Seite 1: Ubiquiti UniFi: Ein Heimnetzwerk für Enthusiasten

ubiquiti-rj45Für viele Anwender reicht es aus, einfach den WLAN-Router mit Kabel- oder DSL-Modem in zentraler Position der Wohnung oder des Hauses aufzustellen und schon müssen sich keine Gedanken mehr über das Netzwerk gemacht werden. Dank guter WLAN-Reichweite moderner Hardware und zahlreicher Konfigurationsmöglichkeiten reicht dies in der Regel auch aus – zumindest mit gewissen Einschränkungen. Doch solche Lösungen haben Grenzen, die per Repeater oder Mesh-Netzwerk noch erweitert werden können, aber sicherlich auch nicht immer zufriedenstellend sind. Im Zuge eines Hausumbaus haben wir uns den Aufbau und den Einsatz eines Heimnetzwerkes mit gehobenen Ansprüchen angeschaut.

Die Spanne an Herstellern, Hardwaremodellen und dem damit einhergehenden Funktionsumfang ist groß. Einfache Switches sind bereits ab 20 Euro zu bekommen und teilen dann den Datenverkehr zwischen vier bis fünf Gigabit-Verbindungen auf. Im professionellen Umfeld spielt das Management aber eine ebenso wichtige Rolle, wie die Leistung der Hardware als solches. Der IP-Verkehr kann genauer gesteuert werden, eigene Routing-Tabellen lassen sich anlegen, die Systeme lassen sich nach Belieben anpassen und anstatt einer "einfachen Weboberfläche in Windows-3.11-Optik" kann ein komplettes Linux inklusive Kommandozeileneingabe installiert werden.

Aber soweit wollen wir nun noch nicht gehen, stattdessen ging es darum, ein Haus mit drei Etagen mit moderner Netzwerkhardware auszustatten. Für einen möglichst guten WLAN-Empfang auf allen Etagen mussten entsprechende Access Points installiert und angebunden werden – auch auf dem Liegestuhl auf der Terrasse sollte der Empfang möglichst gut sein. Doch es gehört auch etwas persönliches Interesse dazu, denn vieles ginge auch einfacher, bietet dann aber bei weitem nicht den gewünschten Funktionsumfang. Inzwischen arbeiten in den meisten Haushalten 5-10 Geräte im WLAN, im Falle des Autors dieses Artikels sind ständig zwischen 15 und 20 Geräte mit dem WLAN verbunden. Hinzu kommen noch einmal ein gutes Dutzend per Ethernet verbundene Geräte. Da kann sich der Aufwand für ein umfangreicheres Netzwerk-Equipment bereits lohnen.

Weit weg von PowerLine, WLAN-Repeatern und eines selbstkonfigurierenden Mesh-Netzwerkes spielen beim Aufbau eines solchen Netzwerkes auch noch andere Aspekte eine Rolle. Im Falle des Praxiseinsatzes von PoE in Form des Netgear GS510TLP und Ubiquiti UniFi AP AC Lite sind wir darauf bereits etwas eingegangen. Der Einsatz des UniFi AP AC Lite sorgte auch dafür, die gesamte Netzwerkinfrastruktur auf Hardware von Ubiquiti umzustellen. Diese wollen wir uns in der Folge einmal einzeln etwas genauer anschauen.

UniFi Switch 16 150W

Den Anfang macht dabei der US‑16‑150W. Der UniFi Switch 16 150W bildet die zentrale Komponente des Netzwerkes und stellt damit das Rückgrat dar. Der Switch bietet 16 RJ45-Ports mit Gigabit-Ethernet und PoE-Unterstützung sowie zweimal SFP für 1-Gigabit-Ethernet mit SFP-Tranceivern. Hinsicht der PoE-Unterstützung kann der US-16-150W mit beiden Standards umgehen: PoE+ nach IEEE 802.3at/af und 24V Passive PoE. Bis zu 150 W können an PoE-Geräte, egal ob Access Points, Kameras oder anderes Netzwerk-Equipment geliefert werden. Per PoE+ können bis zu 34,2 W an einen einzelnen Port geliefert werden. Bei Passive PoE sind es 17 W. Damit ergibt sich rein rechnerisch nicht die Möglichkeit alle Ports mit PoE-Hardware zu bestücken, was in den meisten Fällen aber auch nicht notwendig ist. Hinzu kommt, dass bei einer Leistungsaufnahme über 50 W der verbaute Lüfter ins Spiel kommt. Dieser ist temperaturgesteuert und läuft in unserem Fall bei der Nutzung von fünf PoE-Geräten noch nicht. Damit verbleibt der Switch lautlos. Steht dieser im Keller in einem Rack spielt aber selbst die Lautstärke wohl kaum eine Rolle.

Die Switching-Kapazität liegt bei 36 GBit/s und sollte damit für jeden Haushalt bei weitem ausreichen. Der sogenannte Non-Blocking-Durchsatz beläuft sich auf 18 GBit/s. Wer sein Netzwerk etwas weiter konfigurieren möchte, findet mit dem US‑16‑150W die entsprechenden Möglichkeiten. Der Mac-Adressentabelle kann bis zu 16.384 Einträge fassen. Maximal sechs RJ45-Ports können per Link-Aggregation zusammengefasst werden. Zudem kann der Switch bis zu 255 VLANs verarbeiten. 

Der US‑16‑150W kann in einem Rack oder an einer Wand installiert werden. Ein Kaltgerätestecker reicht für die Versorgung aus, das Netzteil ist demnach integriert.

UniFi Switch 8 60 W

Da im Wohnzimmer gerne mehr als zwei Geräte per Ethernet angebunden werden sollen, bietet es sich an hier noch eine Art Unterverteilung vorzunehmen. Mehr als zwei Kabelstränge sollten aber ohnehin nicht von einem Punkt an den zentralen US‑16‑150W geführt werden (baulich bedingt), also wurde hier noch ein US-8-60W installiert, der zudem einen Access Point versorgt.

Der US-8-60W bietet Gigabit-Ports. Die Switching-Kapazität liegt bei 16 GBit/s. Vier der acht Ports bieten die Unterstützung für PoE nach IEEE802.3af und liefern pro Port maximal 15,4 W. Die maximale Leistungsaufnahme liegt bei 60 W – es können also alle vier Ports die maximalen 15,4 W liefern. Ein externes Netzteil versorgt den US-8-60W.

Am US‑16‑150W angeschlossen sind einer der Access Points, zudem aber auch ein AppleTV 4K, ein Satelliten-Netzwerk-Receiver der das DVB-S-Signal im Netzwerk zur Verfügung stellt, ein Fernseher und eine Nintendo Switch.

UniFi Security Gateway

Um unserem Netzwerk die gewisse Intelligenz beizubringen bzw. auch dem Sicherheitsaspekt gerecht zu werden, haben wir zwischen dem DSL- oder Kabelrouter als Eintritts- und Zugangspunkt zum Internet noch einen UniFi Security Gateway installiert. Das Security Gateway schaltet sich an zentraler Stelle zwischen den Datenverkehr zum Internet und dem im internen Netzwerk. Wichtigste Aufgabe ist dabei der Aufbau einer Firewall, denn gerade wer sein Heimnetzwerk außerhalb der von den Routerherstellern gewählten Konfigurationen betreiben will, öffnet Angreifern schnell Tür und Tor. Das Security Gateway verwaltet zudem eventuell vorhandene VLANs und kann bei Bedarf bei Deep Packet Inspection (DPI) den Inhalt der Datenpakete aufschlüsseln.

Außerdem bietet das Security Gateway die Möglichkeit des Betriebes des UniFi Controller – also der Softwareschnittstelle zur Konfiguration sämtlicher Netzwerkhardware von Ubiquiti. Über den UniFi Controller können sämtliche Funktionen des Netzwerkes zentral gesteuert werden. Wer keinen UniFi Controller verwenden möchte, muss jedes Gerät einzeln konfigurieren und betreibt es auch als singuläre Entität im Netzwerk.

Das Security Gateway kann direkt mehrere VLANs aufbauen, so dass der Datenverkehr bereits hier aufgetrennt und gesondert voneinander behandelt werden kann. In unserem Fall betreiben wir drei VLANs – eines für den normalen Nutzer im Heimnetzwerk, eines für den Gast (WLAN-Gastnetzwerke werden dazu dem Gast-VLAN zugeordnet) und eines für das geschäftliche Umfeld des Home-Office. Bei den WLANs versorgen wir den Haushalt mit zwei getrennten drahtlosen Netzwerken – eines für den normalen Nutzer und das geschäftliche Umfeld und eines für den Gastnutzer. So können jedem Netzwerk im LAN oder WLAN die entsprechenden Privilegien zugeteilt werden und auch sämtliche sicherheitsrelevanten Aspekte werden abgedeckt. Eine Deep Packet Inspection wird beispielsweise nicht für Gäste im LAN/WLAN durchgeführt.

Das UniFi Security Gateway bietet drei RJ45-Ports und wird mittels externem Netzteil versorgt. In den WAN-1-Anschluss wird die Verbindung des Internet-Modems gefüttert, durchläuft das Gateway und kann per LAN 1 als Uplink im ersten Switch verwendet werden. WAN 2 / LAN 2 kann, wie die Bezeichnung schon sagt, als alternativer WAN-Zugang oder zweiter Uplink verwendet werden.

Um eine ausreichende Leistung als Firewall und für die DPI liefern zu können, ist ein MIPS64-Prozessor mit zwei Kernen und einem Takt von 500 MHz verbaut. Der Flash-Speicher misst 2 GB und dem Prozessor stehen 512 MB an DDR2-Arbeitsspeicher zur Verfügung. Wir kennen solche Hardware-Angaben von modernen WLAN-Routern, die inzwischen auch mit Taktraten und Anzahl der Kerne prahlen – nicht immer macht dies aber auch Sinn. Bei entsprechendem Datenverkehr, der Verwaltung mehrere VLANs, VPNs, WLANs und einer aktiven DPI kann die Rechenleistung aber durchaus eine Rolle spielen.

Die Layer-3-Forwarding-Leistung des UniFi Security Gateway liegt bei einer Paketgröße von 64 Bytes bei 1 Million Pakete pro Sekunde. Bei Paketen von 512 Bytes und größer kann das Security Gateway einen Datenverkehr mit einer Bandbreite von 3 GBit/s verarbeiten. Wer also nicht über eine Glasfaseranbindung mit mehr als 3 GBit/s ins Internet verfügt und diese auch nicht ständig saturiert, muss sich darüber zunächst einmal keine Gedanken machen.

UniFi Cloud Key

Um den UniFi Controller, also die Software zur Verwaltung nutzen und ständig alle Daten erheben zu können, muss eine entsprechende Software auf einem Rechner der Netzwerks laufen. Wer dies auf einer extra Hardware tun möchte, kann sich den Cloud Key anschaffen. Dieser stellt sowohl innerhalb des eigenen Netzwerkes als auch Remote über einen Fernzugriff den Zugang zum UniFi Controller sicher.

Beim Ubiquiti Cloud Key handelt es sich um einen kleinen Stick, der am Netzwerk angeschlossen und per PoE mit Strom versorgt wird. Die Stromversorgung kann aber auch über ein externes Netzteil und den Typ-C-Anschluss erfolgen. Im Cloud Key arbeitet ein Quad-Core SoC nebst 2 GB DDR-Arbeitsspeicher und 16 GB Flashspeicher.

Wie gesagt, der UniFi Controller arbeitet theoretisch auch schon mit dem Security Gateway zusammen, dann muss lokal auf dem Rechner aber das entsprechende Software-Gegenstück installiert sein und ständig laufen. Der Cloud Key übernimmt diese Aufgabe und macht den Zugriff auf den UniFi Controller per App möglich. Auf diese gehen wir später noch etwas genauer ein.

UniFi AP AC Lite

Neben den Switches für den Aufbau des WLAN-Netzwerkes sind die Access Points wichtig. Diese stellen die WLAN-Verbindung für die mobilen Geräte bereit. Wir haben uns hier für den UniFi AC Lite entschieden. Dabei handelt es sich um die kleinste Variante der via PoE-versorgten Access Points aus dem Hause Ubiquiti. Der Ubiquiti UniFi AP AC Lite ist für den Inneneinsatz vorgesehen. Der Hersteller bietet auch größere und schnellere Modelle sowie solche für den Außeneinsatz an.

Der UniFi AP AC Lite bietet eine Bandbreite von 300 MBit/s im 2,4-GHz-Band und 867 MBit/s im 5-GHz-Band. Damit ist er nicht gerade einer der schnellsten Access Points, die 867 MBit/s sollten im Alltag aber ausreichen. Ubiquiti verwendet jeweils eine MIMO-Konfiguration aus 2x2 Antennen für die beiden Bänder. Die Reichweite wird vom Hersteller mit 122 m angegeben, wobei dies natürlich von den baulichen Gegebenheiten abhängig ist. Versorgt wird der Access Point mittels PoE. Eine Wand- sowie Deckenmontage ist möglich.

Die Versorgung mittels PoE hat Vorteile, da nicht nur das Netzteil angespart wird, sondern auch die Verkabelung einfacher ist. Egal ob an der Decke oder der Wand, es muss einfach nur das Netzwerkkabel zur Verfügung stehen und schon kann es losgehen.

Modelle wie der UniFi AP AC Pro bieten auch ein WLAN mit 1.300 MBit/s und müssen dann auch dementsprechend mit PoE+ versorgt werden. Ein späteres Update bzw. ein Austausch der AP AC Lite gegen ein stärkeres Modell ist problemlos möglich. Der Access Point bietet eine ungewöhnliche Optik, denn es handelt sich um eine flache Scheibe mit einem Durchmesser von 160 mm, die 31 mm dick ist. Das Gewicht von 185 g spielt bei einer Wand- und Deckenmontage sicherlich keine große Rolle.

Der Access Point verfügt über einen einzigen Anschluss. Hier wird das Ethernet-Kabel eingesteckt, worüber der Access Point auch mit Strom versorgt wird. Zurückgesetzt werden kann die Hardware über einen Taster. Zur Wand- oder Deckenmontage wird die Montageplatte an die Wand oder Decke geschraubt und der Ubiquiti UniFi AP AC Lite kann dann wiederum darauf festgedreht werden. Über eine Kabelführung am Gehäuse wird das Netzwerkkabel dann nach Außen geführt oder verschwindet direkt hinter dem Access Point in Wand oder Decke. Wer nicht über einen Switch mit PoE-Versorgung verfügt, kann den AP AC Lite auch mittels eines Netzteils versorgen. Dazu wird das Netzwerkkabel in den Adapter eingesetzt und über PoE versorgt wieder hinaus und zum Access Point geführt. Der PoE-Adapter wird über einen Kaltgerätestecker versorgt.

UniFi AC Mesh Outdoor

Da eventuell auch ein Außenbereich entsprechend gut mit dem WLAN abgedeckt werden soll, haben wir auch dort einen Access Point verbaut. Die Wahl fiel dabei auf den UniFi AC Mesh Outdoor. Dieser erreicht genau wie der AP AC Lite 300 MBit/s im 2,4-GHz-Netz und 867 MBit/s im 5-GHz-Netz. Jeweils eine 2x2-Antennenkonfiguration sorgt für eine möglichst gute Sende- und Empfangsleistung. Versorgt wird der UniFi AC Mesh Outdoor mittels Passive 802.3af PoE – so ist bei keinem Access Point die Installation eines Netzteils notwendig.

Im Lieferumfang des UniFi AC Mesh Outdoor befinden sich gleich mehrere Möglichkeiten der Befestigung. Dazu gehören Montageplatte für ein Festschrauben an einer Wand oder einer Stange. Ebenfalls im Lieferumfang enthalten sind die beiden Omni-Antennen, die für die meisten Anwendungsbereiche auch ausreichend sind. Optional sind auch andere Antennen erhältlich – je nachdem, wie und wo der UniFi AC Mesh Outdoor eingesetzt wird und ob eher der Nahbereich oder eine möglichst große Abdeckung eine Rolle spielt.

Der UniFi AC Mesh Outdoor ist für den Außeneinsatz vorgesehen, allerdings vergibt Ubiquiti keinerlei IP- oder NEMA-Rating wie es sonst bei Hardware für den Außeneinsatz üblich ist. Laut Ubiquiti kann der UniFi AC Mesh Outdoor aber allen Wetterbedingungen ausgesetzt werden und übersteht Temperaturen von -30 bis +70 °C und eine Luftfeuchtigkeit von 5 bis 95 %. Wir haben ihn unter einem Dachvorsprung auf der Wetterseite eines Hauses eingesetzt und damit bisher keinerlei Probleme gehabt. Eine gesicherte Zertifizierung wäre aber dennoch wünschenswert.