Ubiquiti Unifi Security Gateway (USG)

Ideale router met vele mogelijkheden voor gebruik thuis en (klein)zakelijk. Mogelijkheid direct aan te sluiten op (glasvezel- of kabel) modem. Eigenlijk is de router / USG een essentieel onderdeel in het Unifi-Eco-systeem.

Gelijke review
Aangezien ik ervaring heb met beide USG (gekocht, eigendom) / USG-Pro (Hands-on) is de review vrijwel gelijk op technische aspecten na.

Wat zit er bij de USG?
In de doos bevindt zich de USG, net-adapter en pluggen/schroeven om de USG aan de muur te bevestigen. De behuizing van de USG is gemaakt van (wit gespoten)aluminium wat zorgt voor een goede warmtegeleiding aangezien ie best warm kan worden. Bovenop bevindt zich een blauw vierkant want dient als een statusled, afhankelijk van de kleur (wit, wit-knipperen, blauw, blauw-wit knipperen) kan status van apparaat afgelezen worden.

Wat zit er bij de USG-Pro?
In de doos bevindt zich de USG, net-snoer en kooimoeren om de USG in patch/server kast te bevestigen. De behuizing van de USG is gemaakt van aluminium wat zorgt voor een goede warmtegeleiding aangezien ie best warm kan worden. De uitvoering is voorzien van een fan die altijd licht hoorbaar is. Linksvoor bevindt zich een blauw vierkant want dient als een statusled, afhankelijk van de kleur (wit, wit-knipperen, blauw, blauw-wit knipperen) kan status van apparaat afgelezen worden.

Aansluitingen USG
Op de USG bevinden zich 1 RJ45 serial console, 1 WAN, 1LAN en 1 Voip/Lan/Wan poort.
De WAN/LAN poort is ook in te stellen als 'fallback' om bijvoorbeeld een 2e internet verbinding (4G) op aan te sluiten. Alle LAN-poorten zijn gigabit.


Bron: Ubiquiti (Afbeelding wijkt af van recent model)
(i) Recente model heeft WAN2/LAN2 aanduiding rechter poort

Aansluitingen USG-Pro
Op de USG Pro bevinden zich 1 RJ45 serial console, 2 LAN, 2 WAN gecombineerd met 2x SFP poort. De SFP poort kan worden gebruikt met een geschikte SFP-module om rechtstreeks op glasvezel aan te sluiten. Ook kan een SFP naar RJ45 module worden geïnstalleerd. De SFP poorten kunnen niet als LAN poort gebruikt worden. De WAN/SFP is te wisselen naar LAN om het netwerk te verbinden. Hiermee kan een 100% glas-glas koppeling gemaakt worden. Ook bevindt er een USB-aansluiting aan de voorzijde om bijv. CloudKey aan te sluiten voor stroom.


Bron: Ubiquiti

Verschil
De USG is een prima router/firewall voor thuis, thuiskantoor en klein zakelijk. De CPU en intern (werk)geheugen is hiervoor voldoende. Voor de meer veeleisende gebruiker of MKB is de USG-Pro toch wel een betere keuze. De USG-Pro kan worden bevestigd in patch/server kast maar kan ook meer data verwerken. Er zit wel een behoorlijk prijs-verschil tussen de beide modellen.

Technische specs
USG: Dualcore CPU 500mhz, 512MB DDR2 RAM, 2GB Flash
USG-Pro: Dualcore CPU 1ghz, 2GB DDR3 RAM, 4GB Flash

Aansluiten op bestaande modem/router
Beide USG's kunnen rechtstreeks aangesloten worden achter een (glasvezel)modem via de RJ45 of SFP-poort (USG-Pro met geschikte SFP-module). De beste ervaring heb ik rechtstreeks aansluiten of op een modem/router in bridge-modus.

ADSL-modem
Expediabox V?: Werkt, echter met VPN kan dit problemen geven met forwards.
Fritzbox!: In bridgemodus werkt alles prima
Zyxel: In bridgemodus werkt alles prima
Draytek: In bridgemodus werkt alles prima
Kabelmodem
Ziggo Technicolor: Werkt, echter met VPN kan dit problemen geven met forwards. Aan te raden is Ziggo te vragen het modem in bridge te zetten, dit kan je helaas niet zelf. Telefonie kan problemen geven maar zou volgens Ziggo moeten blijven werken.
Ziggo Connectbox (wit): Werkt, echter met VPN kan dit problemen geven met forwards. Aan te raden is Ziggo te vragen het modem in bridge te zetten, dit kan je helaas niet zelf. Telefonie kan problemen geven maar zou volgens Ziggo moeten blijven werken.
Glasvezel
Rechtstreeks aan te sluiten zonder tussenkomst router met RJ45. De USG-Pro kan rechtstreeks aangesloten worden met een geschikte SFP-module op het glasvezel. Hiervoor zijn hier op Tweakers en op internet handleidingen en uitleg te vinden. Zelf heb ik deze opstelling niet gebruikt en geen ervaring mee. Let wel op eigen veiligheid als je met deze opstelling gaat werken, je werkt immers met (onzichtbare) laser over glasvezel wat schade aan ogen kan geven.

KPN Glasvezel Voor aansluiten op NT2 (glasvezel) zijn extra VLAN 6 (Internet only) instellingen op de WAN-poort benodigd om het systeem werkend te krijgen. Op internet/KPN forum is hier voldoende (actuele) informatie over te vinden. Voor KPN Totaalpakketten, Internet-TV-Telefoon is een EdgeRouter makkelijker te configureren.

Opnemen in Unifi
De router is door de computer aan te sluiten op een LAN-poort rechtstreeks te benaderen maar hier kun je eigenlijk niet veel instellen. Enkel de DHCP-server uit zetten of bepaalde statische IP adressen wijzigen.

Zodra je de USG in een netwerk hangt met een Unifi-Controller (Cloudkey, Raspberry, Computer, etc) verschijnt na enkele minuten de USG in het lijstje met apparaten.

Ik kan aanraden eerst in Unifi de instellingen van 'je netwerk' in te stellen. Hoe de WAN/LAN eruit moet zien, etc. Na adopteren zal de controller de USG provisioneren en worden de huidige instellingen erin geladen.

Controller
Alles binnen Unifi valt of staat bij de Controller. De USG is out of the box niet echt als een 'router' te gebruiken, wel is er via SSH alles in te stellen veelal meer als in de GUI van de controller. Echter de GUI (Controller van Unifi) werkt niet te vergelijken sneller en overzichtelijker, al ben je voor bepaalde aspecten aangewezen om via de CLI (SSH) aan te maken omdat dit (nog) niet in de grafische omgeving van Unifi aanwezig is. Volg bij het gebruik van de CLI wel de handleiding van Unifi om te zorgen dat instellingen aangemaakt in de CLI nadat de controller 'een' wijziging heeft gemaakt niet de instellingen die je in de CLI gemaakt hebt ongedaan maakt.

Zelf heb ik de CLI eigenlijk niet nodig gehad heb daarin ook weinig ervaring.

Na instellen en provisioneren hoeft er geen actieve controller actief te zijn, de USG kan prima zonder functioneren. Bepaalde functies o.a. DPI, Guestportal etc. vereisen een actieve controller.

Adoptie op afstand
De USG's zijn uitstekend geschikt voor adoptie op afstand. Hiermee kun je op 1 locatie een 'controller' laten draaien met verschillende 'sites (locaties)'. Installatie is eigenlijk kinderlijk eenvoudig. Bij een nieuwe USG, welke direct is verbonden met internet log je in op de web interface en geeft het adres van de controller op: "http://serverip_of_domeinnaam:8080/inform". Log in op de externe controller op de 'site' waarin je USG wilt opnemen. De controller ontvangt soort ding-ding-request van de USG en verschijnt in het overzicht.

Noot: Zorg wel dat op de externe locatie de juiste poorten zijn geforward naar controller. Minimaal 3478 (STUN) 8080 (inform), overige poorten alleen als je deze gebruikt..

Klik op 'adopteren' waarna Unifi, naar mijn weten versleuteld (volgens gebruikers Unifi forum) de koppeling in gang zet. Alle instellingen die je in de 'site' op de controller zijn aanmaakt zullen middels provisionering worden doorgezet. Het voordeel als je een USG gekoppeld hebt is dat alle apparatuur o.a. switches, accesspoints, etc. automatisch in diezelfde 'site' op de controller verschijnen om te adopteren.

Voordelen adoptie op afstand
-Kostenbesparing op CloudKey of ander apparaat & stroomverbruik (al is 4w te verwaarlozen).
-Overzicht bij bedrijven/personen met verschillende locaties.
-Automatische koppeling VPN mogelijk tussen sites met site-to-site VPN.

Aanbevolen vereisten adoptie op afstand
-Afhankelijk van het aantal sites een enkele Cloudkey, Cloudkey Gen2, Docker/Containerstation of server (Debian/Ubuntu)
-Vast IP of DDNS-service
-Firewall schep afgesteld

Nadelen adoptie op afstand
-Externe server down dan verbreken statistieken en bepaalde services als guest-portal
-Externe defect dan moet je opnieuw opbouwen (zorg altijd voor backups)
-Statistieken worden op externe controller opgeslagen, bij privacy bezwaren: DPI uitschakelen.


VLAN's
De USG leent zich bijzonder goed voor het aanmaken van verschillende 'netwerken' in de vorm van VLAN's. Hiermee kun je een scheiding aanbrengen in het netwerk en verschillende groepen uit elkaar houden of er juist voor zorgen dat cliënten iets wel of niet mogen.
Bij het aanmaken van een netwerk kan worden gekozen voor een VLAN ID, hiermee maak je een apart VLAN aan. Dit aparte VLAN voorzie je van eigen IP-range etc.

Bij het aanmaken van een netwerken met een VLAN is er op IP niveau een scheiding maar cliënten van verschillende netwerken zijn niet geïsoleerd. Hiervoor dient in de firewall een zogenoemde RFC1918 aangemaakt te worden om verkeer van/naar andere VLAN's te voorkomen/beperken.

Een uitgebreide uitleg staat hier omschreven:
https://help.ubnt.com/hc/...Disable-InterVLAN-Routing

Functionaliteit en gemak enkel met complete eco-systeem
Om alle functies van de USG te kunnen gebruiken en het volledige gebruikersgemak te ervaren is wel aan te bevelen switches, accesspoints en overige accessoires te gebruiken uit de reeks van Unifi. Managed switches kunnen wel worden aangesloten en zullen werken, ook eventueel aangemaakte VLAN's etc maar dit zal handmatig op de apparatuur van derden ingesteld moeten worden.

DPI
Deep Packet Inspection, de USG is in staat om van ieder cliënt of in algemene zin te loggen welk verkeer er over het netwerk en/of internet gaat. Hierin is de mogelijkheid om extra categorieën aan te maken naar behoefte.

IDS/IPS
Intrusion Detection System / Intrusion Protection System. Aanvulling op de firewall waarmee al het verkeer van/naar WAN/LAN in de gaten gehouden wordt op verdachte verbindingen etc.

Let wel op het volgende:
-De snelheid van het internet gaat omlaag. Resp. naar 85mbps/250mbps/1gbps afhankelijk van het type USG/USG-Pro/XG. Heb je een 500mbit glasvezelverbinding en hang je er een USG-Pro tussen dan halveert de snelheid, met een USG zelfs 80%.
-Intern LAN verkeer wordt ook beïnvloed bij netwerkverkeer tussen VLAN's.
-Bij IPS kunnen vreemde verbindingsproblemen ontstaan, het is daarom aan te bevelen eerst enige tijd IDS te kiezen om te zien welke meldingen er ontstaan en mogelijk problemen geven.

Zelf heb ik deze functie 'uitgeschakeld' en het log gedetailleerder ingesteld waarna ik de firewall handmatig aanpas als ik vreemde dingen aantref. Tot op heden (afkloppen) gaat het prima.

VPN
Ondersteuning voor PPTP, L2TP, Site-to-Site, OpenVPN, VPN Client
Update: Installatie WireGuard VPN schijnt mogelijk te zijn, hiermee heb ik zelf (nog) geen ervaring.

Site to Site VPN
De USG leent zich perfect voor een constante VPN verbinding tussen 2 netwerken 'over het internet'.
L2TP Site to Site: Relatief eenvoudig te realiseren.
OpenVPN Site to Site: Nog eenvoudiger dan L2TP te configureren (ook met niet-Unifi host aan de andere zijde)
Auto VTI: Dit werkt alleen als je een 'hosted' controller hebt waarin je beide 'sites' hebt ondergebracht. Een controller met toegang tot internet (in eigen beheer) werkt ook. Je selecteert dan aan de 'andere site' en Unifi doet de rest.

Alle ingevulde subnetten worden door de firewall (op achtergrond) open gezet, wil je dit niet dan zal je de firewall hierop moeten aanpassen. Werkt er iets niet in de Site to Site, of is enkel verkeer een richting mogelijk check firewall of de MTU (meest voorkomende problemen).

Update: OpenVPN site-to-site VPN lijkt 10-14 dagen online te blijven waarna verbinding wegvalt, ben nog aan het uitzoeken waar dit probleem vandaan komt. Vooralsnog uitermate tevreden met 'L2TP site-to-site', hierbij wel IKEv2 geselecteerd deze is in staat verbroken verbinding te herstellen.

Na downgrade firmware naar 4.4.5.2 lijkt dit probleem opgelost.

Radius
Beschikt over een interne Radius-server

Provisioneren
Bij veel instellingen gemaakt in de controller zal er een verzoek naar de USG gestuurd worden om opnieuw te 'provisioneren'. Bij het aanmaken of inbrengen van een lijst instellingen achter elkaar kan het voorkomen dat de USG zich mogelijk 'verslikt'. Geforceerd provisioneren kan helpen maar aan het einde van alle ingebrachte instellingen als de controller klaar is met 'provisioneren' kan een herstart van de USG geen kwaad; mijn ervaring is dat deze soepeler loopt na reboot.

Vervangen van systeemfan's
De fan's die in de USG zitten vanaf de fabriek zijn goed hoorbaar tot een enkeling zwaar irritant te noemen als het gaat om geluid. Waarbij de één een stofzuiger imiteert maakt de ander een hoog frequent geluid of beter gezegd 'jank geluid'. Na wat op internet gekeken te hebben heb ik de Noctua NF-A4x20FLX 12v toegepast. Het geluid gaat omlaag maar is niet weg. Door de extra NA-RC-10 "Low Noice" adaptor te plaatsen gaat het geluid nog meer omlaag. Let wel, de USG zal hierdoor warmer worden dan zonder omdat de hoeveelheid airflow omlaag gaat.



Tijdens het testen kwam ik tot de ontdekking dat de stalen kap een te kleine opening heeft bij de fan's. Als de fan's een vrije uitblaas hebben hoor je ze vrijwel niet. Naar mate je de kap dicht schuift wordt het geluid steeds luider door de weerstand die de lucht krijgt van het rooster. Ik begrijp dat Ubiquiti niet wil dat je me je vingers in de fan komt, maar aan de andere kant voor wie uit de garantie is kan ik aanraden met klein ijzerzaagje beide grill's te verwijderen.

(!) Bewaar ivm garantie altijd de originele fan's en plaats deze terug indien een USG retour moet.

Ondersteuning
De vele mogelijkheden en functies zijn in een actieve community terug te vinden. Ook is er een uitgebreide helpfunctie online waarop alle informatie te vinden is om de USG naar behoefte in te stellen.

https://community.ui.com

Eindoordeel
Voor thuis, thuiskantoor of kleinbedrijf of MKB een prima router/firewall met vele functies en een goede snelle doorvoer van data. Je hebt het hier niet over huis, tuin en keuken apparatuur maar Pro-Consumer of zelfs Enterprise. De prijs mag wellicht hoger zijn dan vergelijkbare artikelen maar geheel gerechtvaardigd voor wat je krijgt. Updates worden gratis ter beschikking gesteld, je kunt altijd contact opnemen met support met vragen of het melden van bugs. Let wel, netwerkkennis is vereist het betreffen beide geen plug-and-play apparaten.

De opvolger
Voor de USG 3 is inmiddels een opvolger beschikbaar; Unifi Dream Machine. Hierin is USG, Wifi en controller samengevoegd in wat vroeger voor wie dat weet Apple Airport Extreme was; maar dan rond. Gericht voor thuisgebruik. Nog geen ervaring met dit apparaat al hoor ik wel verschillende berichten over kwaliteit. Voor wie een appartement heeft en de UDM centraal staat zal ie prima dekking geven en werken. Het model kan worden uitgebreid met extra AP's voor grotere dekking bij grotere oppervlakken. Voor wie enkel een AP in zich wil hebben en de rest van de apparatuur in de meterkast wil houden is de USG3 tot op heden nog gewoon prima keuze.

Voor de USG Pro 4 is inmiddels een opvolger beschikbaar; Unifi Dream Machine Pro. Let wel hierbij zit extra functionaliteit zoals Unifi Protect en geïntegreerde controller. Zelf ben ik op dit moment van schrijven (31-03-2021) nog niet overtuigd dat dit een waardige opvolger is gezien de diverse soap's die ik op de community waarneem als het gaat om de firmware. Ook lees ik iets teveel dat de hardware gereset moet worden of zelfs voor RMA aangemeld moet worden. Er zijn ook wel positieve punten te melden zoals snellere poorten en betere CPU etc. Wellicht moeten de opstartbugs en/of plooien met dit nieuwe model nog gladgestreken worden.

USG 3P USB-stick reparatie en/of vervanging van adapter
De USG3P werkt met een USB-stick op het moederbord. Het kan gebeuren, veelal net na de garantie dat de USG niet meer werkt, reageert en/of je vreemde LED-shows krijgt. De kans dat de USB-stick is overleden en/of corrupt geraakt is dan groot. Geen nood, deze kan je, als je beetje handig bent zelf vervangen voor een nieuwe stick. Soms is het mogelijk de bestaande stick opnieuw te 'flashen' maar als dit niet meer lukt is het enige advies een solide USB-stick te kopen (USB 2.0!). Hierop 'flash' je de image die je kan downloaden vanaf de website van Ubiquiti en begint weer op te bouwen. De USG is dus niet gelijk waardeloos, het loont zeker de moeite om voor nog geen 10 euro een nieuwe USB-stick te plaatsen en je kan er weer even tegenaan.

De bijgeleverde voeding kan om verschillende redenen falen en/of als je echt een echt 'maandag-product' hebt gaan fluiten. Tijd om te vervangen. Binnen de garantie kun je de claim bij de verkoper neerleggen, daarna gewoon een goede voeding bestellen op internet. Koop een voeding met 12VDC 5.5/2.1 (stekker) minimaal 1A. Zelf heb ik goede ervaring met MeanWell

Update:
15-01-2021: Toevoeging zelf USB Stick repareren USG3P / vervanging voeding
26-10-2021: Firmwareupdate 4.4.55 nu 4 weken stabiel, enkel site-to-site VPN met kleine haperingen.
01-08-2021: 4.4.5.2 stabiel, 2 maanden zonder onderbreking
01-06-2021: Firmware downgrade naar 4.4.5.2 wegens aanhoudende site-2-site VPN problemen.
18-04-2021: Sinds 9 april draait FW 4.4.55 stabiel, let op, check eerst community voor mogelijke bug reports.
09-03-2021: Aanvulling: Adoptie op afstand
09-03-2021: Site-to-Site VPN: OpenVPN verliest na 10-14 dagen verbinding.
01-03-2021: firmware 4.4.51 laatste stabiele versie getest. v. 4.4.52 heeft CVE patches maar lijkt volgens fora instabiel.
06-11-2020: Update Compatibiliteit modem: KPN toevoeging VLAN, VPN, Site to Site VPN
12-10-2020: systeemfan's vervangen voor stillere.
28-08-2020: firmware upgrade USG3; 4.4.51.xxx
29-07-2020: Aanvulling IDS/IPS: Invloed VLAN's
06-04-2020: Firmware 4.4.44 laatste stabiele versie getest. Update aansluiten op KPN Glasvezel, VPN mogelijkheid.
13-11-2019: Aanpassing USG-Pro poorten

Gebruikt in combinatie met:

• Eaton Ellipse ECO 650 DIN USB
• Eaton Ellipse ECO 800 DIN USB
• Eaton Ellipse ECO 1600 DIN USB
• Eaton Ellipse PRO 1600 DIN
• Ubiquiti UniFi Switch (24-poorts, 250W PoE+)
• Ubiquiti EdgeRouter X
• Ubiquiti UniFi AP-AC LITE (1-Pack)
• Ubiquiti UniFi AP AC PRO (1-Pack)
• Ubiquiti UniFi Cloud Key
• Ubiquiti UniFi Switch 24-poorts
• Ubiquiti UniFi AC In-Wall
• Ubiquiti UniFi Switch (8-poorts, 60W PoE)
• Ubiquiti UF-MM-1G (2-pack)
• Ubiquiti EdgeRouter 4
• Ubiquiti UF-RJ45-1G SFP Module
• Ubiquiti Ethernet Surge Protector