UniFi często kojarzy się z prostym wdrożeniem. Podłączamy gateway, adoptujemy switche i punkty dostępowe, tworzymy sieć WiFi, ustawiamy hasło i po chwili większość urządzeń działa. To jedna z zalet tego ekosystemu, ale też miejsce, w którym łatwo zostawić konfigurację zrobioną zbyt szybko.

Problem polega na tym, że konfiguracja, która działa od razu, nie zawsze jest dobra na dłużej. W małej sieci domowej albo w niewielkim biurze wiele rzeczy można odłożyć. Jedno SSID dla wszystkich urządzeń, kilka reguł firewall wpisanych ręcznie, brak osobnej sieci dla IoT, VPN oparty o publiczny adres IP albo zbyt wysoka moc nadawania punktów dostępowych. Na początku wszystko może wyglądać poprawnie.

Dopiero po kilku miesiącach zaczynają pojawiać się pytania. Dlaczego urządzenia smart home nie są odseparowane od komputerów? Czemu VLAN-y istnieją w panelu, ale ruch między nimi nadal przechodzi? Dlaczego połączenie WireGuard przestało działać po restarcie modemu? Czemu strona ładuje się częściowo po włączeniu Ad Blocking? Dlaczego telefon trzyma się dalszego punktu dostępowego, mimo że obok jest drugi AP?

Ten artykuł nie jest listą błędów typu źle wpisane hasło do WiFi. Chodzi o konfiguracje, które często działają, ale po czasie utrudniają utrzymanie sieci. W wielu przypadkach wystarczy wcześniej dobrze zaplanować SSID, VLAN-y, reguły firewall i podstawową diagnostykę, żeby później nie poprawiać całej instalacji ręcznie.

Jedno SSID dla wszystkich urządzeń

Jednym z częstszych błędów jest zostawienie jednej sieci WiFi dla wszystkiego. Na pierwszy rzut oka to wygodne. Użytkownik zna jedną nazwę sieci, jedno hasło i każde urządzenie może się połączyć bez dodatkowego zastanawiania. Problem zaczyna się wtedy, gdy w tej samej sieci lądują telefony, laptopy, drukarki, telewizory, kamery, żarówki, gniazdka smart, urządzenia gości i sprzęt firmowy.

W UniFi SSID można przypisać do konkretnej sieci. Jeżeli dane WiFi jest powiązane z określonym VLAN-em, urządzenia łączące się z tą siecią trafiają do właściwego segmentu. To prosty sposób na rozdzielenie klientów bez ręcznego konfigurowania każdego urządzenia osobno.

Problem zaczyna się wtedy, gdy od początku wszystko trafia do jednego SSID. Jeżeli po czasie chcemy zrobić segmentację, okazuje się, że kilkadziesiąt urządzeń siedzi w tej samej sieci. Nie da się wtedy łatwo powiedzieć, że IoT ma mieć inne reguły firewall niż laptopy, skoro wszystko korzysta z tego samego SSID i tej samej sieci.

Lepszym podejściem jest zaplanowanie kilku SSID już na początku. Nie muszą od razu obsługiwać rozbudowanej polityki bezpieczeństwa, ale powinny porządkować urządzenia logicznie. Osobno można przygotować sieć dla urządzeń zaufanych, osobno dla IoT, osobno dla gości i osobno dla urządzeń administracyjnych.

Lista sieci w UniFi Network do przypisania do SSID, portów i reguł firewall
Lista sieci w UniFi Network, które można przypisać do SSID, portów lub reguł firewall.

W praktyce największy błąd polega nie na tym, że ktoś ma jedno WiFi. Problemem jest brak planu na to, co stanie się później. Jeżeli sieć ma się rozrastać, a użytkownicy będą dodawać kolejne urządzenia, jeden SSID szybko robi się workiem na wszystko. Potem każda próba uporządkowania sieci oznacza ręczne przepinanie urządzeń, zmianę haseł, ponowne parowanie sprzętu smart home i tłumaczenie użytkownikom, dlaczego coś trzeba przełączyć.

Przy nowych wdrożeniach lepiej od razu przygotować podział, który będzie prosty, ale rozsądny. Nie chodzi o tworzenie wielu sieci WiFi bez potrzeby. Chodzi o to, żeby najważniejsze grupy urządzeń nie mieszały się ze sobą tylko dlatego, że na starcie tak było szybciej.

VLAN-y to nie zawsze pełna izolacja

Częsty błąd przy konfiguracji UniFi polega na tym, że samo utworzenie kilku sieci VLAN jest traktowane jak zakończona segmentacja. W panelu wszystko wygląda wtedy porządnie. Jest osobna sieć dla użytkowników, osobna dla gości, czasem osobna dla IoT, kamer albo urządzeń administracyjnych. Problem w tym, że sama obecność VLAN-u nie mówi jeszcze, jaki ruch ma być dozwolony, a jaki zablokowany.

VLAN porządkuje sieć i pozwala rozdzielić urządzenia na osobne segmenty, ale o komunikacji między tymi segmentami nadal decyduje konfiguracja routingu i firewalla. Jeżeli nie ustawimy izolacji albo odpowiednich reguł, może się okazać, że sieci są rozdzielone logicznie, ale urządzenia nadal mogą się ze sobą komunikować.

Druga skrajność to zbyt agresywna izolacja. W UniFi można odizolować sieć bardzo szybko, na przykład przez opcję Isolate Network. Dla sieci gościnnej albo bardzo prostej sieci IoT może to być dobry wybór. Problem zaczyna się wtedy, gdy później chcemy jednak dostać się do urządzeń w tej sieci.

Opcja Isolate Network w UniFi Network
Opcja Isolate Network pozwala szybko odizolować wybraną sieć od pozostałych segmentów.

Na przykład izolujemy sieć IoT, a potem aplikacja na telefonie nie widzi urządzenia smart home, komputer nie widzi drukarki albo panel zarządzania kamerą przestaje być dostępny z głównej sieci. Technicznie konfiguracja działa zgodnie z założeniem, tylko założenie było zbyt proste: wszystko odciąć i zostawić wyjście do internetu.

Dlatego przy VLAN-ach trzeba rozdzielić trzy rzeczy. Najpierw tworzymy sieci. Potem przypisujemy do nich klientów przez SSID, porty albo profile. Dopiero na końcu ustalamy, jak te sieci mają się ze sobą komunikować. Czasem wystarczy pełna izolacja. Częściej lepsze są reguły firewall, które blokują większość ruchu, ale zostawiają dostęp do konkretnych usług, urządzeń albo kierunków.

Reguła Isolated Networks w firewallu UniFi
Reguła Isolated Networks pokazuje, że izolacja sieci przekłada się na blokowanie ruchu w firewallu.

W nowszych wersjach UniFi dobrym kierunkiem jest firewall oparty o strefy. Zamiast myśleć tylko o pojedynczych regułach, można grupować sieci i kontrolować ruch między nimi bardziej czytelnie. To szczególnie przydatne przy większych instalacjach, gdzie mamy osobne sieci dla użytkowników, gości, IoT, serwerów, kamer, VPN i administracji.

Najważniejsze jest to, żeby nie zakładać, że „mam VLAN-y, więc mam izolację”. VLAN-y są początkiem porządkowania sieci, ale dopiero izolacja i reguły firewall określają, co faktycznie może przechodzić między segmentami.

Reguły firewall oparte na wpisanych ręcznie adresach IP

Reguły firewall często zaczynają się niewinnie. Trzeba dopuścić jeden komputer do jednej usługi, jeden serwer do drugiego albo konkretną sieć do konkretnego portu. Wtedy najłatwiej wpisać adres IP bezpośrednio w regule i uznać temat za zamknięty.

Przy jednej albo dwóch regułach nie jest to jeszcze duży problem. Problem zaczyna się wtedy, gdy takich wyjątków przybywa. Ten sam adres IP pojawia się w wielu regułach, czasem w różnych kierunkach, czasem dla różnych usług. Po czasie zmienia się urządzenie, adresacja, rezerwacja DHCP albo podsieć i nagle trzeba sprawdzać, gdzie ten adres został użyty.

Reguła firewall z wpisanym bezpośrednio adresem IP
Reguła firewall z wpisanym bezpośrednio adresem IP działa, ale po czasie może być trudniejsza w utrzymaniu.

W praktyce lepiej traktować pojedyncze urządzenia i grupy urządzeń jako nazwane obiekty. Zamiast wpisywać w wielu regułach konkretny adres IP, można przygotować listę albo grupę typu komputer administracyjny, rejestrator CCTV, serwer NAS, drukarki albo urządzenia zarządzające.

Lista albo grupa używana w regule firewall UniFi
Użycie listy albo grupy pozwala zmienić parametr w jednym miejscu, zamiast poprawiać wiele reguł firewall.

Taki sposób konfiguracji jest mniej efektowny na początku, ale znacznie łatwiejszy w utrzymaniu. Jeżeli zmienia się adres urządzenia, poprawiamy go w jednej liście. Reguły korzystające z tej listy zaczynają działać z nowym adresem bez ręcznego przeglądania całego firewalla.

To szczególnie ważne w instalacjach, które po czasie rosną. Dziś mamy kilka VLAN-ów i kilka wyjątków. Za rok może dojść VPN, monitoring, system alarmowy, NAS, drukarki, IoT i dostęp administracyjny. Jeżeli od początku nie ma porządku w nazwach i obiektach, firewall szybko staje się miejscem, którego nikt nie chce dotykać bez dłuższego sprawdzania zależności.

IPS/IDS może blokować ruch, mimo że firewall wygląda poprawnie

Po uporządkowaniu VLAN-ów i reguł firewall łatwo założyć, że jeżeli coś nie działa, problem musi być w samej regule. Czasem tak jest, ale w UniFi dochodzi jeszcze jeden element, który potrafi zmylić podczas diagnostyki. Chodzi o IDS/IPS, czyli wykrywanie i blokowanie podejrzanego ruchu.

Jeżeli Intrusion Prevention działa tylko w trybie informowania, administrator dostaje alert, ale ruch nie jest blokowany. Inaczej wygląda to w trybie blokowania. Wtedy UniFi może zatrzymać ruch, który uzna za podejrzany. Z punktu widzenia użytkownika wygląda to często tak, jakby firewall albo routing był źle skonfigurowany.

Tryb pracy Intrusion Prevention w UniFi
Tryb pracy Intrusion Prevention decyduje, czy UniFi tylko zgłasza zdarzenia, czy również blokuje podejrzany ruch.

Najłatwiej zauważyć to przy komunikacji między VLAN-ami. Komputer z jednej sieci próbuje połączyć się z usługą w drugiej sieci. Reguła firewall wygląda poprawnie, port się zgadza, adres się zgadza, a połączenia nadal nie ma. W takiej sytuacji nie trzeba od razu przebudowywać całej polityki firewall. Najpierw dobrze sprawdzić, czy ruch nie został zatrzymany przez CyberSecure.

Widok Threats w CyberSecure UniFi
Widok Threats to jedno z miejsc, które warto sprawdzić przy podejrzeniu blokowania ruchu przez CyberSecure.

Na tym etapie trzeba uważać, żeby nie robić wyjątków zbyt szeroko. Czasem wystarczy wykluczyć konkretny adres źródłowy albo konkretną sygnaturę dla danego kierunku ruchu. Nie jest dobrym pomysłem wyłączanie całej ochrony tylko dlatego, że jedna aplikacja nie działa. Lepiej znaleźć dokładny wpis w zdarzeniach i dopiero na tej podstawie zdecydować, co zmienić.

Ad Blocking może blokować więcej niż reklamy

Ad Blocking w UniFi jest wygodną funkcją, bo pozwala szybko ograniczyć część reklam i niechcianych domen bez stawiania osobnego Pi-hole albo innego serwera DNS. W praktyce działa to na poziomie DNS, czyli UniFi sprawdza zapytania o domeny i blokuje te, które pasują do list lub kategorii filtrowania.

Na pierwszy rzut oka jest to funkcja, którą po prostu chce się włączyć. Problem w tym, że filtrowanie DNS nie zawsze jest idealne. Czasem domena, która wygląda jak reklamowa albo śledząca, jest jednocześnie potrzebna do poprawnego działania strony lub aplikacji.

Ad Blocking jako filtrowanie DNS w UniFi
Ad Blocking w UniFi działa jako element filtrowania DNS dla wybranych sieci.

Dlatego przy problemach ze stronami i aplikacjami nie powinno się od razu szukać winy w WiFi, VLAN-ach albo firewallu. Jeżeli Ad Blocking jest włączony dla danej sieci, jednym z pierwszych miejsc do sprawdzenia powinny być widoki pokazujące blokady. Dopiero tam można zobaczyć, czy dana aplikacja nie próbuje odpytać domeny, która została zatrzymana przez filtr.

Widok Blocked w CyberSecure z blokowanymi domenami
Widok Blocked w CyberSecure pozwala sprawdzić, czy problem z aplikacją lub stroną wynika z filtrowania ruchu.

W praktyce często nie wystarczy odblokować jednej domeny. Bardziej rozbudowane serwisy korzystają z wielu domen pomocniczych, CDN, systemów logowania, telemetrii albo mechanizmów antyfraudowych. Jeżeli filtr zablokuje jedną z nich, problem może wyglądać jak awaria samej aplikacji, mimo że przyczyna leży w DNS.

Ad Blocking jest przydatny, ale nie powinien być traktowany jako ustawienie bez skutków ubocznych. Przy sieciach firmowych, urządzeniach IoT, panelach producentów i aplikacjach mobilnych dobrze mieć świadomość, że DNS filtering może wpływać na działanie usług, które pozornie nie mają nic wspólnego z reklamami.

WireGuard VPN bez DDNS

VPN często jest konfigurowany wtedy, gdy po prostu potrzebujemy zdalnego dostępu do sieci. Tworzymy serwer WireGuard, dodajemy klienta, pobieramy konfigurację na telefon albo laptop i wszystko działa. Problem polega na tym, że taka konfiguracja może być zależna od aktualnego publicznego adresu IP.

Konfiguracja serwera WireGuard w UniFi Network
Konfiguracja serwera WireGuard w UniFi Network.

Jeżeli w konfiguracji klienta WireGuard jako endpoint znajduje się publiczny adres IP, to po zmianie adresu WAN klient nadal próbuje łączyć się ze starym adresem. Z punktu widzenia użytkownika wygląda to jak awaria VPN. Hasło się nie zmieniło, konfiguracja klienta wygląda tak samo, gateway działa, a mimo to połączenia nie ma.

W wielu lokalizacjach publiczny adres IP nie jest gwarantowany na stałe. Może zmienić się po restarcie modemu, awarii zasilania, pracach operatora albo po odnowieniu dzierżawy adresu. Nawet jeśli adres był taki sam przez długi czas, nie oznacza to, że można na nim opierać zdalny dostęp.

Lepszym rozwiązaniem jest użycie DDNS. Wtedy klient VPN łączy się z nazwą hosta, a nie z konkretnym adresem IP. Gdy adres WAN się zmieni, rekord DDNS zostaje zaktualizowany i użytkownik nadal łączy się z tym samym adresem nazwowym.

Konfiguracja Dynamic DNS w UniFi Network
Konfiguracja Dynamic DNS pozwala używać nazwy hosta zamiast publicznego adresu IP, który może się zmienić.

Trzeba pamiętać o jednej ważnej rzeczy. Samo włączenie DDNS na gatewayu nie naprawia automatycznie starych konfiguracji klientów. Jeżeli telefon, laptop albo komputer ma już zaimportowany profil WireGuard z wpisanym publicznym IP, trzeba ten profil zaktualizować albo wygenerować ponownie.

Zbyt wysoka moc AP nie oznacza lepszego WiFi

Przy problemach z WiFi wiele osób odruchowo próbuje zwiększyć moc nadawania punktów dostępowych. Brzmi logicznie: skoro sygnał ma być lepszy, to AP powinien nadawać mocniej. W praktyce przy kilku punktach dostępowych często działa to odwrotnie.

Zbyt wysoka moc może powodować, że urządzenie zbyt długo trzyma się dalszego AP, mimo że bliżej znajduje się inny punkt dostępowy. Użytkownik przechodzi przez budynek, telefon albo laptop nadal jest podłączony do starego AP, a jakość połączenia spada. Wtedy problem nie zawsze wynika ze słabego sprzętu.

Widok punktu dostępowego UniFi z pasmami i kanałami
Widok punktu dostępowego UniFi pokazuje aktywne pasma, kanały i szerokości kanałów.

W UniFi kuszące jest ustawienie tych samych parametrów dla wszystkich AP. Przy szerokości kanału może to być sensowne jako punkt wyjścia. Przy mocy nadawania trzeba jednak uważać. Inaczej powinno się patrzeć na 2,4 GHz, inaczej na 5 GHz i inaczej na 6 GHz.

Pasmo 2,4 GHz ma większy zasięg i łatwiej nakłada się między punktami dostępowymi, dlatego przy kilku AP zwykle nie ma sensu ustawiać go bardzo wysoko. Pasma 5 GHz i 6 GHz wymagają już oceny konkretnego miejsca, liczby AP, ścian, zakłóceń i tego, jak zachowują się klienci.

Ustawienia mocy nadawania punktu dostępowego UniFi
Moc nadawania AP powinna wynikać z rozmieszczenia punktów dostępowych, a nie z założenia, że wyższa moc zawsze oznacza lepsze WiFi.

Najważniejsze jest to, że AP nie przepycha klienta na siłę do najlepszego punktu. To urządzenie klienckie decyduje, z którym AP chce pozostać połączone. UniFi może pomagać ustawieniami roamingu, Minimum RSSI czy parametrami radiowymi, ale źle dobrana moc nadal potrafi zepsuć efekt.

Dlatego przy diagnostyce WiFi nie wystarczy patrzeć tylko na kreski zasięgu. Trzeba sprawdzić, do którego AP podłączony jest klient, na jakim paśmie pracuje, jaki ma sygnał, jaka jest jakość połączenia i czy nie powinien już przełączyć się do bliższego punktu.

W wielu instalacjach lepszy efekt daje obniżenie mocy, poprawienie kanałów i sensowne rozmieszczenie AP niż ustawienie wszystkiego na High. WiFi powinno być projektowane pod realne pomieszczenia i realne urządzenia, a nie tylko pod maksymalny zasięg widoczny na papierze.

Krótka checklista konfiguracji UniFi

Na koniec można potraktować ten artykuł jako prostą listę kontrolną dla działającej instalacji UniFi. Nie chodzi o to, żeby po każdym wdrożeniu od razu przebudowywać całą konfigurację. Chodzi raczej o sprawdzenie, czy w sieci nie ma ustawień, które dziś są wygodne, ale za kilka miesięcy utrudnią diagnostykę, rozbudowę albo zmianę adresacji.

Zacząć najlepiej od sieci WiFi. Jeżeli wszystkie urządzenia są podłączone do jednego SSID, dobrze sprawdzić, czy nie warto rozdzielić przynajmniej urządzeń zaufanych, gości i IoT. Nie każda instalacja wymaga bardzo rozbudowanego podziału, ale jedno WiFi dla wszystkiego szybko staje się problemem, gdy pojawia się potrzeba segmentacji.

Następnie dobrze przejrzeć VLAN-y i reguły firewall. Same VLAN-y nie oznaczają jeszcze pełnej izolacji. Trzeba sprawdzić, czy ruch między sieciami jest rzeczywiście kontrolowany, a nie tylko uporządkowany nazwami w panelu. Przy okazji dobrze upewnić się, czy izolacja nie jest zbyt agresywna i nie blokuje dostępu do urządzeń, które mają być dostępne z głównej sieci.

Osobnej kontroli wymagają reguły firewall. Jeżeli w wielu miejscach pojawiają się pojedyncze adresy IP, po czasie taka konfiguracja może być trudna w utrzymaniu. Lepszym podejściem są listy, grupy i nazwane obiekty. Dzięki temu zmiana adresu urządzenia nie wymaga ręcznego sprawdzania wielu reguł.

Przy problemach z ruchem między VLAN-ami albo usługami lokalnymi nie wystarczy sprawdzić samego firewalla. W UniFi trzeba też zajrzeć do CyberSecure, Intrusion Prevention oraz widoków typu Threats i Blocked. Ruch może być blokowany przez mechanizmy bezpieczeństwa, mimo że sama reguła firewall wygląda poprawnie.

Podobnie jest z filtrowaniem DNS i Ad Blocking. Jeżeli po włączeniu filtrowania strona ładuje się częściowo, aplikacja nie działa poprawnie albo logowanie zachowuje się dziwnie, trzeba sprawdzić blokady. Nie każdy taki problem wynika z WiFi albo dostępu do internetu. Czasem przyczyną jest domena zatrzymana przez filtr.

Warto też sprawdzić konfigurację VPN. Jeżeli WireGuard opiera się na publicznym adresie IP, lepszym rozwiązaniem będzie DDNS. Ma to szczególne znaczenie w lokalizacjach, które nie mają stałego publicznego adresu. Po włączeniu DDNS trzeba jeszcze pamiętać o aktualizacji profili klientów VPN, bo stare profile mogą nadal wskazywać poprzedni adres IP.

Na końcu zostaje WiFi i moc punktów dostępowych. Wysoka moc nie zawsze oznacza lepsze działanie. Przy kilku AP może pogorszyć roaming i zwiększyć zakłócenia. Lepiej sprawdzić realne połączenia klientów, pasma, kanały i siłę sygnału niż ustawiać wszystko na maksimum.

Najprostszy wniosek jest taki: działająca sieć UniFi nie zawsze jest dobrze przygotowana na dłuższe utrzymanie. Dobrze co jakiś czas przejrzeć konfigurację nie tylko pod kątem tego, czy działa, ale też czy będzie czytelna po zmianie adresacji, dołożeniu kolejnego AP, dodaniu VPN albo rozbudowie VLAN-ów.

Który z tych błędów najczęściej widzicie w działających już instalacjach UniFi: jedno SSID, pozorna izolacja VLAN, firewall na adresach IP, VPN bez DDNS czy zbyt mocne AP?

Przeczytaj również o Safe Ops i Client Observability w UniFi Network 10.5, zobacz planowanie infrastruktury w UniFi Design Center oraz sprawdź certyfikowane szkolenia Ubiquiti UniFi.