Нещодавно мені довелося пройти процес повернення роутера Ubiquiti UXG-Lite за програмою RMA через апаратну несправність. Цей досвід виявився цікавим не лише з технічної точки зору, але й з боку міжнародної логістики та гарантійних умов. В цьому дописі я детально опишу кожен етап.

Що таке RMA

RMA (Return Merchandise Authorization) – це офіційна процедура повернення обладнання виробнику для діагностики, ремонту або заміни. Іншими словами, це своєрідний «дозвіл на повернення», який підтверджує, що виробник визнав пристрій несправним і готовий прийняти його назад.

Для Ubiquiti RMA є ключовим елементом післяпродажного обслуговування. Якщо у користувача виникають апаратні проблеми, які неможливо вирішити оновленням прошивки чи зміною налаштувань, служба підтримки після аналізу логів і тестів може видати дозвіл на RMA. Далі пристрій відправляється в сервісний центр виробника, де його перевіряють і, залежно від умов гарантії та характеру поломки, надають ремонт або заміну на новий екземпляр.

Передісторія та проблема з роутером

14 липня 2025 року я вперше зіткнувся з проблемою – інтернет зник, при цьому індикатори на обладнанні світилися, як зазвичай. Провайдер підтвердив, що проблема не з їхнього боку, а всередині моєї мережі. Після перезавантаження шлюзу ситуація не покращилася. Лише перезапуск комутатора на короткий час відновив зв’язок, але потім проблема повторилася. Я перевірив кабель, підключений між шлюзом і комутатором, – він був справний, що підтвердив тестером RJ45. Я зібрав діагностичні support-файли з обладнання та передав їх у техпідтримку Ubiquiti.

Через кілька днів з’явилася інша, більш серйозна проблема: шлюз UXG-Lite почав періодично перевантажуватися, при цьому використання ресурсів процесора сягало 100%. У логах з’явилися помилки QUIC-пакетів та повідомлення про HLOS Panic [0x47]. Я підозрював, що це може бути пов’язано з відомою вразливістю CVE-2023-33063 у чіпсетах Qualcomm IPQ5018 (на якому базується UXG-Lite). Ця помилка призводить до пошкодження пам’яті та аварійного завершення роботи системи. Я навіть уточнив у підтримки, чи є патч – вони відповіли, що інформацію передали розробникам для майбутніх оновлень.

27–29 липня 2025 року ситуація повторювалася щодня:

• Мережа працювала 12–24 години
• Потім шлюз раптово втрачав інтерфейс br0 (основний міст VLAN)
• Відновлення було можливе лише після жорсткого перезавантаження

Базуючись на таких симптомах, я отримав остаточний висновок підтримки:

“Втрата інтерфейсу br0 свідчить про внутрішній збій. Це апаратна проблема, яка не пов’язана з програмною частиною та не може бути виправлена прошивкою.”

2025-07-26T12:23:26+03:00 UXGLite systemd-networkd[1279]: br0: Link DOWN
2025-07-26T12:23:26+03:00 UXGLite systemd-networkd[1279]: br0: Lost carrier

Це означає, що основний мережевий міст пристрою час від часу просто “відвалювався”, що призводило до розриву з’єднання. Мені офіційно рекомендували оформити RMA для заміни пристрою.

Етапи RMA-процесу

Офіційна система RMA Ubiquiti показує шість статусів через які проходить заявка. Звісно є проміжкові етапи такі, як відправка роутера та його отримання мною. По завершенню процеса я зробив остаточний скріншот, і в цьому дописі я детально розпишу кожен етап.

Відправка запиту

Це перший етап, коли я виступаю ініціатором заявки. Звісно для того, щоб подати заявку повинен бути якийся доказ того, що пристрій несправний, наприклад фото пошкодження чи звіт від служби підтрмики із доказами у вигляді логів. Тому я подав заявку із наступним текстом:

Схвалення заявки

На наступний день заявка була схвалена без будь яких коментарів. Починаючи із дня схвалення заявки у користувача є 30 днів, щоб надіслати пристрій. Я розумів, що мій роутер працює нестабільно, проте ще 10 днів вирішив продовжити аналізувати проблему, тісно співпрацюючи з підтримкою.

Відправка роутера в Нідерланди

Після схвалення заявки мені були надані наступні рекомендації щодо відправки та пакування роутера:

• Потрібно роздрукувати packing slip та покласти його всередину коробки.
• Забезпечити читабельність наклейки з MAC-адресою на пристрої.
• Не потрібно надсилати оригінальну упаковку чи аксесуари.
• Якщо це частина комплекту, потрібно повертати його повністю (це правило для AmpliFi Kit, але UXG-Lite окремий пристрій).

Я упакував роутер згідно з рекомендаціями та відправив його до Нідерландів. За міжнародне відправлення я сплатив 544 гривні, що еквівалентно $13. У вікні Awaiting RMA Item я підтвердив відправку клацнувши на посилання “Mark as Sent“. Після цього статус оновився на “Product Sent“.

Тепер залишилося дочекатися, коли пристрій приймуть, перевірять і відправлять мені заміну.

Отримання роутера підрозділом RMA

Національна пошта України – Укрпошта доставила посилку в Нідерланди доволі швидко – за тиждень, проте вона затрималась на митниці в Нідерландах. Я вирішив про це сповістити RMA менеджера, щоб компанія вирішила митні питання і прискорила процес отримання роутера. Більше ніж на два тижні роутер ще перебував на митниці до моменту його розмитнення. Виявилося, що в Нідерландах мито нараховується на будь який товар, тому компанія Ubiquiti сплатила додатково €33.63 це і стало затримкою в логістиці.

• August 15 – Request for payment of shipment costs sent
• August 27 – Payment for shipment costs received

Сумарний термін доставки склав 3 тижні.

Тестування UXG-Lite

В день отримання роутера, спеціалісти RMA протестували його, про що я отримав повідомлення на пошту. Зазвичай це повідомлення надсилається разом із повідомленням про отримання.

Виконання заявки

Буквально через пів години я отримав ще одне повідомлення, про зміну статусу на “Fulfillment”. Така швидка реакція скоріш за все пов’язана з тим, що створення відправлення відбувається електронним методом через поштовий сервіс.

Відправка роутера до мене

Коли я вже фізично відправив роутер поштою в Нідерланди, мені в підтримці сказали, що RMA в Україну пристрої не надсилає на повернення, тому вони очікують, що я їм надам іншу адресу отримання в ЕС.

Добре що в мене є можливість скористатися послугами віддаленого складу в Польщі, тому я надіслав нову адресу, яка була передана в службу RMA. Згідно цієї адреси і було створено відправлення в цей самий день. Звісно такий шлях Нідерланди -> Польща -> Україна і по часу довший і по фінансам дорожчий, адже пересилка буде за мій рахунок.

• Відправка Нідерланди -> Польща відбулася логістичною компанією FedEx за рахунок Ubiquiti і по терміну склала лише 2 дні
• Відправка Польща -> Україна відбулася українською логістичною компанією Meest за мій рахунок, я сплатив €7,5 і тривала 7 днів

Отримання пристрою

Я отримав сповіщення від поштової компанії Meest про те, що посилка вже у відділенні і її можна забирати. Я був здивований розміром коробки, яка була за габаритами вдвічі більшою за оригінальне пакування. Відкривши транспортувальну коробку, побачив новий роутер UXG-Lite але вже Європейської ревізії.

Дивний момент з гарантією

Офіційна гарантія на роутер UXG-Lite – 1 рік. На момент мого звернення гарантійний термін уже давно минув. Проте після діагностики техпідтримка все ж схвалила RMA – очевидно, зважаючи на характер несправності та підтвердження, що це нестандартна робота пристрою. Після відправки роутера з мене не було стягнуто додаткових коштів, тому я розцінюю таку за безкоштовну.

Ще один нюанс – хоча покупка була через сайт у США, відправляти пристрій мені довелося не в Америку, а в Нідерланди. Це пов’язано з тим, що Ubiquiti має європейський сервісний центр, який обслуговує клієнтів з цього регіону.

Висновки

Навіть після закінчення гарантії Ubiquiti може схвалити RMA, якщо є підтвердження заводського дефекту і пристрій куплено саме на сайті убікуті. Процес чітко структурований: від подачі заявки до отримання нового пристрою. Логістика може бути міжнародною, навіть якщо покупка здійснена в іншій країні. Головне – зберігати всі докази несправності (логи, скріни, опис).

Підключення IP-камер Dahua до роутера з функцією відеореєстратора Ubiquiti UCG‑Max – це чудовий спосіб інтеграції наявної системи відеоспостереження в екосистему UniFi Protect, не витрачаючи кошти на повну заміну обладнання. І хоч раніше підтримувалися лише камери виробництва Ubiquiti, тепер ситуація змінилася.

Підтримка Third‑Party Cameras (ONVIF-сумісних камер) в UniFi Protect з’явилася відносно нещодавно – це було введено у версії 5.0 Protect, реліз якої був анонсований у жовтні 2024 року. Успішне додавання камер сторонніх виробників до UniFi Protect було офіційно підтверджене в Community Release версії UniFi Protect 5.0.33, де вже з’явилася підтримка прийому ONVIF-камер.

Для налаштування необхідно виконати послідовність дій:

• Налаштування камери Dahua
• Активація UniFi Protect
• Додавання камери

Почну послідовно із скріншотами.

Налаштування камери Dahua

В мене одна із бюджетних камер Dahua DH-IPC-HDW1230T1-S5, раніше я користувався програмним відеореєстратором, який був встановлений на мою Raspberry Pi. Але після придбання нового роутера я вирішив мігрувати на вбудоване рішення UniFi Protect.

Перевірка прошивки камери.

Необхідно вибрати пункт System -> Upgrade -> Manual check. В моєму випадку прошивка оновилася нещодавно, в червня 2025 року, що свідчить про те, що підтримка камери досі ведеться.

Активація ONVIF

Ця опція включається в розділі Network -> Access Platform -> ONVIF -> Authentication -> ON -> Save

Для аутентифікації треба створити користувача ONVIF System -> Account -> ONVIF User. Тут можна або створити нового користувача або відредагувати вже існуючого.

Перевірка дати, часу

Я думав, що це налаштування не важливе, проте я вирішив виконати рекомендації. Для цього я вибрав меню System -> General -> Date&Time перевірив що в мене всі налаштування відповідають необхідним, і час відображається коректно.

На цьому налаштування камери попередньо завершилося.

Активація UniFi Protect

За замовчанням UniFi Protect не активовано. Для його активації необхідно перейти в розділ Settings -> Console Plane і в списку додаткових сервісів навпроти Protect натиснути Install та дочекатися завершення установки.

Установка тривала приблизно 5 хвилин. В списку відобразилася остання на цей час версія UniFi Protect 6.0.53. В верхній панелі з’явилася додаткова вкладка – Protect, переходимо до неї. В розділі Dashboard відтворилося відео із можливостями UniFi Protect та посиланням на інструкцію по налаштуванню. Виглядає зворушливо!

Додавання камери

Для активації камер інших виробників, необхідно перейти в розділ Settings -> System ->Advanced і поставити галочку навпроти Discover 3rd-Party Cameras.

Після застосування змін необхідно перейти в меню Unifi Devices, і в списку автоматично відобразиться моя камера Dahua DH-IPC-HDW1230T1-S5. Для того, щоб вона додатлася, треба лише клацнути на посилання Click to Adopt.

Відкриється вікно, де треба ввести логін та пароль до камери, та натиснути на кнопку підтвердження – Confirm.

Майже миттєво камера підключиться і можна буде побачити її статус. Після того, як камера вже додалася, можна перейти на головну сторінку Dashboard та подивитися загальну інформацію.

Переваги та недоліки UniFi Protect

Тут мова іде саме про камери із підтримкою ONVIF тобто сторонніх виробників, як в мене – Dahua DH-IPC-HDW1230T1-S5. В мене є невеликий досвід роботи із камерами відеоспостереження, починаючи із комплексів Dahua та Hikvision так і з програмним рішеннями по типу NX Witness. Оскільки в мене тільки одна камера, то я вирішив описати саме ті критерії через які я спробував Ubiquiti UniFi Protect.

Я купив роутер Ubiquiti UCG-Max заради того, щоб додатково отримати сучасний, потужний відеореєстратор з об’ємом пам’яті 512 Гб. Тобто я розраховував на пристрій 2 в 1. В цілому мої очікування виправдалися, адже екосистема Ubiquiti мені подобається. Я розглядав критерій економії та раціональності використання одного пристрою замість двох. Якщо розписати по пунктах то це виглядає в порівнянні Ubiquiti UCG-Max та Ubiquiti UXG-Lite + Hikvision DS-E08NL-Q1 так:

• Ціна цих комплектів майже однакова
• Розмір UCG-Max менший аніж роутер + відеореєстратор

На жаль про недоліки я дізнався сьогодні під час налаштування та написання цієї статті. Через єдину екосистему Ubiquiti вирішили обмежити не тільки фірмові функції такі як штучний інтелект розпізнавання облич, номерних знаків, але і зовсім банальних непримітних функцій, як мінімум це відсутність можливості запису по руху чи події це як на мене дно, адже ніхто не буде переглядати 100 годин відео єдиним потоком, це дуже незручно!

Висновок

Додавання сторонніх IP-камер, зокрема Dahua, до Ubiquiti UCG-Max з UniFi Protect — це реальна можливість побудувати єдину систему відеоспостереження на базі вже наявного обладнання. Однак слід враховувати обмеження: ви отримуєте лише базовий запис відео 24/7 чи за розкладом, без повноцінної інтеграції «розумних» функцій камери. Це рішення ідеальне для тих, хто хоче централізувати архів та віддалений доступ, але не розраховує на глибоку аналітику у Protect, але точно не для мене!

Я для цього рішення буду купувати бюджетну камеру Ubiquiti G5 Turret Ultra яка коштує $129, та має базовий функціонал у вигляді звичайного запису по руху чи події, що мене цілком влаштовує. Інакше я буду змушений продавати Ubiquiti UCG-Max і купувати окремо бюджетний роутер та портативний відеореєстратор.

Я доволі давно купив роутер Ubiquiti EdgeRouter X, десь в листопаді 2020 року. Я вибрав цей роутер виключно через його компактність та невелику ціну. Під час першої ініціалізації там була встановлена прошивка v2.0.9. З цього моменту до прошивки були випущені лише хотфікси, без офіційних стабільних релізів. Останній хотфікс v2.0.9-hotfix.7 було анонсовано в серпні 2023 року. До сьогоднішнього дня, я думав що проект вже закрито, і роутер не буде більше підтримуватися, а значить не отримувати оновлення прошивки.

Я підписався на розсилку від Ubiquiti і одного разу отримав лист, де було анонсовано нову версію прошивки для мого роутера, з яким я хотів вже розставатися! Дійсно, нова прошивка версії 3 стала довгоочікуваним оновленням після серії release candidate версій – нарешті випущена у фінальній стабільній версії. Я її встановив, фіксуючи кожен крок, щоб поділитися з вами порівнянням цих двох версій EdgeRouter OS.

Ця стаття розглядає ключові нововведення та покращення – і стане у пригоді тим, хто планує оновитися або просто цікавиться розвитком EdgeRouter. В цій статті я зробив порівняльні скріншоти спочатку старої версії EdgeRouter OS v.2.0.9-hotfix.7 а нижче ту саму сторінку вже в інтерфейсі нової оновленої EdgeRouter OS 3

Основні зміни EdgeRouter OS 3

• Нове оформлення веб‑інтерфейсу (GUI): повністю перероблений дизайн, нове ліве меню замість вкладок, оновлений елемент “ports widget” у верхній панелі
• Dark Mode — темна тема для комфортнішої роботи
• Повноцінна підтримка WireGuard VPN — налаштування через GUI і CLI, з можливістю використання у сценаріях Site-to-Site VPN, VPN Server та VPN Client
• DHCPv6 тепер ігнорує реклами без необхідних полів або з пропущеними статусами
• UISP-інтеграція: віддалений доступ до локального GUI через UISP
• Скориговано тему системних налаштувань, додано індикацію CPU та статусу “hardware” у верхній панелі, попередження про температуру
• Покращення безпеки:
  • Фаєрвол за замовчуванням блокує весь вхідний трафік на eth1.
  • Валідація імені файлу при відновленні конфігурації.
  • Логування IP WebSocket-клієнтів — для виявлення brute‑force-атак.
  • Краща перевірка складності паролів.
  • SSH вимкнено у конфігурації за замовчування.

Іншими словами тут мова піде не лише про дизайн, а і про функціональність.

Процес оновлення

При виявленні нової версії EdgeRouter OS, користувач буде проінформований в верхній панелі GUI написом “Ready to upgrade“. Після натискання на цю кнопку статус зміниться на “Upgrading”. Цей процес триватиме десь 3-5 хвилин. Під час оновлення системи в розділі “Alerts”, де з’явиться повідомлення: “Upgrade to latest firmware version has started”.

Для того, щоб оновлення застосувалось, система рекомендує перезавантажити роутер. Якщо проігнорувати цю дію, то оновлення застосується при наступному перезавантаженні. Звісно при оновленні всі налаштування зберігаються, адже різниця між версіями невелика.

Після перезавантаження роутера користувач вже буде насолоджуватися новим інтерфейсом та функціоналом свого роутера.

Сторінка входу

В порівнянні із старою версією дизайн став мінімалістичним, та більш чітким. Одноколірна схема більш адаптована для світлого та темного режимів.

Основна сторінка (Dashboard)

Як бачите на головній сторінці меню перенесено на бічну панель та оформлено у вигляді піктограм. Новий візуальний інтерфейс дуже схожий на інтерфейс Unifi OS. Користувачі які раніше працювали з Unifi OS знайдуть в такій структурі схожі риси.

Якщо бути уважним, то можна побачити значення аптайм, якого в старому інтерфейсі на головній сторінці не було.

Аналіз трафіку (Traffic Analysis)

Як на старій так і на новій прошивці я цю функцію не вмикав, адже для мене цей параметр не грає великого значення, проте поділюся порівнянням цих версій. В цілому цей функціонал не зазнав важливих змін, окрім графічного розміщення елементів, таких як пошук. Також більш явними стали посилання на активацію аналізу трафіку, адже синій колір швидше кидається в очі аніж вибір сірого пункту.

Маршрутизація (Routing)

Як і в попередніх пунктах, це вікно окрім дизайну не змінило свою логіку. Всі елементи залишилися на своїх місцях, проте стали більш видимими за рахунок виділення синім кольором.

Брандмауер (Firewall/NAT)

В цьому вікні я розгляну вкладку перенаправлення портів (Port Forwarding). В цьому меню, на відміну від старого компактного дизайну, новий інтерфейс виглядає більш широким, що не дає змоги розміститися всій необхідній інформації на один екран, користувачу необхідно буде скролити вниз, щоб подивитися таблицю правил.

Сервіси (Services)

Екрани за винятком дизайна мають ідентичний функціонал.

VPN

VPN в мене також не налаштовано, проте в новому інтерфейсі з’явився розділ WireGuard. Звісно, можна було включити цей розділ і в старій прошивці, проте приємно, що ця функція автоматично активувалася в новій. Для користувача це тільки перевага, адже можна підключити EdgeRouter до іншого WireGuard хоста для налаштування різних типів VPN.

• Site-to-Site VPN – підключення до вузла WireGuard та динамічна або статична маршрутизація трафіку між вузлами.
• VPN Server – дозволяє віддаленим клієнтам WireGuard підключатися до EdgeRouter та отримувати доступ до локальної мережі.
• VPN Client – підключення до постачальника VPN та маршрутизація трафіку через VPN WireGuard за допомогою маршрутизації на основі політик.

QoS

QoS в мене також не налаштовано, тому ділюся лише візуальною різницею.

Користувачі (Users)

На відміну від більшості попередніх меню, в меню користувачів додалася функція дистанційного керування. Тобто в новій версії підключення було розділено на локальне та дистанційне. Тепер не потрібно буде користувачу робити проброс портів, тим самим знижуючи безпеку підключення.

Дерево конфігурацій (Config Tree)

В дереві конфігурацій, як в старій так і в новій версіях меню, в яких внесені зміни, виділені жирним шрифтом. Більше змін в цьому розділі нема.

Майстер меню (Wizard)

В цьому меню основні пункти виділені також синім кольором, для кращого фокусування на підменю.

Висновки

Прошивка EdgeRouter OS 3.0.0 в основному була націлена на зміну дизайну, дуже схожого на Unifi OS. Найбільшу цінність оновлення має для тих, хто користується VPN, хоче кращого UI або цінує безпеку.

UniFi Network Controller від Ubiquiti надає зручний інтерфейс для керування мережею, однак для глибшої діагностики та налаштування іноді необхідний доступ до командного рядка через SSH. Для забезпечення безпеки та зручності варто використовувати SSH ключ замість пароля. У цій статті розглянемо, як створити SSH ключ, додати його до UniFi Controller і використовувати для входу на пристрій.

Генерація SSH ключів

В мене встановлена операційна система Ubuntu, тому я буду її використовувати для всіх налаштувань. В терміналі треба виконати команду для генерації приватного та публічного SSH ключів.

ssh-keygen -t ed25519 -C "unifi-access"

Буде запропоновано вказати шлях для збереження ключа та його назву. Вказуємо де він буде зберігатися, зазвичай це домашня директорія користувача, та надаємо назву unifi_key або натиснути Enter для шляху за замовчуванням (~/.ssh/id_rsa).

Generating public/private ed25519 key pair.
Enter file in which to save the key (/home/UserName/.ssh/id_ed25519): unifi_key

Після цього буде запропоновано створити пароль для приватного ключа. Цей пароль буде завжди запитуватися при зверненні до цього ключа, проте я додам данні до ssh-агента, щоб уникнути постійного введення цього пароля, а систему залишити в безпеці.

Enter passphrase (empty for no passphrase): 
Enter same passphrase again:

В результаті буде згенеровано два файли:

• Приватний ключ: ~/.ssh/unifi_key
• Публічний ключ: ~/.ssh/unifi_key.pub

Додавання публічного ключа

В новому інтерфейсі Unifi Network розділ із налаштуваннями дистанційного керування перенесли в розділ пристроїв:

Unifi Devices -> Device Updates and Settings -> Device Settings -> SSH Keys

Для цього треба буде ввести назву публічного ключа та його вміст.

Щоб подивитися вміст щойно створеного публічного ключа, треба його відкрити:

cat ~/.ssh/unifi_key.pub
ssh-ed25519 AAA.....cpoM unifi-access

Цей рядок і копіюємо у відповідний блок, та додаємо його до контролера. Натискаємо на кнопку Apply Changes і маємо ключ, залишилося його додати до агента та перевірити підключення.

Як додати ключ до SSH-агента

Щоб не вказувати шлях до публічного ключа щоразу, можна додати ключ до SSH агента. Якщо раніше був створений пароль, для приватного ключа, його треба ввести.

ssh-add ~/.ssh/unifi_key
Enter passphrase for /home/home/.ssh/unifi_key: 
Identity added: /home/home/.ssh/unifi_key (unifi-access)

Перевірка підключення

Тепер з цього ПК, можна підключитися до будь якого пристрою, який додано до UniFi контролера, не вказуючи пароль, проте логін треба вже використовувати root.

ssh [email protected]
Linux UXGLite 5.4.213-ui-qcom #5.4.213 SMP PREEMPT Wed Apr 30 13:12:54 CST 2025 aarch64

Firmware version: v4.1.13

Висновки

Використання SSH ключів для доступу до пристроїв UniFi — це безпечніший і зручніший підхід порівняно з паролями. Ключі важче перехопити, а при правильному використанні їх можна легко оновлювати та відкликати. UniFi Controller дозволяє централізовано поширювати ключі на всі пристрої, що спрощує адміністрування великої мережі.

Ознайомившись із графіком активності Postfix сервера за допомогою Zabbix, я визначив, що кожні 5 хвилин зловмисник перебирає логіни та паролі методом брутфорса. Щоб цьому запобігти, я вирішив діяти вручну та продемонструвати, як створити правило для фаєрвола на основі чорного списку IP-адрес.

У моєму роутері Ubiquiti UniFi UXG-Lite можна заблокувати певні IP-адреси або підмережі, створивши Network Objects і використовуючи Firewall Policy.

Створення чорного списку

Чорний список – це перелік IP-адрес і/або підмереж, організований як група мережевих об’єктів. Щоб створити таку групу, виконайте такі кроки:

1. Перейдіть у меню Settings (шестерня).
2. Виберіть Profiles.
3. Перейдіть до Network Objects.
4. Натисніть Create New.

У вікні, що відкриється, заповніть такі поля:

• Object Name – назва групи (наприклад, Postfix Black List).
• Type – виберіть “IPv4 Address/Subnet”.
• Address – введіть першу IP-адресу або підмережу.

Після цього натисніть Add, щоб створити список і застосувати зміни.

Створення правила блокування для Ubiquiti UniFi Zone-Based Firewall

Враховуючи те, що в мене оновився роутер, то в мене активувалася нова функція – Zone-Based Firewall. Вона візуально розділяє правила на групи відповідно до їх типу. Тому налаштування я буду робити в новому інтерфейсі, де правила вже називаються полісі.

Згідно таблички зон, полісі треба додати в комірку на перехресті Source External та Destination Internal. Для цього клацаємо на комірку і в самому низу списку полісі клацаємо на кнопку Create Policy.

Принцип роботи полісі простий:

1. Виявляти зовнішній трафік на наявність IP-адрес та/або підмереж які внесені в чорний список
2. Блокувати трафік з відповідних IP-адрес та/або підмереж, при умові що трафік направляється в локальну мережу.

Таке налаштування з’явилося тільки в Zone-Based Firewall, адже до цього нововведення можна було блокувати весь трафік. Наразі налаштування більш гнучкі, тому таке полісі можна створити для кожної зони окремо.

Справа відкриється сайдбар, де необхідно заповнити відповідні поля. Поля згруповані по блокам, щоб можна було легше орієнтуватися в налаштуваннях:

Name: Postfix Black List.

Блок Source Zone

• Значення External буде за замовчуванням, якщо раніше була вказана необхідна комірка в таблиці Zone-Based Firewall, інакше необхідно вибрати значення External
• Вибрати значення IP
• Вибрати значення Object
• З випадаючого списка вибрати раніше створену групу Postfix Black List
• Вибрати значення Port: Any

Блок Action

• Вибрати значення Block

Блок Destination Zone

• Значення Internal буде за замовчуванням, якщо раніше була вказана необхідна комірка в таблиці Zone-Based Firewall, інакше необхідно вибрати значення Internal
• Вибрати значення Any
• Вибрати значення Port: Any

Блок додаткових налаштувань

• IP Version: IPv4
• Protocol: All
• Connection State: All
• Syslog Logging: checkbox enabled
• Schedule: Always
• Description: Block all IP’s from the Postfix blacklist

Клацаємо Add Policy. Нове правило відобразиться в списку правил, також воно буде застосовано миттєво.

Перевірка роботи полісі

Записи фіксуються в меню System Log на вкладці Triggers. Де можна вибрати кожен окремий запис і ознайомитися з деталями, як зображено на скріншоті.

Висновки

Функція Zone-Based Firewall в Ubiquiti UniFi дозволяє ефективно блокувати небажаний трафік, використовуючи чорні списки IP-адрес. Використання Network Objects і гнучких політик у новому інтерфейсі спрощує налаштування та керування безпекою мережі.

Кожен пристрій має як свої переваги так і недоліки.

Якщо у вас один провайдер, і обмежено місце для встановлення шлюзу, і цей шлюз буде завжди за закритими дверцятами розподільчої коробки, то вибором буде Gateway Lite.

Якщо вам потрібен безперервний інтернет, а саме можливість керування двома WAN портами, пристрій буде знаходитися на відкритому місці, то вибором може стати Cloud Gateway.

Давайте тепер розглянемо базову табличку порівняння основних характеристик цих двох Unifi шлюзів безпеки

Характеристика	UXG Lite	UCG-Ultra
Processor	Dual-core ARM® Cortex®-A53 at 1 GHz	Quad-core ARM® Cortex®-A53 at 1.5 GHz
Memory	1 GB DDR3L	3 GB DDR4
On-board storage	–	16 GB eMMC
Management	Ethernet Bluetooth 5.1	Ethernet Bluetooth
Networking	LAN: (1) GbE RJ45 port WAN: (1) GbE RJ45 port	LAN: (4) GbE RJ45 ports WAN: (1) 1/2.5 GbE RJ45 port
IDS/IPS throughput	–	1 Gbps
Power consumption	3.83W	6.2W
Display	LED	LCM 0.96″ status display
Dimensions	98 x 98 x 30 mm (3.9 x 3.9 x 1.2″)	141.8 x 127.6 x 30 mm (5.6 x 5 x 1.2″)
Weight	320 g (11.3 oz)	520 g (1.1 lb)
Enclosure material	Polycarbonate	Polycarbonate
Power	USB type C (5V/3A)	USB type C (5V DC/3A)
Performance	WiFi QoS with UniFi APs Application, domain, and country-based QoS Application and device type identification Additional internet failover with LTE Backup Internet quality and outage reporting	WiFi QoS with UniFi APs Application, domain, and country-based QoS Application and device type identification Additional internet failover with LTE Backup Internet quality and outage reporting Redundant WAN with failover and load balancing
Next-generation security	Application-aware firewall rules Signature-based IPS/IDS threat detection Content, country, domain, and ad filtering VLAN/subnet-based traffic segmentation Full stateful firewall	Application-aware firewall rules Signature-based IPS/IDS threat detection Content, country, domain, and ad filtering VLAN/subnet-based traffic segmentation Full stateful firewall
Advanced networking	License-free SD-WAN* WireGuard, L2TP and OpenVPN server OpenVPN client OpenVPN and IPsec site-to-site VPN One-click Teleport* and Identity Enterprise VPN** Policy-based WAN and VPN routing DHCP relay Customizable DHCP server IPv6 ISP support	License-free SD-WAN WireGuard, L2TP and OpenVPN server OpenVPN client OpenVPN and IPsec site-to-site VPN One-click Teleport and Identity VPN Policy-based WAN and VPN routing DHCP relay Customizable DHCP server IGMP proxy IPv6 ISP support
Application Requirements	UniFi Network Version 8.0.7 and later	Mobile app UniFi iOS: Version 10.12.0 and later UniFi Android: Version 10.11.2 and later

В цьому випадку основною перевагою UCG-Ultra над UXG Lite є наявність великої кількості портів, а саме можливість конфігурування одного LAN порту у WAN, що дає змогу підключити другого провайдера. Це дуже корисно при використанні в невеликому офісі. Друга перевага – це вбудований контролеру керування, що дає можливість забути про зовнішній сервер або CloudKey.

Якщо ви знайшли додаткові відмінності, то долучайтеся до дискусії в коментраях.

Замовити UXG-Lite в мене вийшло лише 18 грудня 2023 року через офіційний онлайн магазин store.ui.com. Вже через 10 днів я його отримав в Україні.

Рекомендуємо вам подивитися відеоверсію огляду шлюза безпеки UXG-Lite, що доступна з української озвучкою. Якщо ви віддаєте перевагу читанню, я підготував для вас також текстовий опис.

Характеристики

Оскільки цей роутер сучасний, то він звісно має доволі потужні характеристики:

• Процесор Двоядерний ARM® Cortex®-A53 на 1 ГГц
• Пам’ять 1 ГБ DDR3L
• Інтерфейс управління Ethernet та Bluetooth 5.1
• Мережевий інтерфейс LAN: (1) порт GbE RJ45
• Мережевий інтерфейс WAN: (1) порт GbE RJ45
• Живлення USB типу C (5 В/3 А)
• Споживання енергії 3,83 Вт
• Розміри 98 x 98 x 30 мм (3,9 x 3,9 x 1,2 дюйма)
• Вага 320 г (11,3 унції)

Звісно це основні і головні характеристики які потрібні при виборі пристрою, також цей роутер підтримує наступні функції:

Продуктивність

• Wi-Fi QoS з UniFi AP Ідентифікація
• QoS програми, домену та країни Тип програми та пристрою

Безпека нового покоління

• Правила брандмауера з урахуванням програм
• Виявлення загроз IPS/IDS на основі сигнатур Фільтрування
• вмісту, країни, домену та реклами
• Сегментація трафіку на основі VLAN/підмережі
• Повний брандмауер із збереженням стану

Розширені мережі

• Безліцензійний SD-WAN*
• Сервер WireGuard, L2TP і OpenVPN
• Клієнт OpenVPN
• OpenVPN і IPsec site-to-site VPN
• One-click Teleport* і Identity Enterprise VPN**
• Маршрутизація WAN і VPN на основі правил
• DHCP реле
• Настроюваний сервер DHCP
• Підтримка IPv6 ISP

Є особливість – цей роутер може керуватися ТІЛЬКИ через UniFi контролер, або через пристрій CloudKey. Якщо ви вирішили використовувати UniFi контролер, то його версія не повинна бути меншою за 8.0.7!

Розпаковка

Оскільки це було міжнародне відправлення, то посилка була щільно запакована в мякий транспорртувальний пакет. Коробка виглядає доволі міцною. На лицьовій схематично відображений роутер білим кольором. На зворотній стороні зверху відображена схема підключення роутера, а знизу інформація про сам пристрій з голограмою, яка підтверджує оригінальність виробу. В моєму випадку UXG-Lite вироблено у вєтнамі та протестовано 29 листопада 2023 року, що свідчить про те, що модель свіжа.

Коробка відкривається смиканням за картонний елемент. На внутрішній кришці коробки яскраво-синім кольором відображений QR-код із посиланням на електронну інструкцію, із вказівками щодо першого підключення.

В коробці роутер розміщений по центру та захищений пластиковою формою. UXG-Lite білого кольору та має матову поверхню, щоб не потрапив бруд він обгорнутий в захисну плівку.

Під пластиковою формою знаходиться блок живлення. Сам блок живлення відповідає вимогам Quick Charge 3.0, а саме 5В 3А або 9В 1.6А. Кабель блоку живлення не зйомний. Оскільки я замовляв цей шлюз безпеки в США, то і розєм адаптований під розетки США.

На дні коробки інструкція щільно приклеїна, натякаючи на те, що користуйся електроною інструкцією. Також вона ще в додатковій плівці, що створює повторну перешкоду ознайомлення. Окрім інструкції там зазначені умови гарантії та безпеки.

Підключення

UXG-Lite має дуже компактний розмір, що дає можливість його розмістити в монтажній коробці оселі. Корпус мінімалістичний, лише чотири елементи:

• Кнопка скидання
• Розєм живлення Type-C
• RJ-45 для локальної мережі
• RJ-45 для доступу до інтернет

Фізично підключивши всі розєми я спробував додати UXG-Lite до існуючого UniFi контролеру, проте телефон через блютуз так і не зміг встановити зєднання.

Мною було прийнято рішення зробити налаштування через дротове зєднання із компютером під керуванням Windows 10

Для початку мені потрібно було визначити IP адресу, яку видав мені роутер по DHCP. У властивостях було вказано:

192.168.1.1 - шлюз
192.168.1.28 - IP адреса ПК

Перейшовши в браузері по вказаній адресі я потрапив на сторінку майстра налаштування роутера. Майстер одразу перейшов до діагностики наявності інтернета і сповістив мене, що доступу до інтернету нема. Це результат того, що мій провайдер використовує надання послуг із привязкою до MAC адреси пристрою. Після зміни MAC адреси і повторної діагностики роутер отримав доступ і я перейшов до основних налаштувань:

1. Вибір назви шлюза безпеки (я залишив без змін UXG-Lite)
2. Вхід в UI акаунт із введенням логіна, пароля та коду двофакторної аутентифікації
3. Вибір існуючого UniFi контролеру

І ось на третьому етапі знову виник конфлікт, адже UniFi контролер було встановлено на пристрої, який мав адресу в іншій локальній підмережі, тому я був вимушений повернутися на крок назад і змінити підмережу на ту, яку використовував раніше

192.168.99.1

Після перезавантаження роутера всі пристрої в локальній мережі отримали нові IP адреси в новому діапазоні, і звісно Raspberry Pi, на якій встановлено UniFi контролер отримала також нову адресу! Використовуючи Android додаток WifiMan від Ubiquiti, я визначив, що Raspberry Pi отримала іншу адресу

192.168.99.218

На етапі вибору UniFi контролеру я вибрав опцію “підключитися вручну”, де змінив IP адресу на нову. Через декілька хвилин UXG-Lite зареєструвався в UniFi контролері для подальших налаштувань.

Таким чином можна вважати першу ініціалізацію та базове налаштування успішним!

Огляд функцій

При вході, на головному екрані UniFi контролера відображається загальна інформація про, трафік, клієнтів, wi-fi та іншу активність.

В цій статті я не буду описувати інтерфейс UniFi контролеру, проте зазначу які нові розділи або функції стали активними із появою нового шлюза.

На головній сторінці, в правій колонці почала відображатися інформація про IP адресу, провайдера, аптайм пристрою та доступу до інтернету. Також зявилося значення відгуку сервісів, для визначення якості інтернет послуг.

Шлюз – цей розділ став активним із UXG-Lite. Шлюз має три вкладки:

• трафік
• фільтрування
• гео блокування

В цих розділах можна дуже гнучко блокувати або дозволяти трафік по певним засосункам, сервісам пристроям і навіть по належності IP адреси до певної країни.

UXG-Lite Gateway Trafic

UXG-Lite Gateway Filtering

UXG-Lite Gateway GEO

Функції налаштування – в розділі налаштування також багато розділів стали активними, а саме:

• Інтернет
• VPN
• Безпека
• Маршрутизація

Всі розділи організовані в логічні блоки, що дає змогу інтуїтивно зрозуміти які саме налаштування необхідно виконати для досягнення певного результату.

Якщо у вас виникли питання, запрошую до дискусії в коментарях!

Мене зацікавив роутер UCG Ultra через його переваги над UXG Lite, а саме:

• Можливість використання 2 WAN порти із балансуванням
• Керування за допомогою UniFi Site Manager що позбавляє потреби купувати CloudKey
• Додаткові LAN порти
• Компактний розмір

В перший день релізу я встиг його замовити!

Я сподіваюся, що через два тижні я його отримаю, і з задоволенням зроблю його огляд, та порівняю із UXG Lite!