Good bye Turris, Hello Ubiquiti

Good bye Turris, Hello Ubiquiti

Nějakou dobu jsem měl router Turris Omnia. Koupil jsem ho v době, kdy na něj měl CZ.nic kampaň na Indiegogo, kde slibovali sofistikovaný, výkonný, ale zároveň user friendly router, pomocí kterého půjde vyřešit kde co.

A tak jsme si ho tenkrát i s pár známíma koupili. Slibovali intenzivní vývoj, hromadu nových funkcí, vše téměř automatické. Jenže, ani po dvou letech se toho moc nezměnilo. Po bezpečnostní stránce je router super, stejně tak po hardware je výborný. A nad tím běží linux, rovněž velmi dobrý a stabilní. Jenže, co se GUI a uživatelské přívětivosti týká, tak tam je to špatné.

Systém používá jako GUI systém Luci, což je open-source systém využívaný také systémy OpenWRT a DD-Wrt. Takže tady jen vzaly existující řešení a nahráli ho na router.  K tomu pak mají ještě druhé, vlastní administrátorské GUI. To ale nabízí naprosto elementární nastavení typu připojení k internetu, heslo k wifi a pár dalších věcí. Ale naprosto nevužívá potenciálu Turrisu.

Pro někoho, kdo je kovaný v Linuxu, to asi zas takový problém nebude. Stejně si chce vše konfigurovat ručně a nějaké GUI ho jen zdržuje. Ale Turris se profiloval jako profi router pro masy. A to bohužel nebyl a ani se to z něj za další dva roky vývoje nestalo.  Pro člověka jen lehce Linuxu znalého to pak znamená hodiny studování a zkoušení, kdykoli chce udělat něco sofistikovanějšího.

Jenže, žádná  jiná rouzmná alternativa moc nebyla. A tak jsme spolu s Turrisem tak nějak koexistovali až do teď, kdy jsem začal řešit zvláštní a náhodné mikrovýpadky. Při běžné práci či surfování si toho člověk ani nevšiml, ale při těžbě…. :). Tam se počítá každá milisekunda a každý doručený paket. Výpadek znamená promarněný výpočet a ztrátu peněz. A to je už je důvod pro změnu.

A tak jsem dostal doporučení na Ubiquiti, že je super, že je vyzkoušený, rychlý kvalitní a vhodný i pro méně znalé. Značku jako takvou jsem znal už díky jejich wifi hardware. Jejich wifi přístupové body jsou super, luxusní pokrytí, žádné problémy s výpadky, atd. Stejně tak jsem už trochu znal jejich SW, který ale fungoval jen omezeně, protože jsem neměl všechny komponenty od nich.

 

Tak jsem zkusil Turrise prodat. A povedlo se. A já mohl objednat Ubiquiti komponenty.

Vzal jsem menší domácí verzi SecurityGateway, což není nic jiného, než router, do kterého se přivede internet do jednoho portu a druhým portem se internet pak odvede do nějakého switche. Dál má pak SecurityGateway ještě jeden další port, který lze použít k přivedení druhého náhradního internetu (například přes LTE), nebo na připojení například dalšího switche. A pak port pro konzolu, která slouží k ovládání zařízení, když se vše ostatní pokazí a nefunguje.

Další na seznamu byl Ubiquiti Cloud Key. Tohle je trochu specifikum Ubiquiti, že ovládací SW není přímo na routeru. Ten je jen hloupý stroj, do kterého musíte pravidla a nastavení nějak dostat. Pro nastavení slouží aplikace zvaná Controller. Ten si můžete buď zdarma stáhnout a nainstalovat někam na Váš PC, nebo ho lze provozovat právě v CloudKey, což je vlastně takový ethernetový dongle, co se připojí do jednoho z portů. A nebo pak dělá Ubiquiti ještě přímo rackovou verzi, ale ta je pro běžné domácí použití myslím zbytečná a hlavně dost drahá.

Jako poslední jsem pak vzal 24 portový switch. Switch je plně managed, což znamená, že ho lze programovat. Takže lze nastavit, který port na obsluhuje kterou síť, lze pomocí jednoho switche simulovat více oddělených sítí, atd.

Dělá se i PoE verze (umožňující napájení připojených zažízení přes síťový kabel), ale ta je o dost dražší a stejně bych to teď nevyužil. Takže jsem volil základní verzi bez PoE a když bude potřeba, dokoupím menší 8-portovou variantu s PoE.

S celým nákupem jsem se vešel do 9 tisíc korun vč. DPH, což na takto kvalitní zařízení jsou opravdu dobré peníze. Pokud bych kupoval nyní Turrise, tak jen samotný jejich router stojí 7000kč, když bych bral nějaký obyčený router, tak cca ~2500kč a k tomu ještě switch a jsem na podobných penězích. A kvalitou by se to nedalo vůbec srovnávat.

Dneska jsem pak většinu dne předělával síť z původní Turris+switche verze na nový Ubiquiti systém. Už od začátku byla radost s komponentama pracovat. Celý systém je maximálne uživatelsky přívětivý, takže nastavit více různých sítí, různé DHCP servery, propárovat Wifi AP se síťěma atd je otázka pár kliknutí. Žádné zdlouhavé hledání a nastavování konfiguračních souborů. Celkově je celý UX opravdu propracované. Vše najdete a uděláte na pár kliků, můžete si rozklikat více zařízení či nastavení v pravé části obrazovky.

Jak jsem psal, Unifi rozhraní jsem znal už díky wifi. Ale tu pravou sílu poznáte až když máte všechny komponenty od Ubiquiti. V rozhraní se odemknou všechny funkce a vše je najednou propojené do jenoho celku. Takže vidíte jednotlivá zažízení, vidíte v jakém portu ve switchy je připojen, vidíte stastistiku přenosu dat, rychlosti, odezvy, prostě naprosto všechno. Nádhera.

Když jsem měl nakonfigurováno a předěláno, zkusil jsem rychlost sítě jako takové a testoval, zda se výpadky vyřešilil. A tady mne Ubiquiti opravdu hodně překvapilo. Nejen že už nemám naprosto žádné výpadky a zahozené pakety, ale brutálně se vylepšila celková kvalita sítě. Dřív jsem měl ping ze všech počítačů na servery googlu (www.google.com) nějakých 50-70ms. Přišlo mi to supr a nikdy jsem neřešil, že by to mělo být lepší.

Ping z notebooku přes wifi

Nyní, po vyhození všechn Zyxel, D-link a jiných mini-switchů a ponechání jen jednoho 24-portu je ping 5ms (a cca 6ms pokud pinguju přes wifi). Více než 10x zrychlení jen díky koupi kvalitního HW.

Pokud budete řešit do baráku síť, volil bych být Váma rovnou z kraje všechno od Ubiquiti. Vše funguje hned napoprvé, mají super wifi vysílače se super pokrytím, mají supr switch, který je rychlý a robustní a mají parádní router s controllerem, který zvládne ovládat i ne-linuxový mág. A vše za rozumné peníze. Takže jednoduchá volba 🙂

Pomohl Vám náš blog? Chcete nás podpořit? I málo udělá radost 😉
Become a patron at Patreon!
0 0 votes
Hodnocení články
Subscribe
Notify of
guest

24 Komentáře
Oldest
Newest Most Voted
Inline Feedbacks
View all comments
Filip
Guest
Filip
6 years ago

Ja to vyresil jinak, WiFi AP od Ubiquiti a router Mikrotik, kde se da nastavit na co si vzpomenes.

Pavel
6 years ago

Když zatím nemáš PoE switch, tak CloudKey napájíš přes microUSB?

Marek
Guest
Marek
6 years ago

Mam v dome vse od UBNT uz rok a pohoda. Jedina slabina je CloudKey, ktery je v poslednich asi trech verzich firmware extremne citlivy na vypadky proudu. Rozpadne se pak databaze a opravit to lze jen re-flashem, uploasem configu, korektnim vypnutim a napajenim pres UPS. Uvidite, jake budou Vase zkusenosti, ale ja bych za tohle (a jen tohle, ostatni je parada) UBNT kopnul… btw: dost lidi ma podobny problem a resi se to na ubnt foru.

Petr
Guest
Petr
6 years ago

Dobrý den,
děkuji za článek. Opět praktické a pěkně napsané.

Nevíte nebo případně nemáte zkušenost zda Ubiquiti nabízí i VDSL modemy/routery?

Aktuálně se poohlížím po náhradě za otřesnou krabičku od O2.

Děkuji,
Petr

Danny
Guest
Danny
6 years ago
Reply to  Petr

Nevím jak Ubiquiti funguje, řekl bych že má stejnou možnost, ale já mám od O2 ten jejich comtrend V2 u kterého mám vypnuté všechny funkce (funguje jen jako bridge) a vše ovládá microtik. Dříve jsem měl problém s výpadky jak LAN tak Wifi a někdy jsem se nemohl na Wifi vůbec připojit a teď vše jede bez problémů. Jediná nevýhoda je krabička navíc.

Petr
Guest
Petr
6 years ago
Reply to  Danny

@Danny Děkuji.

Pavel
6 years ago

Ubiquity VDSL modemy nedělá, ideální varianta je modem přepnout do bridge a PPPoE připojení vytáčet hlavním routerem/firewallem jak píše Danny.

Petr
Guest
Petr
6 years ago
Reply to  Pavel

Děkuji.

Elpaso
Guest
Elpaso
6 years ago

Panove,

k ubiquiti bych mel par poznamek nebo mi to doma bezi uz nejakej ten patek a znamejm/kamaradum na tom stavim i vetsi site pro zabavu 🙂

– na switch a router nepouzivejte “bilou” radu Unifi, pouzivejte Edgemax prvky. Unifi rada ma strasne omezene moznosti, uplne stupidni konfiguraci firewallu, jeste horsi je konfigurace VLAN na switchportech (neni mozna granularni konfigurace, kdy presne reknu ktera VLAN je netagovana a ktere dalsi chci tagovat)

– security GW nema l7 application firewall, takze je to spis takova SPI legrace (Sophos Xgen FW, free licence na doma je uplne jina liga)

– v pripade problemu neni mozne debugovat, protoze chybi poradne CLI na vsech komponentech site takze se desne spatne hleda jakykoli problem

– UnifiAP jsou skvele tam nema smysl resit cokoli jineho. Wifi funguje skutecne na 110% – obcas vidim v jedne sve implementaci i 800 aktivnich klientu pres 3-5 APecek

– Pro edgemax prvky se vyviji UNMS (bezi v dockeru), ktere zajisti centralni spravu a dokonce do nej bude mozne naintegrovat komplet Unifi controller

– kupovat unifi cloudkey ma smysl jen pokud chce clovek mit doma vic nez 4 SSID, coz je omezeni JAVA verze, ktera je free, funkcni a stabilni

– kamery jsou skvele a jejich JAVA based central SW funguje taky velmi dobre… kupovat od nich NVR je imho blbost

All and all – postavit si domaci sit celou na Unifi je imho pro netechnicke lidi 🙂 Byt to super vypada, appka na telefon je pekna, vsechno to ukazuje, funguje…. ALE…

elpaso
6 years ago
Reply to  L

ok, ok, ok 🙂

comment k cloudkey – ja mam doma full hyper-v cluster na iSCSI a mam proste VMko na kterem bezi unifi controller a camera controller (ale to uz je fakt na kazdem, souhlasim, ze za 2k je to uplne fpohode)

za me je asi fakt nejvetsi pruser ten firewall (mam doma 6 VLAN a dhromady cca 50 pravidel a toto si vubec nedovedu predstavit na USG spravovat) pokud ma nekdo super simplet sit a chce to primarne na monitoring tak je to asi ok…

btw – k monitoringu site pouzivate Loxone? Ja tam mam nandane veskere aktivni prvky vcetne xiomi loxone bridge, hue bridge a je to super

elpaso
6 years ago
Reply to  L

v loxonu je na to primo funkce, kam jen zadas IP a bud je to zelene nebo cervene 🙂

me to v porovnani s edgerouterem prijde desive… preddefinovana pravidla, co se neda smazat, kdyz resis DNAT tak on si sam vytvari zaznamy ve firewallu, ktere jsou opet locknuta…

SNAT to imho vubec neumi (ne kazdej to potrebuje)

hairpin-NAT tezko,za me absolutne nutna vec aby muj.loxone.cz fungoval na stejnem fqdn jak zevnitr tak zvenku na shodnem portu

na jakejkoli typ/cislo portu musis definovat skupinu a tu nasledne prirazovat do pravidla, coz v pripade rozmanitych _=hodne_ pravidel zacne byt naprostej maglajz

jestli to jde pres json netusim to jsem nezkoumal

elpaso
6 years ago
Reply to  L

ok, dej vedet 🙂

ten monitoring v loxonu funguje dobre… pouzivam to od zacatku a mam tam cca 20 IP na monitorovani

mmartin
Guest
5 years ago

za mne něco v jeden den nasadit a durhy den (ne-li ten samy) na to psat oslavne recenze je trochu mimo co rikate?

Coz takhle počkat par mesicu ci let, tak jako s turrisem, aby jste mohl hodnotit co vlastne bylo lepsi/spolehlivejsi.

Takto mozna nabantite hromadu lidi do neceho co se za par mesicu ukaze jako katastrofalni volba.

Jan Havlík
Guest
Jan Havlík
4 years ago

Dobrý den, děkuji za pěkný článek a ještě zajímavější diskuzi pod ním.
Měl jsem 2,5 roku Turris 1.1 , kterému přestaly postupně fungovat DNS a následně ho již nebylo možné nakonfigurovat ani po HW resetu. Support zpočátku reagoval (jediný člověk anonymní p.Josef), ale následně nebyl schopen přiznat, že router je vadný a že neexistuje cesta, jak ho mimo záruku opravit. Dokonce jsem jim routr osobně dovezl, ale vrátili mi ho ve stejném stavu. Support – tedy jediný pozáruční servis pak přestal úplně komunikovat i po několika urgencích.
Mám rovněž několik zařízení od Ubiquiti. AP fungují naprosto perfektně a mám vyzkoušenou i UNIFi řadu s USB key. Tam jsem narazil na problém, že instalovaný Controller nebyl schopen detekovat Unifi routr na 2 PC. Controller viděl routr až po instalaci na 3.PC. EDGE Max routr funguje přes 2 roky bez problému. Bohužel v poslední době začínám mít pocit, že od Ubiquiti odešel nějaký SW Guru, protože se občas objeví FW release do AP i EDGE jednotek, který obsahuje zásadní chyby a je následně stažen ze Support webu.
Síť, kterou mi kdysi routoval Turris, jsem nahradil Synology RT1900ac, který je z hlediska ovládání, o kterém se zmiňujete úplně jiná kategorie. Navíc perfektně supportovaná. RT1900ac již bohužel na trhu není, ale existuje výkonnější nástupce.

Jan Havlík
Guest
Jan Havlík
4 years ago

Ještě bych se chtěl na skok vrátit k Turrisu.
Měl 2 webové rozhraní, Foris a LuCI. Bylo velice nepříjemné, že některé funkce se v „advanced“ webové správě LuCI nedaly nastavit a muselo se jít do „basic“ Foris. Jednalo se o WAN a DNS.
Jak jsem se již zmiňoval – mému Turrisu přestaly postupně fungovat DNS tím způsobem, že někteří DHCP klienti se na webové stránky nedostali, i když měli konektivitu na internet. Pokud se na klientovi vypnulo přidělování DHCP, zadalo pevné GW a DNS třeba Googlu, vše fungovalo bez problému. V celé síti byla postižena jen určitá část klientů, ale zbytek fungoval bez problému. Tato „závada“ byla velice zákeřná, protože se objevovala po resetu Turrisu nahodile. Z tohoto chování jsem usoudil, že Turrisu odešly NAND flash paměti častými zápisy. Přičemž veškeré statistiky a podobně jsem měl od počátku odkloněny na připojenou externí Flash, aby k zatěžování NAND nedocházelo. V síti jsem měl cca do 150 klientů (včetně pevných IP)
Náhradou Turrisu za Synology jsem získal velký komfort z hlediska ovládání. Mimo jiné také propracovaný firewall, kde je možné odfiltrovat přístup na základě regionu.Takto je možné například zamezit přístup ruskojazyčným státům, které o několik řádů více atakují kamerový systém připojený k routeru, než ostatní státy jako je třeba Čína. Další nespornou výhodou Synology proti Turrisu jsou například balíčky Safe Access či Threat Prevention. Abych nemluvil jen o Synology, tak Ubiquiti nabízí své DPI / Traffic Analysis.
Při výběru zařízení, které chcete mít několik let bez problémů v síti je vždy dobré se porozhlédnout, co dotyčná firma doposud vyrobila, jaké má servisní zázemí a jakým způsobem funguje její support. Na základě těchto poznatků do projektu Linux „nadšenců“, kteří jsou sice schopni vyrobit kvalitní výrobek, ale už ho nejsou schopni dotahnout do konce a nestarají se o servis, již nikdy nevkročím.

24
0
Would love your thoughts, please comment.x
()
x