Bem-vindo à Comunidade UBNT

UDM-PRO

Bom dia.
Gostaria de algum auxílio caso alguém saiba como fazer ou me informar que possivelmente não temos como fazer o que me foi passado.
Minha empresa tem um sistema UNIFI com 4 AP's e software da Unifi (5.6.37 (Build: atag_5.6.37_10328))em um servidor de Aplicativos que controla os 4 AP's.
Nesse molde, a equipe anterior de T.I. não conseguia controle de relatórios, acessos e nem fazer bloqueios pelo sistema, basicamente o sistema só subiu as 4AP's mediante 1 SSID + Senha, que propaga pela nossa rede coorporativa.
Foi comprado por eles então um UDM-PRO, para ser o novo controlador dos 4 AP's, manter uma WIFI Coorporativa e uma nova WIFI Guest, ter controle dos acessos, relatórios e afins.
Recebi esse projeto nesse estágio, preciso que o UDM-PRO funcione apenas como controladora de WIFI, não como um Firewall em sua plenitude.
Tenho uma solução de firewall já robusta de outra marca, onde os meus 2 Link's de internet são entregues.
Então o que tentei fazer foi colocar um cabo de minha rede coorporativa na porta Wan (que me foi obrigado a ter um link aqui para ligar o equipamento), com o ip fictício e fixo de 20.20.20.20, valido na minha rede na faixa de servidores. Nunca consegui acessar o UDM-PRO por esse IP, embora os manuais e tutoriais que acompanhei me informavam que era para acessar por ele.
O UDM-PRO criou uma rede 192.168.1.0/24, 2 DHCP's na rede interna deu muito ruim obviamente, consegui com muito custo mudar o gateway para 20.20.20.21 (feitio) e um port forward para 20.20.20.20, muito errado ao meu ver, mas desse modo o DCHP respeitou a configuração de ficar desativado e começou a liberar os ip's na faixa 20.20.20.X
Não consigo acessar ainda o UDM-PRO por nenhum desses IP's, somente pelo site https://unifi.ui.com/
O UDM-PRO não enxerga o servidor antigo para ser assimilado por ele (sinceramente gostaria de desativar ele e usar somente o UDM-PRO) e nem os 4 AP's que tenho.
O Servidor em questão também não enxerga o UDM-PRO, mas continua enxergando e gerenciando os 4AP's.

Com o cenário exposto, o que gostaria seria basicamente o UDM-PRO funcionar como um Switch e controlador dos AP's, sem DHCP, pretendo futuramente colocar câmeras no CPD e usar ele como DVR, que possivelmente seriam os únicos conectados diretamente no UDM-PRO + o Switch (para a rede interna) conectado em alguma porta dele.
Não pretendo e não posso parar de usar o Firewall atual, nem deixar de usar meu servidor de DHCP + AD (Windows Service).
Alguém consegue me dar algumas dicas sobre esse cenário que herdei?

Se é possível fazer isso, se não é, se possível, alguma dica de como fazer?
Rotulado:

Comentários

  • UI-SamuelUI-Samuel 1377 Pontos
    O UDM-PRO é necessariamente uma controladora e um roteador, logo ele é um equipamento que foi projetado para assumir as funções de roteador da rede, preferencialmente recebendo diretamente nele a conexão WAN porque ele é semi-automático e espera isso para que todas as suas funcionalidades sejam automáticas. Apesar de não ser impossível simplesmente inserir seu UDM na infraestrutura de switches (LAN) e utilizá-lo apenas como controladora local (sem acesso remoto via cloud híbrida), essa prática não é recomendada. 

    Se a sua demanda é apenas por uma controladora, então o equipamento correto seria o Cloud-Key, já que esse sim é um mini servidor dedicado para execução da aplicação UniFi Network, sem nenhuma função de roteador. 

    https://br.store.ui.com/collections/unifi-accessories/products/unifi-cloudkey-plus
  • alestisalestis 0 Pontos

    @UI-Samuel, obrigado pelo esclarecimento, embora a pratica não seja recomendada justamente por estar subutilizando o equipamento, foi esse o comprado pela gestão anterior, já tinha ciência que compram algo a mais do que o necessário.
    Não tenho como justificar isso para minha gerencia e solicitar a compra de outro modelo, pois o UDM-PRO já está aqui e pago por sinal.
    Preciso me virar com ele, subutilizando o mesmo, fora do recomendado.
    Consegue me ajudar com a configuração que preciso fazer?

  • UI-SamuelUI-Samuel 1377 Pontos
    Basta conectá-lo na sua LAN e utilizá-lo localmente como se fosse uma máquina qualquer hospedando a controladora. É claro que fazendo apenas isso você perde a gerência remota via nuvem híbrida porque a WAN estará inutilizada. 
  • alestisalestis 0 Pontos
    Vou tentar fazer isso na segunda, o problema quando tentei isso conforme explicou, foi que nunca consegui acessar ele quando o dhcp estava desligado, vou testar e atualizar depois.
  • alestisalestis 0 Pontos
    Bom dia Samuel, fiz o teste conforme me instruiu, infelizmente o problema que descrevi no começo permanece, nunca consegui acessar ele pelo IP WAN, nem pelo IP LAN que configurei como gateway quando desliguei o DHCP, sem cabo de WAN no aparelho, ele fica inacessível e invisível na rede, só tenho acesso a ele pelo site https://unifi.ui.com/ quando o cabo de WAN está conectado.
    Acredito sinceramente que seja algo de errado que estou fazendo, pois todos os tutoriais e instruções que recebo como a sua me informam que deveria estar conseguindo acessar ele pelo IP WAN como IP LAN.
    Mas infelizmente não consigo.
    Uso a porta 8443 ou deixo as padrões de acesso, mesmo assim não consigo acesso via IP dele, somente pelo site.

  • UI-SamuelUI-Samuel 1377 Pontos
    O acesso via nuvem híbrida naturalmente não vai funcionar porque depende de conectividade WAN, conforme expliquei nos comentários anteriores. O acesso local via LAN funciona normalmente, já que o equipamento estará configurado com um endereço IP como qualquer outra máquina. É óbvio que esse acesso local deve partir de outras máquinas na LAN, não atrás da WAN que estará inutilizada. 
  • alestisalestis 0 Pontos

    Sim, entendo essa parte, sem problemas.
    Mas se deixo DHCP do equipamento ativo, ele gera uma rede 192.168.1.0 / 24, com essa rede consigo acessar ele pelo IP de gateway 192.1681.1 , se desativo o DHCP do mesmo, conforme me instruiu eu não consigo mais acessar o equipamento, não importa o que eu faça.
    Sobre o IP da WAN, eu nunca consegui acessar ele por esse IP, logicamente com o cabo desligado não conseguiria, mas mesmo com o cabo conectado com o ip respondendo pelo site da unifi e o aplicativo ubiquiti discovery, eu não consigo acessar o equipamento, não importa como eu tente configura-lo.
    Eu só tenho acesso a ele quando o DHCP dele está ativo ou pelo site da UNIFI.
    Não posso usar o DHCP dele, com o cabo de conexão WAN desativado, ele simplesmente não me libera acesso.
    Portanto, continuo não tendo acesso a ele por nenhuma máquina na rede LAN.

    Tenho certeza que deve ser uma bobeira de configuração que não fiz, porque sempre vem essa questão do acesso via IP LAN como se fosse natural, mas aqui no meu cenário nunca funcionou esse acesso.

  • UI-SamuelUI-Samuel 1377 Pontos
    Você não conseguiu acessar pela WAN porque por padrão existe um firewall local pré-configurado que faz o bloqueio de todo tráfego entrante na WAN que não seja resposta de uma sessão iniciada pela LAN. Esse é exatamente o comportamento esperado. 

    UniFi Security Gateway (USG): Como Funcionam as Regras de Firewall no UniFi?
  • alestisalestis 0 Pontos
    A sim, talves ajude, segue dados de firmware do equipamento:
    UI: 6.4.54.0
    Backend: 6.4.54
    Build: atag_6.4.54_16067
    UDM-PRO
  • alestisalestis 0 Pontos
    OK, devo ter explicado muito mal, vu tentar explicar novamente.
    Meu IP WAN (Atualmente deconectado conforme solicitou) e meu IP LAN (cabo conectado atualmente), estão na mesma rede.
    Como o cabo WAN está desconectado, nem faz sentido testar conexão nessa porta, estou tentando acessar o equipamento pelo ip LAN, não consigo, portanto o equipamento está completamente inacessivel, funcionando apenas com um switch não gerenciavel.
    Meu pricipal problema, que preciso corrigir é conseguir acessar ele pelo IP LAN.
  • UI-SamuelUI-Samuel 1377 Pontos
    1) Uma vez que tenham sido feitas as configurações da LAN em Networks, irá funcionar o acesso local. É basicamente desligar o servidor DHCP nessa LAN e definir o IP/Mask local do UDM-PRO na opção gateway, já que para ele a interface local seria o "gateway" da rede. Fazendo dessa forma ele será acessível apenas localmente e não terá um gateway para alcançar a Internet, por exemplo para atualizações. Bem simples...

    2) Outra alternativa seria habilitar uma WAN diferente atrás de NAT chegando nele, o que não é recomendado porque ele estará atrás de duplo NAT. Faze do isso você pode esperar todo tipo de complicação, além de ter que definir todas as regras de firewall manualmente nele, nem que seja pelo menos uma regra permitindo tudo, tratando segurança no outro equipamento da borda. 

    Novamente, qualquer um dos dois métodos anteriores funcionam, mas não são recomendados porque o equipamento é semi-automático e não espera operar dessa forma.
  • alestisalestis 0 Pontos
    editado outubro 4
    Vou tentar novamente a opção 1 que me falou agora, foi o que fiz anteriormente, mas não consegui acesso pelo IP dele, tirei um BKP do aparelho como está no momento e irei fazer um reset de fábrica subindo-o do zero.
    Como tentei várias configurações, provavelmente foi algo que acabei fazendo.
    Vou tentar isso agora de tarde e posto o resultado amanhã de como ficou.
    Muito obrigado pela paciência por enquanto Samuel.

  • alestisalestis 0 Pontos
    Samuel, bom dia.
    Como prometido fiz vários testes com a opção 1 que me enviou, descobri o que pode ser um bug de sistema da versão atual, mas depois que entendi isso, estou conseguindo acessar livremente.
    Controller Version: 6.2.26 (UDM-PRO)
    Em resumo, se eu ligar o equipamento com o cabo WAN Conectado com um ipfixo, ele não me libera conexão pela rede LAN.
    Se eu ligar o UDM-PRO com cabo WAN conectado em DHCP, mas Cabo LAN conectado com IP FIXO, eu tenho acesso a rede LAN, mas o aparelho fica inacessível no site da UNIFI, mesmo avisando que tem acesso à internet.
    Em geral, essa opção me atendeu, pois agora tenho acesso gerencial a ele pela rede LAN, responde a ping, conectei um notebook diretamente em uma porta dele e pegou IP da minha LAN e navegou na internet sem problemas.
    O que tenho dúvida agora é sobre como provisionar os AP’s nesse equipamento, antes de fazer o procedimento nesse fim de semana, gostaria de confirmar se é desse modo mesmo.
    Não os enxergo no painel do UDM, acredito que seja pelo motivo deles estarem provisionados no meu srv-app antigo, que irei aposentar em breve.
    Se isso estiver correto, basta para mim ir nas configurações dele e esquecer “Forget This Device” para ele voltar ao padrão de fábrica e ficar disponível para provisionamento, com isso podendo ser Provisionado no equipamento novo?
    Acredito que seja uma dúvida boba, mas é minha primeira experiencia com Unifi, queria ter certeza de ser esse o procedimento.

  • UI-SamuelUI-Samuel 1377 Pontos
    Você tem 2 opções:

    1) restaurar no UDM o backup da sua antiga controladora;
    2) resetar o device para ele aparecer e ser readotado no UDM.

    1) UniFi Controller: Como Fazer o Backup e Restauração das Configurações?
    2) Como Resetar um Access Point UniFi?
  • alestisalestis 0 Pontos
    Maravilha, vou tentar a opção 2, como o servidor tem um OS mais antigo, prefiro não fazer essa opção.
    Vou tentar isso no fim de semana na minha janela de manutenção e atualizo aqui o resultado, muito obrigado como sempre.
Entre ou Registre-se para fazer um comentário.