2016-09-02
Test

UniFi Security Gateway 3P

Ubiquitis UniFi-serie innehåller mer än trevliga switchar och basstationer för WiFi-nätverk. De har brandväggar också och jag har fått testa en vid namn UniFi Security Gateway 3P, där “3P” kort och gott betyder att det är tre portar i brandväggen.

Först lite grundfakta om brandväggen i fråga. Tre-portarsmodellen är i princip exakt samma hårdvara som den som sitter i Ubiquitis EdgeRouter Lite, med den lilla skillnaden att UniFi Security Gateway (USG) går att ansluta till UniFi-kontrollpanelen, som för övrigt blivit ännu trevligare i version 5. Tack för det, Ubiquiti, även om uppgraderingen kunde varit mindre smärtsam…

USG:n marknadsförs som en produkt som erbjuder “Enterprise Routing”, det vill säga – detta är en företagsprodukt som ska kunna erbjuda funktioner som är utformade för lite mer krävande företagsanvändare.  Jag återkommer till det snart.

USG:n finns i två utföranden – en tre portar stor modell, som jag testar här, och en större modell som kallas Security Gateway Pro som har fyra gigabit ethernet-portar och plats för två SFP-moduler, men där man ändå bara har tillgång till totalt fyra portar då de två SFP-modulerna delar plats med två gigabit ethernet-platser. Lite snålt kan tyckas, men prislappen på de här grejerna är å andra sidan inte särskilt blodiga. Pro-modellen ska kunna ägna sig åt Layer 3-routing i upp till 4Gbps medan den mindre modellen jag testar här ska mäkta med upp till 3Gbps.

Bökig installation

Det första man måste göra med en USG är att installera den. I normala fall så ansluter man en UniFi-produkt till nätverket, kopplar in den till eluttaget och sen sätter man sig vid datorn och efter ett par minuter så kan man klicka på “Adopt” i UniFi-kontrollpanelen och sen är det bara att rocka och regera, som det brukar heta. I fallet USG:n är det inte så enkelt – USG:n tycks nämligen vara av åsikten att ens interna nätverk ska bygga på 192.168.1.0-nätet, vilket är ungefär det mest vanligaste nätet som används i brandväggar runt om i världen och därmed, om man exempelvis vill ägna sig åt site-to-site-VPN, ingen bra ide att använda. USG:n dyker visserligen snällt upp i kontrollpanelen men att inlemma den i UniFi-systemet fungerar helt enkelt inte om du sitter på ett annat subnät, i mitt fall 10.0.1.0-nätet. Efter lite meckande kommer jag fram till att det finns två alternativ för att få in USG:n i kontrollpanelen:
A) ssh:a till USG:n och byt IP-adress på den.

B) ssh:a till UniFi-kontrollern och lägg till ett virtuellt nätverkskort med en 192.168.1.0-adress.

Jag valde alternativ b. Det fungerade faktiskt. Dock sprang jag genast på patrull igen. I UniFi-kontrollpanelen finns det en inställning som kallas “Networks” där man, trodde jag, definierar det eller de subnät som man arbetar med. I fältet “IP/Subnet” skrev jag därför “10.0.1.0/24” vilket inte accepterades, varvid jag då ändrade det till “10.0.1.1/24” vilket också råkar vara adressen till min nuvarande brandvägg. Vad jag inte visste är att detta är adressfältet där man definierar vilken intern IP-adress USG:n ska ha. Jag ändrade raskt detta och sedan slutade min nuvarande brandvägg att beklaga sig.

Jag borde givetvis ha insett att detta skulle hända men när jag satte upp kontrollpanelen hade jag ingen USG i nätverket. Summering: gör inte samma tabbe som jag.

Inte så enterprise

Problemet med USG:n är att den bygger på ytterligare ett antal antaganden. Det första är att den är din brandvägg i nätet, punkt slut. Den bygger på att du har en (1) publik IP-adress från din internetleverantör, och den bygger på att du inte är överdrivet intresserad av mer än lite grundläggande öppnande av portar och vidarebefodring av trafik till servrar eller annat på insidan av brandväggen. USG:n stödjer visserligen VLAN men om du är ute efter att routa trafik mellan olika VLAN genom USG:n så är det Pro-modellen du ska ha, tror jag. USG:n är nämligen, om man använder den genom UniFi-kontrollpanelen, en väldigt begränsad, enkel och nästan lite undermåligt utrustad brandvägg, och även om jag inte testat Pro-modellen så är den, vad jag förstår, utrustad med samma mjukvara och troligen också ungefär samma funktioner. Med den prislapp som USG:n betingar, runt 1500 kronor, så finns det betydligt mer kraftfulla brandväggar från exempelvis MikroTik för under tusenlappen som gör jobbet riktigt bra och med ruggigt hög prestanda.

Jag testade att uppgradera UniFi-kontrollpanelen från 4.7.någonting till 5.0.6 för att se om det fanns en mer utökad funktionalitet i USG:n via kontrollpanelen men det enda man då fick upp var möjligheten att använda VOIP-porten som en andra LAN-port. Att hela mitt trådlösa nätverk dessutom slutade fungera på grund av tonvis i buggar i version 5.06, vilka delvis tycks ha lösts i v5.07, kan vi ju lämna därhän men man kan ibland tro att Ubiquiti borde lägga lite mer tid på att kvalitetstesta sina mjukvaror innan de släpper en uppgradering. En och annan intressant konstighet kvarstår även när det gäller USG:n i den nya versionen av kontrollpanelen – då och då byter USG:n IP-adress i listan över enheter från sin interna adress till sin externa. Sen byter den tillbaka igen. Att uppgradera USG:n har visat sig vara något av en utmaning – kontrollpanelen påminner hela tiden om att USG:n ska uppgraderas. Så jag har klicka på den knappen. Många gånger. USG:n stannar kvar på samma version av sin mjukvara och även om jag till och med laddar ner mjukvaran och

Jag satt framför min dator och var ganska häpen.  Hade USG:n inget mer att erbjuda? Den är ju som jag nämnde inledningsvis i princip samma produkt som EdgeRouter Lite och i den kan man, om än med en del bökande, göra bra mycket avancerade saker än vad USG:n klarar av.

Så jag ssh:ade in på USG:n och började kika runt. Det visar sig snart att jodå – USG:n kan göra massor med intressanta saker, men Ubiquiti har bara inte kommit sig för att bygga in det i kontrollpanelen ännu. Exempelvis kan jag få till så jag kan koppla flera publika IP-adresser till WAN-porten på brandväggen med följande kommandon via SSH:

set interfaces pseudo-ethernet peth1 link eth0

set interfaces pseudo-ethernet peth1 mac 00:1f:aa:bb:cc:de

set interfaces pseudo-ethernet peth1 address 78.108.60.253/25

Resultatet blir att jag nu kopplat en IP-adress mot ett interface som heter peth1 som använder eth0 som fysisk länk. Det finns “bara” två problem med det upplägget:

1. Om jag gör några konfigurationsförändringar via UniFi-kontrollpanelen så kommer dessa ändringar att skrivas över.
2. Det finns inte ett spår av peth1 i det grafiska gränssnittet i UniFi-kontrollpanelen.

Ska man få detta att fungera måste man istället skriva in detta plus alla regler som man inte kan ange i det grafiska gränssnittet i en JSON-fil som man lagrar på servern som driver UniFi-kontrollpanelen och som sedan trycks ut till enheten varje gång UniFi-kontrollpanelen vill göra just det. Man kan hämta ut konfigurationsfilen från USG:n via SSH och sedan döpa om den till config.gateway.json och lägga den på rätt katalog. Filnamnet antyder för övrigt att man inte kan konfigurera flera USG:er med olika inställningar från samma kontrollpanel, men det är inget jag testat så det kan jag inte svara på.

Summering

Under testets gång inträffade det mer än en gång att USG:n helt sonika slutade svara på anrop via ping och det gick inte heller att SSH:a till den. UniFi-kontrollpanelen tyckte sig dock fortfarande ha kontakt med USG:n. Jag noterade också att USG:n blir väldigt varm om den exempelvis placeras ovanpå en nätverksswitch.

I dagsläget kan man säga att tre-portarsmodellen av Unifi Security Gateway är till för dessa två kategorier användare:

  1. De som bara vill att det ska fungera och inte har en överdrivet komplicerad nätverksmiljö – hemma, det mindre kontoret eller något liknande.
  2. De som är beredda att mecka, och mecka, och mecka för att få USG:n att göra det man vill. För det går, men det är bannemig inte enkelt.

Om du är ute efter att använda en brandvägg där du kan göra mer avancerade inställningar via det grafiska gränssnittet och samtidigt vill använda produkter från Ubiquiti så är det produkter i Edgerouter-serien du ska använda – denna modell av USG kostar som sagt runt 1500 kronor och du kan köpa en Edgerouter Lite för under tusenlappen och få samma prestanda och fler lättillgängliga möjligheter.

Unifi Security Gateway är säkerligen en bra produkt men det är svårt att använda den fullt ut om man inte är intresserad av att vara beroende av diverse småhack.


Macpro är annonsfri för att göra din läsupplevelse bättre.
Läs mer här om hur du hjälper Macpro förbli annonsfri

© 2004 - 2016 Joacim Melin