Vai al contenuto
Avanet

Collegare un dispositivo UniFi al Cloud Controller tramite Sophos Firewall

UniFi Sophos Firewall

Gli UniFi Access Point e Switch non trovano automaticamente un controller oltre i confini di rete locali. Se un dispositivo si trova in una rete locale mentre il controller UniFi è esterno o gestito come Cloud Controller, è necessaria un’adozione L3 corretta: DNS, regole firewall in uscita e, se necessario, il comando set-inform.

Questa guida mostra il procedimento pratico quando una Sophos Firewall è coinvolta come gateway o server DNS. Per la decisione di base su come gestire un UniFi Controller, consultare prima UniFi Controller - Gestione di Access Point e Switch. Se si utilizzano switch UniFi con VLAN Sophos Firewall, è utile anche Configurare VLAN su Sophos Firewall e UniFi Switch.

I clienti con un abbonamento Sophos Firewall possono utilizzare gratuitamente Avanet Cloud Controller per fino a cinque dispositivi UniFi.

Prerequisiti

Prima dell’adozione è necessario assicurarsi che:

  • Il dispositivo UniFi riceva un indirizzo IP via DHCP.
  • Il DNS funzioni correttamente dalla VLAN del dispositivo.
  • Il dispositivo possa raggiungere il controller in uscita.
  • Il FQDN o l’IP del controller sia noto.
  • Sia possibile l’accesso SSH al dispositivo UniFi, nel caso l’adozione via DNS non funzioni.
  • Sulla Sophos Firewall siano presenti regole firewall adeguate per la rete del dispositivo.

Per la comunicazione in uscita verso il UniFi Cloud Controller sono tipicamente rilevanti queste porte:

  • TCP porta 8080: per attività di gestione e adozione (impostazione del parametro controller tramite il comando set-inform).
  • UDP porta 3478: per il protocollo STUN, usato per la raccolta dati e la determinazione dell’indirizzo IP pubblico.
  • TCP porta 8443: per l’accesso all’interfaccia web del controller e la gestione remota. Per la sola adozione del dispositivo questa porta non è sempre essenziale, ma è importante per l’accesso amministrativo al controller.

Sulla Sophos Firewall questa apertura dovrebbe essere il più possibile restrittiva: la sorgente è la rete di gestione o dei dispositivi UniFi, la destinazione è il Cloud Controller o il suo FQDN, i servizi sono solo le porte necessarie. Per la verifica generale delle regole è utile Testare regole Sophos Firewall con Log Viewer e Packet Capture.

Adozione L3 tramite DNS

I dispositivi UniFi tentano di risolvere di default il nome unifi e di connettersi a questo controller. Se questo nome DNS punta al Cloud Controller, i nuovi dispositivi possono apparire automaticamente sul controller corretto.

Questo funziona solo se la Sophos Firewall nella rete interessata è usata anche come server DNS oppure se il server DNS responsabile risolve correttamente il nome unifi. In ambienti Sophos Firewall è quindi consigliabile verificare prima quali server DNS vengono distribuiti via DHCP ai dispositivi UniFi.

Su una Sophos Firewall l’impostazione può ad esempio essere così:

Impostazioni DNS UniFi Controller su Sophos Firewall
Impostazioni DNS UniFi Controller su Sophos Firewall

Dopo la configurazione DNS è opportuno testare dalla stessa VLAN:

  1. Riavviare il dispositivo UniFi o rinnovare il lease DHCP.
  2. Verificare che il nome unifi punti al controller previsto.
  3. Controllare nel UniFi Controller se il dispositivo appare come adottabile.
  4. Verificare nel Log Viewer della Sophos Firewall che il traffico dalla rete dispositivi verso il controller sia consentito.

Adozione L3 tramite CLI

Se l’adozione via DNS non funziona o si vuole assegnare un singolo dispositivo a un controller specifico, il controller può essere impostato via SSH. Prima di tutto lo switch o access point UniFi deve essere acceso in rete e aver ricevuto un indirizzo IP.

1. Stabilire la connessione SSH al dispositivo

Dal client amministrativo connettersi via SSH:

ssh ubnt@<device-ip>

La password predefinita di fabbrica è spesso ubnt. Se il dispositivo è già stato adottato, potrebbe essere stata impostata una password diversa. Dopo un’adozione riuscita con il controller, la password del dispositivo viene modificata automaticamente.

2. Definire il UniFi Controller

Dopo il login, impostare il controller con set-inform:

set-inform http://<controller-hostname>:8080/inform

In alternativa al nome host si può usare l’IP del controller, se previsto dal modello operativo. Un FQDN è generalmente più manutenibile, perché l’indirizzo di destinazione può cambiare in seguito senza dover modificare ogni dispositivo.

Successivamente il dispositivo si registra normalmente senza riavvio entro pochi secondi al UniFi Controller. Nel controller deve poi essere adottato. Se dopo l’adozione il dispositivo torna a mostrare lo stato Disconnected, eseguire il comando set-inform una seconda volta. Questo è un comportamento frequente nei dispositivi UniFi, perché il controller scrive nuove credenziali sul dispositivo dopo l’adozione.

Verifiche sulla Sophos Firewall

Se un dispositivo UniFi non raggiunge il controller, non è necessario resettare subito il dispositivo. Di solito è coinvolto uno di questi aspetti:

  • DHCP distribuisce server DNS errati.
  • Il nome unifi non risolve verso il controller desiderato.
  • Una regola firewall non consente TCP 8080 o UDP 3478.
  • La VLAN del dispositivo non ha accesso a Internet o non ha un percorso consentito verso il controller.
  • NAT o policy routing instradano il traffico sul percorso WAN sbagliato.
  • Il controller è raggiungibile, ma il dispositivo non è ancora stato adottato nel controller.

Sulla Sophos Firewall sono utili Log Viewer, Policy Test e Packet Capture. È particolarmente importante verificare che il traffico provenga dalla rete sorgente corretta e che la regola firewall prevista sia attiva. Se sono coinvolte VLAN, controllare inoltre che il dispositivo UniFi si trovi effettivamente nella VLAN di gestione o dispositivi pianificata.

Comandi SSH utili

Quando ci si connette via SSH a uno switch o access point UniFi, questi comandi sono utili per una prima analisi.

Visualizzare informazioni sul dispositivo:

info

Reimpostare il controller al nome standard unifi:

set-inform http://unifi:8080/inform

Ripristinare il dispositivo alle impostazioni di fabbrica:

set-default

set-default cancella la configurazione esistente del dispositivo. Questo passaggio dovrebbe essere eseguito solo dopo aver verificato indirizzo IP, DNS, regole firewall e raggiungibilità del controller.

Reset del dispositivo UniFi

Talvolta un reset è utile, ad esempio se un dispositivo è ancora associato a un controller precedente e non si conoscono più le credenziali di accesso.

  • Riavvio: premere brevemente il tasto Reset sul dispositivo e rilasciare.
  • Ripristino alle impostazioni di fabbrica: tenere premuto il tasto Reset per più di cinque secondi, finché il LED si spegne.

Dopo un factory reset il dispositivo deve ricevere nuovamente un indirizzo IP e raggiungere il controller. Per questo è importante verificare prima del reset che DHCP, DNS e regole firewall siano configurati correttamente. Se il dispositivo finisce nella VLAN sbagliata o non riesce a risolvere il controller, la risoluzione dei problemi riparte dalla configurazione di rete e non dal controller.

Risoluzione dei problemi

Il dispositivo non appare nel UniFi Controller

Verificare innanzitutto che il dispositivo abbia ricevuto un indirizzo IP e che possa risolvere il nome del controller. Successivamente usare Log Viewer o Packet Capture sulla Sophos Firewall per TCP 8080 e UDP 3478.

L’adozione via DNS non funziona

Controllare quale server DNS viene distribuito via DHCP. Se non è la Sophos Firewall ma un server DNS interno, il nome unifi deve essere configurato lì. In presenza di più VLAN possono esserci configurazioni DHCP e DNS differenti.

set-inform funziona ma l’adozione resta bloccata

Dopo il primo set-inform adottare il dispositivo nel controller e poi eseguire nuovamente il comando. Verificare inoltre che il controller sia raggiungibile dalla rete dispositivi su TCP 8080.

Il dispositivo era già adottato da un altro controller

In questo caso le credenziali locali spesso non corrispondono più a ubnt. Se non si conosce più la password del dispositivo, di solito rimane solo il factory reset. Prima di procedere, assicurarsi che il dispositivo possa tornare correttamente nella rete prevista.

Checklist operativa

  • I dispositivi UniFi sono collocati in una rete di gestione o dispositivi pianificata.
  • DHCP distribuisce correttamente gateway e DNS.
  • Il nome DNS unifi punta al controller desiderato, se si usa l’adozione via DNS.
  • Sophos Firewall consente solo le porte in uscita necessarie verso il controller.
  • Log Viewer mostra la regola firewall attesa.
  • Credenziali di accesso al controller e password dei dispositivi sono documentate.
  • Il factory reset viene eseguito solo dopo aver verificato DNS, porte e regole.

FAQ

Perché un dispositivo UniFi non trova il Cloud Controller?

Nella maggior parte dei casi mancano risoluzione DNS, regole firewall in uscita o l’Inform URL corretta. Prima bisogna verificare che il dispositivo riceva indirizzo IP, gateway e DNS e che TCP 8080 e UDP 3478 verso il controller siano consentiti.

Quando serve set-inform?

set-inform è utile quando l’adozione tramite DNS non funziona o quando un singolo dispositivo UniFi deve essere assegnato in modo mirato a un controller. Dopo l’adozione il comando spesso va eseguito una seconda volta.

Che ruolo ha Sophos Firewall nell'adozione?

Sophos Firewall è spesso gateway, server DNS o punto di controllo per le connessioni in uscita verso il controller. Per questo DHCP, DNS, regola firewall, NAT e Log Viewer vanno controllati insieme.

Conviene resettare subito un dispositivo UniFi?

No. Un factory reset va eseguito solo dopo aver verificato indirizzo IP, DNS, raggiungibilità del controller, regola firewall e credenziali note. Altrimenti il dispositivo può ricadere nello stesso problema di rete dopo il reset.