• 4

USG UniFi Security Gateway 體驗

看了網上很多人大推 UniFi 產品, 終究還是手癢買了這台 USG - UniFi Security Gateway.

對於 UniFi 產品自己還是新手, 不是很習慣 UniFi Controller 這管理軟體, 過去因為主要都是使用家用產品, 所以已經習慣於大多數 IP 分享器 WEB UI的設定方式,總的來說,對於需要另外安裝 Controller 管理軟體, 總是有點排斥.

實用連結

UniFi - USG: How to Adopt a USG into an Existing Network
Guide: Ubiquiti USG Remote User VPN Using L2TP
UniFi - USG Advanced Configuration
Guide: Creating Isolated Networks with Ubiquiti UniFi


文章連結

USG IPv6設定
Raspberry Pi 上安裝 Controller software


USG開箱









最近才剛開始使用 UniFi AP & Switch, 所以已經在 Synology DS1618+ 上面安裝 Controller software, 是透過 Docker 安裝, 這部份網路上有很多資訊, 不再詳述.

收到 USG 後就順手先將其透過 lan cable 接上現有的區網, 想說應該是從 Controller 就能完成初步的設定, 原本網路就已經有一台 Draytek Vigor 2925 Router, 家用環境設置不是太複雜, 順手裝上 USG 並接上 LAN cable, 應該不是太難設定. 其實錯了, 自己不熟 Controller software, 太小看這初始安裝了.

Controller 中有看到這台 USG , 按了 Adopting 試著 '接管' 這台 firewall, 第一次就失敗. 果然還是要先 google 學習一下.

先申明這些程序不見得是正確的, 很短的時間內從 google 中所找到的資訊, 請見諒.

UniFi - USG: How to Adopt a USG into an Existing Network
https://help.ubnt.com/hc/en-us/articles/236281367-UniFi-USG-How-to-Adopt-a-USG-into-an-Existing-Network

這篇提到了將 USG 替換掉已使用的 Router, 由於原文跳著看也是一知半解, 裡面提到先更新 firmware, 原來 USG 出廠的 IP 為 192.168.1.1, 利用 putty ssh 進去可以設定.

但第一次就要更新 firmware, 我都還沒有設定 wan connection, 怎麼連上網路? 就先將 USG 接上區網 LAN switch, 而找一台 PC 接在 USG LAN port, 並設定為 192.168.1.0/24 網段, 這樣就可以 ssh 進入 USG, 並更新 firmware, 不過照著指示利用 CLI upgrade firmware 失敗了.

顯示 USG firmware 版本不正確, 但 URL是直接指向 UniFi web site, 這部份就跳過不更新了, 日後再來處理. 接下來提到要設定 USG LAN IP, 原來直接利用 http://192.168.1.1 就能做初始 LAN IP 設定了.

USG出廠時可以直接連上 192.168.1.1 去設定 LAN IP, 這是重點, 先設定 LAN IP 和 Controller 同網段就可以了, 之後就能進 Controller 做進階的設定.

上述是如果你早就有 Controller, 但 USG 是之後才購買, 就需要這麼做, 如果一開始就是整套全新的 USG, Cloud Key 等, 就不用這麼麻煩.

之後所有的 WAN, LAN, port forwarding 等, 都是在 Controller 裡面做就可以了. 總之 Controller 能正確的 Adopt 這台 USG 就成功一大半了.

USG 預設就能讓 LAN client 所有的電腦可以上網了. 要學會游泳就直接跳下水吧, 將 Vigor 2925 退下, 直接換上 USG, 看看到底會不會淹死.
FB:VoIP電話技術交流
2019-11-16 2:12 發佈
FB:VoIP電話技術交流
GeoIP filter

看到了這個選項, 應該就是 allow or reject 特定國家的 IP 網段連線, 試了一下可以 work.


不過 USG 這 GeoIP 設置比較簡單, 它並不能和 firewall rules 結合, 只能設定一筆要 block or allow. 不像 Draytek router & Synology Router 那樣可以 by firewall rules 逐條設定.
FB:VoIP電話技術交流
UniFi App

UniFi 提供不錯的手機 app, 方便透過手機遠端設置 USG Router, 這是一般分享器或是 firewall 較少做到的.
不過有一點比較奇怪的, 此台 USG 已經設置 WAN 為 PPPoE 連線, 且連線正常, 但在 app 上卻顯示未設置.

除了檢視 LAN 上各設備(clients) 的連線資訊外, 也有提供一個檢測 wifi throughput 的工具, 這蠻實用的.







另外有一點不解的地方, 在 Controller 中面一時還找不到在那裡襝視例如 WAN IPv4, IPv6 連線狀態, 在手機 app 上面倒是可以查到 WAN IP.
FB:VoIP電話技術交流
pctine wrote:
UniFi AppUniFi...(恕刪)


功能很多呢~
0931779549 wrote:
功能很多呢~...(恕刪)


的確, 還在慢慢學習中.
FB:VoIP電話技術交流
Controller 流量統計等資訊

流量統計, Client 端連線資訊等, 在 Controller 中蠻豐富的, 也可以幫用戶端另外加上註解及變更顯示圖示. 方便識別.

對了, DHCP client mac-ip binding 也是在 Clients 顯示頁面去選擇及設定. 那麼怎麼 dump 完整的 mac-ip binding table 呢?





補充: dhcp mac-ip binding table 從這裡看.
FB:VoIP電話技術交流
pctine wrote:
USG IPv6 設...(恕刪)


我自己是使用EDGEROUTER
但因為IPV6 PREFIX的問題
一直都沒在用IPV6
騎狗去撞車 wrote:
我自己是使用EDGEROUTER...(恕刪)


ipv6 prefix 問題是指?
FB:VoIP電話技術交流
USG WAN2/LAN2 PORT

USG 上面總共有三個 gigabit port, 除了 WAN1, LAN1 以外, 還有另一個 WAN2/LAN2 port.

這個 port 可以自定義其功能, 不過和一般 IP 分享器不同的是, 它可以設定為 LAN Port, 但無法和 LAN1 port bridge 成同一個網段, 簡單說就是 USG LAN1 & LAN2 你不能當做同網段 switch port 來用.

另外就是兩個 LAN port 都為 'Corporate' 時, 彼此網段就互通了. 除非你另外設定 firewall rule 去 block.

FB:VoIP電話技術交流
  • 4
評分
複製連結