Unifi Network Application - zaczynamy

Kupując urządzenia Unifi szczególnie tzw Cloud Gateway - albo może inaczej router. Nabywamy urządzenie które, da nam dostęp do internetu w naszym domu, firmie. Podłączenie jest mega proste, producent też zadbał o przyjazny "Wizard" wprowadzenie do pierwszego podłączenia. I gdy posiadamy ze sobą smartforn z androidem lub iOS to tak naprawdę nie potrzebujemy nawet dostępu do interfejsu www naszego Routera (Cloud Gateway) i zastanawiania się jaki adres IP ma nasze urządzenie.

W tym materiale przejdę do omówienia według mnie jaka konfiguracja powinna być zrobiona na początek tak by jak najlepiej zabezpieczyć nasze urządzenie (P.S - w żaden sposób nie twierdzę że domyślne ustawiania są niebezpieczne tylko mamy pewne ograniczenia jeżeli je pozostawimy takimi jakie są) - zatem zaczynamy.

Unifi Network Application - ustawienia sieci.

Omawiany model to UniFi Express UX - wersja oprogramowania Unifi OS 4.0.12, Network 9.0.114

Po zalogowaniu się do naszego panelu - czy to z poziomu, przeglądarki (mobilnego interfejsu) i lokalnego adresu, czy to z poziomu globalnego site manager przechodzimy do ustawień naszego urządzenia. Choć interfejs jest spójny dla urządzeń unifi, to mogą być pewne różnice w ustawieniach czy funkcjach. Pewne modele mogę nie mieć pełnej gamy zabezpieczeń. W tym artykule omawiam interfejs Unifi Express UX.

W dolnej cześci klikamy ikonę trybiku - po najechaniu w dymku pokaże się napis SETTINGS.

W pionowym menu mamy opcje WIFI, NETWORK, INTERNET, VPN, Security, Routing, Profiles, System, Control Plane, Admin & Users - mu skupimy się na Opcji NETWORKS.

Po kliknięciu w Networks wyświetli nam się panel zarządzania/dodawania/usuwania sieci. Na początku mamy sieć Default (domyślną) - warto zmienić jej nazwę. Sieć domyślna ma też pewne ograniczenia i o tym za chwilę. Sieć domyślna będzie wyświetlana w górnej części. Ja jej nazwę zmieniłem na Nawrolski. Będą tu też wyświetlane inne sieci.

Ustawieniami w sekcji poniżej czyli MULTICAST SETTINGS zajmiemy się poźniej. Kliknijmy zatem naszą sieć (na nazwę) i wejdziemy do ustawień danej sieci. W przyszłości jak będziesz miał więcej skonfigurowanych sieci - ich edycja odbywa się po przez kliknięcie w nazwę. A usuwanie po przez kliknięcie napisu MANAGE pod nazwami sieci. Przycisk ten uaktywnia się dopiero jak mamy więcej niż jedną sieć (Domyślnej nie można usunąć).

Kliknijmy zatem na nazwę naszej sieci (na starcie ona u Ciebie nazywa się Default). Otworzy nam się panel ustawień naszej sieci. W górnej cześci mamy:

1. Możliwość zmiany nazwy (Zalecam to zrobić).

2. W sekcji PROTOCOL - mamy możliwość konfiguracji naszej sieci wewnętrznej w wersji IPv4 i IPv6 (zalecam wyłączyć IPv6 jeżeli nie używasz w swojej wewnętrznej sieci protokołu IPv6). Warto tu zaznaczyć że te ustawienia dotyczą sieci wewnętrznej/lokalnej i nie ma znaczenie ustawienie naszego protokołu w sekcji INTERNET. Nawet gdy masz od dostawczy publiczne adresy IPv6. nie ma potrzeby włączania ich wewnątrz sieci w konfiguracji NETWORKS

3. W sekcji GATEWAY IP/SUBNET - warto odznaczyć opcję Auto-Scale Network. Oczywiście jeżeli chcemy samodzielnie sterować rozmiarem naszej sieci. Opcje ta powoduje że w przypadku gdy zabraknie nam wolnych adresów IP dla naszej lokalnej sieci, to pula naszej sieci się przeskaluje. Odznaczenie tej opcji spowoduje że będziemy mogli sterować naszą maską (CIDR) z przedziału od 30 do 8. Jeżeli nie wiesz co to jest to liczba 24 pozwoli Ci na podłączenie do sieci 254 urządzeń. Im większa tym niej będzie tych urządzeń. A im mniejsza tym więcej. W tabeli poniżej tego ustawienia mamy informacje o naszym serwerze DHCP (rozdzielanych adresach), naszej bramie, adresie broadcast, dostępnych IP, oraz o naszym adresie subnet mask.

4. Sekcja ADVANCED MANUAL (na jej ustawienia wpływa sekcja omawiana w punkcie 3 - ja punk trzeci odznaczyłem opcje Auto-Scale Network (jest wyłączona)) - mamy możliwość ustawienia:

   1. Guest Network - nie można tego ustawić na sieci domyślnej (omówimy to po dodaniu dodatkowej sieci)

   2. Isolate Network - nie można tego ustawić na sieci domyślnej (omówimy to po dodaniu dodatkowej sieci)

   3. allow internet access - opcja zaznaczona, ja odznaczam tą opcję dla sieci która ma nie mieć dostępu do internetu, ma pełnić rolę swoistego backendu np dla baz danych. Zastosowań może być kilka - często tą opcje wiąże z ustawieniami w proxmox ( o tym już w innym artykule).

   4. Content Filtering - Ta opcja według mnie troche słabo działa. Bo np ustawienia Family blokuje komentarze na YouTube ale już stron pornograficznych nie. Jeszcze testuję to opcję i więcej o niej w osobnym artykule - osobiście zalecam na ustawienie WORK.

   5. IGMP Snooping - pozwala przełączać multicast bardziej inteligentnie, dostarczając go tylko do tych urządzeń, które go potrzebują. Warto to włączyć.

   6. Multicast DNS - to ustawienie dotyczy mechanizmu wykrywania usług w sieci (Bonjour). Co robi: włącza przekazywanie/odbijanie ruchu mDNS między wybranymi sieciami/VLAN-ami, żeby urządzenia IoT mogły się odnaleźć, nawet jeśli są w różnych podsieciach. Warto tą oczje wyłaczyc jeżeli nie planujemy np umieszczać drukarki w innej sieci niż będą nasze urządzenia które będa z tej drukarki korzystały.

   
   

   Resztę ustawień omówimy sobie przy konfiguracji innych sieci - zapiszmy nasze ustawienia.

Po zapisaniu i zmianie nazwy nasza sieć jest widoczna pod inna nazwą. Kliknijmy teraz w dolnej cześci pod nazwami naszych sieci opcję NEW VIRTUAL NETWORK i dodajmy nową sieć. Warto tu odrazu zaznaczyć że nowe wirtualne sieci będą działały gdy:

1. Będziemy mieli inne urządzenia od Unifi (switch, przełączniki, AP, itp)

2. Inne urządzenia od innych wendorów obsługujące VLANY.

   
   

Unifi Network Application - tworzymy VLANy

Po kliknięciu NEW VIRTUAL NETWORK - mamy możliwość dodania nowej wirtualnej sieci (nowy VLAN) otwiera nam się okno dokładnie takie samo jak w przypadku naszej sieci domyślnej. Mamy możliwość konfiguracji naszej nowej sieci. I jest to ważne by dodać taką sieć. I tu też ważny element, sieć domyślna to VLAN 1 - vlan domyślny.

Nową sieć którą dodam nazwę WORK - to sieć na wszelkie moje sprzęty dla firm z którymi współpracuję. Z racji że pracuję zdalnie na moim mobilnym Unifi oraz domowym (wszędzie tam gdzie ja zarządzam siecią - np u rodziców) tworze taką sieć. I tam dodaje moje urządzenia powiązane z pracą. Ustawiam odpowiedni adres IP sieci (tak by nie kolidował ze wszystkimi moimi sieciami w ramach moich lokalizacji - warto o tym pomyśleć jeżeli planujemy VPN Site Manager).

Wyłączam opcję auto-scale network

zmieniam adresację i zmniejszam maskę - wystarczy mi w zupełności maska 28 - w której będę mogł wykorzystać 13 adresów IP - co zatem idzie podłączyć też 13 urządzeń.

Tworząc nowa sieć wirtualna musimy ją oznaczyć - oprócz unikatowej nazwy warto też ustawić właściwy VLAN ID - Default (sieć domyślna ma ID 1 - nie można go zmienić) dla naszej nowej sieci możemy wybrać. I ważne by był unikatowy.

Zaznaczam Opcję Isolate Network tak by urządzenia w tej sieci nie widziały innych sieci (dostęp ten będę musiał skonfigurować w Firewall, jak taka opcja będzie mi potrzebna) w ramach tej samej sieci nasze urządzenia będą się widziały.

Warto tu zaznaczyć że wszystkie sieci wirtualne w Unifi domyślnie są dostępne miedzy innymi wirtualnymi sieciami. Zatem uważam e warto tą opcję zaznaczyć jeżeli będziemy mieli więcej niż jedną wirtualną sieć.

Pozycja DHCP:

1. Ustawiam DHCP Mode na server - jeżeli planujesz dodawać konfigurację IP automatycznie.

2. DHCP Range ustawiam opcje dynamicznego przydzielania IP na odpowiedni zakres dzieląc pulę dostępnych IP na manualne i przydzielane z DHCP. Tu ustawiam pule tak by kilka adresów było możliwe do przydzielenia ręcznie.

W pod opcji DHCP Guarding ustawiam zaufany adres DHCP. Chroni to przed Rogue DHCP / DHCP spoofing, Przejęcie ruchu / MITM przez DHCP, Awarie i „znikający internet” przez przypadkowo włączony DHCP.

Zaraz pod DHCP Range mamy opcję DHCP Service Management i warto tutaj też ustawić kilka opcji:

1. NTP server - przyjmuje tylko wartości IP, zatem zalecane jest postawić lokalny server NTP i na niego ustawić adresy IP. Lub alternatywnie rozwiązać adresy IP np tempus1.gum.gov.pl i tempus2.gum.gov.pl i wpisać ich adresy IP. jeżeli w twojej sieci nie jest ważna synchronizacja czasu to możemy pominąć tą opcje.

2. Network Boot - Można określić server PXE jak mamy np bootowane systemy z sieci

3. Time offset - przesuniecie czasu względem NTP podawane w sekundach.

4. Option 43 - vendor-specific information. W UniFi służy do poinformowania urządzeń UniFi (AP, switche, itp.) o adresie kontrolera/UniFi Network Application, żeby mogły się automatycznie „adoptować”, zwłaszcza gdy są w innym VLAN/podsieci (L3).

5. WPAD URL - automatyczna konfiguracja przeglądarek/systemu do korzystania z proxy/filtra www bez ręcznego ustawiania.

6. TFTP Server - podaje klientom adres serwera TFTP do pobrania konfiguracji/obrazu.

7. Ping Conflict Detection - Przed przydzieleniem adresu z puli bramka wysyła ICMP ping (echo request) do kandydata IP. Jeśli ktoś odpowie → adres uznaje za zajęty/konfliktowy i nie jest wydawany. Jeśli nikt nie odpowie → serwer wydaje dzierżawę temu klientowi. To jest dodatkowa warstwa ponad wbudowane sprawdzanie konfliktów (ARP/Gratuitous ARP) w bramkach UniFi.

8. Default Gateway - warto dla każdej sieci ustawić na auto, wtedy unifi będzie pełnił role bramy. Jeżeli masz w sieci dodatkowe urządzenie które pełni role bramy możesz wskazać tutaj jego adres IP.

9. DNS Server - warto zmienić ta opcję, pozostawiając auto - będziemy mieli takie adresy DNS jakie są skonfigurowane na naszym interfasie INTERNET. Czyli prawdopodobnie operatora.

Serwerów DNS jest dużo i warto im się przyjrzeć. U mnie wybór padł na:

Publiczne serwery DNS w Polsce

NASK / DNS.PL (oficjalny operator domen .pl)

1. Primary: 193.59.201.26

2. Secondary: 193.59.201.27

3. Bardzo zaufane, bo zarządzane przez NASK (państwową instytucję odpowiedzialną za rejestr .pl).

Międzynarodowe, szybkie i bezpieczne DNS-y (też działają świetnie w PL)

Cloudflare (1.1.1.1) – bardzo szybki i nastawiony na prywatność

1. 1.1.1.1

2. 1.0.0.1

3. Wersja z filtrowaniem malware: 1.1.1.2 i 1.0.0.2

4. Wersja z filtrowaniem malware + treści dla dorosłych: 1.1.1.3 i 1.0.0.3

Google Public DNS – bardzo stabilne i szybkie

1. 8.8.8.8

2. 8.8.4.4

Quad9 (Szwajcaria, nacisk na bezpieczeństwo)

1. 9.9.9.9

2. 149.112.112.112

3. Domyślnie blokuje złośliwe domeny (chroni przed phishingiem i malware).

Które wybrać?

1. Najbezpieczniejsze (ochrona przed phishingiem/malware): Quad9 lub Cloudflare z końcówką .2 / .3

2. Najbardziej prywatne: Cloudflare (deklarują, że nie logują długoterminowo)

3. Najbardziej oficjalne w PL: NASK (DNS.PL)

4. Najbardziej uniwersalne: Google DNS (jeśli zależy na niezawodności i prostocie)

W Lease Time deklarujemy w przez jaki czas adres IP będzie zarezerwowany i wykorzystywany dla danego urządzenia.

Domain name pozwala zdefiniować FQDN które będą funkcjonować w ramach naszej konfiguracji Unifi/Routera (czyli lokalne nazwy FQDN)

Custom DHCP Options - to dodatkowe opcje oprócz tych powyżej wymienionych które można ustawić w naszym DHCP i automatycznie dodatkowo konfiguraowac naszych klientów - pełna lista tych opcji dostępna jest tu: https://www.iana.org/assignments/bootp-dhcp-parameters/bootp-dhcp-parameters.xhtml#options

Podsumowanie

To był przegląd opcji które ustawiam w moich sieciach którymi zarządzam przez Unifi. Oczywiście to nie wszystko i w kolejnym artykule poruszymy kolejne opcje konfiguracji. Do usłyszenia