Une installation WIFI haut de gamme avec Ubiquiti de UniFi

ObjetsConnectesAdmin

il y a 4 ans

Table des matières

1 Mon choix : UniFi Ubiquiti
2 POE / Non POE pour les switch et les points d’accès WIFI
3 Quelques fonctionnalités / configurations de la Dream Machine Pro Ubiquiti
4 Un WIFI avec DNS Filtering pour les enfants
- 4.1 Dynamic DNS
- 4.2 VPN = Virtual Private Network
5 Intégration dans Jeedom
6 Conclusions

Mon choix : UniFi Ubiquiti

Quand on pense routeur, on pense naturellement à CISCO. Sauf que CISCO est horriblement cher en terme d’achat et en terme de licence. Pour des multinationales, on peut comprendre mais pour un particulier ou une PME, cela se justifie moins. Ces derniers cherchent plutôt du matériel professionnel moins coûteux (et sans licences).

Pour choisir ma solution, j’ai fait appel à un ami ingénieur système et il m’a orienté vers UniFi Ubiquiti. Après analyse, j’étais assez convaincu de cette solution professionnelle qui allait me permettre d’enfin avoir un réseau haut de gamme, en ce compris la partie WIFI. J’avais bien testé le MESH, et j’en avais parlé ici, mais les performances n’étaient pas au rendez-vous.

Finalement, j’ai commandé cette configuration (pour un millier d’euro environ, soit le prix d’un bon ordinateur):

1 UniFi Dream Machine PRO : un routeur et contrôleur avec security gateway (IDS = Intrusion Detection System / IPS = Intrusion Prevention System), DPI (Deep Packet Inspection) 10G SFP+ WAN, 8-ports Gbps (et, accessoirement, la possibilité d’y intégrer un disque dur 3,5” surtout utile pour la vidéo-surveillance). Cet appareil est le coeur de l’installation sur lequel les autres appareils UniFi Ubiquiti vont se greffer.

3 points d’accès WIFI :
- 2 UniFi Long-Range Access Point AP AC LR. Le principal avantage des AP LR de Ubiquiti est qu’ils sont prévus pour des longues portées. Dans une maison, on a souvent l’un ou l’autre appareil très distant et difficile à connecter au WIFI. C’est donc un point d’accès qui va privilégié la portée et non pas la performance. Le prix en sera d’autant plus réduit. Les caractéristiques techniques sont : Dual-Band simultané, débit en 5Ghz jusqu’à 867 Mbps, débit en 2.4 GHz jusque 450 Mbps et une portée théorique de 183 mètres.

- 1 UniFi Access Point PRO. L’avantage de ce point d’accès est la performance. Il peut en effet servir trois clients en simultané (3X3 MIM0) et les vitesses théoriques sont supérieures (1300 Mbps sur la fréquence 5 GHz et 450 Mbps sur la fréquence 2.4 GHz). La portée théorique est toutefois rabotée ici à 122 mètres. Enfin il possède en plus un second port Gbits qui peut être bien utile pour alimenter en RJ45 un autre appareil.

Quelques switch 4 ports ou 8 ports pour les pièces où j’ai plus d’appareils à câbler que de prises murales RJ45.

Un switch UniFi 24 ports car les 8 ports de la Dream Machine Pro n’étaient pas suffisants vu le nombre d’appareils à câbler.

Une fois le tout câblé, cela donne une topologie assez complète que l’application smartphone d’UniFi Ubiquiti génère automatiquement.

PS: à cause de la longueur de certains câbles, trop courts, je n’ai pas encore pu brancher tous mes switchs et points d’accès en direct sur le routeur. C’est quelque chose que je vais corriger pour plus de performances.

POE / Non POE pour les switch et les points d’accès WIFI

Dans les constructions modernes, le câblage est surement CAT 5E ou CAT 6. Hélas, chez moi, c’est en CAT 5. Du coup, le POE n’est pas conseillé de ce que j’ai pu lire ici et là.

Le Power over Ethernet (PoE) est une technologie qui utilise les câbles Ethernet RJ45 pour alimenter les équipements à la fois en électricité et à la fois en données. Cela permet d’éviter l’installation d’un double réseau (IP et électrique).

Tous les points d’accès UniFi / Ubiquiti sont POE…et uniquement POE. On les alimente donc, en principe, via un switch POE. Sauf que, dans mon cas, le câblage ne le permettait pas. J’ai donc cherché des points d’accès UniFi / Ubiquiti non POE et je n’en ai pas trouvé un seul. En fait, c’est tout simplement parce cela ne servirait à rien. Les points d’accès UniFi / Ubiquiti sont en effet livrés avec un injecteur POE. Ce petit appareil reçoit deux entrées:

une alimentation 220V à brancher dans une prise de courant classique
une connexion RJ45 pour les données.

En sortie, il alimentera via un câble POE (à prévoir donc CAT 5E minimum) à la fois l’électricité et à la fois les données au point d’accès.

Bien sûr, si votre câblage le permet, il est plus propre et facile d’acheter un switch avec des ports POE pour alimenter vos points d’accès via un seul câble.

Enfin, si vous avez la place, l’idéal est de mettre tout ce beau matériel dans une armoire réseau. Bon je sais, mon installation n’est pas hyper nickel mais si vous aviez vu avant, vous verriez la nette amélioration 🙂

Quelques fonctionnalités / configurations de la Dream Machine Pro Ubiquiti

Il y a bien entendu un nombre important d’options et de configurations possibles sur le routeur. Je ne vais pas les passer toutes en revue mais je vais plutôt me concentrer sur quelques unes que j’ai activées et qui me semblent intéressantes.

L’application smartphone UniFi Network

L’installation des appareils peut se faire via une application smartphone ou via un PC. Mais il faut impérativement avoir un compte Ubiquiti, dans un cas comme dans l’autre. Ca, c’est vraiment dommage. Le proposer, c’est un plus. L’imposer c’est un moins.

Les étapes de l’installation sont assez simples et intuitives. Ce dont il faut se souvenir, c’est qu’une fois le matériel branché, il faut l’adopter dans l’application pour qu’il commence à fonctionner. Je vous conseille aussi de faire la mise à jour software dès l’installation. J’ai eu par exemple la mauvaise surprise que la Dream Machine Pro n’arrivait pas à communiquer avec le Switch 24 Ports UniFi alors que les deux étaient connectés par un câble 10G SFP+ (10 Gbits, ca serait plus sympa que le câble RJ45 limité à 1 Bits). C’est visiblement un double problème. Tout d’abord, selon le modèle, la vitesse ne peut pas dépasser 1 Gbits. Il faut bien lire les spécifications de son switch. Les miennes indiquaient “(2) SFP Ports” sans plus de précisions. Mais, plus bas dans les petits détails que personne ne lit, on trouvait “(2) 1 Gbps SFP Ethernet Ports”. Visiblement il y a des versions pro et non pro des switch et une des différences, hormis le prix (ça peut augmenter de 300 euros, est celle là.

Il faut donc régler le port SFP+ de la Dream Machine sur “1 Gbps FDX” (car la Dream Machine a elle un port SFP de 10gbits). Une fois cela fait et une fois le logiciel mis à jour (cette seconde étape est importante), la communication a fonctionné. J’ai quand même perdu des heures sur ce problème et c’est dommage d’avoir investi dans un câble à 10 bits pour se retrouver avec la même vitesse qu’un simple câble RJ45.

L’application smartphone UniFi Network sert à installer les appareils. Mais elle sert aussi ensuite pour monitorer l’installation au travers des divers écrans :

Ecran 1: Informations générales
Ecran 2: Statut des équipements UniFi : switch, points d’accès,….
Ecran 3: Détail d’un équipement avec données techniques (adresse IP, adresse MAC) et statut de chaque port
Ecran 4: Détail d’un des ports d’un équipement

Ecran 5: Informations sur les clients connectés aux réseaux
Ecran 6: Détail sur un client connecté
Ecran 7: Statistiques d’un client connecté
Ecran 8: DPI (Deep Packet Investigation) donnant des informations sur l’usage réseau de ce client.

Ecran 9: Aperçu des statistiques des réseaux
Ecran 10: Aperçu des statistiques de traffic avec les consommations par application ou par client
Ecran 11: Les autres options comme les alertes, les informations de sécurité,….
Ecran 12: Topologie du réseau

La configuration des réseaux

La Dream Machine Pro se configure également via un browser internet en se connectant à son adresse IP. Et on retrouve toutes les statistiques évoquées ci-dessus.

Une des fonctionnalités de base d’un réseau est bien entendu la configuration du DHCP pour attribuer les adresses IP aux appareils du réseau. Le routeur Dream Machine Pro permet de créer plusieurs réseaux et de configurer le DHCP réseau par réseau.

VLAN = Réseau LAN virtuel

Un VLAN est un réseau LAN virtuel c’est-à-dire un réseau logique indépendant. L’idée, en créant un ou des VLANs, est d’isoler certains appareils des autres. Ils vont donc utiliser phyisquement les mêmes routeurs, switch et poins d’accès WIFI mais ils seront totalement isolés sur un réseau qui leur sera propre.

Dans le monde IOT (Internet Of Thing), il est vivement conseillé d’isoler ses objets connectés sur un réseau séparé et cela se fait par l’utilisation d’un VLAN.

On crée alors un réseau (non WIFI) pour les objets connectés filaires (comme les ponts Hue qui se connectent en RJ45):

On choisit un numéro VLAN (au choix mais il faut éviter le 1 qui est réservé)
On configure le DHCP pour attribuer les adresses IP (attention à bien mettre un autre range d’adresses que celui du réseau normal. Si votre réseau privé commence par exemple par est 192.169.10….. alors choisissez par exemple 192.169.11…..

Au niveau des ports du routeur et des switch, on les assigne à un VLAN particulier quand le port est exclusivement utilisé par un seul réseau. En rouge sur l’image ci-dessous, on voit les réseaux existants assignables port à port :

Pour les objets connectés WIFI, on crée un WIFI séparé (la Dream Machine Pro d’UniFi permet d’en créer jusqu’à quatre). Ce WIFI va utiliser le réseau non WIFI crée ci-dessus. On indique donc le même numéro de VLAN c’est-à-dire 2 dans la partie “Advanced Options”.

On a donc maintenant un réseau VLAN (à la fois RJ45 et WIFI) qui sera utilisé par les objets connectés. Il reste une dernière étape à mettre en place: isoler les réseaux les uns des autres pour qu’ils ne puissent pas communiquer entre eux. Cela se fait en ajoutant des règles de routage au niveau du firewall. On choisit la section LAN IN (très important) et on créé deux règles : une pour bloquer les packets du réseau des objets vers le réseau privé. Et une seconde pour l’inverse : bloquer les packets du réseau privé vers le réseau des objets. On retrouve les deux règles sous les numéro 2000 et 2001:

Les règles de routage vont bloquer (“drop”) les packets de tous les (“all”) protocoles

Et, on choisit à la fois au niveau de la source et de la destination, l’option réseau (“Network”) et le nom du réseau (barré en rouge par soucis de confidentialité).

Pour pousser la sécurité à son maximum, on peut encore configurer ce qu’on appelle le Client Isolation. Cela empêche les clients WIFI de se voir les uns les autres et donc de communiquer entre eux. Ils ne peuvent, dès lors, que communiquer vers internet (et logiquement vers leur Cloud). C’est une fonctionnalité qui est implémentée, par exemple, dans les hotspots internet pour éviter que les utilisateurs ne se hackent ou ne s’infectent les uns les autres.

Attention toutefois que si vous implémentez cette option, vos objets réseaux ne pourront plus communiquer entre eux. Si vous avez par exemple installer un Jeedom qui doit se connecter à des équipements via le WIFI, cela ne fonctionnera plus.

Je n’ai donc pas implémenter cette option. Pour ceux qui sont intéressés par cette dernière, elle se fait en activant la “Guest Policy” sur le réseau WIFI.

DPI = Deep Packet Inspection

Le DPI inspecte en détail les données envoyées sur un réseau. On peut activer le DPI sur la Dream Machine Pro (au même endroit, d’ailleurs, qu’on peut remettre à zéro les statistiques):

On a alors accès, appareil connecté par appareil connecté, aux informations sur la consommation réseau de l’appareil :

WI-FI AI

Le WI-FI AI utilise les points d’accès WIFI pour déterminer la configuration optimale des “channels” de communication en fonction du trafic, du déploiement, de la densité et des clients. Ubiquiti UniFi permet le WI-FI AI que j’ai configuré pour tourner à 4h du matin tout les dimanche.

On voit ensuite, après un scan, qu’il procède à quelques changements de “channels”

IPS = Intrusion Prevention System

La sécurité est primordiale. La Dream Machine Pro d’UniFI propose deux modes de protection :

IDS : Intrusion Detection System
IPS : Intrusion Prevention System

Pour les particulier et les PME, on recherche surtout une détection active et une action automatique enclenchée derrière. IDS ne faisant qu’analyser, IPS est donc recommandé.

IPS est un outil d’analyse des données réseau. Les données passent par l’IPS qui réagit en temps réel en bloquant les ports suspects. IPS fonctionne à partir d’une base de données signatures : il repère les signatures connues pour être malveillantes et il les bloque.

Sur la Dream Machine Pro, on choisit les catégories de menaces qui sont analysées et sur lesquelles le routeur doit intervenir.

Un WIFI avec DNS Filtering pour les enfants

Je souhaitais aussi créer un WIFI sécurisé pour les enfants. J’en ai donc crée un sur un VLAN dédié (tant qu’à faire et puisqu’on parle ici de tablettes n’ayant pas à vocation à partager des données sur le réseau local).

Pour amener ensuite de la sécurité pour les enfants, on peut implémenter le DNS Filtering en choisissant un des trois filtres prédéfinis sur un des réseau WIFI existants (ici le réseau _Kids créé ci-dessus).

Dynamic DNS

La plupart des particuliers n’ont pas une adresse IP fixe de leur fournisseur internet. C’est une option payante que peu choisissent. Du coup, de temps en temps, l’adresse IP externe de leur routeur change (souvent après un reboot du routeur). Ce n’est pas très pratique car cela survient sans prévenir. Pour contourner cela, on peut utiliser le Dynamic DNS. On se crée un compte chez un fournisseur de Dynamic DNS (gratuit chez noip mais il faut le valider tous les mois) où l’on peut choisir une URL qui sera alors utilisée pour se connecter à son routeur au lieu de son adresse IP externe.

On configure ensuite la Dream Machine Pro pour qu’elle se connecte au compte noip. A chaque fois que l’adresse IP externe du routeur change, le changement est communiqué à noip. Et comme on ne se connecte plus à la Dream Machine Pro via son adresse IP mais qu’on le fait via une URL, ce changement d’adresse IP est transparent.

Dynamic DNS est surtout pratique en combinaison avec un serveur VPN (qui est le point suivant).

Avec noip, cela fonctionne bien. J’ai ensuite essayé la même chose avec DynHost chez OVH mais là cela n’a jamais fonctionné hélas. Sur internet, il semblerait que je ne sois pas le seul avec ce blocage.

VPN = Virtual Private Network

Pour faire simple, configurer un VPN vous permettra de vous connecter à votre réseau local à travers d’internet et en toute sécurité lorsque vous n’êtes pas chez vous. Du point de vue informatique, vous vous retrouverez exactement comme si vous étiez connecté chez vous. C’est assez pratique pour imprimer ou pour accéder à des équipements dont on a pas ouvert l’accès sur internet.

Chez Ubiquiti, il faut activer RADIUS (un protocole d’authentification) avant de créer le VPN. Cela permet d’implémenter une couche de sécurité.

Etape 1: Activer Radius Server et choisir une secret key

Etape 2: Créer un utilisateur RADIUS (et choisir son mot de passe). Cet utilisateur sera utilisé pour se connecter via le VPN. Mon VPN se faisant avec le protocole L2TP, c’est ce dernier que je choisis.

Etape 3: Créer un profile RADIUS qui sera assigné au serveur VPN à l’étape suivante. L’IP Address à mettre au niveau de “RADIUS Auth Server” est l’adresse IP de votre Dream Machine Pro (à supposer que vous ayez bien activé RADIUS sur la Dream Machine Pro à l’étape 1) et les ports sont ceux choisis à l’étape 1.

Etape 4: Créer un serveur VPN en utilisant une Pre-Shared key (le mot de passe), le type L2TP (ou celui utilisé à l’étape 2). Sur l’écran suivant, il faudra aussi choisir le profile RADIUS. Il faut indiquer celui créé à l’étape 3.

Etape 5: Configurer son MAC, PC ou smartphone pour se connecter en VPN. Sur MAC, il faut aller dans Network Preference et créer une connection VPN. Pour le Server Address, il faut indiquer soit l’adresse IP externe de la Dream Machine PRO soit l’URL si vous avez activé “Dynamic DNS”. Il faut ensuite renseigner le nom d’utilisateur Radius créé à l’étape 2. Cliquez ensuite sur “Athentication Settings” et renseignez le mot de passe.

Enfin, sur MAC, n’oubliez pas de cliquer sur “Advanced” et de cocher “Send all traffic over VPN connection” sinon vous n’arriverez pas à accéder à vos équipements locaux.

Intégration dans Jeedom

Pour ceux qui disposent d’une box domotique Jeedom, ce dernier a accès aux informations de l’installation.

La création d’un user local “Super Admin”

La première chose à faire est de créer un compte local sur la Dream Machine Pro avec les permissions “Super Admin” afin de pouvoir configurer ensuite le plugin dans Jeedom.

Pour ce faire, on se connecte sur l’UniFi Dream Machine Pro, on clique sur le carré avec les 9 points juste à droite de “Dream Machine Pro” et on choisit “Users” en bas à gauche de la fenêtre.

Dans l’écran qui s’est ouvert, on clique sur “Add User” à droite.

Pour la création de l’utilisateur, il est important de sélectionner “Super Admin” comme “Rôle” et “Local Access Only” comme “Account Type”. On choisit ensuite un nom d’utilisateur dans “Local Username” et un mot de passe dans “Local Password”.

L’installation du plugin

Il existe un plugin très bien fait qui permet de récupérer les informations de l’installation UniFi et des clients dans Jeedom: le plugin Unifi de Nebz, vendu 6 euros sur le Jeedom Market.

L’installation du plugin Unifi est classique, avec activation, lancement des dépendances et lancement du Démon.

On doit ensuite configurer le plugin dans la section “Configuration”. Au niveau de “Controleur Unifi”, on renseigne l’adresse IP de la Dream Machine Pro et 443 comme port (et non pas 8443). On renseigne ensuite le nom d’utilisateur et le mot de passe créés à l’étape précédente.

Voilà, c’est presque fini. On clique sur le bouton “Rechercher les équipements Unifi” et, presque par magie, tout apparaît.

Les informations dans Jeedom

Le plugin a bien remonté une quantité impressionnante d’informations sur le site, le routeur, les switch, les points d’accès, les clients,…

Et, une fois un client activé, on a à sa disposition des informations dans le Dashboard, ainsi que la possibilité d’exécuter des commandes (comme bloquer ou débloquer).

Conclusions

Pour un peu moins d’un millier d’euros (soit moins que le prix d’un MAC neuf), je suis maintenant équipé d’une solution professionnelle et performante. Je ne regrette pas du tout mon achat.

Je suis un peu déçu du manque sur le contrôle parental (au-delà du DNS Filtering). Le point le plus dommage est de ne pas pouvoir configurer de planning d’accès à internet. Il serait bien de pouvoir, adresse MAC par adresse MAC, configurer les heures et jours pendant lesquels la connexion à internet est autorisée. Les routeurs de Proximus le permettent de façon conviviale. Ceux de VOO le permettent mais c’est nettement moins convivial et il faut bien creuser les forums pour y parvenir. C’est dommage que la Dream Machine Pro d’UniFi ne le permette pas.

Mais Ubiquiti/UniFi n’est pas le seul à ne pas proposer ces fonctionnalités. Peu de marques le font en fait. Et pour ceux qui en proposent, c’est souvent limité au WIFI. Un adolescent un peu débrouillard aura vite compris qu’il suffit de brancher un câble RJ45 dans la prise réseau de sa chambre.

Je suis aussi déçu des statistiques de trafic dont on il manque la dimension temps (on a en effet les chiffres globaux depuis la réinitialisation mais pas les chiffres par période de temps comme par jour, mois,….). Ensuite, il y a parfois des chiffres incompréhensibles qui apparaissent : des terabytes de volume pour un iPad par exemple….ou 73 Gb en quelques minutes sur une caméra.

Mais, malgré cela, je conseille fortement cette marque. Vous pouvez commander directement sur leur site web. Attention toutefois que les conditions sont sévères. Si vous décidez de retourner les appareils car cela ne vous convient pas, vous perdrez par 15%. Amazon est plus flexible pour cela.