Naar de inhoud
Avanet

UniFi-apparaat verbinden met Cloud Controller via Sophos Firewall

UniFi Access Points en switches vinden een controller niet automatisch over locatiegrenzen heen. Wanneer een apparaat in een lokaal netwerk staat, maar de UniFi Controller extern of als Cloud Controller draait, is een correcte L3-adoptie nodig: DNS, uitgaande firewallregels en indien nodig het set-inform-commando.

Deze handleiding toont de praktische werkwijze wanneer een Sophos Firewall als gateway of DNS-server betrokken is. Voor de fundamentele keuze hoe een UniFi Controller beheerd moet worden, is eerst UniFi Controller - beheer van Access Points & switches geschikt. Als UniFi switches met Sophos Firewall VLANs worden gebruikt, helpt daarnaast VLAN configureren op Sophos Firewall en UniFi Switch.

Klanten met een Sophos Firewall-abonnement kunnen de Avanet Cloud Controller gratis gebruiken voor maximaal vijf UniFi-apparaten.

Vereisten

Voor de adoptie moet duidelijk zijn:

  • Het UniFi-apparaat krijgt via DHCP een IP-adres.
  • DNS werkt vanuit het apparaat-VLAN.
  • Het apparaat mag de controller uitgaand bereiken.
  • Controller-FQDN of controller-IP is bekend.
  • SSH-toegang tot het UniFi-apparaat is mogelijk, voor het geval DNS-adoptie niet werkt.
  • Op de Sophos Firewall zijn passende firewallregels voor het apparaatnetwerk aanwezig.

Voor de uitgaande communicatie naar de UniFi Cloud Controller zijn doorgaans deze poorten relevant:

  • TCP-poort 8080: Voor managementtaken en adoptie (het instellen van de controllerparameter via het set-inform-commando).
  • UDP-poort 3478: Voor het STUN-protocol, dat gebruikt wordt voor dataverzameling en het bepalen van het publieke IP-adres.
  • TCP-poort 8443: Voor toegang tot de webinterface van de controller en remote beheer. Voor pure apparaatadoptie is deze poort niet altijd cruciaal, maar wel relevant voor admin-toegang tot de controller.

Op de Sophos Firewall moet deze vrijgave zo strikt mogelijk zijn: de bron is het UniFi-management- of apparaatnetwerk, de bestemming is de Cloud Controller of diens FQDN, en services zijn alleen de benodigde poorten. Voor algemene regelcontrole is Sophos Firewall regel testen met Log Viewer en Packet Capture geschikt.

L3-adoptie via DNS

UniFi-apparaten proberen standaard de naam unifi op te lossen en verbinden zich met die controller. Als deze DNS-naam naar de Cloud Controller verwijst, kunnen nieuwe apparaten automatisch bij de juiste controller verschijnen.

Dit werkt alleen als de Sophos Firewall in het betreffende netwerk ook als DNS-server wordt gebruikt, of als de verantwoordelijke DNS-server de naam unifi correct oplost. In Sophos Firewall-omgevingen moet men daarom eerst controleren welke DNS-servers via DHCP aan de UniFi-apparaten worden uitgegeven.

Bij een Sophos Firewall kan de instelling er bijvoorbeeld zo uitzien:

Sophos Firewall UniFi Controller DNS-instellingen
Sophos Firewall UniFi Controller DNS-instellingen

Na het DNS-record test men vanuit hetzelfde VLAN:

  1. UniFi-apparaat herstarten of DHCP-lease vernieuwen.
  2. Controleren of de naam unifi naar de verwachte controller verwijst.
  3. In de UniFi Controller controleren of het apparaat als adoptie-klaar verschijnt.
  4. In de Sophos Firewall in Log Viewer controleren of verkeer van het apparaatnetwerk naar de controller is toegestaan.

L3-adoptie via CLI

Als DNS-adoptie niet werkt of een individueel apparaat gericht aan een controller moet worden toegewezen, kan de controller via SSH worden ingesteld. Eerst moet de UniFi switch of Access Point in het netwerk gestart zijn en een IP-adres hebben gekregen.

1. SSH-verbinding maken met het apparaat

Verbind vanaf de admin-client via SSH:

ssh ubnt@<device-ip>

Het standaardwachtwoord in de fabrieksinstelling is vaak ubnt. Als het apparaat al was geadopteerd, kan een ander wachtwoord zijn ingesteld. Na succesvolle adoptie met de controller wordt het apparaatwachtwoord automatisch gewijzigd.

2. UniFi Controller instellen

Na succesvolle login wordt de controller met set-inform ingesteld:

set-inform http://<controller-hostname>:8080/inform

Alternatief kan in plaats van de hostnaam het controller-IP worden gebruikt, als het operationele model dat vereist. Een FQDN is meestal beter onderhoudbaar, omdat het doeladres later kan veranderen zonder elk apparaat opnieuw te moeten configureren.

Daarna meldt het apparaat zich normaal gesproken zonder herstart binnen enkele seconden bij de UniFi Controller. In de controller moet het apparaat vervolgens worden geadopteerd. Als het apparaat na adoptie weer Disconnected toont, voer dan het set-inform-commando nogmaals uit. Dit is bij UniFi-apparaten een veelvoorkomend proces, omdat de controller na adoptie nieuwe toegangsgegevens naar het apparaat schrijft.

Controleren op de Sophos Firewall

Als een UniFi-apparaat de controller niet bereikt, moet men het apparaat niet meteen resetten. Meestal is een van deze punten de oorzaak:

  • DHCP geeft verkeerde DNS-servers uit.
  • De naam unifi lost niet op naar de gewenste controller.
  • Een firewallregel staat TCP 8080 of UDP 3478 niet toe.
  • Het apparaat-VLAN heeft geen internettoegang of geen toegestane route naar de controller.
  • NAT of Policy Routing stuurt het verkeer via het verkeerde WAN-pad.
  • De controller is bereikbaar, maar het apparaat is nog niet geadopteerd in de controller.

Op de Sophos Firewall helpen Log Viewer, Policy Test en Packet Capture. Vooral belangrijk is of het verkeer uit het juiste bronnetwerk komt en of de verwachte firewallregel van kracht is. Als VLANs betrokken zijn, moet ook gecontroleerd worden of het UniFi-apparaat daadwerkelijk in het geplande management- of apparaat-VLAN zit.

Nuttige SSH-commando’s

Bij verbinding met de UniFi switch of Access Point via SSH zijn deze commando’s handig voor eerste analyse.

Apparaatgegevens tonen:

info

Controller opnieuw instellen op de standaardnaam unifi:

set-inform http://unifi:8080/inform

Apparaat terugzetten naar fabrieksinstellingen:

set-default

set-default verwijdert de bestaande apparaatconfiguratie. Deze stap moet pas worden uitgevoerd nadat IP-adres, DNS, firewallregel en controllerbereikbaarheid zijn gecontroleerd.

UniFi-apparaat resetten

Soms is een reset zinvol, bijvoorbeeld als een apparaat nog gekoppeld is aan een oude controller en de toegangsgegevens niet meer bekend zijn.

  • Herstart: De Reset-knop op het apparaat kort indrukken en loslaten.
  • Fabrieksinstellingen herstellen: De Reset-knop langer dan vijf seconden ingedrukt houden totdat de LED uitgaat.

Na een factory reset moet het apparaat opnieuw een IP-adres krijgen en de controller weer bereiken. Daarom moet men vóór de reset controleren of DHCP, DNS en firewallregels echt correct zijn. Als het apparaat daarna in het verkeerde VLAN terechtkomt of de controller niet kan oplossen, begint de foutopsporing opnieuw bij de netwerkconfiguratie en niet bij de controller.

Probleemoplossing

Apparaat verschijnt niet in UniFi Controller

Controleer eerst of het apparaat een IP-adres heeft gekregen en of het de controllernaam kan oplossen. Gebruik daarna op de Sophos Firewall Log Viewer of Packet Capture voor TCP 8080 en UDP 3478.

DNS-adoptie werkt niet

Controleer welke DNS-server via DHCP wordt uitgegeven. Als niet de Sophos Firewall, maar een interne DNS-server verantwoordelijk is, moet de naam unifi daar worden toegevoegd. Bij meerdere VLANs kunnen verschillende DHCP- en DNS-configuraties bestaan.

set-inform werkt, maar adoptie blijft hangen

Na het eerste set-inform het apparaat in de controller adopteren en het commando daarna opnieuw uitvoeren. Controleer ook of de controller vanuit het apparaatnetwerk via TCP 8080 bereikbaar blijft.

Apparaat was al geadopteerd bij een andere controller

Dan komen de lokale toegangsgegevens vaak niet meer overeen met ubnt. Als het apparaatwachtwoord niet meer bekend is, blijft meestal alleen een factory reset over. Zorg er eerst voor dat het apparaat daarna weer netjes in het juiste netwerk komt.

Checklist voor werking

  • UniFi-apparaten bevinden zich in een bewust gepland management- of apparaatnetwerk.
  • DHCP geeft gateway en DNS correct uit.
  • De DNS-naam unifi verwijst naar de gewenste controller, als DNS-adoptie wordt gebruikt.
  • Sophos Firewall staat alleen de benodigde uitgaande poorten naar de controller toe.
  • Log Viewer toont de verwachte firewallregel.
  • Controllertoegangsgegevens en apparaatwachtwoorden zijn gedocumenteerd.
  • Factory reset wordt pas uitgevoerd na controle van DNS, poorten en regels.

FAQ

Waarom vindt een UniFi-apparaat de Cloud Controller niet?

Meestal ontbreken DNS-resolutie, uitgaande firewallregels of de juiste Inform-URL. Controleer eerst of het apparaat een IP-adres, gateway en DNS ontvangt en of TCP 8080 en UDP 3478 naar de controller zijn toegestaan.

Wanneer is set-inform nodig?

set-inform is zinvol wanneer DNS-adoptie niet werkt of wanneer één UniFi-apparaat gericht aan een controller moet worden toegewezen. Na adoptie moet het commando vaak een tweede keer worden uitgevoerd.

Welke rol speelt Sophos Firewall bij adoptie?

Sophos Firewall is vaak gateway, DNS-server of controlepunt voor de uitgaande verbindingen naar de controller. Daarom moeten DHCP, DNS, firewallregel, NAT en Log Viewer samen worden gecontroleerd.

Moet een UniFi-apparaat meteen worden gereset?

Nee. Een factory reset moet pas gebeuren nadat IP-adres, DNS, controllerbereikbaarheid, firewallregel en bekende credentials zijn gecontroleerd. Anders komt het apparaat na de reset mogelijk opnieuw in hetzelfde netwerkprobleem terecht.