Ubiquiti Edge Router-X

[Matty90]

Ciao a tutti,
in questo thread vorrei iniziare a parlare del router Ubiquiti EdgeRouter-X

Mi piacerebbe raccogliere qui tutte le prove che sto facendo, perchè nonostante il costo irrisorio di circa 50€, ha dei potenziali e delle configurazioni degne di router business ben più blasonati.

Unico avviso: non è un oggetto user friendly, ma parecchio complesso, soprattutto nella sua configurazione.

[frakka]

In ottica di passaggio alla fibra di Open Fiber, anche io ho preso questo router per sostituire quello di Fastweb attuale.

Dato che questo apparecchio sembra promettere bene, ne approfitto per mettere un po' d'ordine nella rete di casa.

1. Configurazione attuale
2. Nuova configurazione
3. Prime impressioni: Contro
4. Prime impressioni: Pro
5. Verifica della prestazioni del router con iperf3.
6. Hardware offloading
7. Firewall
8. Accesso alla cli via ssh usando una chiave rsa
9. Wake-On-Lan su reti diverse
10. Bufferbloat e SQM
11. Connessioni punto-punto con l'operatore OpenFiber Fibra.City

Come dice Mattia, l'apparecchio in se è tutt'altro che banale da configurare.
Tanto per cominciare, un caro vecchio manuale d'uso da 104 pagine (in realtà, assolutamente inutile direi...)!

Ed ecco l'apparecchietto:

[frakka]

Questa è attualmente la configurazione di massima della mia rete domestica.



Non è una configurazione del tutto banale: Ho uno switch managed 24 porte che collega tutti gli apparati, ho usato le VLAN per segmentare la rete di casa e quella del laboratorio (vabbè... Il garage!) ma anche per dividere la rete wifi in due SSID, uno dedicato agli ospiti e l'altro sulla stessa rete dei miei client cablati (videocamere, stampante di rete, pc fisso, portatile della moglie, smartphone e smart TV).
Dato che il router connesso ad internet è uno e prevede solo la configurazione di 1 WAN e 1 LAN, ho collegato la rete del laboratorio direttamente al router di Fastweb (che fa da DHCP e DNS per questa rete) e ci ho collegato anche la porta "WAN" del mio serverino.
Dato poi che l'AP ha una sola porta di rete ma la possibilità di assegnare una VLAN ad ogni SSID, ho configurato le due VLAN sulla porta "LAN" del serverino. Le due reti sono mantenute separate dal firewall del serverino ma è il serverino stesso fa che fa da DHCP server per entrambe.

[frakka]

Questo invece è un po' quello che ho in mente per la nuova configurazione.



L'ONT di Open Fiber dovrebbe terminare direttamente sul router ubiquity.
Questo router ha la possibilità di gestire diverse porte e VLAN quindi pensavo di dedicare una porta al link "WAN" verso l'ONT di Open Fiber, una porta alla rete del laboratorio (che avrà poi una propria VLAN sullo switch a cui è collegato tutto), una porta per una rete punto-punto verso il serverino e una porta dedicata alla VLAN per la rete GUEST che si sposta quindi completamente fuori dalla gestione del serverino, diventando più indipendente.

L'AP rimane uno solo, quindi resta necessariamente a cavallo delle due reti ma ogni SSID mantiene la propria VLAN quindi è accettabile.
Questo spero che mi permetta di sperimentare agevolmente anche IPv6 quando me lo renderanno disponibile, magari abilitando lo stack solo sulla rete del laboratorio senza toccare la rete privata.

[Matty90]

Bella la nuova configurazione!

Attento però che per usare ubiquiti direttamente con il provider ci sono alcuni giochini extra da fare. Con fastweb ad esempio ti serve un media converter per convertire la fibra e darla in pasto al router. A quel punto va poi "clonato" il macaddress e va configurato ubiquiti per esporsi come se fosse il fastgate.

Un po' una rottura, ma nulla di infattibile. Controlla però che non sia anche cosi anche per OpenFiber.

Inviato dal mio CLT-L29 utilizzando Tapatalk

[frakka]

Non ho intenzione di attaccare il router direttamente alla fibra al posto di quello di Fastweb (altrimenti avrei preso la versione con l'SPF!) e al limite potrei usare una delle porte SPF dello switch come media converter: Per il tempo che rimarrà allacciata Fastweb, posso mettere l'Ubiquity in cascata al router di Fastweb.

Per quanto riguarda Open Fiber, il funzionamento del GPON è riassunto qui quindi il router andrà dietro al loro ONT. Ubiquity fa anche apparati ONT (e piuttosto carini) ma la delibera AGCOM per il modem libero considera gli ONT come perimetro della "infrastruttura" del provider quindi sono esclusi dalla normativa sul modem libero. Per configurare l'ubiquity per l'infrastruttura Open Fiber è sufficiente che il router collegato allo ONT supporti il DHCP e le VLAN sulla WAN e questo ER-X è compliant.



[EDIT:]
Il mio fornitore dice che non è più neppure necessario impostare la VLAN sul router, è sufficiente collegare la WAN del router con DHCP abilitato alla porta ethernet dello ONT. Nel mio caso, mi viene assegnato un IP /30 quindi una rete composta solo dal mio router e dallo ONT.

[frakka]

Dopo una settimanina di ferie e parecchi smadonnamenti (avrò già resettato il router una ventina di volte!) sono contento dell'acquisto ma un po' indietro con l'implementazione. Il manuale in PDF è un gran rottura (non ci riesco a leggere 100 pagine di PDF mentre vado avanti e indietro in treno, avrei preferito la versione cartacea) quindi non me lo sono ancora guardato.

Visto che mi hanno attivato Open Fiber e ho ancora attivo il vecchio contratto con Fastweb, ne ho approfittato per provare a configurare il router per gestire la doppia WAN. Il router prevede due diversi wizard per questa configurazione, io ne ho provato uno tanto per provare e devo dire che funziona.
Ho anche potuto impostare una route statica su una delle due connettività perchè ho ancora problemi con la VPN SSL dell'ufficio e Open Fiber quindi devo essere sicuro che quando mi connetto all'IP del portale VPN ci arrivi da Fastweb.

Curiosamente, capita che speedtest di Ookla rilevi il mio IP pubblico come quello della rete Fastweb ma mi segni i valori di download/upload che solo la rete di Open Fiber mi può dare. Non avendo anche letto il manuale, non so esattamente che algoritmo usi per il load balancing.


Un altro problema che mi sta portando via molto più tempo del previsto è la configurazione della VLAN per la rete Ospiti: Prima la gestivo tramite il serverino, ora voglia che la gestisca l'ubiquiti. Non capisco se sbaglio qualcosa o se il problema è del firmware dell'AP (o se non ho ancora capito bene come funziona il firewall di questo coso) ma non mi riesce di farla funzionare...

[frakka]

Qui stavo facendo uno speedtest in modalità "connessioni multiple":


Il router ha bilanciato il traffico in uscita (grafico sulla destra) sulle due interfacce eth1 ed eth4, che si dividono più o meno metà del carico.

Qui invece stavo scaricando una iso di Linux (quindi connessione singola): Come si vede, solo una delle due linee sta lavorando:

[frakka]

Avevo il dubbio che la connessione Open Fiber che mi hanno appena portato fosse cappata... C'erano delle cose non troppo chiare.
Per sicurezza ho voluto però fare il test escludendo prima la variabile ubiquiti, per sicurezza.

E ho fatto bene, purtroppo!
Bypassato l'ubiquity, configurato l'IP pubblico direttamente sulla scheda di rete del mio pc.



Invece con l'ubiquiti davanti:



Nei prossimi giorni, urge qualche ulteriore verifica.

[frakka]

In realtà, le prime impressioni non sono affatto positive.

L'oggetto è complesso ma la complessità era attesa proprio perchè non è un routerino casereccio.

Il PoE utilizzato dall'apparecchio è un protocollo proprietario e non uno standard, sia in entrata che in uscita.

Nella confezione non c'è un manuale, si viene rimandati ad un PDF sul sito che non spiega nulla: 100 pagine di manuale per spiegare che il bottone "Modifica regola" serve a modificare una regola ma non c'è alcuna indicazione su come quella regola venga interpretata e processata dal sistema (banalmente: Il firewall prevedere di creare dei "Ruleset" che contengono delle "Rule". Sui Ruleset è possibile configurare una o più interfacce di rete ma anche nelle "rule" e non è spiegato come vengono interpretati questi parametri). C'è un'appendice che descrive la CLI ma non ci sono ancora arrivato.

Il dispositivo ha dei wizard di configurazione ed inizialmente sembrava cosa buona ma sono molto limitati e hanno alcune impostazioni predefinite francamente discutibili: Ad esempio, l'apparato una volta resettato è raggiungibile solo sull'IP 192.168.1.1 se e solo se si è collegati alla porta eth0. Uno di wizard per la configurazione più elementare prevedere di scegliere la porta WAN su cui attivare la connessione e si può scegliere solo tra la porta eth0 e la porta eth4 (che sono anche le due per cui passa il PoE). Se si sceglie la porta eth0, il wizard attiva il firewall predefinito che ovviamente blocca la connessioni al management da internet... E ti taglia fuori. Per completare la configurazione, stacca il cavo e attaccalo al quello a fianco. Sbagli qualcosa? Reset. E di nuovi stacchi e riattacchi perchè una volta resettato è di nuovo accessibile solo sulla porta eth0. Finchè ce l'hai sotto la scrivania amen, ma quando ce l'hai in cantina o in un altra sede/datacenter... Boh!
Altri wizard sono un po' più flessibili quindi sono probabilmente solo scelte infelici in fase di definizione del default. Dopo un po' di tentativi, li ho usati solo per capire qualche logica del dispositivo e poi li ho evitati.
Ha anche una sezione "Tools" in alto a destra con una serie di strumenti (ping misuratore di banda, etc...) ma non sono mai riuscito a vederli funzionare (dipende dal browser in uso, con FF un po' meglio che con Brave/Chromium).

A forza di provare e resettare si riesce a capire abbastanza bene alla come funziona il dispositivo. Credo di essere ormai arrivato a quella che dovrebbe essere la configurazione quasi definitiva ma il router è diventato molto instabile. Anche il collega che me lo aveva consigliato, l'altro giorno mi ha detto di aver rilevato alcune problematiche quando lo aveva lui a partire dal momento in cui si inizia a lavorare sul firewall e a configurare un po' di regole soprattutto quando di parla di raggiungere il dispositivo stesso (gui web, cli ma anche semplicemente il DHCP).
In effetti anche stamattina l'ho resettato (hard reset) di nuovo prima di andare in ufficio perchè non riuscivo a raggiungerlo, ho ripristinato il backup della configurazione e verificato che fosse tutto funzionante: Stasera non ci si accede più ne da web ne da cli mentre la navigazione internet funzionare regolarmente. Può anche essere che stia sbagliando qualcosa io ma è strano che la cosa degeneri anche lasciando il router semplicemente acceso per una giornata. Domattina dovrò scendere a resettarlo di nuovo per poterci lavorare sopra.

Nota molto dolente: Le performance. Il discorso è ancora da approfondire ma ho rilevato come il router sia il principale indiziato di un "cap" sulla mia connettività in OF 1000/300 che sembra limitare a 300/350Mbps il download. Cercando in rete, è un problema segnalato e sembra dovuto alle scarse risorse hardware del dispositivo: Processore dualcore 880Mhz e 256Mhz ram non permettono certo di scialare e me lo aspettavo. Temevo però che potesse andare in affanno la GUI o che avrei avuto difficoltà con alcune attività particolari, non avrei mai pensato che potesse non avere la capacità di gestire una rete a 1Gbps con 2 client attivi e poco altro.
Cercando in rete ho trovato alcune indicazioni su come abilitare una funzionalità di offloading che sembra migliorare molto le cose (ho potuto fare uno speedtest a >700Mbps) ma se è così magica non è abilitata di default un motivo ci sarà. Inoltre non mi è ancora chiaro se la configurazione sopravvive al reboot ma direi di sì.