Ubiquiti Unifi

Du har rätt.

Cloud key hjälper inte.
Och ja. De är dyrare än UXG lite.

Det betyder ingenting. WireGuard-klient nämns inte på några av de andra produktsidorna heller, men finns (eller snarare kommer finnas) på alla Dream Machine/Router. Det kräver UniFi Network Application 8 för konfiguration, som släpptes i skarp version typ häromdagen, och att enheten har UniFi OS 3.2 installerat, som fortfarande är i early access/beta. Därmed inte jättekonstigt att det inte nämns i specarna någonstans ännu.

Nu påverkar det inte mig men det står ju att den nya har Wireguard? Eller har jag missförstått något?

Min USG dog knall och fall inatt så det blir väl att ligga och hovra på beställknappen till en Gateway Lite när den släpps.

Eller om man nördar ner sig och skaffar en DMP.

hade kört på https://eu.store.ui.com/eu/en/products/uxg-lite och sen normala AP´s dvs lite om du inte har behovet av PRO nivån med antal enheter. Köp till en cloud key ev kör Official UniFi Hosting, or UniFi Network Server

Svar nej. Cloud Key är i princip en liten mini-PC som körs UniFi-kontrollern, med vilket du kan hantera både utrustning on-site, off-site/andra site:er med multisite aktiverat. Sen ska tilläggas att prestandan på Cloud Key är begränsad så jag skulle säga att en sådan räcker för att hantera säg ca 5 mindre site:er men inte så mycket mer än så pga hårdvarubegränsningar såsom RAM-minne och prestanda på disk-lagring och tendens till att skriva sönder intern-lagringen.

Svar nej. UXG Lite är endast en ersättare för den nu åldrade USG-3P routern och har dessutom endast två fysiska RJ45-portar till skillnad mot 3 portar som den äldre varianten hade.

Ja, du behöver komplettera med åtminstone en accesspunkt för trådlöst stöd, förslagsvis UniFi U6+ som ersätter den tidigare U6 Lite och är prisvärd kontra funktion.

Ja, USW 8 Lite har fyra PoE portar kapabla att leverera 802.3af/at och med 52W effektbudget. Så denna kan utan problem driva exempelvis 4st U6+ accesspunkter, eller annan utrustning såsom Flex Mini-switchar.

Går det att installera ett riktigt SSL certifikat för gästportalen?

Bör/vill ju inte köra öppen http, men slår man på https ("secure portal") får man vid anslutning en stor varning om självsignerat certifikat. Jag skall erkänna att jag är en total newbie vad gäller certifikat.

Alla guider jag hittar specifikt för UniFi verkar vara både väldigt gamla och anta att man har en egen installation av controllern på en Linux-burk. I mitt fall körs controllern/UniFi Network Application på en UDM-Pro.

Det är också något oklart om det överhuvudtaget är möjligt att installera ett certifikat så att det fungerar just med gästportalen. Det enda jag sett bekräftat är att det skall fungera med eget cert för admingränssnittet.

Någon som kan peka på en aktuell guide eller går det inte?

Det verkar som att den här ska hantera gästportalen också: https://github.com/kchristensen/udm-le

Diskussion gästportal: https://github.com/kchristensen/udm-le/issues/45
Kompatibel med UnifiOS 3: https://github.com/kchristensen/udm-le/issues/77

Dock så gäller det endast om du har en riktig domän för gästportal och så vidare. För den interna IP-adressen får du inget signerat av Let's Encrypt.

Tackar, det ser ju faktiskt ut att vara precis vad jag behöver. Men…

Som sagt är jag total newbie på certifikat. Av det jag lyckats läsa mig till är det jag behöver ett DNS A record för en (sub)domän som pekar på min (UDM) externa IP, eller har jag helt missförstått något?

Scriptet verkar ha stöd för min registrar (Gandi) inbyggd så skall väl plocka ut en API key därifrån och se om jag kan få detta att fungera. Vågar man göra det med folk på kontoret eller ska man vänta till ikväll…

Om du ska slippa certifikatsvarning för gästportalen så är det egentligen bara en lösning som är korrekt, och det är att anslutning mot gäst-portalen sker genom en publik domän-adress med ett publikt certifikat från en giltig certifikats-utgivare vars rot-certifikat finns installerat på de enheter som ansluter. Rent krasst borde det gå att göra en form av split-DNS upplägg där du pekar in en riktig publik DNS-adress utifrån för Let's Encrypt certifikatstilldelning till din UDM och att du inte öppnar gäst-portal från utsidan och har en intern DNS som pekar utside-adressen till routerns/kontrollerns IP-adress så klienterna dirigeras till gästportal via detta domännamn och då presenteras det publika Let's Encrypt-certifikatet. Men problematiken med detta är att den interna DNS-tjänsten i UDM är rätt begränsad i dess konfiguration så jag vet inte hur/om det är möjligt att skapa DNS-zoner i denna för att lägga upp det externa domännamnet där för intern lookup. Om du har en Pi-Hole burk på insidan så skulle du kunna lösa detta genom att lägga DNS-rollen där, men då behöver du ju en Raspberry Pi eller liknande för detta.

Det andra alternativet skulle vara att sätta upp en egen PKI-kedja exempelvis på din dator med OpenSSL, och därunder skapa certifikat för den interna domänadressen eller IP-adressen till UniFi-kontrollern, och då installera rot-certifikatet i denna kedja på alla enheter som ska ansluta till ditt gäst-nätverk, vilket inte blir så intuitivt för wifi gästerna. Då är det enklare att bara stänga av HTTPS för gästportal och HTTPS omdirigering.

Men jag kan tänka mig att Apple-enheter är lite känsligare mot osäkra gästportaler så användare utav dessa lär få fler varningsmeddelanden vid anslutning.

Petade lite i detta igår. Konfigurationsfilen är lite skum, såg ut som att den bara borde sätta environment-variabler så gjorde ett eget script som petade in mina inställningar sist i filen (för att snabbt kunna återinstallera efter ny firmware på UDM) vilket borde overridea samma variabler tidigare i filen. Detta verkar dock inte fungera för när jag körde installationen verkar det ha blivit en mix av rätt och fel inställningar, fick inga felmeddelanden men inte heller några genererade certifikat.

Började om från början med ny konfigurationsfil som jag redigerade manuellt (usch för vi över SSH ). Nu hände det grejer, mer output i terminalen och filerna för certifikaten hade nya modifikationsdatum. Gästportalen gav dock fortfarande samma självsignerade certifikat… Forcerade en extra omstart av en av tjänsterna (som egentligen borde ha gjorts av scriptet?) och denna gång fick portalen rätt certifikat och inga felmeddelanden. Success!

Beror vad du har för krav. Express verkar ha rätt klen hårdvara med begränsningar som max fem UniFi-enheter i kontrollern, ingen IPS/IDS mot WAN och skulle misstänka att den inte lär klara riktigt full 1 Gigabit hastighet.

Enligt Crosstalk Soultion två senaste videos så ska både Unifi Express och UXG-Lite klara av 1 Gb med ips/ids påslaget. Men jag har inte sett han eller någon annan testa det ännu så törs inte lite på det. Det kan vara för bra för att vara sant.

https://www.youtube.com/@CrosstalkSolutions/videos