Ubiquiti Edge Router

Wenn der normale DSL-Router nicht genug WLAN-Leistung hat, hat sicher schon mal was von Ubiquiti gehört oder gelesen. Ich nutze diese Geräte zuhause. Wer aber nun mehrere VLANs betreibt, muss ja auch Routen und eine Fritz!Box kann nun mal nur ein Haus-LAN und ein optimales Gäste-LAN. Weitere Subnetze oder gar VLANs auf einem Port sind nicht drin.

Aktuell ist dieser Router nicht mehr produktiv. Die einfachen Routing und Filter-Regeln hat nun ein TPLink T2600G-28TS übernommen., Das Setup ist auf IoT Router beschrieben

Ich habe schon zwei Ubiquiti WiFI-Access Points, die ich mit der Management Software verwalte und in PRTG eingebunden habe. Von Ubiquiti gibt es zum einen das passend eine "Unifi Secure Gateway" (USG), welches sich in diese Umgebung sogar in einer Managementoberfläche integriert wäre. . Aber parallel gibt es von Unify auch noch die EdgeRouter-Serie, deren kleinstes Modell mit 50€ gerade mal die Hälfte der kleinsten USG kostet. Ich habe mir meine Anforderungen angeschaut und das sich eigentlich mit etwas Routing und Portfilterung hinkommen.

Der kleine EdgeRouterX kostete 2017 gerade mal 50€, braucht max. 5 Wall aber schafft ca. 1 GBit "Routing"
https://www.ubnt.com/edgemax/edgerouter-x/ https://www.ubnt.com/edgemax/comparison/

Anforderung

Ich habe mich also auf die Suche nach eine "kleinen Firewall" gemacht, mit der ich in meinem Haus ein paar Zonen einrichten kann. Der Fernseher und WLAN-Mediaplayer sollen zwar die Mediaserver erreichen aber vielleicht nicht zu jeder Zeit jede Gegenstelle im Internet. Das gilt insbesondere für diverse IoT Geräte wie Wasseraufbereitung, Leckage-Melder und was zukünftig noch so alles "IP"-spricht. Mein WLAN basierend auf den Ubiquiti-Access Points hat dazu schon mehrere SSIDs bekommen, die nun aber richtig zusammen geschaltet werden sollen.

Vorher

Mein Netzwerk hat quasi begonnen, wie es in der Mehrzahl aller Haushalte aufgebaut ist. Ein DSL-Router stell intern ein Subnetz mit per DHCP vergebenem Adressen bereit. Alle Clients sind im LAN untereinander komplett erreichbar und auf der Fritz!-Box kann man einzelnen Geräten den Internet Zugang beschränken oder abgeben.

Aber nachdem meine Kinder größer wurden und sie wie selbstverständlich den WLAN-Schlüssel weiter gegeben haben, war es an der Zeit zu handeln.

VLANs mit Edge Router

Es sollte ein besserer Schutz her ohne die Ausfallwahrscheinlichkeit zu erhöhen. Ich werde also weitere Komponenten benötigen aber die "Core-Funktion" muss immer gewährleistet sein. Insofern habe ich mich für drei Netzwerke entschieden, von dem, vermutlich eher untypisch, das innere Netzwerk doch am weitesten "Vorne" steht. Das Default LAN (und auch VLAN) ist genau das bisherige Netzwerk, welches die Fritz!Box aufspannt und per DHCP versorgt. Das bleibt erst mal so nur dass ich hier zukünftig restriktiver mit dem Zugang umgehe.

Die drei VLANs sind natürlich ausbaufähig. Für den Anfang verbindet der Switch alle Endgerät und auch die WiFi-Access-Points. Da ich aktuell noch keine "verkabelten" Geräte habe, die im IoT-Netzwerk sein müssen, gibt es nur drei Switch-Ports, die neben den Default VLAN auch noch die beiden VLANs für Gäste und IOT bereitstellen. Die WLAN-AccessPoints können mehrere SSIDs anbieten und in entsprechende VLANs einbinden. Optional könnte ich sogar noch per 802.1x und einem Radius-Server eine Benutzerbezogene VLAN-Zuordnung einrichten. Radius kann auch von einer QNAP oder Synology bereitgestellt werden. Aber ich brauche natürlich einen "Router" zwischen den drei oder mehr VLANs, der auch filtern kann.

Ubiquiti EdgeRouter X

Zudem gibt es einen netten Vergleich der beiden Geräte auf YouTube.

USG vs. EdgeRouter
https://www.youtube.com/watch?v=XvWOx3PvYFM

So schön die weiteren aktivierten Funktionen im WLAN-Controller vielleicht wären, habe ich dennoch einen Versuch mit dem EdgeRouter X gestartet. Er kann sicher keine 5 Gigabit routen und als Switch habe ich ja meinen 24port Switch, der aber noch nicht nicht per SNMP zu managen ist. (Siehe auch PRTG TL-SG1024DE). Insofern ist es um so mehr erfreulich, dass selbst der 50€ EdgeRouter X schon SNMP unterstützt und damit direkt in PRTG eingebunden werden kann.

Die hier beschriebene Konfiguration ist zugleich auch Dokumentation für mich selbst. Ihre Werte werden natürlich abweichen und auch ich habe die Konfiguration nicht genau so aktiviert. Ich nutze z.B. auch nicht einen der Wizards zur Initialkonfiguration.

Die Erstkonfiguration ist etwas ungewöhnlich aber mit der Inbetriebnahme eines Audiocodes Gateway vergleichbar. Der Router hat erst einmal immer die 192.168.1.1 und man muss einen Client einfach in das Subnetz statisch einrichten um dann per Browser die Erstkonfiguration vorzunehmen. Das Standard-Kennwort (ubnt/ubnt) sollte man natürlich ändern. Einen Zugang per seriellen Port oder Console gibt es nicht. Exportieren Sie daher die Konfiguration. Ich hatte mich selbst einmal ausgesperrt und nach einem langen Druck auf den Reset-Taster durfte ich erst mal wieder von vorne beginnen. Dann ist gut, wen man seine Checkliste hat:

Aktion Erledigt

Initialkonfiguration

  • PC auf 192.168.1.2 statisch Einstellung und mit ETH0 verbinden
  • Browser auf https://192.168.1.1 gehen und mit ubnt/ubnt anmelden
  • Update der Firmware, wenn erforderlich
    Warum sollte man sich mit einer alten Firmware und deren Fehlern rumschlagen.
  • Dashboard - Users: User UBNT mit neuem Kennwort versehen
  • Dashboard - Switch 0 Konfiguration: IP-Adresse ändern und die Ethernet Ports aktivieren

    Hinweis: eben Sie die IP-Adresse gefolgt von der Subnetmaske an, z.B. 192.168.178.3/24. ETH0 bleibt erst mal unbelegt.
    Mit dem "Save" verlieren sie sofort die Verbindung
  • Umstecken
    Stecken Sie nun den Switch an das Haus-LAN

Der Switch kann nun unter der Adresse direkt angesprochen werden.

Globale Konfiguration

Unten links gibt es neben "Alerts" auch eine Karteikarte "System", über die ich allgemeine Einstellungen vornehme;

Dazu zählen:

  • Default Gateway (zur Fritz Box, z.B. 192.168.178.1)
    Leitwege lassen sich auch später beim Routing pflegen.
  • Nameserver:
    Ebenfalls die Fritz!Box (z.B. 192.168.178.1)
  • Syslog Server
    ich habe in meinem LAN eine Synology Diskstation, die auch SYSLOG-Meldungen annehmen kann
  • SNMP Agent
    SNMP wird bei mir aktiviert und mit einer eigenen Community versehen. Nach dem Speichern binde ich den Router direkt in meine PRTG-Installation ein.

VLANs anlegen

Ich brauche eigene VLANs für das Gäste-Netzwerk und die IOT-Geräte. Ich könnte nun jedes Netzwerk auf einen eigenen Ethernet-Anschluss legen. Da aber mein Switch auch VLANs beherrscht, habe ich einfach die neuen VLANs auf den "Switch" gebunden. Auf dem Dashboard werden die VLANs einfach addiert:

  • Anlegen VLAN für Gäste mit IP-Adresse
  • Anlegen VLAN für IOT mit IP-Adresse

Natürlich muss ich nun auf dem Switch, an den der EdgeRouter X angeschlossen ist, auch noch einstellen, dass auf dem Port die beiden VLANs als "TAGGED" mit übergeben werden.

Auch an den Ports mit den WiFi Access-Point sind die beiden VLANs als "tagged" mit durchzureichen.

DHCP-Services bereitstelle

Damit die Geräte in den beiden neuen VLANs auch IP-Adressen bekommen, richtige ich je einen DHCP-Service unter "Services" ein

  • DHCP-Bereich für Gäste einrichten
    z.B. 192.168.180.100-254 mit Gateway = 192.168.180.1
  • DHCP-Bereich für IoT einrichten, z.B. 192.168.181.100-254 mit Gateway = 192.168.181.1

Wenn sich nun ein Endgerät mit einem der beiden neuen SSIDs verbindet, dann sollte es eine IP-Adresse aus dem entsprechenden Subnetze bekommen.

Routing einrichten

Wenn das Default Gateway noch der DSL-Router ist, dann wissen die Clients im Office-LAN ja gar nicht, über welchen Router Sie zum IoT-LAN kommen. Einem "richtigen" DSL-Router könne man nun eine Route zu diesem Subnetz mitteilen. Bei der Fritz!Box ist dies auch möglich. Dummerweise weiß dann nur die Fritz!Box, wie dieses Subnetz zu erreichen ist. Ein Client im Office-LAN hingegen, der sein Paket an die Fritz!Box sendet, bekommt keinen ICMP-Redirect.

Hier bleiben also nur statische Routen auf den Systemen, die auch mit dem IoT-LAN kommunizieren müssen oder sie leiten das Default-Gateway auf einen richtigen Router der die Pakete dann zur Fritz!Box weiterreicht oder per ICMP-Redirect den Client zur Fritz"!Box verweist.

Weitere Einstellungen habe ich noch nicht vorgenommen.

Firewall Filter

Auf der Karteikarte "Firewall/NAT" befinden sich vier Utergruppen

ich werde mich im weiteren erste mal in der Karteikarte "Firewall Policies" bewegen. Mein EdgeRouter X ist aktuell nicht aus dem Internet erreichbar und auch die Dienste in dem IoT und Gast-Netz müssen nicht per "Reverse NAT" veröffentlicht werden. Aus meinem Haus-LAN mit PRTG kann ich einfach per Routing dorthin zugreifen, wenn es die Firewall-Regeln später erlauben. Auch die Karteikarte "NAT" entfällt, da der EdgeRouter X keine Pakete per NAT umsetzen muss. Er kann die Pakete der nachgelagerten Netzwerke IoT und Gast einfach per Routing weiter geben und der Fritz!Box die Arbeit überlassen. Die letzte Karte "Firewall/NAT Groups" erlaubt mir eigene "Gruppen" anzulegen (z.B. IP-Adressen, Ports etc.) die denn in den Regeln referenziert werden können. Ich kann also z.B. eine Adresse "PRTG" mit der IP-Adresse der PRTG-Servers anlegen und dann an mehreren Stellen verwenden. Ändert sich die IP-Addresse dieses Servers, dann muss ich nicht alle Regeln durchforsten und anpassen sondern nur einmal diese Vorlage.

Aber ohne Firewall-Regeln ist erst einmal alles erlaubt und das sollten wir möglichst schnell abstellen. Ich betrachte mir dazu die vier Zonen in meinem Bild:

Man sieht hier zwar, dass die IoT und Gäste "durch" das Hauslan müssen, aber nicht in das Haus-LAN. Als Besonderheit muss man halt sicherstellen, dass alle Gerät zumindest einen DNS-Server erreichen. Das kann der EdgeRouter X sein oder die Fritz!Box. Im letzten Fall wäre dann eine IP-Adresse im Haus-LAN doch erreichbar. Damit lässt sich quasi folgende Matrix aufstellen:

Von/Nach

Internet

Haus-LAN

IoT

Gäste

Internet

 

Nein

Nein

Nein

Haus-LAN

NAT

Gefiltert (PRTG, Apps etc.)

ICMP Only

IoT

NAT, ggfls. Filter auf Quell/ZielIP und Ports

Gefiltert, z.B. auf PRTG Only

Nein

Gäste

NAT, ggfls. Portlimits, Bandbreite Limit

Nein

Nein

 

Die komplette Konfiguration der Firewall-Regeln schreibe ich nicht nicht mehr weiter auf. Nur soweit eine kurze Einleitung:

  • RuleSets
    Auf der obersten Ebene gibt es eine Liste von "RuleSets", die eine Default Aktion haben. Diese greift, wenn keine der im Ruleset enthaltenen Rule zutrifft. Beim Ruleset wird zudem definiert, auf welchem Interface und welche Richtung dieses Set an Regeln genutzt wird
  • Richtung
    Bei der Pflege der Richtungen wird nach "IN" (eingehende Pakete nach dem DNAT, die zum Router geleitet werden), "OUT" (Ausgehende Pakete vom Router zum Zielinterface vor SNAT) und "LOCAL" (alle Pakete direkt an das Device ohne den Routingprozess zu durchlaufen). Vergessen Sie bei allen Regeln also nie auch eine Regeln an den EdgeRouter X zum Port 443, damit sie auch weiter administrieren können.
  • Rules
    In einem Rule-Set können mehrere Regeln hinterlegt werden. So können Sie verschiedene für eine Applikation erforderliche Freischaltungen durch mehrere Rules in einem RuleSet zusammenfassen.

Ubiquiti hat eine recht nette Anleitung für die Einrichtung geschrieben

User Guide
https://www.ubnt.com/downloads/guides/edgemax/EdgeOS_UG.pdf
https://www.ubnt.com/download/edgemax/edgerouter-x

Ubiquiti Networks EdgeRouter X Setup and Performance Review
https://www.youtube.com/watch?v=7tGT_dyNqnM

QoS

Der kleine Router kann sogar QoS-Prioritäten. Für meinen Fall reichen einfache Bandbreitenbeschränkungen auf jedem jeweiligen Interface. Auf dem VLAN 2 (Gast) und VLAN3 ( IOT) habe ich einfach allgemein ein Limit aufgelegt:

Mann sollte dabei aufpassen, dass die Ports als "WAN-Interface" betrachtet werden und daher ein "Upload" aus Sicht den Routers ein "Senden" an das Interface ist. Aus Sicht den Clients ist das aber der Download. Das Limit bezieht sich auch immer auf das Gesamtinterface. Wer ein Limit "pro Client" oder "Pro Protokoll" möchte, kann das über die "Basic Queue machen.

Und für die ganz ambitionierten Anforderungen gibt es noch die Advanced Queue, auf die ich aber nicht weiter eingehe.

Abschluss

Die EdgeRouter X-Lösung von Ubiquiti lässt sich sicher nicht mit der Leistung einer großen Firewall (PFSense, Sophos u.a.) vergleichen, die auch Proxy-Server für SMTP, HTTP etc. bieten. Ich nutze nur einen Bruchteil und natürlich lasse ich viele Funktionen brach liegen. Aber das ist in meinem Fall auch gar nicht erforderlich.

Ich habe schon überlegt, ob ich nicht eine PFSense, OPNSense oder Sophos Home einsetzen sollte. Einige Tests als VM unter HyperV habe ich damit auch angestellt, aber ich werde die VM sicher nicht als PPoE-Endpunkt über ein DSL-Modem einsetzen. Mir reicht schon die Filter-Funktion, die letztlich im Hintergrund auf IPTables aufsetzen wird. Zumindest sind solche Regeln auch im Backup zu finden. Ich habe mir aber die Zeit und Kosten gespart, die ich vielleicht auf Basis eines RaspberryPi, BananaPi oder anderem Kleinst-Computer mit Linux oder dem Selbstbau mit einem Motherboard investiert hätte.

Letztlich muss mein "Haus-LAN" mit meinem PC (auch Skype for Business), das VPN meiner Frau und letztlich auch andere Geräte einfach funktionieren. Und daher bleibt es da bis auf weiteres einfach beim DSL-Router mit DHCP. Über die zusätzlichen Zonen kann ich aber nun eigene Subnetze für meine Bastelarbeiten und Tests betreiben, ohne die Geräte in meinem Haus-LAN zu gefährden. Insbesondere Gäste möchte ich damit zukünftig aus meinem Haus-LAN fern halten.

Und mit der kleinen Baugröße und den minimalen Kosten bei sehr hoher Flexibilität ist das Gerät durchaus auch für Testfelder und Labore interessant. Danke QoS können sogar Bandbreiten "künstlich" gedrosselt werden.

Weitere Links