Ubiquiti Unifi Security Gateway (USG)

Laat ik direct met de deur in huis vallen. Ik schrijf deze review omdat ik deze router nu ongeveer 2 jaar in mijn netwerk heb hangen. Echter begin ik er van af te zien. Ubiquiti is vreemde keuzes aan het maken.

Unifi is een relatief mooi product voor wat het doet. Mooie interface, mooie apparatuur etc. Maar Ubiquiti als bedrijf, is een richting aan het kiezen waar ik persoonlijk niet mee in lijn sta. Toch probeer ik deze review zo objectief mogelijk te schrijven na deze 'Unifi Security Gateway' (USG) ~2 jaar in gebruik te hebben.

De USG is een router. Waar Ubiquiti (UB) deze neerzet als een Security Gateway (het staat letterlijk op de doos). Toen ik het apparaat kocht was dit ook deels de reden van aankoop. Ik wilde namelijk een zuinig en stabiel apparaat wat zo veel mogelijk functies had. Plus de User Interface trok mij behoorlijk aan. Intussen draait het netwerk bij mij volledig op het Unifi systeem en het doet wat het moet doen. Het is een soort Apple van de netwerken.

Zoals eerder aangehaald is het een router in de basis, met een beetje security er boven op. Een aantal maanden na mijn aankoop zijn er functies aan toegevoegd zoals IPS, IDS, Geo-blocking. Welke echter nog allemaal in Beta zijn. In mijn ogen vreemd voor een product wat verkocht word als 'Security Gateway'. Daarbij gezegd, zijn de IPS en IDS functies totaal niet interessant voor verbindingen sneller dan 100Mbit op dit apparaat. Het is simpelweg niet snel genoeg. Dit is wel goed aangegeven in de Controller.

Dan komen we direct op de controller. Een apart stuk software wat je nodig hebt om de router (en alles Unifi) te beheren. Idee is natuurlijk leuk (single plane of glass), maar het laat ook weer zien dat UB niet helemaal wist wat zij met dit product willen, of destijds van plan waren. Er zit namelijk een console poort op. Daar heb je letterlijk niets aan, anders dan in geval van nood. Want zodra de USG verbinding krijgt met je controller, krijgt deze een nieuwe provision en overschrijf het daarmee de 'running config'.

Er zitten nog wat narigheidjes aan de controller Simpelweg niet alle functies zijn aanwezig. Ook is er ene account nogig bij Ubiquiti om deze extern te beheren (je kan ook een poort open zeten, dan ben je er ook). Dit gecombineerd met recentelijk ophef over doorsturen van performance-data (zonder kennis daarvan) gaat er bij mij niet in. Nogmaals, voor een 'Security Gateway'.
Ook zijn er basis dingen die niet (helemaal) werken of een 'vreemde' standaard instelling hebben. Zoals of een firewall regel is geraakt of niet en wat daar op de actie is geweest. Geen LDAP/AD sync en zo nog een aantal dingen in Beta of niet beschikbaar in de controller, die eventueel met wat 'hack' werk wel via de CLI kan op de router zelf.


Functies die zoal wel werken, en goed werken zijn:
Apparaat is stabiel (draait Debian, fork van Vyatta)
Routing IPv4 (Routing on a stick)
Hardware offloading. Apparaat kan prima met je paketten omgaan.
Firewall Rules / ACL / Port forwardings
DPI - werkt goed en laat goed zien wat voor verkeer er naar binnen komt. Wel lastiger om te zien voor wie het was.
Vlans (mits alles Unifi is, ook direct op de switches en APs)
Radius server
Tunnels (VPNs, Remote, Site2Site, of VPN client)
SSH key voor CLI (alleen handig voor troubleshooten)
SNMP
External syslog server
Captive Portal via controller die online is
Traffic shaping 'user group'


Functies die missen of halfmaatwerk zijn:
IPv6 - Nog in beta
DHCP / DNS in beta
DHCP / DNS geavanceerd - Er zijn DCHP options, maar een static lease toevoegen of een statische host in DNS kenbaar maken is niet mogelijk via controller * Dit werkt via controller, toch zijn er DNS functies die missen zoals dubbele A record of CNAME.
SIP in beta
IDS IP
Routing geavanceerd mist compleet in de controller, Geen OSPF, RIP, BGP etc *
Firewall events logging staat standaard uit. Alleen opties voor WAN, Guest, LAN, of per regel.
Geen alternatieve login methode op de Controller (geen Radius / AD / LDAP)
Vlans staan standaard open naar elkaar
QoS mist compleet *
Shaping per vlan of interface mist compleet *
Soort verkapte SD-wan?
- Zo zijn er nog vast dingen die missen in dit lijstje
* CLI kent veel van deze opties wel, echter begin je dan om de problemen van de controller te werken.

Al met al; het is gewoon een router met een API die alleen via een controller werkt. Waarbij standaard dingen die je mag verwachten van een 'Security Gateway' toch niet helemaal lekker werken. Het apparaat is beter en kan meer dan je huis-tuin-en-keuken router, maar mist weer de functies die je mag van verwachten van de 'volgende stap'. Daarbij de wegen die Ubiquiti kiest voor zijn producten zijn erg vreemd.

Ik kan het product aanraden aan iemand die geld over heeft voor het volledige Unifi Systeem, want dat werk wel gewoon erg goed. Je hebt dan een USG, switch, AP en een Cloud key of VM nodig om de software op te draaien. Vlugge berekening, en iemand is ~350-500 euro kwijt en wat tijd om het spul in te regelen. Dat terwijl de EdgeRouter meer kan, geen controller nodig heeft en goedkoper is.

Conlcusie; redelijk gemixt. Want het apparaat zelf werkt als een tierelier. Echter zijn de controller en de keuzes van Ubiquiti waar ik mij aan stoor. Het is geen Enterprise / MKB router. Zeker geen goede firewall, daar zijn veel betere opties voor te krijgen die meer kunnen dan dit apparaat. Maar het is ook niet gericht op de 'normale' consument.

Al met al is het een Pro-sumer router, die zorgt voor stabiliteit en niets meer doet dan: DPI, Simpele firewall, VPN server, en DNS/DHCP zoals iedere huis-tuin-en-keuken router.
Er zit overigens geen UTP kabel bij in de doos ;-)

Review gemaakt op firmware en controller versie:
admin@USG:~$ show version
Version: v4.4.41
Build ID: 5193700
Build on: 05/17/19 16:22
Copyright: 2012-2018 Ubiquiti Networks, Inc.
HW model: UniFi-Gateway-3
HW S/N: [redacted]
Uptime: 22:05:34 up 17 days, 10:59, 1 user, load average: 0.12, 0.13, 0.14

Controller Version
UI
5.10.25.0
Backend
5.10.25
Build
atag_5.10.25_11682