Inhaltsverzeichnis
Im Auftaktartikel „What’s in my homelab?“ hieß es bereits: „Die Firewall ist das Herz jeder IT-Infrastruktur.“ Das Herz meines Homelabs ist die UniFi Dream Machine Pro (kurz: UDM Pro) von Ubiquiti.
Das ist die UniFi Dream Machine Pro.
In dem nur 1HE-hohen grau-rauen Gehäuse werden diverse Hard- und Softwareprodukte vereint: Firewall (vgl. Security Gateway), Netzwerkcontroller (vgl. Cloud Key) und einen 9-fach RJ45-Gigabit- und 2-fach 10-Gigabit (SFP+) Switch, wobei mindestens ein Port für den Zugang ins Internet abgezogen werden muss. Mangels Hardware und Bedarf meinerseits lässt dieser Blog-Artikel die UniFi-Applications Protect, Access, Talk, Connect und UID außen vor.
Was die UDM Pro nicht ist.
Um keine falsche Erwartungen zu wecken, ist es wichtig zu wissen, was die UDM Pro nicht ist. In Gebäuden mit einem handelsüblichen DSL- oder Kabelanschluss wird noch ein Modem, ein oder mehrere WLAN-Access Point sowie optional ein PoE(+)-Switch benötigt. Wer eine integrierte WLAN-Funktion wünscht, muss zum UniFi Dream Router (kurz: UDR) mit 2-fach PoE greifen. Wer auf WLAN verzichten kann, aber eine PoE(+)-Funktionalität braucht, muss auf die UDM Special Edition (kurt: UDM SE) upgraden.
Nach knapp eineinhalbjähriger Benutzung löste die UDM Pro mein Security Gateway ab. Das hatte mehrere Gründe. Am ausschlaggebendsten war die Tatsache, dass bei aktiviertem Intrusion Detection System (IDS) oder Intrusion Prevention System (IPS) der Datendurchsatz auf 85Mbit/s limitiert ist; bei der UDM Pro sind es 3,5 Gbit/s. Außerdem hätte ich auf dem Security Gateway keinen OpenVPN- oder sogar mehrere WireGuard-Server einrichten können.
Netzwerkadministration via App.
Wer eine UDM Pro kauft, tut das aus zwei Gründen: Der Wunsch nach mehr Netzwerksicherheit durch mehr Einstellungsmöglichkeiten, ohne von Anfang an ein tiefgründiges Wissen zu haben, um jedes Netzwerkgerät einzeln konfigurieren zu können dank Software-defined Networking (kurz: SDN). Wer es darauf anlegen möchte, kann die UDM Pro ausschließlich via App einrichten und administrieren. Allerdings ist der Funktionsumfang der UDM Pro via App drastisch eingeschränkt, sodass ich als Homelab-Enthusiast die App nicht empfehlen kann und in einer Unternehmensumgebung ausdrücklich davon abrate. Ein Kunde meldete WLAN-Probleme, die sich nur mittels Einstellungen über die Weboberfläche lösen ließen.
Apropos WLAN in einem UniFi-Setup: Der Netzwerkcontroller bzw. seine Access Points ist auf die Ausstrahlung von 4 SSIDs bei Band-Steering limitiert. Ob „nur“ vier SSIDs ein Nachteil sind, weißt du am besten; zumal sich das via der Pre-Shared-Key in den WLAN-Einstellungen teilweise umgehen lassen müsste.
Noch ein Absatz zur App: Die Einrichtung via App ist bequem und schnell erledigt. Allerdings wird bei der App-Einrichtung ein UI-Account angelegt und ohne die Einstellungen zu ändern, ist damit die Firewall – das Herz deiner IT-Infrastruktur – aus dem Internet erreichbar. Bedenke daher immer: Wenn du das kannst, können das mögliche Angreifer ebenso. Daher ist meine Dream Machine Pro von der UI-Cloud entkoppelt. Nachteil dessen ist, dass ich keine Beta-Versionen von UniFi OS installieren kann.
Wenn „einfach“ es komplizierter macht.
Die einfache Administration der UDM Pro kommt nicht ganz ohne Nachteile aus: Die Idee von VLANs ist, dass sich Netzwerkgeräte und ihr erzeugter Traffic besser separieren und durch Firewall-Regeln filtern lässt. Ubiquiti erfordert bei bereits erfahrenen Netzwerkadministratoren ein Umdenken, denn per default ist Inter-VLAN-Routing erlaubt. In der Firewall braucht es zunächst eine manuell angelegte Verbotsregel für alle privaten IP-Adressbereiche ehe dann die regulären Firewall-Regeln hinzukommen. Außerdem gibt es nur ein Regelwerk für alle LANs; Ausnahme IPv6 und die Gast-Schnittstellen.
Andere Firewall-Lösungen z.B. pfSense oder OPNsense können je Schnittstelle unterscheiden, sodass ein Rechner in LAN A etwas darf, das ihm in LAN B verwehrt bleibt. Hier haben mir die YouTube-Tutorials von Mactelecom Networks am zielführendsten weitergeholfen, auch wenn das YouTube-Video von Techno Tim in seinem spezifischen Anwendungsfall ausreichend ist.
WPA Enterprise und RADIUS-Authentifizierung: Business-Features im Test.
Auch wenn die UDM Pro bei so manchen nerdigen Heimanwendern zu finden ist, schätze ich die primäre Zielgruppe auf kleine und mittlere Unternehmen (KMU). Daher habe ich ebenso die eher Business-orientierten Features getestet. Angefangen mit WPA Enterprise, wobei zur Anmeldung in einem (W)LAN-Netzwerk eine Benutzername-Passwort-Kombination verlangt wird.
Diese Anmeldeinformationen sind zentral auf einem Radius-Server hinterlegt, sodass kompatible Anwendungen darauf zugreifen können und Mitarbeiter:innen einen Benutzername und ein Passwort für alle Anwendungen haben. Die UDM Pro kann einen Radius-Server bereitstellen oder – wie in meinem Setup – sich mit einem bestehenden Radius-Server verbinden. Zu meiner Überraschung kann für OpenVPN-Verbindungen zur UDM Pro auch auf diese Benutzerbasis zurückgegriffen werden. Umso enttäuschender, dass Radius-/ LDAP-Integration zur Anmeldung auf die UDM Pro selbst ein Feature ist, das monatlich wiederkehrende Kosten bedeuten würde.
HA-Cluster: Gut gedacht, noch nicht zu Ende gemacht.
Je nach Unternehmenstyp ist Redundanz ein Thema. Hier stellen sich Fragen wie: Ist es ein akutes Problem, wenn die Internetverbindung abbricht? oder Ist es ein akutes Problem, wenn die Hardware selbst einen Schaden hat? Für letzteres ist High Availability (kurz: HA, dt.: Hochverfügbarkeit) durch doppelte Hardware die Lösung. Bei UniFi heißt das Shadow Mode, doch zur richtigen Hochverfügbarkeit fehlt noch ein Entwicklungsschritt, der mit zukünftigen UniFi OS-Versionen nachgereicht werden soll. Bisher arbeitet Shadow Mode nach dem Hot-Standby-Prinzip. Heißt: Im Regelbetrieb halten sich beide Geräte ihre Konfiguration aktuell, doch bei Ausfall der primären Maschine muss das Ersatzgerät durch Umstecken des WAN-Signals und eingesetzter HDD manuell zur neuen primären Maschine gemacht werden.
WAN-Failover oder -Lastverteilung.
Wesentlich mehr Spaß hatte ich mit WAN-Failover (ugs.: Internetverbindung weg). Dabei muss ich so manche Video-Creator oder Foreneinträge korrigieren bzw. auf den aktuellen Stand bringen, denn die beiden WAN-Ports können beliebig zwischen Port 8, Port 9, SFP+ 1 und SFP+ 2 gesetzt werden. So müssen die 10G-Ports nicht für langsames Internet verschwendet werden oder können in Umgebungen mit besonders schneller Internetanbindung ganz bewusst auf die SFP+ Ports gelegt werden. Ich habe mich für ein WAN-Failover via LTE entschieden; zur verwendeten Hardware siehe den Auftaktartikel „What’s in my homelab?“.
Statt Failover gibt es auch die Lastverteilung-Option. Dabei nutzt die UDM Pro beide WAN-Schnittstellen für höhere Geschwindigkeiten im Down- und Upload, doch hierfür ist ein LTE-Tarif mit massig Datenvolumen oder ein zweiter DSL-/ Kabelanschluss bei einem anderen Provider notwendig. Absolut begeistert wäre ich, wenn sich die vier potenziellen WAN-Ports auch gleichzeitig als WAN-Ports verwenden lassen würden. Für einen Test in Zusammenhang mit den Traffic Rules und weiterer Hardware hätte ich einen dritten WAN-Port sehr geschätzt.
Fazit und Alternativen zur UniFi Dream Machine Pro.
Günstig ist die UDM Pro keineswegs; hier lohnt sich ein Blick auf die Omada-Serie von TP-Link. Allerdings wiegt der Preis von 350€ bis 405€ weniger schwer, wenn man auflistet, welche Geräte die UDM Pro vereint. Wer bereits Ubiquiti-Hardware verwendet oder deren SDN-Software präferiert, aber gleichzeitig möglichst preiswert kaufen möchte, macht mit den neuesten Produkten – UXG-Lite oder UniFi Express – für ca. 140 Euro einen guten Deal. Wichtigster Unterschied ist, dass das UXG-Lite Gateway IDS sowie IPS unterstützt. Das kann das UniFi Express-Gateway nicht, doch dafür gibt es hier WLAN; sogar Wifi 6. Interessierte beider Produkte müssen sich noch gedulden, denn auf der Website für den europäischen Markt haben sie den Status sold-out (dt.: ausverkauft).
©️ Leon Ebersmann