwunden”, sodass sich erst nach etwas Suchen die Einstellungsmöglichkeiten der vorherigen Versionen wiederfinden ließen. Es gibt ein paar spannende Neuerungen, die kannst Du allerdings einfach im entsprechenden Blogpost von Ubiquiti zum Release nachlesen.

“Advanced Features”

Ich habe gesucht, gesucht und gesucht. Die Einstellmöglichkeiten für RSSI-Werte, Airtime-Fairness und Band-Steering waren einfach verschwunden. Doch schau einer an! Unter den Site-Settings des Controllers taucht nun eine Option auf, die “Advanced Features” heißt und eben diese Funktionen incl. Loadbalancing beinhaltet. Aktiviert man die Checkbox, kann man auch wieder in den Einstellungen der Access Points o.g. Features konfigurieren. Per Default ist sie inaktiv und die Features sind quasi verschwunden.

Airtime FairnessNach Aktivierung der Option der “Advanced Features” tauchen folgende Konfigurationsparameter wieder in den Einstellungen der Access Points auf. Die Konfiguration ist dann wieder problemlos je AP machbar. Airtime Fairness unterstützen nur die neueren AC-Geräte. Alte 2,4/5GHz-abgn-Geräte unterstützen kein Airtime Fairness.

 

Automatic Uplink Failover

Sollte keine Verbindung mehr zum vorherigen Wireless-Root-Node existieren, kann nun automatisch ein Failover auf einen anderen Node stattfinden. Praktisch, wenn man beispielsweise an Orten, wo keine LAN-Kabel installiert worden sind oder nicht installiert werden können, eine WLAN-Bridge aufbauen möchte. Zudem verstärkt der AP automatisch das empfangene WLAN-Signal als angenehmen Nebeneffekt.

 

Hier geht´s zu den Release-Notes.

Du hast noch keinen UniFi-AP? Dann kauf ihn Dir. Anbei die Auflistung der drei üblichen Access Point-Typen der AC-Reihe. Die meiste Performance erreicht man mit dem AP AC Pro.

Typenbezeichnung Affiliate-Link MIMO(2,4GHz) MIMO(5GHz) Max.Datenrate(2,4GHz) Max.Datenrate(2,4GHz)
UniFi AP AC Lite http://amzn.to/2hBpPod 2×2 2×2 300 MBit/s 867 MBit/s
UniFi AP AC LR http://amzn.to/2hBohKN 3×3 2×2 450 MBit/s 867 MBit/s
UniFi AP AC Pro http://amzn.to/2hKOmui 3×3 3×3 450 MBit/s 1300 MBit/s

Skip to content