Good bye Turris, Hello Ubiquiti

Good bye Turris, Hello Ubiquiti

Nějakou dobu jsem měl router Turris Omnia. Koupil jsem ho v době, kdy na něj měl CZ.nic kampaň na Indiegogo, kde slibovali sofistikovaný, výkonný, ale zároveň user friendly router, pomocí kterého půjde vyřešit kde co.

A tak jsme si ho tenkrát i s pár známíma koupili. Slibovali intenzivní vývoj, hromadu nových funkcí, vše téměř automatické. Jenže, ani po dvou letech se toho moc nezměnilo. Po bezpečnostní stránce je router super, stejně tak po hardware je výborný. A nad tím běží linux, rovněž velmi dobrý a stabilní. Jenže, co se GUI a uživatelské přívětivosti týká, tak tam je to špatné.

Systém používá jako GUI systém Luci, což je open-source systém využívaný také systémy OpenWRT a DD-Wrt. Takže tady jen vzaly existující řešení a nahráli ho na router.  K tomu pak mají ještě druhé, vlastní administrátorské GUI. To ale nabízí naprosto elementární nastavení typu připojení k internetu, heslo k wifi a pár dalších věcí. Ale naprosto nevužívá potenciálu Turrisu.

Pro někoho, kdo je kovaný v Linuxu, to asi zas takový problém nebude. Stejně si chce vše konfigurovat ručně a nějaké GUI ho jen zdržuje. Ale Turris se profiloval jako profi router pro masy. A to bohužel nebyl a ani se to z něj za další dva roky vývoje nestalo.  Pro člověka jen lehce Linuxu znalého to pak znamená hodiny studování a zkoušení, kdykoli chce udělat něco sofistikovanějšího.

Jenže, žádná  jiná rouzmná alternativa moc nebyla. A tak jsme spolu s Turrisem tak nějak koexistovali až do teď, kdy jsem začal řešit zvláštní a náhodné mikrovýpadky. Při běžné práci či surfování si toho člověk ani nevšiml, ale při těžbě…. :). Tam se počítá každá milisekunda a každý doručený paket. Výpadek znamená promarněný výpočet a ztrátu peněz. A to je už je důvod pro změnu.

A tak jsem dostal doporučení na Ubiquiti, že je super, že je vyzkoušený, rychlý kvalitní a vhodný i pro méně znalé. Značku jako takvou jsem znal už díky jejich wifi hardware. Jejich wifi přístupové body jsou super, luxusní pokrytí, žádné problémy s výpadky, atd. Stejně tak jsem už trochu znal jejich SW, který ale fungoval jen omezeně, protože jsem neměl všechny komponenty od nich.

 

Tak jsem zkusil Turrise prodat. A povedlo se. A já mohl objednat Ubiquiti komponenty.

Vzal jsem menší domácí verzi SecurityGateway, což není nic jiného, než router, do kterého se přivede internet do jednoho portu a druhým portem se internet pak odvede do nějakého switche. Dál má pak SecurityGateway ještě jeden další port, který lze použít k přivedení druhého náhradního internetu (například přes LTE), nebo na připojení například dalšího switche. A pak port pro konzolu, která slouží k ovládání zařízení, když se vše ostatní pokazí a nefunguje.

Další na seznamu byl Ubiquiti Cloud Key. Tohle je trochu specifikum Ubiquiti, že ovládací SW není přímo na routeru. Ten je jen hloupý stroj, do kterého musíte pravidla a nastavení nějak dostat. Pro nastavení slouží aplikace zvaná Controller. Ten si můžete buď zdarma stáhnout a nainstalovat někam na Váš PC, nebo ho lze provozovat právě v CloudKey, což je vlastně takový ethernetový dongle, co se připojí do jednoho z portů. A nebo pak dělá Ubiquiti ještě přímo rackovou verzi, ale ta je pro běžné domácí použití myslím zbytečná a hlavně dost drahá.

Jako poslední jsem pak vzal 24 portový switch. Switch je plně managed, což znamená, že ho lze programovat. Takže lze nastavit, který port na obsluhuje kterou síť, lze pomocí jednoho switche simulovat více oddělených sítí, atd.

Dělá se i PoE verze (umožňující napájení připojených zažízení přes síťový kabel), ale ta je o dost dražší a stejně bych to teď nevyužil. Takže jsem volil základní verzi bez PoE a když bude potřeba, dokoupím menší 8-portovou variantu s PoE.

S celým nákupem jsem se vešel do 9 tisíc korun vč. DPH, což na takto kvalitní zařízení jsou opravdu dobré peníze. Pokud bych kupoval nyní Turrise, tak jen samotný jejich router stojí 7000kč, když bych bral nějaký obyčený router, tak cca ~2500kč a k tomu ještě switch a jsem na podobných penězích. A kvalitou by se to nedalo vůbec srovnávat.

Dneska jsem pak většinu dne předělával síť z původní Turris+switche verze na nový Ubiquiti systém. Už od začátku byla radost s komponentama pracovat. Celý systém je maximálne uživatelsky přívětivý, takže nastavit více různých sítí, různé DHCP servery, propárovat Wifi AP se síťěma atd je otázka pár kliknutí. Žádné zdlouhavé hledání a nastavování konfiguračních souborů. Celkově je celý UX opravdu propracované. Vše najdete a uděláte na pár kliků, můžete si rozklikat více zařízení či nastavení v pravé části obrazovky.

Jak jsem psal, Unifi rozhraní jsem znal už díky wifi. Ale tu pravou sílu poznáte až když máte všechny komponenty od Ubiquiti. V rozhraní se odemknou všechny funkce a vše je najednou propojené do jenoho celku. Takže vidíte jednotlivá zažízení, vidíte v jakém portu ve switchy je připojen, vidíte stastistiku přenosu dat, rychlosti, odezvy, prostě naprosto všechno. Nádhera.

Když jsem měl nakonfigurováno a předěláno, zkusil jsem rychlost sítě jako takové a testoval, zda se výpadky vyřešilil. A tady mne Ubiquiti opravdu hodně překvapilo. Nejen že už nemám naprosto žádné výpadky a zahozené pakety, ale brutálně se vylepšila celková kvalita sítě. Dřív jsem měl ping ze všech počítačů na servery googlu (www.google.com) nějakých 50-70ms. Přišlo mi to supr a nikdy jsem neřešil, že by to mělo být lepší.

Ping z notebooku přes wifi

Nyní, po vyhození všechn Zyxel, D-link a jiných mini-switchů a ponechání jen jednoho 24-portu je ping 5ms (a cca 6ms pokud pinguju přes wifi). Více než 10x zrychlení jen díky koupi kvalitního HW.

Pokud budete řešit do baráku síť, volil bych být Váma rovnou z kraje všechno od Ubiquiti. Vše funguje hned napoprvé, mají super wifi vysílače se super pokrytím, mají supr switch, který je rychlý a robustní a mají parádní router s controllerem, který zvládne ovládat i ne-linuxový mág. A vše za rozumné peníze. Takže jednoduchá volba 🙂

Pomohl Vám náš blog? Chcete nás podpořit? I málo udělá radost 😉

19 thoughts on “Good bye Turris, Hello Ubiquiti

    1. A to je presne to, co jsem nechtel ;-). Spousta nastaveni, ktere bych nevyuzil a nebo mu nerozumel ;-). Navic kdy zje vse od Ubiquiti, tak to propojeni vsech komponent mezi sebou je fakt paradni. Kdyz mas jine Ap a jiny router, tak uz vidis jen kazde zarizeni jednotlive, ale ne cele jako jeden celek.

      Ale pokud nastaveni Mikrotiku vyuzijes, tak je urcite dobra volba, o tom zadna. Ale pro nas BFU je uz mikrotik zbytecnej 😉

    1. jj, normalne pres USB nabijecku.

      to jedine je trosku nevyhoda. myslel sem, ze to puvodne dam do LAN2 na USG, ale ani ta nema PoE (logicky, protoze je pro WAN2 kde by to bylo zbytecne)

  1. Mam v dome vse od UBNT uz rok a pohoda. Jedina slabina je CloudKey, ktery je v poslednich asi trech verzich firmware extremne citlivy na vypadky proudu. Rozpadne se pak databaze a opravit to lze jen re-flashem, uploasem configu, korektnim vypnutim a napajenim pres UPS. Uvidite, jake budou Vase zkusenosti, ale ja bych za tohle (a jen tohle, ostatni je parada) UBNT kopnul… btw: dost lidi ma podobny problem a resi se to na ubnt foru.

  2. Dobrý den,
    děkuji za článek. Opět praktické a pěkně napsané.

    Nevíte nebo případně nemáte zkušenost zda Ubiquiti nabízí i VDSL modemy/routery?

    Aktuálně se poohlížím po náhradě za otřesnou krabičku od O2.

    Děkuji,
    Petr

    1. Nevím jak Ubiquiti funguje, řekl bych že má stejnou možnost, ale já mám od O2 ten jejich comtrend V2 u kterého mám vypnuté všechny funkce (funguje jen jako bridge) a vše ovládá microtik. Dříve jsem měl problém s výpadky jak LAN tak Wifi a někdy jsem se nemohl na Wifi vůbec připojit a teď vše jede bez problémů. Jediná nevýhoda je krabička navíc.

  3. Ubiquity VDSL modemy nedělá, ideální varianta je modem přepnout do bridge a PPPoE připojení vytáčet hlavním routerem/firewallem jak píše Danny.

  4. Panove,

    k ubiquiti bych mel par poznamek nebo mi to doma bezi uz nejakej ten patek a znamejm/kamaradum na tom stavim i vetsi site pro zabavu 🙂

    – na switch a router nepouzivejte “bilou” radu Unifi, pouzivejte Edgemax prvky. Unifi rada ma strasne omezene moznosti, uplne stupidni konfiguraci firewallu, jeste horsi je konfigurace VLAN na switchportech (neni mozna granularni konfigurace, kdy presne reknu ktera VLAN je netagovana a ktere dalsi chci tagovat)

    – security GW nema l7 application firewall, takze je to spis takova SPI legrace (Sophos Xgen FW, free licence na doma je uplne jina liga)

    – v pripade problemu neni mozne debugovat, protoze chybi poradne CLI na vsech komponentech site takze se desne spatne hleda jakykoli problem

    – UnifiAP jsou skvele tam nema smysl resit cokoli jineho. Wifi funguje skutecne na 110% – obcas vidim v jedne sve implementaci i 800 aktivnich klientu pres 3-5 APecek

    – Pro edgemax prvky se vyviji UNMS (bezi v dockeru), ktere zajisti centralni spravu a dokonce do nej bude mozne naintegrovat komplet Unifi controller

    – kupovat unifi cloudkey ma smysl jen pokud chce clovek mit doma vic nez 4 SSID, coz je omezeni JAVA verze, ktera je free, funkcni a stabilni

    – kamery jsou skvele a jejich JAVA based central SW funguje taky velmi dobre… kupovat od nich NVR je imho blbost

    All and all – postavit si domaci sit celou na Unifi je imho pro netechnicke lidi 🙂 Byt to super vypada, appka na telefon je pekna, vsechno to ukazuje, funguje…. ALE…

    @Elpaso

    1. Diky za poznatky!

      Dodam par postrehu z meho pohledu (spis BFU sitare).

      – bral jsem bilou radu, protoze sem mel zkusenosti s bilejma wifi co byly supr. Je pravda, ze nektere veci jsou v bile omezene, ale da se nastavit primo v cfg v controlleru
      – omezeni co mi akorat vadilo byla nemoznost zadat vlastni static hostnames pro ne-dhcp veci. Ale to se da vyresit konfiguraci v config.gateway.json
      – I7 FW vubec netusim co je, takze to zrejme ani nepotrebuju. Navic instalovat externi FW se mi prave presne nechtelo a chtel jsem mit vse all-in-one
      – debugovani zas tak hrozny neni, pres ssh se da pripojit na kazdy prvek, kde jde videt jeho aktualni nastaveni jak v cfg souboru, tak pak na urovni linuxu (napriklad vyplnene hosts v usg). Ale vice jsem to zatim nemel potrebu ohybat
      – ad cloudkey, puvodne jsme mel java app a byl to opruz. Kdykoli jsem chtel konfigurovat, musel jsem to nahodit, bylo to nekde externe nainstalovane, dalsi starosti. za 2000kc cloudkey to vse provozuje online u routeru a bez starosti.

      ad netechnicke lidi. Osobne bych si klidne nechal turis a “hral si s nim”. ale mam na baraku uz tolik jinych techinckych veci, ze si to snazim vse zjednodusit a nechci uz spravovat rucne mraky veci, ale ocenuju prave tu jednoduchost. Mozna narazim na nejake dalsi omezeni, ale i dokumentace a diskuzni fora jsou k USG/UBNT na super urovni a zatim jsem nasel vse co jsem hledal.

      1. ok, ok, ok 🙂

        comment k cloudkey – ja mam doma full hyper-v cluster na iSCSI a mam proste VMko na kterem bezi unifi controller a camera controller (ale to uz je fakt na kazdem, souhlasim, ze za 2k je to uplne fpohode)

        za me je asi fakt nejvetsi pruser ten firewall (mam doma 6 VLAN a dhromady cca 50 pravidel a toto si vubec nedovedu predstavit na USG spravovat) pokud ma nekdo super simplet sit a chce to primarne na monitoring tak je to asi ok…

        btw – k monitoringu site pouzivate Loxone? Ja tam mam nandane veskere aktivni prvky vcetne xiomi loxone bridge, hue bridge a je to super

        1. No tech VLANu sem tu mel/budu mit taky vic, ted jsou tam sice vlany ale bez pravidel. To je to fakt tak hrozny? A neda se to pripadne nastavit taky pres ten config.gateway.json? Nemel jsem na to jeste cas, takze jsem jen rozdelil VLANy a nechal povolene vsechno vsude, ale resit to budu.

          monitoring site zatim vubec, nebyl cas. Jak to resis pres Loxone?

          1. v loxonu je na to primo funkce, kam jen zadas IP a bud je to zelene nebo cervene 🙂

            me to v porovnani s edgerouterem prijde desive… preddefinovana pravidla, co se neda smazat, kdyz resis DNAT tak on si sam vytvari zaznamy ve firewallu, ktere jsou opet locknuta…

            SNAT to imho vubec neumi (ne kazdej to potrebuje)

            hairpin-NAT tezko,za me absolutne nutna vec aby muj.loxone.cz fungoval na stejnem fqdn jak zevnitr tak zvenku na shodnem portu

            na jakejkoli typ/cislo portu musis definovat skupinu a tu nasledne prirazovat do pravidla, coz v pripade rozmanitych _=hodne_ pravidel zacne byt naprostej maglajz

            jestli to jde pres json netusim to jsem nezkoumal

            1. Ad loxone, to jsem vubec nevedel, na to mrknu.

              ad ten router, Dnat/Snat/Harpin mi uz vubec nic nerika, to uz je na mne moc ;-).

              Ad ty pravidla, imho prave pres ten config to pujde upravit. Na pravidla bude stejne snazsi kopirovat v textaku nez to vyklikavat a tim configem primo vynucujes prepsani, takze by mohly zmizet i ty defaultni.

              Zkusim a uvidim 😉

Leave a Reply

Your email address will not be published. Required fields are marked *