Ubiquiti Cloud Gateway Max 512GB ssd

Af en toe haal ik een nieuwe router om te kijken of ik meer gemak in huis haal en of de features passen bij mijn wensen. Vandaag de Ubiquiti Cloud Gateway Max.
De 5x 2.5Gbit maakt ‘m klaar voor de toekomst (fiber ligt in de straat in Zaandam, Parijs heeft het nu al). Veder is hij compact, stil en met een display.

Internet IPv4 en IPv6

Via de voor mij makkelijke web-interface en de online handleiding is de Internetverbinding in een mum van tijd gereed (IPv4 en IPv6). IPTV volgt kort daarna.
Wat ik mooi vind is de combinatie van web interface en de SSH CLI. Zo kan ik op het systeem meekijken hoe ‘ie z’n werk doet. Genieten.

VPNs en Policy Based Routing

Vrij snel zijn mijn VPN’s, IPSEC (Fritzbox), Wireguard (andere Fritzbox) en Wireguard Mullvad, online. Ik haal ruim 500Mbit via de WireGuard VPN naar mijn provider, dat is niet slecht. Ik weet dat de Fritzboxen een lagere limiet hebben.
De Fritzboxen lijken eigenwijs met hun IPSEC-implementatie. Met hulp van internet fora en experimenteren is het gelukt en heb ik nu betrouwbare IPSEC en Wiregurad VPNs. (en ook een case bij AVN, hint: gebruik letters uit het alfabet en cijfers voor je passkey).
Mijn Mikrotik is iets flexibeler in dat opzicht.

(Mei 2025 update)
Een probleem valt me later op (wanneer Netflix opeens roept dat ik te lang in het buitenland zit), ik kan het IPv6 verkeer niet via de VPN krijgen en de VPN kan ik alleen op IPv4 laten verbinden. Erg jammer. Ik kan ook geel filters aanmaken om te zorgen dat één host alleen een IPv4 adres krijgt.

De policy based routing maakt ook een meer spannende setup mogelijk. Zo gaat het internet verkeer van sommige apparaten via Mullvad, andere via Fritzbox Wireguard en ander verkeer direct. Dit is veel makkelijker in te stellen als bij mijn Edge-Router of Miktrotik. Het is klik en play! Fantastisch.

Eigen hostnames

Via de GUI kan ik eenvoudig namen koppelen aan mijn apparaten. Wanneer ik ze een 'fixed IP' geef, kan ik ze ook een DNS naam meegeven. Dit werkt goed in mijn lokale netwerk.
Een '/etc/hosts' file doet de rest voor de namen buiten mijn eigen netwerk (de systemen van familie en vrienden). Hier word ik blij van.
January 2025: De GUI laat me nu ook hostnames buiten mijn lokale netwerk toevoegen, /etc/hosts werkt niet meer.

IPTV

Vraag iets meer aandacht. In eerste instantie werkt het niet. Eén opstart script (in eerste instantie met de hand, nu via een opstart script, het blijft Linux) en één cronjob doen hun werk. Alles loopt nu vloeiend. Heerlijk.
(Sommige providers zijn wat minder flexibel...)

Ad block

Normaal heb ik altijd een adgard DNS server draaien. Wanneer ik bij andere mensen ben valt me pas op hoeveel die eruit haalt. Wat een reclames overal. Unifi heeft dit met één checkbox. Ik ga de komende tijd kijken hoe effectief dat is (geen wetenschappelijke test, gewoon een gevoel).
AdGuard lijkt effectiever te filteren. Het valt me op dat verschillende apps op mijn telefoon meer reclames tonen dan voorheen. Wanneer ik de IPv6 adressen van Adguard erin mik werkt het weer net zo fijn als met m'n eigen AdGuard sever. Best fijn.

Telefonie

Het is misschien wat ouderwets, maar ik heb nog steeds een 'vastelijn'. Ik wil graag dat mijn telefoon in Zaandam en Parijs overgaat, zodat ik kan opnemen waar ik wil. Ik hoop dat dat en dat ik mooie dial-plans kan met Unifi Talk. Het goeie nieuws is dat Unifi Talk met een SIP toestel kan werken en SIP providers. Helaas kan ik dit niet testen omdat Unifi Talk alleen geactibeerd kan worden door er minstens één Unifi toestel aan te hangen. Die heb ik niet.

Unifi Protect

Ik las een bericht dat Unifi Protect nu ook "third party camera's" kan gebruiken. Kortom installeren en uitproberen. Het idee is beter dan de uitvoering, wat ik zie in de uiteg is dat ik weer minstens één Unifi apparaat moet hebben om deze functie uit te proberen. Die heb ik niet, dus gaat het feest niet door.

Masquerade NAT probleem (provider met VLAN & geen Global NAT)

Update 1 januari 2025: Dit is opgelost met de early access network application (9.0.108).

's Avonds valt me op dat IPv4 websites onbereikbaar worden wanneer ik de automatische NAT vervang door mijn eigen ‘Masquerade NAT’ regels. De GUI lijkt zo makkelijk, maar is toch wel lastig wanneer het niet goed werkt.

Het verkeer via de VPN’s werkt goed en wordt netjes waar nodig vertaalt (NAT). IPv6 gaat vrolijk naar buiten via routering, maar ‘direct IPv4’ is te direct. Ik zie mijn prive netwerk adressen via de internet interface naar buiten gaan, dat werkt niet).

Het heeft me een paar uur gekost en ik ben eruit. Masquarade NAT werkt prima met "Global NAT Settings aan", maar mijn eigen NAT regel op mijn WAN interface wordt genegeerd. Wat is het fijn om tcpdump te kunnen draaien op mijn router, ik kan veel meer zien en opsporen (blijft heerlijk in gebruik… dat mis ik op mijn Mikrotik).

Nog een paar uur googelen, configuraties proberen levert niets op. Volgende optie, support van Unifi ingeschakeld. Een deceptie. De persoon stuurt me abuis naar de verkeerde pagina en vertelt me dat ik meer publieke IP adressen nodig heb voor Masquerade NAT. Misschien was mijn uitleg slecht. De case wordt doorgezet naar de tweede lijn. Een samenvatting volgt hieronder.

Communicatie met Unifi Support

• 2 November – Bericht van een medewerker, ik stuur nog wat meer informatie.
• 3 November, op een forum ik lees iets over een cronjob om IPTV te laten werken... Hoera, toch weer een stapje verder
• 5 November, focus op mijn remote site die niet werkt met global NAT… dat is niet de vraag ik wil mijn eigen NAT regels die werken.
• 6 November, ‘vervang Masquerade by source NAT’ … heb ik geprobeerd, nog een.. configureren, werkt niet.. nieuwe dump
• Ondertussen lees ik nog wat door. In een heel ver verleden heb ik mijn eigen iptables regels gemaakt… Kijken wat “iptables -t nat -A POSTROUTING -s 192.168.xxx.yyy/24 -o eth4.100 -j MASQUERADE” doet. Misschien mist de GUI het VLAN…. En het werkt. Ik heb de informatie doorgegeven.
• 7 November - Ik krijg wel regelmatig een bericht, maar geen resultaat. De gegeven verklaring is dat mijn configuratie werkt omdat ik een SNAT heb ik op eth4, en daardoor werkt mijn masquerade NAT op eth4.100. "Dit kan je ook via de GUI doen.", niet dus... ik tel verder en ben een beetje teleurgesteld in de support.
• 8 November - "Our development team has investigated the issue and identified it for resolution in one of the upcoming versions." Kortom, mocht je internet via een VLAN op je WAN binnenkomen, gebruik of 'Global NAT Settings - auto', en accepteer dat je geen WireGuard verbinding kan maken zonder NAT, voeg je eigen Masquarade NAT toe via de CLI, of ga voor een ander merk router... '
• 24 November - Eearly Access Firmware update (4.1.9) geïnstalleerd
  Helaas lost deze update mijn probleem niet op. Sterker nog, na de reboot klaagt ‘ie over packet loss, geen internet (werkt wel een beetje) en mijn IPSEC VPNs doen het niet (soms met mazzel een paar pakketjes over de lijn). Ik schrik wanneer de oude firmware download hapert (poging twee werkt wel). Support-file gemaakt en weer wachten op de volgende versie.
• 09 December - Speciale Release Candidate Firmware (4.1.9) met patch geïnstalleerd
  Helaas lost deze update mijn probleem ook niet op. Het goeie nieuws is wel dat mijn internet nu (met mijn eigen patch) werkt en nu alweer een paar uur stabiel draait.
• 18 December - Nieuwe Early Access Firmware (4.1.11) geïnstalleerd
  Helaas lost deze update mijn probleem ook niet op. Het goeie nieuws is wel dat mijn internet nu (met mijn eigen patch) werkt. Kijken hoe stabiel die draait.
• 01 Januari - Nieuwe Early Access OS Firmware (4.1.13) en Netwerk Applicatie (9.0.108) geïnstalleerd
  Deze update lost mijn probleem op. Kijken hoe stabiel die draait.

Tot slot
Kortom, leuke doos, goeie performance, mooie IPv4 features en mijn grootste pijnpunt lijkt met de laatste early access software opgelost. Het werkt, het werkt soepel en ik kan met scripts mijn IPTV ook werkend krijgen.

Alleen is de IPv6 support wat karig. Ik krijg het netjes aan de gang, maar. De VPNs spreken allen IPv4, ik kan alleen het IPv4 verkeer via de VPN tunnel laten lopen... alleen met een los IPv4 netwerk werkt het zoals verwacht. Beetje jammer. (1 ster eraf)

Verder moet je echt voor het ecosysteem kiezen met de integratie. Unifi Talk en Protect werken wel met third party hardware, mits je één unifi apparaat hebt. Die is nodig voor de activatie.

Drie sterren omdat verschillende extra functies alleen binnen het ecosysteem werken, IPv6 erg basc is en de support beter kan.