Auteur Sujet: Aide au choix d'une installation Ubiquiti pour bidouilleur (Lu 13688 fois)

Romain · « **le:** 26 octobre 2016 à 22:50:48 »

Bonjour !

Je reviens à la charge concernant le remplacement de mon matériel réseau. Je vous ai déjà sollicité, mais c'était il y a presque deux ans, et l'offre ainsi que mes ~~besoins~~ envies ont depuis évolué.

Contexte (lecture facultative

)

L'élèment déclencheur est que j'en ai marre du manque de fiabilité du matériel des FAI. Le Wi-Fi des NB6 et NB6v de SFR était catastrophique, et ma Bbox Ubee ne m'apporte pas pleinement satisfaction non plus : je déplore les restrictions infantilisantes (espaces interdits dans le SSID du Wi-Fi), les bugs de l'interface d'administration (attribution de baux DHCP statiques problématique) ou encore la nécessité de la réinitialiser régulièrement pour rétablir l'IPTV. Quant au décodeur Bbox Miami, il pose problème un jour sur deux (réception IPTV saccadée voire impossible, ralentissements irritants sur toutes sortes d'applications, pas de décodage matériel sur Kodi).

En définitive, je veux choisir mon matériel : un routeur fiable, un point d'accès fiable, et mon Apple TV 4 avec Infuse et Molotov ou myCANAL puis éventuellement une Nvidia Shield Android TV avec Kodi et Molotov ou myCANAL. Je veux que mon FAI se contente de me fournir la connectivité, et m'occuper du reste.

Je pourrais choisir un routeur pour particulier, mais d'une part je lis trop de bien des points d'accès Wi-Fi "entreprise", et d'autre part j'aimerais en profiter pour bidouiller un peu plus qu'avec un simple Netgear Nighthawk, Linksys WRT ou Synology SRM.

Choix

Il y a 2 ans j'étais intrigué par la notoriété grandissante d'Ubiquiti, mais je n'aimais pas leur PoE propriétaire, l'interface d'administration déportée des points d'accès. Je pensais alors aux produits PME de Netgear, Zyxel, etc.

Mais entre temps j'ai approfondi Ubiquiti, leur catalogue s'est enrichi (notamment de produits en PoE standard 802.3), et je me demande si ça ne me plairait pas.

J'ai néanmoins quelques questions :

Quelqu'un saurait-il m'expliquer brièvement ce qui vaut à Ubiquiti un tel succès ? Quel est leur point différenciant ?
J'ai utilisé un temps un point d'accès Meraki et je détestais l'idée qu'il ne puisse démarrer sans connexion à internet. Y a-t-il des restrictions similaires avec l'approche d'Ubiquiti ?
Quelle différence y a-t-il au juste entre un EdgeRouter et une UniFi Security Gateway ?
Et entre un EdgeSwitch et un UniFi Switch ?
Pourquoi ne trouve-t-on pas la réponse à ces questions sur le site d'Ubiquiti ?
Dans les rubriques "remplacer telle box par un EdgeRouter", on suggère d'utiliser la ligne de commande. Est-ce qu'on peut continuer à utiliser la GUI après, sans risque d'écraser les réglages appliqués en CLI ?
À propos de CLI, leurs solutions propriétaires sont elles vraiment avantageuses par rapport à iptables and co. ?
Que pensez-vous d'un routeur Linux / pfSense à la place ? Netgate vient de lancer le microFirewall SG-1000 tout mignon !

Merci beaucoup pour votre aide et d'une manière générale pour cette mine d'or qu'est LaFibre.info !

Hugues · « **Réponse #1 le:** 26 octobre 2016 à 23:06:20 »

1 : Le prix, la flexibilité du matos : Tu peux vraiment faire PLEIN de trucs.
2 : De mémoire, les bornes ne démarrent pas sans contrôleur, mais je n'en ai presque jamais utilisé, alors aucune idée.
3 : l'USG est plus orientée Firewall, un ERL plus orienté routage, les perfs de l'ERL sont superieures sur du routage pur.
4 : Aucune idée, mais bon, les switchs ubiquiti..
5 : 42.
6 : Tout dépend à quel réglage tu touches, mais dans les 3/4 des cas, oui, sans souci.
7 : l'ERL, c'est du Debian, donc tu as IPTables&Co, moi j'aime bien la CLI d'EdgeOS.
8 : C'est rigolo, mais ça n'a rien à voir en termes de conso/prix/occupation

Voilà, en gros, rapidement.

Romain · « **Réponse #2 le:** 26 octobre 2016 à 23:22:28 »

Merci pour ta réponse rapide !

1. Y compris dans un contexte domestique ? Peux-tu donner des exemples de ce qui pourrait m'amuser avec du Ubiquiti que je ne pourrais pas faire avec un routeur grand public ?
2. Aïe, j'espère que quelqu'un d'autre réfutera ceci !

(à ce jour j'ai un vieux HP MicroServer N40L avec Arch Linux, sur lequel le contrôleur Ubiquiti pourrait fonctionner en permanence, mais je n'exclus pas de passer à un Synology à domicile et de délocaliser mes services purs Linux en datacenter, voire de m'en passer)
3. Concrètement, ce sont les fonctions disponibles sur le contrôleur qui varient ?
3.2. Est-ce qu'on peut marier sans problème du EdgeXXX avec du UniFi XXX ? Sont-ils copains sur le même contrôleur ?
4. Peux-tu développer ? Je suis profane, j'ai besoin de concret !

5. La question reste ouverte !

6. Comment déterminer quels réglages résistent ou non à un passage dans la GUI ?
7. Oui mais Ubiquiti utilise bien sa propre solution, non ? Je vois des commandes sans rapport avec iptables dans les tutoriaux.
7.1. La question est : pourquoi Ubiquiti a développé sa propre solution ?
7.2. Est-ce qu'on ne risque pas de créer des conflits ou de se compliquer la vie en utilisant à la fois iptables et leur GUI/CLI ?
8. Je suis curieux que tu développes ici, quand tu auras plus de temps : https://lafibre.info/routeur/netgate-sg-1000-microfirewall-avec-pfsense-lt3/

(100e message !

)

Hugues · « **Réponse #3 le:** 26 octobre 2016 à 23:33:51 »

C'est un peu long, possible que je réponde en plusieurs fois/que j'édite, etc etc.

1/ Alors perso, je joue avec des tunnels, des VPN, des trucs barbares. L'avantage de l'ERL (seul produit que j'ai en usage perso, en pro c'est autre chose), c'est que c'est une base Debian, donc tout ce que la GUI ou la CLI ne permet pas (franchement, je trouve très peu d'exemples), tu peux le faire avec du bash classique.

Sur l'ERL, tu as un truc qui s'appelle le Config Tree, ça te fait l'arborescence de la CLI dans la GUI, et c'est avec ça que je me suis rendu compte à quel point l'ERL etait un routeur complet, tu as vraiment des milliers de réglages, c'est un vrai couteau suisse.
Avant, je tournais sur de l'OpenWRT, c'est vite limité. J'ai déjà testé Asus Merlin, pareil, pour moi on est loin de la finesse de paramètrage d'un ERL.

Exemple : Les tables de routage avancées qui peuvent (avec la perte de perfs qui va avec) de remonter très haut dans les couches réseau. les tunnels GREv6 (qui ne marchaient pas en "natif" avant). Je sais que tu peux aussi t'amuser si tu fais du multicast (chose que je ne me risque pas).

2/ Me too, je suis pas certain de mon coup, c'est p-e seulement si tu en as plusieurs qui fonctionnent ensemble

3/ Je crois que les différences sont surtout Hardware, mais je me méfie des produits "firewall", ça se transforme vite en attrape couillons.
3.2 : Oui, tu peux faire des interactions pas mal entre les deux, même.

4.Je n'y vois juste aucun intéret par rapport aux autres, juste que c'est plus cher, et blanc.

6. Suffit de savoir quelles parties du système tu as touchées, mais franchement, je ne peux pas te faire de liste..

7 :

Code: [Sélectionner]

root@neptune:/home/hugues# iptables -L -n -v
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
 532M  464G UBNT_VPN_IPSEC_FW_HOOK  all  --  *      *       0.0.0.0/0            0.0.0.0/0
 532M  464G VYATTA_FW_LOCAL_HOOK  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Par exemple. Vyatta est une surcouche en fait, ça utilise les mêmes logiciels, mais les commandes sont différentes.
Une commande tapée dans IPTables (mauvais exemple, cela dit) ne résistera pas à vyatta par contre.

7.2 si, mais généralement tu t'en sers quand vyatta ne sait pas faire ce que tu veux faire (rarement, donc)

8. Ben comme tu le dis, ça tient pas le gigabit, partant de là, ciao pour moi ^^

Romain · « **Réponse #4 le:** 27 octobre 2016 à 00:32:06 »

J'y vois déjà beaucoup plus clair avec cette 2nde réponse, merci !

1.1.
Outre un routage basique, les seules choses qui m'intéressent à première vue sont liées au VPN, aux VLAN ou à des configurations DHCP spécifiques (serveurs DNS Unlocator par exemple, PXE...), pour par exemple permettre à certains clients d'accéder à des services en ligne étrangers, sans avoir à modifier leur configuration.

Ce qui m'amuserait, en supplèment, c'est de pouvoir obtenir des statistiques en temps réel et sous forme de graphiques (débit, pps, etc.). Est-ce que la GUI ou le contrôleur le permettent de série ? Ou bien est-ce qu'il faut mettre les mains dans le cambouis ?

Impossible de savoir si c'est bien de cela qu'il s'agit dans cette illustration, ni si ça porte sur chaque port/chaque client :

Et impossible non plus de savoir précisèment ce que le contrôleur UniFi sait grapher :

(à moins peut-être d'éplucher les manuels)

En tout cas je prends bonne note que c'est une base Debian, et pas sur une BusyBox simpliste, comme sur de nombreux équipements Linux embedded. J'apprécie les produits qui ne réinventent pas la roue (par exemple OSMC vs OpenELEC, distributions Kodi pour Raspberry Pi).

1.2.
À propos, si je comprends bien, la principale différence entre la gamme Edge et la gamme UniFi, c'est la manière de les administrer ? Les produits Edge ont l'air d'embarquer leur EdgeOS de manière autonome, c'est bien ça ? Alors que les UniFi dépendent d'un contrôleur unifié exécuté ailleurs ?

2.
Si quelqu'un a plus de précisions à ce sujet, je suis preneur !

3.
Jusqu'à présent je me suis toujours passé de firewall matériel. J'ai mon serveur Linux en DMZ et je crois faire ce qu'il faut pour qu'il reste en sécurité. Mais je compte bien me mettre à IPv6 et il faudra alors certainement revoir ma manière de faire.

Mais mes besoins en la matière sont très simples, j'ai juste besoin d'ouvrir tel ou tel port sur tel ou tel équipement, un EdgeRouter suffit-il ?

4.
Tu as l'air de parler des switch UniFi, et de dire qu'un EdgeSwitch suffit ? Mais est-ce que c'est bien un EdgeSwitch, dans l'absolu ? Par rapport à un Netgear L2 manageable par exemple ?

4.2.
Est-ce qu'un UniFi Switch n'accompagnerait pas mieux par hasard un UniFi AP, en simplicité de configuration sur le contrôleur UniFi par exemple ?

4.3. D'ailleurs comment des produits Edge et UniFi cohabitent-ils, concrètement ?

7.
Vyatta fait finalement appel à iptables, c'est noté, et je déteste moins l'approche.

8.
Et un Netgate SG-2200 ? (300 dollars tout de même)

hell0 · « **Réponse #5 le:** 27 octobre 2016 à 01:18:34 »

Citation de: Romano2K le 26 octobre 2016 à 22:50:48

Bonjour !

Je reviens à la charge concernant le remplacement de mon matériel réseau. Je vous ai déjà sollicité, mais c'était il y a presque deux ans, et l'offre ainsi que mes ~~besoins~~ envies ont depuis évolué.

Contexte (lecture facultative )

L'élèment déclencheur est que j'en ai marre du manque de fiabilité du matériel des FAI. Le Wi-Fi des NB6 et NB6v de SFR était catastrophique, et ma Bbox Ubee ne m'apporte pas pleinement satisfaction non plus : je déplore les restrictions infantilisantes (espaces interdits dans le SSID du Wi-Fi), les bugs de l'interface d'administration (attribution de baux DHCP statiques problématique) ou encore la nécessité de la réinitialiser régulièrement pour rétablir l'IPTV. Quant au décodeur Bbox Miami, il pose problème un jour sur deux (réception IPTV saccadée voire impossible, ralentissements irritants sur toutes sortes d'applications, pas de décodage matériel sur Kodi).

En définitive, je veux choisir mon matériel : un routeur fiable, un point d'accès fiable, et mon Apple TV 4 avec Infuse et Molotov ou myCANAL puis éventuellement une Nvidia Shield Android TV avec Kodi et Molotov ou myCANAL. Je veux que mon FAI se contente de me fournir la connectivité, et m'occuper du reste.

Je pourrais choisir un routeur pour particulier, mais d'une part je lis trop de bien des points d'accès Wi-Fi "entreprise", et d'autre part j'aimerais en profiter pour bidouiller un peu plus qu'avec un simple Netgear Nighthawk, Linksys WRT ou Synology SRM.

Choix

Il y a 2 ans j'étais intrigué par la notoriété grandissante d'Ubiquiti, mais je n'aimais pas leur PoE propriétaire, l'interface d'administration déportée des points d'accès. Je pensais alors aux produits PME de Netgear, Zyxel, etc.

Mais entre temps j'ai approfondi Ubiquiti, leur catalogue s'est enrichi (notamment de produits en PoE standard 802.3), et je me demande si ça ne me plairait pas.

Salut !

As tu déjà creusé du coté de chez MikroTik ?

tivoli · « **Réponse #6 le:** 27 octobre 2016 à 09:20:11 »

Citation de: Romano2K le 26 octobre 2016 à 22:50:48

Quelqu'un saurait-il m'expliquer brièvement ce qui vaut à Ubiquiti un tel succès ? Quel est leur point différenciant ?
C'est vite vu, c'est un des rares routeurs a 100€ qui tient le debit, si tu essaies de faire la meme chose avec un autre hardware ca te coute plus cher.
De plus comme deja dit c'est une debian donc au pire tu peux bidouiller au niveau de l'OS (voir orange IPv6)
Pour finir ils sont tres a l'ecoute de leur clients par leur forum, si on a besoin de quelque chose (et qu'on les aide / leur mache le travail) ils mettent en place
J'ai utilisé un temps un point d'accès Meraki et je détestais l'idée qu'il ne puisse démarrer sans connexion à internet. Y a-t-il des restrictions similaires avec l'approche d'Ubiquiti ?
J'utilise aussi un Meraki depuis deux ans, c'est top en fonctionalites, je l'adore mais je n'aime pas le cote cloud et le fait quand dans 1 an il s'arrete (ou je dois payer une licence)
Je ne connais pas les AP ubiquiti je pense que je vais regarder mikrotik tres bientot
Quelle différence y a-t-il au juste entre un EdgeRouter et une UniFi Security Gateway ?
Aucune idee
Et entre un EdgeSwitch et un UniFi Switch ?
Aucune idee
Pourquoi ne trouve-t-on pas la réponse à ces questions sur le site d'Ubiquiti ?
Aucune idee
Dans les rubriques "remplacer telle box par un EdgeRouter", on suggère d'utiliser la ligne de commande. Est-ce qu'on peut continuer à utiliser la GUI après, sans risque d'écraser les réglages appliqués en CLI ?
J'utilise les deux sans probleme quand tu modifie par la cli le GUI web te le dit et te demande de rafraichir l'interface, pour l'instant je n'ai eu aucun probleme car je n'utilise pas les deux en meme temps
À propos de CLI, leurs solutions propriétaires sont elles vraiment avantageuses par rapport à iptables and co. ?
Franchement leur CLI se comprends quasi toute seule, il suffit de faire ? pour voir les commande possible, c'est super puissant..
Que pensez-vous d'un routeur Linux / pfSense à la place ? Netgate vient de lancer le microFirewall SG-1000 tout mignon !
J'aime bien jouer mais je n'ai pas vu de pfsense aussi peu cher, je pense qu'on devrait regarder cote mikrotik tres utilise par les (petits) provider a un rapport qualite / prix genial.
Je pense me prendre un switch bientot car j'aime bien avoir des joli stats

zoc · « **Réponse #7 le:** 27 octobre 2016 à 09:32:34 »

Citation de: Hugues le 26 octobre 2016 à 23:06:20

2 : De mémoire, les bornes ne démarrent pas sans contrôleur, mais je n'en ai presque jamais utilisé, alors aucune idée.

Si si, le controleur n'est nécessaire que pour la configuration initiale, même si c'est cool d'en avoir un pour les stats qu'Observium ne gère pas (liste des clients, conso par client, etc...). J'ai un UAP-AC-LITE et au début le controleur Unifi était sur mon MacBook Pro (et donc pas lancé en permanence). Maintenant tourne dans sa VM dédiée sur mon ESXi.

En ce qui me concerne, j'ai du matos Ubiquiti (ERL3 + l'AP) pour les raisons suivantes:

Le prix au regard des perfs
L'ouverture du soft (c'est du Linux, base Debian pour l'ERL, donc tu peux adapter le FW au besoin. Par exemple il serait impossible d'utiliser un ERL3 chez Orange FTTH s'il n'était pas possible de recompiler le client DHCP)
Les développeurs sont très disponibles sur les forum

Mon prochain achat prévu chez eux est le ES-24-LITE.

Après en ce qui concerne la gamme UniFi, j'avoue que je suis pas trop fan (hormis pour les stats de mon point d'accès) de la gestion centralisée, et on peut sans doute moins jouer avec (à vérifier, je ne connais pas assez).

zoc · « **Réponse #8 le:** 27 octobre 2016 à 09:35:13 »

Citation de: Romano2K le 26 octobre 2016 à 23:22:28

3.2. Est-ce qu'on peut marier sans problème du EdgeXXX avec du UniFi XXX ? Sont-ils copains sur le même contrôleur ?

On peut. La gamme Edge n'utilise pas de controlleur et dispose de sa propre interface (WEB + CLI) autonome.

Romain · « **Réponse #9 le:** 27 octobre 2016 à 18:55:10 »

Merci pour toutes ces réponses !

Je prends bonne note :

qu'Ubiquiti offre un très bon rapport performance prix
qu'en plus ils sont ouverts
que la CLI cohabite assez bien avec la GUI, et même que les deux interagissent
que la CLI est intuitive

En revanche, zoc, tu me remets dans le doute concernant l'approche contrôleur de la gamme UniFi. Du moins tu m'incites à approfondir d'autant plus. Je vais feuilleter un peu plus attentivement les documentations commerciales et techniques des Edge et des UniFi.

En parallèle, quelqu'un saurait-il répondre à cette question ?

Citer

1.2. À propos, si je comprends bien, la principale différence entre la gamme Edge et la gamme UniFi, c'est la manière de les administrer ? Les produits Edge ont l'air d'embarquer leur EdgeOS de manière autonome, c'est bien ça ? Alors que les UniFi dépendent d'un contrôleur unifié exécuté ailleurs ?

Et si la réponse est oui, à cette question ?

Citer

4.2. Est-ce qu'un UniFi Switch n'accompagnerait pas mieux par hasard un UniFi AP, en simplicité de configuration sur le contrôleur UniFi par exemple ?

____

Citer

3.2. Est-ce qu'on peut marier sans problème du EdgeXXX avec du UniFi XXX ? Sont-ils copains sur le même contrôleur ?

Citation de: zoc le 27 octobre 2016 à 09:35:13

On peut. La gamme Edge n'utilise pas de controlleur et dispose de sa propre interface (WEB + CLI) autonome.

Est-ce qu'un EdgeRouter et un EdgeSwitch apparaissent dans le contrôleur UniFi ? Est-ce qu'on peut les configurer depuis le contrôleur UniFi ? Est-ce qu'ils savent au moins lui remonter des statistiques ?

Ou bien est-ce qu'une installation comprenant un EdgeRouter et un contrôleur UniFi donne strictement le même résultat qu'une installation comprenant un routeur Netgear et un contrôleur UniFi ?
____

Pour ce qui est de MicroTik, j'ai bien repéré cette marque, elle suscite ma curiosité, mais je ne pense pas qu'elle réponde à mes besoins.

À ce stade de mon "étude de marché", si je choisissais Ubiquiti, je pense que je prendrais :

EdgeRouter X
EdgeSwitch 24 ou UniFi Switch 16-150W
UniFi AP AC Lite ou Pro

J'ai du mal à trouver l'équivalent chez MicroTik, non ?[/list]

zoc · « **Réponse #10 le:** 27 octobre 2016 à 20:13:37 »

Citation de: Romano2K le 27 octobre 2016 à 18:55:10

Est-ce qu'un EdgeRouter et un EdgeSwitch apparaissent dans le contrôleur UniFi ?

Non. Les gammes UniFi et Edge sont totalement séparées

Citer

Est-ce qu'on peut les configurer depuis le contrôleur UniFi ?

Non.

Citer

Est-ce qu'ils savent au moins lui remonter des statistiques ?

Non.

Citer

Ou bien est-ce qu'une installation comprenant un EdgeRouter et un contrôleur UniFi donne strictement le même résultat qu'une installation comprenant un routeur Netgear et un contrôleur UniFi ?

Oui.

Pour résumer, si on veut des stats de tous ses équipements dans UniFi controlleur ainsi qu'une administration centralisée et simplifiée (mais sans doute avec des limites, je ne connais pas les autres produits UniFi hors AP), alors il ne faut prendre que du matériel de la gamme UniFi.

Après, de ce que j'ai compris, la gamme UniFi est surtout destinée au déploiement rapide d'infrastructures réseau sans fil, pas pour créer un réseau en partant de rien.

Romain · « **Réponse #11 le:** 01 novembre 2016 à 00:01:47 »

J'ai commencé à feuilleter les manuels des différents équipements potentiels, ce qui me conforte dans mon intention d'acheter EdgeRouter X, EdgeSwitch 8 ou 16 et UniFi AP AC Lite ou Pro.

Dernière question, je serais un peu juste avec un EdgeSwitch 8, est-ce qu'on peut utiliser les ports du EdgeRouter X en supplèment ? (soit un total de 12 ports en plus du "port WAN", ce qui me suffirait)