UniFi Remote Controller Setup

Ubiquiti bietet mit der Produktreihe UniFi auch die Möglichkeit, die Netzwerke unterschiedlicher Standorte über einen Controller zu verwalten. Dies kann entweder mittels Cloud-Controller (AWS, Microsoft Azure o.Ä.), oder eines Remote Hardware-Controllers (UCK) umgesetzt werden. Das ermöglicht die einfache Konfiguration und Verwaltung mehrer Sites über einen UCK. Einsatzorte können zum Beispiel Unternehmen mit mehreren Standorten sein, die jedoch separat verwaltet werden. Hohe Verfügbarkeit und Sicherheit müssen gegeben sein, um die Funktionalität dauerhaft zu gewährleisten.

 

Herausforderung

Konfiguration mehrer geographisch getrennter Netzwerke mittels UniFi Hardware und externem Controller.

 

Vorbereitung

Glossar:

  • USG (UniFi Security Gateway): Router & Firewall
  • UCK (UniFi CloudKey): Hardware-Controller zur komfortablen Einrichtung und Wartung
  • FQDN (Fully Qualified Domain Name): Eindeutige Domain einer Domäne im Internet (e.g. example.org)
  • FGHN (Fully Qualified Host Name): Eindeutige Domain eines Rechners innerhalb der Domäne (e.g. uck.example.org)

Infrastruktur:
Damit 2 geographisch getrennte Netzwerke (Sites) über einen Controller konfiguriert und gewartet werden können, müssen auf beide Seiten USG-Security Gateways vorhanden sein.

Wichtig: Zur Umsetzung muss der UCK über eine statische IP, eine FQDN oder einen FQHN erreichbar sein.

 

Lösung

Zur gemeinsamen Verwaltung mehrerer Sites müssen diverse Port-Forwardings gesetzt werden.

Auf der USG, in dessen LAN der CloudKey (syn. UCK, Controller) physisch angebunden ist, müssen die folgenden Ports freigegeben werden (Port-Forwarding an UCK):

• TCP 8080*: Gerät-Controller-Kommunikation
• UDP 3478*: STUN-Protokoll
• TCP 8880 and 8843: Gast-Portal (Optional, falls Gäste-Portal verwendet wird)
• TCP 8443*: Geräte-Controller-Kommunikation & Management
• TCP 6789: Performance-Überwachnug (Optional, Notwendigkeit nach eigener Einschätzung)
• TCP 22: SSH auf Controller (Optional, Notwendigkeit nach eigener Einschätzung)

*Ports müssen freigegeben werden, um Funktionalität zu gewährleisten.

 

Benutzerdefinierte Ports sing möglich, müssen aber via SSH-Console direkt am Controller geändert werden.

 

Auf der entfernten USG, die über das Internet auf den CloudKey (sog. Remote-Controller) zugreifen soll, müssen die „Inform-Links“ folgendermaßen gesetzt werden:
https://(FQDN/FQHN/IP):8080/inform

Ist kein SSL-Zertifikat vorhanden, oder weißt es ausschließlich auf den Port 443, muss stattdessen zur Kommunikation auf die folgende Syntax zurückgegriffen werden:
http://(FQDN/FQHN/IP):8080/inform

Falls hier ein benutzerdefinierter Port verwendet wird, (e.g. 28080), muss dementsprechend der inform-Link ebenfalls anpasst werden.

 

Ob die benötigten Ports geöffnet sind, kann über http://ping.eu/port-chk/ getestet werden.