Miglior configurazione access point Ubiquiti

Ddavidew · 3 apr 2022

Sono stati acquistati 7 access point “Ubiquiti UniFi 6 Lite” per un agriturismo con 5 appartamenti.
Gli AP, connessi a un unico router, copriranno l’abitazione dei proprietari e i 5 appartamenti.
Saranno creati due SSID, uno “normale”, ad uso dei proprietari, e uno guest, a uso dei clienti. Tutti gli AP trasmetteranno la rete standard, mentre solo i 5 AP negli appartamenti trasmetteranno la rete guest.

Mi rivolgo a chi già possiede e usa sistemi di AP UniFi: avete qualche impostazione particolare da consigliare per un buon funzionamento del sistema, e in particolare per l’implementazione del cosiddetto “seamless roaming”? Grazie

Ddavidew · 4 apr 2022

Nessuno?

Mmditerli · 4 apr 2022

Mi sembra una rete complessa, non so quanti abbiano in casa 7 AP...
Io ne ho solo 3 (wifi 5), uno per piano, e non ho attivato il seamless roaming. Passando da un piano all'altro i telefoni/PC portatili si collegano al rispettivo AP dopo circa un minuto.
Non so se ci sono delle interruzioni, almeno io non le ho mai notate.
Ad esempio, muovendo il PC portatile da un piano all'altro, la VPN non segnala riconnessioni per cui presumo che non ci siano "buchi" nella copertura.
L'unico problema l'ho avuto aggiornando il software Unifi Controller, veniva abilitata automaticamente l'opzione "Mesh" che ha creato un casino totale. Fortunatamente disattivandola è tornato tutto alla normalità

H2o · 4 apr 2022

davidew avete qualche impostazione particolare da consigliare per un buon funzionamento del sistema

Disattivare il meshing che per Ubiquiti significa wireless uplink (se gli AP sono tutti cablati)
Disattivare il fast roaming che crea solo problemi con tutti quei dispositivi che ancora non supportano l'802.11r
Da configurare il Multicast per evitare che tra reti diverse ci sia una chromecast che va e tutti la possono controllare (eventualmente valutare il client isolation per la rete guest)
Attivare l'accesso ristretto alla rete per la rete guest specificando in whitelist gli IP raggiungibili in lan (dns, dhcp)
Settare un profilo di banda ad hoc per gli ospiti

simonebortolin · 4 apr 2022

davidew per le impostazioni di roaming, teoricamente nelle nuove versioni del controller è abiltiata di default, altrimenti è da abilitare.

Per maggiori informazioni su tutti i vari setitng ti consiglio di leggere https://www.google.com/amp/s/evanmccann.net/blog/2021/11/unifi-advanced-wi-fi-settings%3fformat=amp

Ricordati che per unifi mesh=wireless uplink e non quello che intende avm o gli yts.

Per il resto seugui ciò che dice mccann.

Serve aver comunque ovunque lo stesso ssid e credo che per il roaming serva avere il controller sempre attivo

Ddavidew · 4 apr 2022

Intanto grazie mille a tutti per le indicazioni
Ci sono alcune cose che non ho capito al 100%, ecco i miei dubbi:

H2o Da configurare il Multicast per evitare che tra reti diverse ci sia una chromecast che va e tutti la possono controllare (eventualmente valutare il client isolation per la rete guest)

Avere la rete guest, che da quello che ho capito impedisce a tutti i client collegati di accedere alla rete locale, non dovrebbe già essere sufficiente?

H2o Attivare l'accesso ristretto alla rete per la rete guest specificando in whitelist gli IP raggiungibili in lan (dns, dhcp)

Anche questo non l’ho ben capito, usare la funzione rete guest con le opzioni predefinite non dovrebbe già essere sufficiente?

simonebortolin credo che per il roaming serva avere il controller sempre attivo

Questo potrebbe essere un problema perché pensavo di non acquistare un controller “dedicato”, ma di installare l’applicazione UniFi Network sul computer principale (che però normalmente non viene tenuto acceso H24… forse si dovrebbe iniziare)

simonebortolin · 4 apr 2022

davidew Questo potrebbe essere un problema perché pensavo di non acquistare un controller “dedicato”, ma di installare l’applicazione UniFi Network sul computer principale (che però normalmente non viene tenuto acceso H24… forse si dovrebbe iniziare)

Se vuoi faccio qualche prova nei prossimi giorni di roaming, però ipotizzo che serve delegate la gestione degli username e password via 802.11x (vado a memoria) ad una unica entità.

@H2o ti ha suggerito opzioni di sicurezza, ma si è dimenticato della prima o la ha lasciata sottointesa, cioè usare le vlan. Cosa che però richiede un po' di domestichezza con quelle di ubiquiti.

Ddavidew · 4 apr 2022

simonebortolin usare le vlan

Avevo pensato di non usarle, ma di sfruttare banalmente la funzione Wi-Fi guest predefinita; mi sembra che faccia tutto quello che mi serve (impedire agli ospiti di accedere alla rete locale e alle pagine di configurazione)… o mi sono perso qualcosa?

Ccdman · 5 apr 2022

davidew Puoi usare un Raspberry pi 4b per metterci il controller (che ovviamente consuma decisamente meno di un PC acceso).

H2o · 5 apr 2022

simonebortolin e credo che per il roaming serva avere il controller sempre attivo

No, non serve

davidew Avere la rete guest, che da quello che ho capito impedisce a tutti i client collegati di accedere alla rete locale, non dovrebbe già essere sufficiente?

Non sono impostazioni di default, se non hai altre limitazioni come vlan o acl dalla guest si può fare tranquillamente una scansione su tutta la lan o parlare con oggetti al di fuori del range assegnato

davidew Anche questo non l’ho ben capito, usare la funzione rete guest con le opzioni predefinite non dovrebbe già essere sufficiente?

Ahimè no

simonebortolin si è dimenticato della prima o la ha lasciata sottointesa, cioè usare le vlan.

Chiedendo solo i settaggi per il controller non ci ho pensato. A monte sarebbe il caso di avere uno switch (magari Ubiquiti a questo punto) L3 con supporto a vlan ed eventualmente acl base

davidew sfruttare banalmente la funzione Wi-Fi guest predefinita; mi sembra che faccia tutto quello che mi serve (impedire agli ospiti di accedere alla rete locale e alle pagine di configurazione)

Ripeto, non di default
O a questo punto mi viene il dubbio, almeno con i controller pre-v7 non era di default

simonebortolin · 5 apr 2022

H2o No, non serve

Ottimo.

H2o Ripeto, non di default
O a questo punto mi viene il dubbio, almeno con i controller pre-v7 non era di default

Eh mi sembra che nella nuova ci sia il proxy arp attivo di default, anche se non so bene come possa funzionare

davidew ah quindi con proxy arp. Non lo consiglio. Meglio due vlan distinte.

Ddavidew · 5 apr 2022

Grazie mille di nuovo a tutti

H2o A monte sarebbe il caso di avere uno switch (magari Ubiquiti a questo punto) L3 con supporto a vlan ed eventualmente acl base

Gli switch Ubiquiti con almeno 8 porte poe costavano un occhio della testa. Alla fine si è scelto un managed Netgear, le cui specifiche indicano il supporto per le VLAN; è sufficiente?

Matteo_Mabesolani · 5 apr 2022

davidew Anzitutto un bel firewall e magari una linea dedicata solo agli ospiti (o comunque una buona banda Internet).
Per quanto riguarda gli AP:
-disattivare sul controller la funzionalità "wifi AI" e togliere la spunta su "Enable Network Optimization" poichè sono funzionalità che fanno solo casini;
-disattivare il band steering che oggi ha poco senso;
-gli ap configurali con canali e potenza auto, fissa solo la larghezza di banda a 20 Mhz per il 2,4 Ghz e a 20 oppure 40 per i 5 Ghz (dipende dalla densità dei client e da quanto gli AP sono vicini). Considerato il contesto io farei 40 Mhz

Per una configurazione basica sei a posto così direi.

Ah ovviamente VLAN, firewall, switch... come sei messo?