Базовая настройка Unifi контроллера
Технология передачи данных Wi-Fi стала неотъемлемой частью нашей жизни. Уже сложно представить себе среднестатистического человека или компанию, которая бы не использовала эту технологию. В данной статье мы рассмотрим пример базовой настройки оборудования «Ubiquiti». Wi-Fi оборудование Unifi ввиду своей привлекательной цены и широких возможностей по настройке все чаще становится выбором наших клиентов. Менее чем за 200$ мы получаем управляемую контроллером точку доступа, «бесшовный роуминг» , удобный интерфейс и т.д.
Конфигурация
- Программный контроллер Unifi Controller версии 5.8.28
- Точка доступа AP-AC-LR — 1шт.
- Ноутбук на базе Windows 10
Переходим к настройке:
- С официального сайта скачиваем последнюю версию программного контроллера. В данном случае рассматриваем программными контроллер для Windows. Существует также решение для Windows и «железный» контроллер.
- Если не установлена JAVA, то ПО предложит её установить. Мы рекомендуем заранее скачать и установить данный пакет.
- После установки всех компонентов , на рабочем столе появляется значок Unifi. Запускаем его:
Далее жмем «launch a Browser to Manage the Network». Переводится, как «Запустить браузер, чтобы управлять сетью».
Если контроллер запускается первый раз, то вам предложат пройти быструю настройку:
- Придумать пароль, имя сети, тип шифрования и добавить все точки доступа.
- В нашем случае «быстрая настройка» неактуальна.
- После авторизации переключаемся на вкладку «Devices».
В данном окне мы видим вновь подключенную точку доступа. Давайте ее добавим, нажав на кнопку «Adopt» (принять).
В нашем случае добавление прошло успешно, оборудование новое. В случае если мы привязываем точку от другого контроллера, при добавлении у нас запросят пароль. По опыту, мало кто меняет стандартный логин и пароль от точки ubnt / ubnt.
Первые пункты достаточно просты и их назначение известно любому начинающему ИТ-специалисту.
Придумываем название, выбираем тип шифрования (используем только AES). Кстати, начиная версии 5.8.28 поддержка TKIP шифрования более не поддерживается.
А вот на пункте Fast Roaming мы остановимся чуть подробнее.
В 2014 году «Ubiquiti» прекратила поддержку своей разработки «Zero-handoff». Это и была та самая «бесшовность». Суть заключалась в том, что все точки «садились» на один канал и объединялись в единый VLAN. Как итог – пропускная способность сети падала в несколько раз, появлялись задержки, интерференция и т.д. В компании это поняли и разработку свернули, удалив все упоминания о технологии.
При наведении на «знак вопроса» мы увидим следующее сообщение: «Включение Fast Roaming позволит некоторым устройствам с возможностями 802.11r перемещаться быстрее. Однако старые устройства могут столкнуться с проблемами подключения, ввиду отсутствия поддержки на стороне клиента 802.11.r»
Это означает, что если у вас «старое» устройство, то технология работать не будет. Данный стандарт нам понадобится при использовании RADIUS авторизации. При использовании WPA2-PSK смысл быстрого роуминга теряется. Один пароль на всех, клиент с сервером обменивается 4 пакетами данных при переключении. Ускорять тут нечего.
Насколько быстро работает переключение при стандартных настройках?
Достаточно быстро, что бы не разорвалось RDP-соединение и не «квакала» IP-телефония. Из нашего опыта, при внедрении решений по «автоматизации склада», терминалы сбора данных переключались с задержкой до 150 мс. Потерь пакетов при этом не наблюдалось.
На этом базовая настройка завершена.
Ubiquiti Uni-Fi, работа без контроллера в режиме роутера
Все началось с того, что прочитал пост на «Наге» о переводе точек доступа Uni-Fi в режим работы без контроллера. Меня заинтересовала эта возможность, поскольку сам контроллер UniFi, мягко сказать не очень подходит для использования в домашних условиях, да и в небольшом офисе то же. Позднее я нашел статью и на хабре об этой процедуре. Ну да ладно. Везде предлагают ставить какие-то древние прошивки, релизов двух годичной давности, но с чего то начинать нужно. Удачно перешив точку доступа в AirOS, задумался о использовании её в качестве роутера.
Самое сложное, что не позволяло это реализовать — отсутствие дополнительных ethernet портов. По скольку я не первый год в ИТ сфере тружусь, решение пришло само собой, а именно:
1. Точка доступа, построена на базе процессора со встроенным управляемым 5 портовым коммутатором, но разведен лишь один.
2. Точкой доступа управляет дистрибутив построенный на базе линукса, что дает возможность сделать необходимое число тегированных интерфейсов.
3. В AirOS v:5.xx управление вланами реализовано уже в веб интерфейсе.
По скольку никто 5 версии прошивки собирать не хотел, и на просторах интернета таковой не оказалось, пришлось сделать самому. Рецепт тут. Прошивку выкладывал там же, но чтоб не искать положу ссылку на неё и сюда. В прошивке выключены светодиоды, дабы не мешали жизни, что вполне подойдет для использования в жилых помещениях, в прочем их можно включить из консоли.
И так теперь у нас есть потенциальный роутер, осталось найти для него порты. Самое простое и дешевое решение — это использовать маршрутизатор Dlink Dir-100 с прошивкой влан свич, или трайплроутер.
На настройках внимания заострять не буду, скажу лишь об основных моментах:
-ван порт на Dir100 настраивается антегом, а порт «смотрящий» в сторону точки доступа тегом;
-на Dir100 обязательно настроить минимум два влана (Wan, Lan);
— на точке доступа в разделе network включить продвинутый режим, и создать необходимые интерфейсы со стороны Lan порта;
-назначить Wan интерфейс и сконфигурировать его под своего провайдера;
-назначить менеджмент интерфейс для точки доступа, и дать ему адрес;
-объединить бриджем Wlan и Lan интерфейсы.
Если все правильно настроено, то подключив точку доступа к Dir100 получим маршрутизатор способный прокачать около 100 мегабит трафика.
P.S.
Буквально сразу столкнулся с проблемой не верного определения mtu. Лечится довольно просто. Заходим на точку доступа по SSH и создаем скрипт в директории /etc/persistent/rc.poststart
туда добавляем команду для определения верного значения mss
iptables -A FORWARD -p tcp —tcp-flags SYN,RST SYN -j TCPMSS —clamp-mss-to-pmtu
сохраняем файл, и делаем его исполняемым.
Запускаем его руками, если катастрофы не случилось и все сайты стали нормально открываться, можно сохранить изменения во флеш точки доступа. Для этого в той же консоли выполним следующую команду:
cfgmtd -w -p /etc/persistent/
Вот и всё, о чем хотел рассказать. Точка доступа уже второй месяц раздает инет в офисе на несколько компьютеров, канал 100мегабит, по вайфай скорость около 60-70 мегабит, по проводу чуть больше. Зависаний или каких то нештатных случаев с ней пока не было. Правда в качестве коммутатора используем DES 3200-28.
Вопросы и пожелания приветствуются.