Dedizierter Unifi Controller unabdingbar ?


#1

Hallo Liste,

ich hab eine eventuell doofe Frage: Gibt es einen praktischen Grund, den Unfi Controller dauerhaft laufen zu lassen, also zB auf einer eigenen VM wie in der Doku beschrieben ?

Bisher ist mir kein Grund eingefallen, warum für meinen Job die zu Fuß auf einem x-beliebigen Client unseres Netzes gestartete Windows- /Mac-/…version für die gelegentliche Administration nicht reichen sollte…

Gruß
Martin


#2

Hi,

du schreibst im Titel “dediziert”, schwengst dann aber auf dauerhaftes Betreiben des Controllers um. Ich denke dir ist bewusst, dass das zwei verschiedene Sachen sind. Da ich nun nicht weiß was genau dich interessiert, beantworte ich einfach beides :wink:

  1. Braucht man einen dedizierten Controller?
    Nein. Braucht man nicht. Es lassen sich AFAIK alle Geräte auch manuell per ssh konfigurieren (nichts anderes macht letzlich der Controller). Aber große Vorteile außer “Ich habs mal gemacht” fallen mir da ehrlich gesagt nicht ein. Und da der Controller zumindest in der Softwareversion nichts extra kostet, sollte man den auf jeden Fall benutzen.
    Nicht zwingend erforderlich, aber extrem hilfreich.

  2. Muss der Controller die ganze Zeit laufen?
    Nein muss er nicht. Der Controller schiebt Konfigurationen und Updates auf die Geräte, ist für den laufenden Betrieb aber nicht zwingend erforderlich. Ubiquiti hat in irgend einer Anleitung sogar mal geschrieben man solle den Controller auf seinen eigenen PC installieren. Bei einem Always-On Zwang würde dies zu einem nicht funktionierenden WLAN führen wenn der Computer aus/nicht erreichbar ist.

Da der Controller aber die Updates für die einzelnen Geräte bereit stellt, kann es doch sinnvoll sein diesen dauerhaft laufen zu lassen. Man muss dann sicherlich für sich selber ein bischen abschätzen wie die Gewichtung liegt. Wenn der Controller z.B. auf einem RaspberryPi läuft oder in einer VM (deren Host sowieso an ist), dann kann man Stromkosten sicherlich vernachlässigen.
Läuft der Controller dediziert auf einem Host, der pro Monat ~10€ Stromkosten erzeugt, würde ich mir das auch zweimal überlegen.

Wie so oft… kommt halt drauf an.

//edit: Oder meinst du den Unterschied zwischen dem Hardware Controller - namentlich Cloud-Key - und dem Softwareprodukt? Präzisiere bitte mal deine Frage. Dann kann man darauf besser eingehen.


#3

Hallo Martin!

Ulf hat das generelle schon gesagt, was fehlt:

Willst du den Gast-Zugang z.B. über Voucher haben, dann muss der Controller immer laufen. Genauso wenn Anmeldung via Radius oder wenn Du an Interesse an Logs bzw DPI hast.

Beste Grüße

Thorsten


#4

richtig.

DPI macht die Firewall. Nicht der Controller. Der Controller ist vermutlich nur für die Darstellung der Daten zuständig.


#5

Danke für eure schnellen Antworten.

Das mit “dediziert” war wirklich die falsche Wortwahl, tut mir leid. Ich meinte einen dauernd laufenden Controller, also Ulfs Punkt 2.

Mir war nicht bewusst dass die Updates vom Controller angeschoben werden, ich hätte vermutet dass die einzelnen Geräte sich die Updates selbst holen wenn “rolling Updates” aktiviert ist. Das ist schonmal hilfreich.

Ob wir das mit den Vouchern benutzen wollen weiß ich noch nicht. Ich sehe aber durchaus Szenarien.

Wieso braucht man den Controller für die Anmeldung per Radius ? Der läuft doch auf dem LM Server ?!

Gruß
Martin


#6

Im Standardbetrieb informiert der Controller auf der WebGUI über neu verfügbare Updates. Diese lassen sich dann manuell per Hand anstoßen.
Vllt ist das Demo Portal von Ubiquiti für dich interessant. https://demo.ubnt.com

Zu Rolling Updates hab ich nicht genug Erfahrungen um da kompetent etwas sagen zu können.

Weil der Controller deine zentrale Verwaltungsinstanz ist.
Nehmen wir mal an, du hättest diese nicht. Dann müsste jeder einzelne Access Point eine Radius Anfrage durchführen. Ein simples Roaming zwischen den APs wird dann spannend.

Oder auch würde es bedeuten, dass deine APs im selben Netz sein müssten wie dein Radius Server. Man möchte aber idealerweise Netzbereiche voneinander trennen. Dann gibt es z.B. ein extra Management-Netz exklusiv für WLAN Hardware. Und dann ergibt es Sinn eben aus dem Management Netz nur dem Controller Zugriff auf den Radius zu geben. Und nicht allen 42 APs.


#7

Dann beobachte ich das mit den automatischen Upgrades mal und berichte, falls sich was interessantes ergibt.

Wenn ich dich richtig verstehe, dann ist bei den APs der Controller als Radius eingetragen und der fragt dann nur falls nötig beim Server nach ?


#8

Hallo,

Wenn ich dich richtig verstehe, dann ist bei den APs der Controller als
Radius eingetragen und der fragt dann nur falls nötig beim Server nach ?

nein, die APs fragen direkt beim freeradius nach, der auf dem lmn server
läuft.

LG

Holger


#9

Interessant. Ich bin bisher immer davon ausgegangen, dass die APs den Controller befragen. Und dieser sich entsprechend seine Infos vom Radius holt. hmm…
Wenn da jemand tiefergreifende Informationen zu hat würden die mich sehr interessieren. Ich versuche meinerseits auch nochmal mit einigen IT Kollegen zu sprechen.


#10

Haja, da ist der Unifi Controller sehr emsig, ich hatte da mal 6 GByte an Datenbank und Logs gefunden, mit diesen war es mir ein Leichtes meine Wege durch die Schule ueber Jahre hinweg zu verfolgen, wann bin ich angekommen, wann war ich zu welcher Zeit in welchem Eck der Schule und wann verschwinde ich wieder. Datenschutzbeauftragte rollt es da die Zehennaegel hoch.
Das war allerdings eine Betaversion, wollte das nahtlose Roamingfeature nutzen, hab keine Ahnung ob das die normale Version auch so handhabt.

Aber auch ohne die Roamingdaten spuckt der Controller jede Menge Infos ueber die einzelnen Clients aus, alles grenzwertig, einen Lehrer in der Schule zu lokalisieren weil man mit ihm etwas zu besprechen hat, waere auch drin.


#11

Ah, so hab ich das auch laut Anleitung konfiguriert. Das mit dem Roaming erscheint mir im schulischen Umfeld nicht sonderlich problematisch, denn schließlich finden so ziemlich alle Unterrichtseinheiten nur in einem Raum statt. Dass der Lehrer mit seinem Tablet maximal alle 45 Minuten einmal quer durch die Schule marschiert dürfte ja hoffentlich nicht zu Problemen führen und ich sehe mich nicht in der Pflicht alle Schüler dauerhaft mit Wlan zu versorgen…


#12

Hallo,

Interessant. Ich bin bisher immer davon ausgegangen, dass die APs den
Controller befragen. Und dieser sich entsprechend seine Infos vom Radius
holt. hmm…

nein, so ist das nicht.
Jeder AP fragt selber beim Radiius nach: deswegen müssen alle APs in die
clients.conf des freeradius.

Sonst würde es ja reichen den Controller dort ein zu tragen.

LG

Holger


#13

Moin!

Zu Rolling Updates hab ich nicht genug Erfahrungen um da kompetent etwas
sagen zu können.

Meine Beobachtung: Beim Rolling-Update wird das über die laufende Instanz
einer Sitzung mit dem Controller geregelt. Fällt die Verbindung zwischen
Management-Client und Controller aus, stoppt das Rolling-Update.

Diese Beobachtung ist aber schon älter, eventuell ist das nicht mehr der
Fall.

Beste Grüße

Thorsten


#14

Hallo irrlicht!

Genau das was du ansprichst ist auch der Grund warum Admin sich mal diese Seiten anschauen sollte:

UniFi - How to Clear Controller Statistics

UniFi - What log files exist and where can I view them?

UniFi - How to Remove (Prune) Older Data and Adjust Mongo Database Size

Beste Grüße

Thorsten


#15

Sorry, das war vermutlich von mir nicht eindeutig kommuniziert. Ich setze lmn nicht ein, habe die Anleitung nicht gelesen und deshalb auch nicht im Kontext von lmn gesprochen.

Meine Verwunderung bezog sich darauf, dass das bei Unifi offenbar per Design so geregelt ist, dass jeder AP einzelnd den Radius anfragt. Egal wie später die Implementierung in das hauseigene Netz aussieht. Dies wurde mir nun von einem Kollegen der relativ viel mit Unifi macht auch bestätigt. Darüber hinaus habe ich noch folgenden Beitrag von Ubiquiti gefunden in dem das auch beschrieben steht.


Dementsprechend ziehe ich meine Aussage, der Controller sei für Radius erforderlich, zurück. Dem ist offenbar nicht so.
Ich bleibe aber dabei, dass ich diese Umsetzung nicht besonders gelungen finde. Dieser Umstand könnte die Antwort darauf sein warum ich immer wieder von Leuten höre, dass Roaming mit Unifi nicht vernünftig funktioniert. Aber das ist jetzt erstmal dünne Vermutung. Naja auf jeden Fall erzeugt die gezeigte Konzeptionierung unnötige Last am Radiusserver.
Mich interessiert jetzt ob das exklusiv bei Ubiquiti in der Unifi Serie so ist? Generell bei Ubiquiti? Oder machen das alle Hersteller so? Letzteres würde bedeuten, dass ich bisher von falschen Gegebenheiten ausgegangen bin.
Wir bei uns haben zum Beispiel Ruckus. Und im Controller wird der Radius Server eingetragen. Ich bin bis heute fest davon ausgegangen, dass der Controller den Radius befragt und die APs den Controller. Würde aus Gründen der Netztrennung sowie Trafficminimierung auf jeden Fall Sinn ergeben.
Aber ich kann mich natürlich trotzdem irren.
Ich freu mich wenn ein Netzwerker mit Insights da etwas Licht ins Dunkle bringen kann. :slight_smile:


#16

Nein, wir haben einen Cisco WLC und nur der fragt den Radius-Server an. Die APs fragen den Controller, der dann den Radiusserver anfragt.

vG


#17

Ich rolle gerade eine größere Unmenge an Unifi-Zeug aus, u.A. APs. Wie Holger sagt: Die APs befragen den Radius direkt, weshalb auch irgendwo™ im Unifi-Forum schon gewünscht wurde, das radtest-Utility in der Firmware zu haben (Nebenbemerkung: damit kann man aber viele Dinge nicht testen; deshalb: radclient verwenden - ob radclient als cli-Werkzeug inzwischen auf den APs verfügbar ist, weiß ich gerade nicht).
Am von mir betreuten Standort gibt es zwei Schulen mit getrennten Netzen und WLANs und ein Management-Netz für die APs und Switche. Daher können die APs nur auf den Controller zugreifen, der dann als Radius-Proxy laufen soll - da bin ich gerade dran.


#18

Ok. Das beruhigt mich ein bischen xD

Die Funktion des Radius-Proxy wird auch in dem von mir verlinkten Blogpost behandelt. Es scheint dann prinzipiell zu funktionieren, ist aber wohl von Ubiquiti nicht per default so vorgesehen.
Ich würd mich aber über Rückmeldung von dir freuen, ob das mit dem Radius Proxy funktioniert.

Vllt helfen noch die folgenden beiden Links bei der Beurteilung der Lage. Testen kann ich das nicht, da ich über kein Unifi Setup verfüge indem ich Radius-Authentifizierung umsetzen könnte.

//edit: @kaik
Wenn du viel Zeit und noch mehr Langeweile hast… kannst du folgendes Testen?
Wie verhällt sich Roaming bei Unifi Geräten mit bzw. ohne Radius-Proxy?
Mit den bisherigen Informationen würde ich davon ausgehen, dass das Roaming im Standardverfahren ohne Radius-Proxy deutlich schlechter performt als mit Radius-Proxy. Aber ein Praxistest wäre echt spannend.


#19

Ich werde berichten. Roaming-Test = Turnschuh-Administration auf einem ganz neuen Level! :smiley:


#20

Hi kaik,
kannst du schon etwas berichten?