UniFi Software für Windows konfigurieren / welche Portfreigaben nötig?

[iNetw0rker]

Hallo zusammen,

ich bin gerade etwas überfordert...
Auf der Suche nach einem neuen WLAN-AP bei Notebooksbilliger.de bin ich auf die Ubiquiti / UniFi Geräte gestoßen und habe mich aus verschiedenen Gründen für den "biquiti U6 Mesh WiFi 6 Access Point" entschieden.
Nun ist das mein erstes Gerät von diesem Hersteller und die Recherche hat ergeben, dass ich zur Konfiguration entweder ein entsprechendes Gerät, oder eine installierte Software (die dauerhaft laufen muss) benötige.
Also fix eine neue VM eingerichtet, die Software heruntergeladen und installiert.
Dann geht auch ein schickes Web-Interface auf. Das zeigt aber immer nur an
"No UniFi Devices Have Been Adopted
If device(s) are missing, please ensure they are on and connected to your network."

Gut, der Port 8443 ist freigegeben, sodass das Webinterface von außen erreichbar ist. Deaktiviere ich die Windows-Firewall komplett, findet er auch Geräte.
Jetzt will ich die Windows Firewall aber nicht deaktivieren - weiß jemand, welche Freigaben erteilt werden müssen, damit der Kram ordnungsgemäß funktioniert?

 

[zeaK]

Schau dir doch einfach mit https://learn.microsoft.com/de-de/sysinternals/downloads/tcpview an welche Ports die Software so nutzt und dann gibts diese frei.

 

[Aduasen]

Was sagt denn die Bedienungsanleitung dazu?

 

[F31v3l]

Aus den Docker-Containern für den Unifi-Controller:
https://hub.docker.com/r/jacobalberty/unifi
https://hub.docker.com/r/linuxserver/unifi-controller

8080 ist der Port, wo der Hinweis ankommt: Hallo, hier ist ein AP.

 

[xammu]

Die Software muss nicht dauerhaft laufen. Du brauchst sie bei dir nur zur Einrichtung. Bei dir läuft kein Captive Portal.. du hast nur einen AP, also auch keine Zuweisung von Geräten zu APs.

Eigentlich kannst du die Einrichtung mit der APP aufm Smartphone machen.

 

[exxtasy]

Deine VM wird vermutlich auch in einem anderen IP-Kreis stecken, deshalb ist der AP nicht erreichbar. Hatte selbst schon das Problem. Aber wie #5 schon sagte, die Software muss im Grunde nur für die Einrichtung laufen bzw. für Updates.

Viele Grüße

 

[XN04113]

die Software muss nicht dauerhaft laufen, es reicht also z.B. die Handy App

 

[conf_t]

Gut, der Port 8443 ist freigegeben, sodass das Webinterface von außen erreichbar ist.

Was ist „außen“? Internet? Außerhalb der VM? …?

 

[Shelung]

Eigentlich kannst du die Einrichtung mit der APP aufm Smartphone machen.

Hab ich schlussendlich auch gemacht mit meinen APs auch wenn ich die erweiterte Konfigurationsmöglichkeit mittels großer Software bevorzuge.

Allerdings ist die auf meinem PI regelmäßig abgeschmiert vermutlich wegen der SD karte und ich verweigere mich jeder Software die ne Installation von Java auf meinem PC erfordert xD

 

[iNetw0rker]

Schau dir doch einfach mit https://learn.microsoft.com/de-de/sysinternals/downloads/tcpview an welche Ports die Software so nutzt und dann gibts diese frei.

Danke, das ist eine gute Idee!
Wäre natürlich cool, wenn der Hersteller das dokumentieren würde.

Was sagt denn die Bedienungsanleitung dazu?

Ich weiß ja nicht, ob ichs einfach nur übersehe, aber ich habe keine gefunden... Gab da nur so eine Pappe mit nem QR-Code, wo aber nur mit Bildern gezeigt wird, wie man das Teil aufbaut.

Aus den Docker-Containern für den Unifi-Controller:
https://hub.docker.com/r/jacobalberty/unifi
https://hub.docker.com/r/linuxserver/unifi-controller

8080 ist der Port, wo der Hinweis ankommt: Hallo, hier ist ein AP.

Danke für die Info!

Die Software muss nicht dauerhaft laufen. Du brauchst sie bei dir nur zur Einrichtung. Bei dir läuft kein Captive Portal.. du hast nur einen AP, also auch keine Zuweisung von Geräten zu APs.

Eigentlich kannst du die Einrichtung mit der APP aufm Smartphone machen.

Oh, dann habe ich das falsch verstanden, dass die Software dauerhaft laufen muss... Aber macht ja nichts, so kann ich die VM nach der Konfiguration herunterfahren und nur wenn benötigt wieder starten.
Die Smartphone-Idee ist gut, das war auch mein Plan am Anfang. Bei der Einrichtung hat er mir angeboten, wenn ich keinen Unify Controller habe, dass ich das Gerät ja auch als "Standalone-Gerät" am Smartphone einrichten könne. "Super, genau das was ich will", dachte ich zunächst. Jedoch hat er mir im nächsten Schritt angezeigt, dass damit dann aber einige Funktionseinschränkungen einher gehen würden (bspw. maximal eine SSID). Diese Einschränkungen sind für mich inakzeptabel und dann hätte ich auch gleich einen stinknormalen (und günstigeren) AP eines anderen Herstellers kaufen können.

die Software muss nicht dauerhaft laufen, es reicht also z.B. die Handy App

Siehe Antwort auf den Beitrag von xammu.

Deine VM wird vermutlich auch in einem anderen IP-Kreis stecken, deshalb ist der AP nicht erreichbar. Hatte selbst schon das Problem. Aber wie #5 schon sagte, die Software muss im Grunde nur für die Einrichtung laufen bzw. für Updates.

Viele Grüße

Nein, VM und AP sind - derzeit - in meinem normalen LAN. Im Zuge der Konfiguration werden beide in einem Management-LAN angesiedelt - sind dann aber immernoch im selben Subnetz. Zumindest habe ich mir das so vorgestellt und den AP u.a. auch extra wegen der VLAN-Unterstützung (auch für die ausgestrahlten SSIDs) gekauft (wenn die gefundenen Informationen aus Foren dazu stimmen, noch habe ich mir die Konfigurationsmöglichkeiten nicht genau angeschaut).
Mein Plan für die vorgesehene Konfiguration sieht wie folgt aus:

• Management-IP des Geräts: im Management-VLAN
• SSID_1: im VLAN meines normalen LANs
• SSID_2: spezielles VLAN für alle Smarthome-Geräte
• SSID_3: Gäste-VLAN

Sicherlich für ein Heimnetzwerk für viele übertrieben, aber ich beschäftige mich gerne zu Hause auch viel mit IT-Themen und baue mir Umgebunden, die ich in Firmennetzwerken evtl. auch so (oder annähernd so) aufbauen würde, einfach um bei manchen Themen Routine beizubehalten bzw. inhaltlich am Ball zu bleiben

Was ist „außen“? Internet? Außerhalb der VM? …?

Oh Gott, Internet, nein definitiv nicht
Ja, um das Web-Interface auf meinem PC im Browser zu öffnen. Wird bei Konfiguration der VM und des APs ins Management-LAN aber obsolet (siehe vorige Antwort).

Hab ich schlussendlich auch gemacht mit meinen APs auch wenn ich die erweiterte Konfigurationsmöglichkeit mittels großer Software bevorzuge.

Allerdings ist die auf meinem PI regelmäßig abgeschmiert vermutlich wegen der SD karte und ich verweigere mich jeder Software die ne Installation von Java auf meinem PC erfordert xD

Deshalb die separate VM, ursprünglich wollte ich die Software mit auf einer anderen VM installieren
Umso besser, dass die VM nun doch nicht dauerhaft laufen muss.

 

[Katao]

Wer übernimmt denn dann bitte bei dir das gesamte Ruting beziehungsweise das gesamte VLan Management?
Sag mir jetzt bitte nicht, dass du davon ausgegangen bist, dass das die Controller Software übernimmt…
Denn dann würde hier ein gewaltiges Verständnis Problem vorliegen

 

[iNetw0rker]

Das Routing übernimmt eine Sophos Firewall, wenn du das unter VLAN-Management verstehst, dann sieht der Plan folgendermaßen aus:

• UniFi AP vergibt gemäß obiger Beschreibung die VLAN Tags
• der AP ist direkt an einem VLAN fähigen Switch angeschlossen
• der Switch-Port ist ein Trunk-Port und akzeptiert ausschließlich getaggten Datenverkehr
• Alles Weitere sollte wohl klar sein

Ich werde mich im Laufe des Tages mal mit der Konfiguration auseinandersetzen, dann sehe ich ja, ob das alles so funktioniert, wie ich mir das vorstelle.

 

[iNetw0rker]

Bericht:

Es funktioniert exakt genau so, wie ich es mir vorgestellt habe.
Drei SSIDs in je unterschiedlichen VLANs, die Clients bekommen dann vom entsprechenden DHCP-Server im jeweiligen VLAN eine IP-Konfiguration zugewiesen - Top!
Man legt in der UniFi Console zunächst "Netzwerke" an, dabei vergibt man die VLAN IDs. Bei der Einrichtung der SSIDs wählt man dann das entsprechende Netzwerk aus.

Auch bei der IP-Konfiguration des APs selbst kann man dann den Haken bei "Network Override" setzen und das entsprechende Netzwerk mit der zugehörigen VLAN-ID auswählen.

 

[iNetw0rker]

Um es für andere nochmal fest zu halten und den Thread auch zum Abschluss zu bringen:
Habe die Windows Firewall wieder an und nur noch Port 8080 für die Kommunikation mit den APs zugelassen.
Außerdem habe ich doch noch folgende Doku gefunden, in der die "benötigten" Ports mit der jeweiligen Funktionsweise aufgelistet sind. Man kann dann ja selbst entscheiden, ob man diese benötigt oder nur im Bedarfsfall öffnet.

https://help.ui.com/hc/en-us/articles/218506997-UniFi-Network-Required-Ports-Reference