Ein paar arbeitsreiche Wochen (und ein Urlaub) sind rum und es ist Zeit ein kleines Resümee zur aktuellen Ubiquiti-Situation zu ziehen.
Eigentlich arbeite ich ganz gerne mit Access Points und Switches von Ubiquiti. Von Ersteren haben wir einige bei Kunden im Einsatz, von Zweiteren ein Paar. Die Vorteile liegen auf der Hand: Infrastruktur-Geräte vom gleichen Hersteller mit zentraler Verwaltung. Das sollte doch eigentlich rund laufen oder zumindest besser als wenn man unterschiedliche Hersteller im Mischbetrieb verwendet.
Leider ist dem nicht unbedingt so. Es scheitert seit langem an der Network Application (formerly known as UniFi Controller). Ich weiß gerade gar nicht wie lange der Hersteller schon an der neuen GUI feilt, aber es scheint eine Endlosbaustelle zu werden. Das alte Interface wird mittlerweile nicht mehr unterstützt, wenn gleich es nach wie vor vorhanden ist. Letzteres ist sogar gut so, denn wer beispielsweise mit Server-Eye die Network Application überwacht und einen Alarm über ein getrenntes Gerät erhält, hat scheinbar in der neuen GUI keine Möglichkeit, diesen Alarm zu archivieren bzw. zu löschen. Vielleicht habe ich es auch einfach noch nicht gefunden.
Wechselt man zwischen beiden Oberflächen hin und her fällt einem nicht nur die geänderte Optik auf, sondern vor allem das massig Optionen und Möglichkeiten fehlen. Schlimmer noch ist allerdings das Einstellungen entweder fehlen, deren Werte je nach Oberfläche andere oder plötzlich undefiniert sind, also zum Beispiel weder An noch Aus. Da weiß man dann gar nicht, was nun wirklich greift.
Vor kurzem war ich bei einem Kunden zu Gange um das WLAN zu optimieren, entsprechend der Best Practice sollte unter anderem Mesh deaktiviert werden, da alle Access Points verkabelt sind, eigentlich kein Ding. Eigentlich. Denn bei dem Versuch es abzuschalten erschien eine Meldung, das man einen Access Point noch aus dem Mesh entfernen sollte. Das Kuriose dabei war, diesen gab es bereits seit gut einem Jahr nicht mehr. Der genannte Access Point war defekt und wurde ordentlich aus der Network Application entfernt und an seine Stelle trat ein neues Gerät. Nach einem Update der Network Application wurde dann zunächst nicht mehr der nicht vorhandene Access Point mehr “angemeckert”, dafür allerdings ironischerweise ein Access Point der per Kabel verbunden ist. Nach ein paar Versuchen (sowie Zeit und Nerven) später klappte es dann.
Während ich mit dieser Baustelle zu Gange war, kam eine E-Mail von einem Kollegen Jan aus Köln (TECH-SUPPORT.KOELN, Grüße an dieser Stelle) rein, mit der Warnung die Network Application nicht zu aktualisieren da sich die Art und Weise wie VLAN zugewiesen und ggf. gefiltert werden ändert. Scheinbar migriert Ubiquiti von Portprofile zwangsweise auf
Traffic Restriction, was zum einen weniger flexibel ist als bisher und zum anderen unfreiwillig mitunter VLANs auf Ports zulässt, die man da gar nicht haben möchte. Mitunter stimmt(e) dann wohl auch die Darstellung nicht, wo jetzt welche VLANs zugelassen sind oder eben nicht.
Um Jan an dieser Stelle zu zitieren: “Und grundsätzlich sollte die Entscheidung, ob Portprofile auf Traffic Restriction migriert wird,
ja wohl bei mir liegen und nicht ungefragt bei UniFi.”
Das sehe ich genauso, solche Überraschungen braucht man nicht. Weiter schreibt Jan:
“Wenn SFP+ Module aber nur im 1Gbe Modus funktionieren und nicht im Automatischen Modus,
kann ich für diese Ports keine Portprofile mehr verwenden, sondern muss über Traffic Restrictions gehen.
In größeren Umgebungen führt das zu richtigem Frust und Mehraufwand. Oder ich muss ein extra Port Profil für solche Probleme erstellen.
Ich sehe den Mehrwert und Sinn von Traffic Restrictions einfach nicht. Die Portprofile
waren doch viel effizienter zu verwalten und zuzuweisen 🙁
Hinzu kommt das ich die UDM und den Switch resetten musste, damit die SFP+ Module im 10G Modus
funktionierten. Der UniFi Support kam bis heute nicht auf die Idee. Das deutschsprachige UniFi Forum hat mich darauf gebracht.”
Man möchte ja nicht solche Sprüche bemühen wie “Früher war alles besser”, in Teilen stimmt das manchmal dennoch.
Nach den bereits genannten “Shows” ging dann der Zirkus bei mir weiter:
Ein paar Tage später sollte ein weiterer Access Point zu einem bestehenden Netz hinzugefügt werden, aber dieser erschien einfach nicht in der Network Application zum einbinden. Das Gerät an sich war im Netz auffindbar, es erhielt per DHCP eine IP-Adresse und per ssh konnte man sich verbinden, das Zurücksetzen auf Werkseinstellung oder manuelle Auslösen der Einbindung halfen nicht.
Letztlich führte erst die Kombination aus Updaten der Network Application und Deaktivieren der Firewall (obwohl die Ports freigegeben und laut Log kein Treffer vorhanden war) dazu, das dieser Access Point (endlich) angezeigt und eingebunden wurde.
Nicht das hier ein falscher Eindruck entsteht: In der Regel sind alle Geräte und die Network Application auf dem aktuellen Stand. Das neueste Update der Network Application war bislang noch nicht überall ausgerollt. Wie man der Warnung von Jan entnehmen kann war/ist das durchaus gut so.
Das mal etwas schief laufen kann bleibt nicht aus. Die Technik ist komplex und ein Hersteller kann nicht jedes mögliche Szenario im Lab nachbilden. Aber die Summe der Schwierigkeiten, es ist ja nicht das erste Mal das etwas nicht bei Ubiquiti rund läuft, und die Endlos-Baustelle Network Application vermiesen einem den Spaß an der Arbeit.
Das man letztlich es fast immer irgendwie lösen kann ist ein schwacher Trost wenn zuvor viel Zeit und Nerven investiert werden (müssen). Vielleicht wird es doch langsam Zeit mal nach einer Alternative Ausschau zu halten. Jan und ich haben da bereits etwas ins Auge gefasst, eine Anfrage zwecks Teststellung ist bereits raus.
Was habt ihr denn so alles im Einsatz? Einfach eure Meinungen, Erfahrungen, Tipps & Tricks in die Kommentare schreiben.
Update 26.07.2023
Was mir noch eingefallen ist:
Im Legacy Interface hat man immer eine Benachrichtigung angezeigt bekommen, wenn eine Aktualisierung zur Verfügung stand, in der neuen GUI ist das wohl nicht mehr der Fall, ich habe da zumindest noch keine gesehen.
Ein ebenfalls ewig langes Ärgernis ist die nicht richtig funktionierende E-Mail-Alarmierung. Bei all meinen Installationen funktioniert zwar grundsätzlich der E-Mail-Versand und beispielsweise das eine Nachricht verschickt wird wenn man sich anmeldet oder ein Access Point ein Update erhalten hat, aber das ein Gerät getrennt (z.B. wenn ein Site-to-Site-VPN abbricht) wurde haut nicht hin. Der Alarm ist zwar im Legacy Interface sichtbar, es kommt aber keine E-Mail.
Update 09.10.2023
Heute eine weitere Kuriosität erlebt: In der Network Application meldete ein UAP-AC-Lite das er nur mit 100 Mbit/s verbunden wäre, der Switch wiederum meldete für den Port allerdings 1 Gbit/s (so wie es sein sollte). Die Lösung war dann recht einfach: Mal kurz das Netzwerkkabel zwischen Switch und PoE-Injektor abgezogen, einen Moment gewartet und wieder verbunden, siehe da, wieder Full Speed. Wohlgemerkt: Es wurde weder der PoE-Injektor, noch der AP als solches neu gestartet.
Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.
Artikel (RSS)
XING
Hallo Andy, welche Best-Practice Einstellungen kennst du denn? Gruss und danke
Hallo Matthias,
das kommt ganz auf die Kunden-Umgebung drauf an, es gibt ein paar generelle Punkte und dann eben je nach Anforderung, Bausubstanz, usw. Ein Beitrag dazu ist bereits seit längerer Zeit in Arbeit.
Ein Teil der Best Practice ist, wenn Mesh nicht benötigt wird (wenn alle APs verkabelt sind), dann dieses abzuschalten.
Ich hab’ da schon öfters positive Effekte mit erzielt.
Zyxel mit ZyxelNebula als Management Oberfläche ….
Wir hatten auch überlegt Ubiquiti zu nutzen, damals gabs aber nur die AccessPoints …
Ist viell etwas teurer aber funktioniert bestens, mit sub kann man auch die Firmware Updates planen
Habs bis heute nicht bereut (Obwohl Nebula damals auch in Kinderschuhen war)
Hi Andy,
erstmal danke fürs Teilen von Tipps und Erfahrungen.
Könntest du “Ein Teil der Best Practice ist, wenn Mesh nicht benötigt wird (wenn alle APs verkabelt sind), dann dieses abzuschalten.” etwas näher ausführen? Wir meshen auch verkabelte APs, und haben bisher eher gute Erfahrungen damit gemacht. Wie ist deine Vorgehensweise?
Hallo Dirk,
mit aktivem Mesh bei verkabelten APs hatte ich beispielsweise das Phänomen, das manche APs sich nur per Mesh verbunden haben, statt via Kabel, ferner gab es Clients die nicht so recht wollten (wie sie sollten).
Hinzu kamen Performance-Probleme, welche primär im Bereich Streaming (von IP-Cams beispielsweise) aufgefallen ist.
welche APs nutzt ihr denn?
AP Pro und Lite, sowie bei neueren Installationen die Gleichen nur als U6.
Die habe ich auch im Einsatz. Können die überhaupt Mesh? Ich dachte das können nur die Mesh Modelle von UniFi und es wäre egal, was man im Controller einstellt bei den Pro.
Scheinbar schon. Hatte Mal APs die nur via Mesh verbunden waren.
Ich nutze sowohl privat als auch in der Firma Unifi und ich bin inzwischen auch nicht mehr besonders begeistert davon.
Das grauenhafte Gebastele am Controller habe ich bisher immer hingenommen und stelle meist auf die alte UI um, da in der neuen einfach Funktionen fehlen oder schlicht kaum noch zu finden sind. Lustigerweise hatte ich neulich das Problem, dass ich ein Netzwerk in VLAN only ändern wollte. Ging nicht, da im Netzwerk noch ein Gerät mit fester IP per DHCP vorhanden sei. Ja, ne. Da war nix… Nach Umstellen auf alte UI kam es dann doch zu Tage.
Anderes Erlebnis: bei der Migration des Controllers hat es mir daheim das ganze Netzwerk zerbröselt. Etliche Versuche, das zu retten schlugen fehl. Schlussendlich habe ich das Netzwerk quasi neu angelernt. Ein Gerät nach dem anderen konnte ich dann doch wieder einbinden. Nervig, aber bei insgesamt 6 oder 7 Geräten möglich.
Passiert mir so ein Mist in der Firma mit 50+ Geräten, dann kündige ich 😀
Der Controller ist ja echt nett, so lange alles läuft, aber in jüngerer Vergangenheit häufen sich bei mir die Probleme. Unifi Switche würde ich definitiv nicht mehr einsetzen. Bei den APs fehlt mir Erfahrung mit Alternativen im gleichen Preisbereich. Wenn ein AP 500 € kosten soll, ist das im KMU für mich halt keine Alternative.
Ich teste gerade eine mögliche Alternative, ein bisschen Geduld noch, dann gibt es einen Beitrag dazu.
Zu den Switchen habe ich die letzte Zeit auch verschiedenes gehört wie ausfallende Netzteile oder defekte Switche an sich.
Da war teils noch innerhalb der Garantie, teils kurz nach der Inbetriebnahme, manche erst ein paar Monate alt, selten nach der Garantie.
Das mag womöglich ein Chargen-Problem sein, dann wäre es allerdings ein relativ großer Zufall, da mir die Probleme von verschiedenen Stellen zugetragen wurden.
Moin Moin.
Ja ja, die schöne neue GUI. Ich verstehe auch nicht was das soll. Ich persönlich bin ein Fan vom Legacy Interface.
Gerade erst vor ein paar Wochen ist mir ein Riesen Patzer der neuen GUI aufgefallen.
Wir habe einen “Hosted” Cloud Key mit weit über Hundert Geräten darauf und Zig Kunden.
Jeder Kunde bekommt eine oder mehrere eigene “Site´s”. Hierbei kommt es auch mal vor das ein Kunde gerne selbst an den Einstellungen bastelt oder einfach nur sehen will was in seinem Netzwerk los ist. Also wurde bisher über das alte Interface auf der entsprechenden Site ein eigener Account geschaltet der auch nur die Berechtigung auf diese eine Site hatte. Hat alles wunderbar funktioniert. Bis beim letzten mal die Neue Gui dafür genutzt wurde. Leider fehlt hier der Punkt das der neue User nur den Zugriff auf die eine Site hat. Leider ist das erst zu spät aufgefallen. Auf einmal konnte der User sämtliche anderen Site´s (Kunden) sehen. Und das schlimme dabei war das der User händisch aus jeder einzelnen Site gelöscht werden musste. Zum Vergleich habe ich nochmals einen Test User angelegt da ich vermutete einen Fehler gemacht zu haben. Aber wieder das gleiche. Und wieder aus allen Site´s löschen. Danach einen weiteren Test User im Legacy Interface angelegt und siehe da, die Berechtigung für diese eine Site vergeben und es hat wie gewohnt funktioniert. Das ganze hat mich derart gestört das ich zum ersten mal wirklich darüber nachgedacht habe eine weitere Marke bei uns zu etablieren. Aber was will man nehmen? TP-Link Omada? Sieht für mich nach einem dreisten Clone vom Unifi System aus. Dann kann ich gleich beim Original bleiben. Außerdem bekommen die Geräte “nur” zwischen 2-4 Firmware Updates oder es werden gar 4 verschiedene Rev´s hergestellt.
Cisco? Kompliziert für die meisten (und da schließe ich mich mit ein) und teuer. Meraki? Keine Erfahrung mit den Produkten, aber soweit ich weiß ein Abkömmling von Cisco?
Ruckus mit der Unleashed Serie? Einige von verbaut und halten sich bis jetzt ganz gut, aber preislich auch eher von der teureren Sorte. Hoffen wir einfach mal das Ubiquiti das ganze noch in den Griff bekommt. Vielleicht einfach mal weniger Werbespots drehen und besser programmieren (wobei die beiden neuen Spots ganz lustig sind 😉 )
Die Liste an “Schwierigkeiten” wird immer länger wie mir scheint, da fragt man sich, wann und wie Ubiquiti das alles noch mal abarbeiten möchte.
> Aber was will man nehmen? TP-Link Omada?
Ist eine Überlegung, habe so einen Controller vor kurzem installiert, hab’ allerdings noch keine Geräte dafür (bin da noch dran).
Ansonsten mit Cisco, Ruckus und Co. schließe ich mich dir an.
Ein “Gut & günstig”-Argument wollte ich nicht unbedingt vorbringen, aber halt im KMU-Segment bezahlbar, leicht zu bedienen und vor allem sollte es funktionieren wäre halt wünschenswert.
Ich habe kürzlich auch einen UniFi-Switch Super-Gau erlebt.
Bei einem Kunden dessen gesamte Netzinfrastruktur aus UniFi-Geräten besteht, sind regelmäßig morgens einige Switche ausgestiegen und blieben auch nach Neustart/Reboot des UDM mit “Adoption failed” hängen. Einige kamen wieder online, andere nicht, in verschiedenen Konstellationen – und das jeden Tag. Nach ein paar fieberhaften Tagen voller gescheiterter Wiederbelebungsversuche hatte der Kunde die Nase voll.
Das Ende vom Lied: 12 Switches in einer Nacht-und-Nebel-Aktion gegen TP-Link’s und die UDM durch pfSense ersetzt. Um die APs und Kameras kümmert sich jetzt ein auf Windows laufender Controller.
Ahh…. wie gut sich das anfühlt, wenn der Schmerz nachläßt.
Wie sich TP-Link’s Omada schlägt würde mich auch interessieren, denn in größeren/komplexeren Umgebungen ist die Verwaltung so vieler Geräte im Einzel-Webinterface-Modus ebenso aufwendig wie unübersichtlich.