Ubiquiti Unifi – Rückblick & Cloud Key

In meinem Post über meine Umstellung zu Hause sind nun rund zwei Monate vergangen und ich möchte ein wenig die Erfahrung wiedergeben.

Seit den Setup aller Komponenten lief die Infrastruktur einwandfrei. Im Gegensatz zu früher war nie ein Neustart der Firewall oder dem Access Point notwendig geworden. Kurzum ich bin zufrieden.

Einzig der Controller auf dem Windows-System nervte mich irgendwann, da das Update-Prozedere durch die Installation im Benutzerprofil doch eher mühsam war. Daher habe ich mich dann doch dazu entschieden den Cloud Key zu erwerben. Der Cloud Key ist ein ca. 15x5x2cm grosses Gerät, welches an einen PoE Port am Switch angeschlossen wird. Auf dem Cloud Key wiederum läuft dann dediziert der Unifi Controller. Die Migration vom Windows Unifi Controller hin zum Cloud Key war dann dank dem KB Artikel zur Site Migration eine Sache von rund 15 Minuten.

So ein Post soll ja nicht nur ein Produkt beweihräuchern, sondern auch kritische Punkte aufzeigen.

Das erste war bei mir das WLAN. Die erste SSID war konfiguriert für 2,4 und 5 GHz mit der Option, dass wenn möglich 5GHz forciert werden soll. Leider konnte mein Mobilephone damit nicht sauber umgehen und verblieb auf dem 2,4GHz Band, sobald das 5GHz einmal zu schwach war. Ich habe nicht lange zur Suche investiert sondern habe eine weitere von 4 möglichen SSIDs erstellt und nun gibt es zwei SSIDs für zwei verschiedene Frequenzbänder. So funktioniert es bisher tadellos.

Auffallend ist die Wärmeentwicklung der Geräte. Klar sie sind lüfterlos, dennoch oder genau deswegen werden sie recht heiss – sind dafür leise. Gemäss einem Arbeitskollegen könnte man dies bei den Switches mittels Wandmontage optimieren, was bei mir aktuell nicht der Fall ist. Dem werde ich weiter nachgehen – Vorschläge sind gerne Willkommen. :-)

Last but not least die Status LEDs. Was in Büros kaum auffällt, merkt man zu Hause umso mehr. Die Geräte haben blaue Status LEDs die den Betrieb anzeigen. Tagsüber kaum sichtbar, sind diese in der Nacht doch sehr hell. Ich habe mich hier entschieden, diese zu deaktivieren. Dies kann man entweder pro Gerät entscheiden, oder direkt in den Einstellungen der Site für alle Geräte deaktivieren, wie ich es auch gemacht habe.

Dies war ein kleiner Rückblick der letzten zwei Monate. Schauen wir einmal was die nächsten Monate evtl. noch für Neuerungen bringen.

Ubiquiti Unifi – eine saubere Netzwerkgeschichte

Lange Zeit war es still in diesem Blog. Dies lag oder liegt vor allem daran, dass ich vermehrt an der Endkunden-Front unterwegs bin und somit weniger Zeit finde zum Schreiben.
Vor gut zwei Wochen verabschiedete sich meine gut siebenjährige ZyWALL in den ewigen Elektronenhimmel und es musste Ersatz her. Ich war mit meinem Heimnetz, welches auch ein Testnetzwerk und Wifi umfasst noch nicht wirklich warm geworden. Ein Arbeitskollege musste wegen eines Brandfalles sein komplettes Netzwerk ersetzen und schwärmte dabei von Ubiquiti. Ubiwas?

Die Firma Ubiquiti Networks wurde 2005 mit lediglich einer Vision und einem Kapital von 30’000USD gegründet. 2010 brachte die Firma die Unifi Serie heraus, mit welcher ich mich nun auch befasst habe. Innerhalb dieser Serie gibt es eine Unmenge an Switches, Access Points und sonstigem Netzwerkkram, was es schon zu Hauf auf dem Markt gibt, notabene auch günstiger.
Was macht diese Unifi Geräte nun so besonders? An der Hardware wird es kaum liegen, denn Design ist Geschmackssache und über Geschmäcker lässt sich streiten. Also muss es an der Software liegen. Verbindet man sich dann aber z.B. mit einem Switch stellt man fest, dass dieser nur über eine CLI Oberfläche verfügt. Warum soll man sich das nun also antun?

Der grösste Vorteil an diesen Geräten ist, dass man dazu gratis eine Controller-Software herunterladen kann. Diese ist für Windows, MAC oder Linux erhältlich. Letztere auch als eigenständiges Produkt, dem Cloud-Key. Dieses USB-Device kann man an einen der PoE Switche anschliessen und die Controller Software läuft dann auf diesem autonom.
Ich habe den Controller aktuell auf einem Windows System installiert. Nach der Konfiguration müsste der Controller theoretisch nicht mehr laufen, er bietet jedoch ein paar nette Funktionen an wie z.B. ein Gast-WLAN inkl. Anmeldeportal.

Welche Komponenten habe ich nun aus welchem Grund für mein Heimnetz angeschafft, obwohl nur die Firewall zu ersetzen gewesen wäre?

UniFi® Security Gateway (USG)
Wie es der „Gateway“ im Namen schon sagt, ist dies der Zugang ins Internet. Der USG ist einerseits ein Router mit den üblichen Funktionen Routing, DHCP Server, Firewall etc. bildet jedoch auch ein Kern im Aufbau des Unifi Netzwerkes. Das komplizierteste an der Konfiguration war hier, dass ich nicht das Standard Subnetz 192.168.1.0/24 verwenden wollte. In diesem Fall muss der Controller vorher aufgesetzt werden (war meiner bereits) und die USG über CLI mit einer IP im definierten Subnetz konfiguriert werden. Die Beschreibung ist hier zu finden:
https://help.ubnt.com/hc/en-us/articles/236281367-UniFi-How-to-Adopt-a-USG-into-an-Existing-Network
Dies wäre theoretisch das einzige Gerät, welches ich nach dem Ausfall meiner Firewall benötigt hätte. Das Routing etc. macht der USG auch ohne Probleme, jedoch ist im Bereich Firewall noch Entwicklungspotential. Für den Heimbereich und auch in kleineren Firmen absolut brauchbar. Wer jedoch komplexe Firewallregeln, Policy Based Routing, QoS etc. benötigt sollte vorerst ein anderes Gerät wählen.

UniFi® Switch 8-60W
Ich hätte auch meine bisherigen kleinen Netgear Switche im Einsatz behalten können, jedoch haben mich diese „gemanagten“ Switche in Sachen VLAN entäuscht. Daher habe ich alle für mich relevanten Switche durch das genannte Modell ersetzt. Wegen dem Access Point und dem VoIP Telefon wählte ich ein PoE Modell. Im Büro hätte es auch eines ohne PoE getan, jedoch war der Preisunterschied minimal. Dieser 8-Port-Switch bietet nun 8 verwaltbare Gbit-Ports, wobei vier Ports PoE fähig sind bis zu einer Maximal-Leistung von 60W. Ich habe mir auch den 16-Port Switch angeschaut, jedoch war der teurer wie zwei der kleinen.

UniFi® AP AC PRO
Der Access Point (AP) der PRO Serie sollte meinen kleinen ZyXEL AP ersetzen, welcher wie die ZyWALL schon in die Jahre gekommen ist. Von Ubiquiti gäbe es noch günstigere APs jedoch habe ich mich aus folgenden Gründen für diesen entschieden:
– Dualband (2,4/5GHz) fähig
– VLAN fähig (nicht nur auf dem Papier)
– mehrere unabhängige SSIDs aufschaltbar (max. 4)
– Gäste WLAN fähig
Basierend auf den genannten Punkten sind bei mir nun auch ein produktives WLAN und ein WLAN für Gäste konfiguriert. Zweiteres ist auf einem definierten Gäste-VLAN, welches auch nur den Internet-Zugang zulässt. Als kleines Schmankerl muss ein Benutzer des Gäste-WLANs sich auch mittels separatem Passwort auf einer Portalseite anmelden, wie man es auch aus Hotels kennt.

Anmerkung
Es ist anzumerken, dass jede Geräteklasse für sich angeschafft und betrieben werden kann. Im Verbund jedoch da zeigen sie ihre Stärke. Wenn z.B. ein neues Netzwerk (VLAN) inkl. DHCP Server benötigt wird, wird dieses im Kontroller angelegt, den Switches/Ports und ggf. WLAN zugewiesen und ausgerollt. Anschliessend sind alle Geräte im Verbund fix fertig konfiguriert und es kann gearbeitet werden. Wenn man im Vergleich dazu erst das VLAN erstellen, die einzelnen Switches/Ports konfigurieren muss, dann hat man je nach Netzwerkgrösse ein arbeitsreiches Wochenende vor sich…

Resumee
Nach nun rund zwei Wochen im Betrieb bin ich noch voll zufrieden. Alles in allem eine vollwertige Lösung, die an der einen oder anderen Ecke noch Verbesserungspotential hat:
+ mehrheitlich intuitive Controller-Software (für IT Leute)
+ einfache Konfiguration
+ auf einander abgestimmte Komponenten
+ Preis/Leistung
– sehr rudimentäre Firewall
– Installation der Controller-Software im Benutzerprofil statt System

WordPress Sicherheit erhöhen

WordPress liefert von Haus aus schon eine relativ gute Sicherheit.

Neulich bin ich durch einen Newsletter auf ein Plugin aufmerksam gemacht worden, welches die Sicherheit noch ein wenig erhöht.

Das Plugin All In One WP Security & Firewall bietet diverse Funktionen um den eigenen Blog besser abzusichern. Die Funktionen reichen von einem automatischen DB Backup, über einen Schutz vor Brute Force Attacken, einer Firewall und vieles mehr…

Als nette Funktion sei noch erwähnt, dass die Übersicht vom Plugin uns auch ein Rating der Seite bietet, also ein Indikator, ob man noch mehr Zeit in die Sicherheit investieren sollte, oder ob es soweit passt.

Ich habe das Plugin mittlerweile bei allen von mir verwalteten WordPress Blogs implementiert und der Aufwand beläuft sich auf 15-30 Minuten.

PRTG – SNMP Konfiguration

Die im letzten Beitrag vorgestellten Monitoring-Software PRTG von Paessler kann auf diverse Arten die Umgebung überwachen: Ping, WMI und natürlich auch SNMP. Mit WMI lässt sich zwar im Windows Umfeld viel Abfragen, jedoch geht dies zu Lasten der Leistung sowie die Zuverlässigkeit ist auch nicht immer gegeben. Schnell und zuverlässig hingegen funktioniert SNMP.
In diesem Artikel möchte ich kurz aufzeigen, wie dies im PRTG, Windows und div. anderen Produkten konfiguriert wird.

weiterlesenPRTG – SNMP Konfiguration

PRTG – Professionelles Monitoring zum vernünftigen Preis

Immer wieder wurde ich von meinen Kursteilnehmern gefragt, welche Monitoring-Lösung ich verwenden würde. Bisher waren mir Produkte wie SCOM, Nagios etc. bekannt. Seit meinem Arbeitgeberwechsel durfte ich ein neues Produkt kennenlernen.

PRTG von Paessler ist ein intuitives Monitoring-Programm, welches schnell zu erlernen ist. Gerne werde ich in Zukunft auch öfter über Konfigurationen hier schreiben.

weiterlesenPRTG – Professionelles Monitoring zum vernünftigen Preis

SMTP Relay mit Exchange 2016 und NetScaler einrichten

Ich bin mich wieder frisch am Einarbeiten in das Thema Exchange.

Das Grundsetup mit Exchange 2016 habe ich recht schnell hingekriegt und auch den externen Zugang via NetScaler war dank eines Skriptes von meinem Kollegen einfach hergestellt. Nun wollte ich jedoch noch für div. Dienste einen einfachen internen SMTP Relay Server erstellen.

Eine erste Anleitung dazu fand ich dann relativ schnell bei Paul Cunningham (Link).

Leider funktionierte dies nicht ganz so im Web GUI. Der Grund lag einfach gesagt an einem Bug von Microsoft und die Lösung war Powershell. Die Anleitung dazu fand ich dann bei Jeff Guillet (Link).

Nun funktionierte mein SMTP Relay zwar wenn ich den Exchange Server direkt ansteuerte, jedoch nicht via NetScaler. Und dies wollte ich dann auch noch lösen:

weiterlesenSMTP Relay mit Exchange 2016 und NetScaler einrichten

Sharefile StorageZone TLS Fehler

Nachdem die SAML Authentifizierung funktionierte, wollte ich die StorageZones konfigurieren.

Der erste Versuch mit der Restricted SZ scheiterte, bzw. mein Kollege riet aus div. Gründen davon ab, so dass ich diese nochmals ohne Restriktion einrichtete.
Diesmal lief es auch besser, nur wollte es noch immer nicht mit dem Upload der Daten funktionieren.

Wieder einmal über den Blog von Jason Samuel fand ich den richtigen Input: Link

Mit dem erwähnten Tool IIS Crypto konnte ich die Einstellungen vornehmen (TLS 1.2 deaktivieren) und entsprechend erfolgreich testen:

Quelle: Jason Samuel

Skript: NS-Sharefile

Sharefile SAML mit NetScaler Unified Gateway

In meiner kleinen Demo-/Testumgebung wollte ich Sharefile mit SAML Authentifizierung mittels NetScaler Unified Gateway einrichten.

Ich fand schnell eine brauchbare Anleitung im Blog von Jason Samuel (Link)

Anders wie in seinem Artikel beschrieben verwende ich keinen AAA vServer sondern die Authentifizierung findet an einem NetScaler Gateway vServer statt.
Zu beginn scheiterte ich jedoch kläglich im Test, bis ich mit meinem Kollegen auf eine Stolperfalle in der Sharefile Control Plane gestossen bin.
Nachdem alle Einstellungen vorgenommen und gespeichert wurden, darf man nicht mehr auf „SAVE“ klicken, da sonst das SP Zertifikat neu generiert wird:

Weiter sollte man die Web-Authentifizierung deaktivieren, da sonst in den Plugins die Webseite aufgebaut wird, anstelle der Plugin-Funktion.

Um das eigene SAML Zertifikat nicht zu oft aktualisieren zu müssen, kann das IDP (x.509) Zertifkat auch von einer internen CA mit längerer Dauer ausgestellt worden sein und muss nicht zwingend mit dem FQDN des IDP übereinstimmen:

Quelle: www.jasonsamuel.com

Skript: NS-Sharefile

XenDesktop 7.12 – und der Local Host Cache ist zurück

Hallo zusammen

Heute (07.12.16) ist die neue Version von XenApp/XenDesktop erschienen. Nebst vielen Neuerungen welche ihr hier nachlesen könnt, kam der Local Host Cache (LHC) zurück.

Mit diesem ist es nun wieder wie vor der Ära von Version 7.x möglich, dass der Betrieb einer XA/XD Umgebung weiterläuft, auch wenn die Verbindung zum SQL Server fehlschlägt. Im Gegensatz zum alten LHC, welcher von jedem XenApp Server lokal verwaltet (Access DB) und direkt angesteuert wurde, läuft der neue LHC in einer kleinen SQL Instanz (Local DB) und bei einem Ausfall des SQL Servers wird eine Instanz bestimmt, auf welche sich alle Controller verbinden. Da die verschiedenen LHC von den jeweiligen CCS parallel zum eigentlichen Betrieb aktuell gehalten werden, soll diese neue Variante auch einiges stabiler sein als der alte LHC.

Die Local DB ist bei einer Neuinstallation von XA/XD 7.12 standardmässig aktiv.

Bei einem Upgrade einer älteren Installation wo das Connection Leasing aktiv war, muss dieses noch deaktiviert und der LHC aktiviert werden:

Mehr und detailliertere Informationen findet ihr in den Docs.

Viel Spass beim Erfahrungen sammeln :-)

NetScaler Customizing in mehreren Sprachen

Seit NetScaler 11.x ist das Customizing der Anmeldeseite vom NetScaler Gateway richtig komfortabel geworden.
Innerhalb des GUIs wird man Schritt für Schritt durch alle Punkte durchgelotst und man kann eine Sprache definieren um die Textfelder wunschgemäss anzupassen.

Was nun aber, wenn man damit rechnen muss/darf, dass Zugriffe mit verschiedenen Browsersprachen geschehen? Zum Beispiel in mehrsprachigen Ländern wie der Schweiz oder bei global tätigen Firmen? Oder auch was ist wenn man detailliertere Anpassungen tätigen will, als dass das GUI einem zur Verfügung stellt?

Diesen Fragen gehen wir nun ein wenig genauer auf den Punkt:

weiterlesenNetScaler Customizing in mehreren Sprachen

Advertisment ad adsense adlogger