UniFi Gerät mit Cloud Controller über Sophos Firewall verbinden
UniFi Access Points und Switches finden einen Controller nicht automatisch über Standortgrenzen hinweg. Wenn ein Gerät in einem lokalen Netz steht, der UniFi Controller aber extern oder als Cloud Controller betrieben wird, braucht es eine saubere L3-Adoption: DNS, ausgehende Firewall-Regeln und bei Bedarf den set-inform-Befehl.
Der Artikel beschreibt den praktischen Ablauf, wenn eine Sophos Firewall als Gateway oder DNS-Server beteiligt ist. Für die grundsätzliche Entscheidung, wie ein UniFi Controller betrieben werden soll, passt zuerst UniFi Controller - Verwaltung von Access Points & Switches. Wenn UniFi Switches mit Sophos Firewall VLANs verwendet werden, hilft zusätzlich VLAN auf Sophos Firewall und UniFi Switch konfigurieren.
Kunden mit einem Sophos-Firewall-Abonnement können den Avanet Cloud Controller für bis zu fünf UniFi Geräte kostenlos verwenden.
Voraussetzungen
Vor der Adoption sollte klar sein:
- Das UniFi Gerät erhält per DHCP eine IP-Adresse.
- DNS funktioniert aus dem Geräte-VLAN.
- Das Gerät darf den Controller ausgehend erreichen.
- Controller-FQDN oder Controller-IP ist bekannt.
- SSH-Zugriff auf das UniFi Gerät ist möglich, falls DNS-Adoption nicht greift.
- Auf der Sophos Firewall sind passende Firewall-Regeln für das Geräte-Netz vorhanden.
Für die ausgehende Kommunikation zum UniFi Cloud Controller sind typischerweise diese Ports relevant:
- TCP Port 8080: Für Management-Aufgaben und Adoption (das Setzen des Controller-Parameters über den set-inform-Befehl).
- UDP Port 3478: Für das STUN-Protokoll, das der Datensammlung und der Ermittlung der öffentlichen IP-Adresse dient.
- TCP Port 8443: Für den Zugriff auf das Web-Interface des Controllers und die Remote-Verwaltung. Für reine Geräte-Adoption ist dieser Port nicht immer der entscheidende Datenpfad, für Admin-Zugriff auf den Controller aber relevant.
Auf der Sophos Firewall sollte diese Freigabe möglichst eng bleiben: Source ist das UniFi-Management- oder Geräte-Netz, Destination ist der Cloud Controller oder dessen FQDN, Services sind nur die benötigten Ports. Für die allgemeine Regelprüfung passt Sophos Firewall Regel testen mit Log Viewer und Packet Capture.
L3-Adoption via DNS
UniFi Geräte versuchen standardmässig den Namen unifi aufzulösen und sich mit diesem Controller zu verbinden. Wenn dieser DNS-Name auf den Cloud Controller zeigt, können neue Geräte automatisch beim richtigen Controller erscheinen.
Das funktioniert nur, wenn die Sophos Firewall im betroffenen Netz auch als DNS-Server verwendet wird oder der zuständige DNS-Server den Namen unifi korrekt auflöst. In Sophos-Firewall-Umgebungen sollte man deshalb zuerst prüfen, welche DNS-Server per DHCP an die UniFi Geräte verteilt werden.
Bei einer Sophos Firewall kann die Einstellung zum Beispiel so aussehen:

Nach dem DNS-Eintrag sollte man vom gleichen VLAN aus testen:
- UniFi Gerät neu starten oder DHCP-Lease erneuern.
- Prüfen, ob der Name
unifiauf den erwarteten Controller zeigt. - Im UniFi Controller kontrollieren, ob das Gerät als adoptierbar erscheint.
- In der Sophos Firewall im Log Viewer prüfen, ob Traffic vom Geräte-Netz zum Controller erlaubt wird.
L3-Adoption via CLI
Wenn DNS-Adoption nicht greift oder ein einzelnes Gerät gezielt einem Controller zugewiesen werden soll, kann der Controller per SSH gesetzt werden. Zuerst muss der UniFi Switch oder Access Point im Netzwerk gestartet sein und eine IP-Adresse erhalten haben.
1. SSH-Verbindung zum Gerät herstellen
Vom Admin-Client aus per SSH verbinden:
ssh ubnt@<device-ip>
Das Standardpasswort im Auslieferungszustand lautet oft ubnt. Wenn das Gerät bereits adoptiert war, kann ein anderes Passwort gesetzt sein. Nach erfolgreicher Adoption mit dem Controller wird das Gerätepasswort automatisch geändert.
2. UniFi Controller definieren
Nach erfolgreichem Login wird der Controller mit set-inform gesetzt:
set-inform http://<controller-hostname>:8080/inform
Alternativ kann statt des Hostnamens die Controller-IP verwendet werden, wenn das Betriebsmodell das vorsieht. Ein FQDN ist meist wartbarer, weil sich die Zieladresse später ändern kann, ohne jedes Gerät erneut anzufassen.
Danach meldet sich das Gerät normalerweise ohne Neustart innerhalb weniger Sekunden am UniFi Controller. Im Controller muss es anschliessend adoptiert werden. Falls das Gerät nach der Adoption wieder Disconnected zeigt, den set-inform-Befehl ein zweites Mal ausführen. Das ist bei UniFi-Geräten ein häufiger Ablauf, weil der Controller nach der Adoption neue Zugangsdaten auf das Gerät schreibt.
Auf der Sophos Firewall prüfen
Wenn ein UniFi Gerät den Controller nicht erreicht, sollte man nicht sofort das Gerät zurücksetzen. Meistens ist einer dieser Punkte beteiligt:
- DHCP verteilt falsche DNS-Server.
- Der Name
unifilöst nicht auf den gewünschten Controller auf. - Eine Firewall-Regel erlaubt TCP 8080 oder UDP 3478 nicht.
- Das Geräte-VLAN hat keinen Internetzugriff oder keinen erlaubten Pfad zum Controller.
- NAT oder Policy Routing schickt den Traffic über den falschen WAN-Pfad.
- Der Controller ist erreichbar, aber das Gerät wurde im Controller noch nicht adoptiert.
Auf der Sophos Firewall helfen Log Viewer, Policy Test und Packet Capture. Besonders wichtig ist, ob der Traffic vom richtigen Source-Netz kommt und ob die erwartete Firewall-Regel greift. Wenn VLANs beteiligt sind, sollte zusätzlich geprüft werden, ob das UniFi-Gerät wirklich im geplanten Management- oder Geräte-VLAN liegt.
Nützliche SSH Commands
Wenn man sich mit dem UniFi Switch oder Access Point per SSH verbindet, sind diese Befehle für die erste Analyse hilfreich.
Geräteinformationen anzeigen:
info
Controller erneut auf den Standardnamen unifi setzen:
set-inform http://unifi:8080/inform
Gerät auf Werkseinstellungen zurücksetzen:
set-default
set-default entfernt die bestehende Gerätekonfiguration. Dieser Schritt sollte erst erfolgen, wenn IP-Adresse, DNS, Firewall-Regel und Controller-Erreichbarkeit geprüft wurden.
UniFi Device Reset
Manchmal ist ein Reset sinnvoll, zum Beispiel wenn ein Gerät noch mit einem alten Controller verheiratet ist und keine Zugangsdaten mehr bekannt sind.
- Neustart: Die Reset-Taste am Gerät kurz drücken und wieder loslassen.
- Werkseinstellungen wiederherstellen: Die Reset-Taste länger als fünf Sekunden gedrückt halten, bis die LED erlischt.
Nach einem Factory Reset muss das Gerät wieder eine IP-Adresse erhalten und den Controller erneut erreichen. Deshalb sollte man vor dem Reset prüfen, ob DHCP, DNS und Firewall-Regeln wirklich passen. Wenn das Gerät danach im falschen VLAN landet oder den Controller nicht auflösen kann, beginnt die Fehlersuche wieder bei der Netzwerkkonfiguration und nicht beim Controller.
Troubleshooting
Gerät erscheint nicht im UniFi Controller
Zuerst prüfen, ob das Gerät eine IP-Adresse erhalten hat und ob es den Controllernamen auflösen kann. Danach auf der Sophos Firewall Log Viewer oder Packet Capture für TCP 8080 und UDP 3478 verwenden.
DNS-Adoption funktioniert nicht
Prüfen, welcher DNS-Server per DHCP verteilt wird. Wenn nicht die Sophos Firewall, sondern ein interner DNS-Server zuständig ist, muss der Name unifi dort gepflegt werden. Bei mehreren VLANs kann es unterschiedliche DHCP- und DNS-Konfigurationen geben.
set-inform funktioniert, aber Adoption bleibt hängen
Nach dem ersten set-inform das Gerät im Controller adoptieren und den Befehl danach erneut ausführen. Zusätzlich prüfen, ob der Controller vom Geräte-Netz über TCP 8080 erreichbar bleibt.
Gerät war schon bei einem anderen Controller adoptiert
Dann stimmen die lokalen Zugangsdaten oft nicht mehr mit ubnt überein. Wenn kein Gerätepasswort mehr bekannt ist, bleibt meistens nur ein Factory Reset. Vorher sollte klar sein, dass das Gerät danach wieder sauber ins richtige Netz kommt.
Betriebscheckliste
- UniFi-Geräte liegen in einem bewusst geplanten Management- oder Geräte-Netz.
- DHCP verteilt Gateway und DNS korrekt.
- Der DNS-Name
unifizeigt auf den gewünschten Controller, wenn DNS-Adoption verwendet wird. - Sophos Firewall erlaubt nur die benötigten ausgehenden Ports zum Controller.
- Log Viewer zeigt die erwartete Firewall-Regel.
- Controller-Zugangsdaten und Gerätepasswörter sind dokumentiert.
- Factory Reset wird erst nach DNS-, Port- und Regelprüfung durchgeführt.
FAQ
Warum findet ein UniFi Gerät den Cloud Controller nicht?
Wann braucht man set-inform?
set-inform ist sinnvoll, wenn DNS-Adoption nicht greift oder ein einzelnes UniFi Gerät gezielt einem Controller zugewiesen werden soll. Nach der Adoption muss der Befehl oft ein zweites Mal ausgeführt werden.