Einige der in diesem Beitrag geteilten Links sind Affiliate-Links. Wenn du auf den Link klickst und etwas kaufst, erhalten wir eine Affiliate-Provision ohne zusätzliche Kosten für dich.
Ubiquiti stellt mit der Unifi Produktreihe eine Zentral Gemanagte Netzwerkumgebung für Prosumer und Small Business / KMU Kunden. Der große Vorteil gerade für Homeuser: Viele Features, keine Lizenzkosten. Die Unifi Dream Machine Pro SE ist einer der UniFi OS Consoles.
Eine UniFi Console ist eine Kombination aus Router, Firewall, Unifi Controller und je nach Modell WLAN Access Point und NVR (Network Video Recorder). Die UniFi Dream Machine Pro SE ist für den Rack Einbau vorgesehen, deswegen ist entsprechend kein WLAN Access Point eingebaut. Alle Modelle unterstützen die DPI (Deep Packet Inspection) ein Sicherheitsfeature das gleichzeitig interessante Statistiken mitbringt.
Ausstattung
Die UDM Pro SE wie das Gerät abgekürzt wird bringt einen 2,5Gbit, 10GB SFP+ WAN, ein Gigabit und einen 10GB SFP+ LAN-Port und einen Integrierten 8 Port PoE Switch mit. Wobei hier beachtet werden muss das der integrierte 8 Port Switch nur mit 1 Gigabit an die CPU der UDM PRO SE angeschlossen ist. Das kann gerade bei viel LAN Traffic zum Flaschenhals werden. Deswegen empfiehlt sich ein weiterer Switch, wie z.B. der Unifi Switch 24 Pro. Zusätzlich gibt es eine 3,5 Zoll HDD Bay und eine interne 128GB SSD. Mithilfe einer 3,5Zoll HDD kann der Speicher für Unifi Protect erweitert werden, wobei man hier nicht den Speicher der Internen 128GB SSD mit der zusätzlichen HDD kombinieren kann.
- WAN ports: (1) 2.5GbE RJ45, (1) 10G SFP+
- LAN ports: (8) GbE RJ45, (1) 10G SFP+
- Integrierter 8-port PoE Switch
- 128 GB of integrated storage
- (1) 3.5″ HDD bay für Unifi Protect
Mechanical | |
---|---|
Abmessungen | 442.4 x 43.7 x 285.6 mm |
Gewicht | 4.95 kg |
Gehäusematerial | Aluminium CNC, SGCC steel |
Mount material | SGCC steel rack mount |
Hardware | |
Prozessor | Quad-Core ARM® Cortex ® -A57 at 1.7 GHz |
Arbeitsspeicher (RAM) | 4 GB DDR4 |
On-board Speicher | 16 GB eMMC / integrierte 128 GB SSD |
IDS/IPS durchsatz | 3.5 Gbps (Gemessen mit iPerf3) |
Maximaler Stromverbrauch (ohne PoE) | 50W |
Managementinterfaces | Ethernet Bluetooth |
Netzwerk Interfaces | (1) WAN: 2.5 GbE RJ45 port (8) LAN: 1 GbE RJ45 ports |
SFP+ interfaces | (1) WAN: 10G SFP+ (1) LAN: 10G SFP+ |
PoE interfaces | (2) PoE+ IEEE 802.3at(pair A 1, 2+; 3, 6-) (6) PoE IEEE 802.3af (pair A 1, 2+; 3, 6-) |
Max. PoE Watt pro port (PSE 802.3af 1) | 15.4W |
Max. PoE Watt pro port (PSE 802.3at) | 30W |
LCM display | (1) 1.3" touchscreen Bootup animation: bootup in progress Firmware upgrade icon: rmware upgrading |
Auf der Unifi Dream Machine Pro SE läuft eine von Ubiquiti angepasste Linux Distribution: UnifiOS. Auf diesem Linux laufen dann die verschiedenen Unifi APPs: Network, Protect, Access, Talk, Connect und UID. In diesem Review werde ich auf den Unifi Controller, also die „Network“ Application und UID eingehen.
Setup der Unifi Dream Maschine Pro SE
Das Setup der UDM PRO SE kann ganz einfach mithilfe der Unifi App oder eines Laptops / PCs über die Weboberfläche gestartet werden. Natürlich muss für das Setup erst einmal die WAN Verbindung hergestellt werden. Da die Unifi Dream Machine nicht über ein eigenes Modem verfügt, ist sie bei mir an eine Fritz Box angeschlossen. Man kann dafür aber auch reine Modem nutzen wie z.B. die Vigor Modelle von DrayTek.
Das Gerät Lädt selbständig Updates Herunter, installiert diese und Startet neu. Jetzt kann man sich über die IP-Adresse des Gerätes oder bei eingerichteter Cloud Verbindung via unifi.ui.com mit der UDM PRO SE verbinden. Öffnet man die Unifi Network Applications, also den Unifi Controller öffnet sich ein Dashboard mit einer ersten Übersicht:
Dashboard / Übersicht
Auf der Linken Seite werden Allgemeine Informationen über die UDM Pro SE und darunter über die Internet Verbindung angezeigt. Dazu gehört die Up Time, die „Internet Health“ Statusleiste und einige Ping Zeiten zu beliebten Diensten: Facebook, Google und Twitter. Mit einem Klick auf „Internet Health“ öffnet sich ein Menu das noch mehr Informationen wie z.B. der allgemeine Ping (Cloudflare DNS), die Auslastung der Internetleitung und die Ergebnisse der Letzen Speed Tests anzeigt.
Rechts neben dieser Anzeige wird eine Zusammenfassung der Ergebnisse der Deep Packet Inspection (DPI) angezeigt. Hier sieht man wie viel Traffic welchem Dienst / Unternehmen zugeordnet worden ist. Die anderen vier Widgets sollten relativ selbsterklärend sein.
Das Menüband am linken Rand wird in 9 Punkte Unterteilt: Dashboard, Topology, Unifi Devices, Client Devices, Security Insights, Wifi Insights, HotSpot Manager, System Log und Settings.
Das Herzstück eines Unifi Netzwerkes
Die Unifi Dream Machine Pro SE ist als eine art Eierlegendewollmilchsau das Herzstück des Unifi Netzwerkes, in diesem Fall tatsächlich nur eines Netzwerkes, denn die UDM Pro SE ist derzeit noch nicht Multisite fähig. Wer also ein Netzwerk auf mehreren Standorten zurückgreifen möchte muss auf einen Cloud Key und eine Unifi Security Gateway setzten. Auch wenn die Unifi Dream Machine Pro SE eine HDD für Unifi Protect unterstützt sollte man bei mehreren Kameras oder wenn man auf Datenintigrität Wert liegt lieber zu einem Unifi NVR greifen. Dort können nicht nur mehrere Festplatten untergebracht werden, sie können auch in einem RAID angelegt werden. So sind die Daten auch bei dem Ausfall einer Festplatte noch verfügbar. Natürlich kann man eine Unifi NVR zusammen mit der UDM PRO SE in einem Netzwerk einsetzten.
Sicherheit: IPS & Firewall
Die Unifi Dream Machine Pro SE verfügt als so genannte Next Gen Firewall über eine IDS (Intrusion Detection System) bzw. IPS (Intrusion Prevention System). IDS benachrichtigt über einen Angriff, IPS verteidigt das Netzwerk auch. Beide Systeme bauen auf die DPI (Deep Packet Inspection) auf. Hierbei wird jedes Netzwerk Paket analysiert und aufgrund des Inhalts bewertet ob es Harmlos oder eine mögliche Bedrohung ist. DPI ist also nicht nur für die Schöne Übersicht in der Netzwerknutzung zuständig.
Anders als bei den meisten anderen Gateways / Firewalls gibt es bei der UDM PRO SE standardmäßig wenige Regeln. Legt man z.B. Subnets an sind diese nicht getrennt, man muss die Trennung also selber vorgeben. Dies geht unter dem Menü „Einstellungen“ und „Firewall & Security“ Dort können Firewall Regeln für den Lokalen Verkehr innerhalb oder zwischen Subnets und nach draußen bzw. von draußen nach drinnen erstellt werden. Die Möglichkeit komplette Länder zu sperren oder nur bestimmte Länder zu erlauben gibt es auch.
Ich habe hier in Deutschland nur die Mitgliedsstaaten der EU, die USA, Canada Australien und Tunesien (Wegen eines Urlaubes und der Nutzung von Teleport, dazu später mehr) freigegeben. Bis jetzt habe ich keinerlei Einschränkungen erlebt. Gerade das Sperren Afrikanischer Länder und Russland hat für eine Erhebliche Abnahme von IPS Ereignissen gesorgt. Hier empfiehlt es sich also nur die Länder freizuschalten die auch wirklich benötigt werden um viele Angreifer ganz grundsätzlich auszusperren.
Neben den üblichen Firewall Regeln wie Port Weiterleitungen gibt es auch noch die Option Honeypots zu erstellen. Ein Honeypot stellt sich selber als Attraktives Ziel für Schadsoftware da, wird er angegriffen wird die IP des Angreifers geloggt und man kann sich gezielt um den jeweiligen Client kümmern.
Traffic Management
Wir können mit der UDM unseren Traffic aber nicht nur Erlauben, Verbieten, Filtern und Erkennen sondern auch Routen für bestimmte Geräte oder Services erstellen. Das entsprechende Menü findet man unter dem Punkt „Traffic Management“ unter den „Settings“. Mit den Rules können wir bestimmte Dienste zulassen, Verbieten oder in der Geschwindigkeit begrenzen, mit den Routes können wir bestimmten Traffic z.B. über einen der zwei WAN Ports oder ein VPN Routen. Es ist möglich mithilfe von VLans einen LTE / 5G Router an einen beliebigen Unifi Switch an zu schließen und das Signal zur UDM Pro SE durch zu Routen. Genau so funktioniert der Unifi LTE Pro* (Anzeige)
VPN
Richtig Gehört, ein VPN! Die UDM Ermöglicht es OpenVPN Profile als Endpunkt zu hinterlegen, sodass der Traffic eines ganzen Subnets, einzelner Geräte oder eines Bestimmten Diensts durch das VPN Geroutet wird. Ich Route z.B. den Traffic meines Gast WLAN durch einen VPN. Auch wenn natürlich Dienste wie Illegales Filesharing oder Peer-2-Peer verboten ist, besteht immer ein gewisses Risiko das ein Gast, eventuell auch Unwissend durch entsprechende Schadsoftware illegale Aktivitäten im Internet betreibt. So Taucht erstmal nicht meine Private IP-Adresse in den Logs der Dienste auf.
Teleport
Teleport ist der Zero Config VPN Dienst der nur Aktiviert werden muss. Über einen Einladungslink lädt man die WiFi Man App für Android, IOS und die Macs mit M1, M2 usw. herunter und schon kann die VPN Verbindung hergestellt werden. Unifi Teleport greift auf WireGuard zurück.
Weitere VPN Server
Natürlich können entsprechende, auf dem OpenVPN, WireGuard oder L2TP Protokoll basierende VPN Server aktiviert werden, auch gleichzeitig.
Fazit
Die Unifi Dream Machine Pro SE ist ein Router mit erweiterten Firewall Funktionen und Controller des Unifi Netzwerkes. Über den Controller können alle Unifi Komponenten Konfiguriert werden. Die UDM eignet sich für ProSumer und Netzwerk bzw. IT-Enthusiasten, die einfach mehr Funktionen als die Fritz Box hat benötigen. Am besten ergänzt sich die Dream Maschine mit weiteren Unifi Produkten wie den Switches und Access Points.