VLAN for Guests with Ubiquity: Unifi USG, USW8-150, AC-Pro, AC-LR and other stuff

This posts is merely an overview of what I did to get my WLAN guests, who access the Internet through the hotspot feature of the USG and the Unifi controller,through a VLAN so that they are not part of my own private network. (security)

This handout only applies when you own some gear of Ubiquity. (I have also other hardware, here you might have to make some configuration as well, my situation is explained.

What hardware is in the network
USG Router – US 8-150W switch – AC-Pro, 2 x AC-Lite AccessPoint (Unifi stuff)
1x TP-Link TLSG108E (Smart Switch)
2x Dump switch 5 port Netgear (not important in this story)
1x TP-Link TLSG2216 (Smart Switch)

1st Create a guest network with VLAN100. Do this only if you have the USG. If you do not have an USG this does not apply cause the network part in the controller is for use with the Unifi USG router.

If you use “Guest” it is already isolated from your corporate LAN.
Modify other settings like DHCP in this menu. This I do not explain.

Now make sure your SSID for your guests can be on a VLAN

This is the most important part.

Notice: I have an US-8-150W. When creating a VLAN Guest network in the profiles part of the controller the ports will be configured automatically. As long as you have all profiles accepted on the ports, the VLAN will directly work if your AccessPoint is directly connected to the Unifi Switch.

In my situation I have 2 AccessPoints behind a smart switch and 1 AccessPoint connected to a dumb switch what is connected to the US-8-150W (all devices eventually come to the US-8-150W as the uplink is the USG Router).

A simple test towards the AP connected to the dumpswitch is showing that the VLAN is working

To have the VLAN100 working towards the other APs you need to tag the ports in other smart swiches. In my situation 2 different TP-Link devices

Tips for the TP-Link: TLSG108E: enable 802.1Q (no need to set the 802.1Q PVID setting)

In my example you see that port 1 and port 6 are tagged with VLAN 100. Port 1 is the uplink port towards the other switch (the unifi switch) and port 6 is the port towards the AccessPoint

Apply and save the configuration and your guests can access the guest portal over VLAN

the TP-Link SG2216 is a business smart switch so the screens are a little different

Here you see the VLAN section of the SG2216 where I tagged port 16 (uplink port towards the Unifi Switch) and port 10 connected to the AccessPoint. Now this AccessPoint is also serving VLAN towards my Guests.

Maybe you wonder what will happen to your normal LAN clients when you enable or tag ports on VLAN100: your normal LAN is not tagged and the switches will forward your data normally.

Review: TP-Link Auranet EAP330

Ik heb tijdelijk de beschikking gekregen over de TP-Link AURAnet EAP330, AC1900 Wireless Dual Band Gigabit Ceiling Mount Access Point


img_0931

Ben je alleen geïnteresseerd in de conclusie:

Conclusie: ik was erg sceptisch over de kwaliteit en de performance van deze AP. Vooral omdat ik de indruk had dat TP-Link teveel naar de buren zou hebben gekeken. Om dat beeld te ontkrachten heb ik gevraagd of ik een set kon testen. En dat gevoel heeft het product geheel kunnen wegnemen.

Het gebruik van de AP is, na installatie, zoals je verwacht van een Pro oplossing en dat is wat je wilt hebben en waar je voor betaald.  Het product is stabiel en zeer snel. Beter zelfs dan wat ik heb ervaren met mijn eigen Unifi’s AP AC LR en AP AC Pro. Functioneel gezien doet deze AP absoluut niet onder voor andere professionele AccessPoints. De controller software mag wat mij betreft nog wat meer onder handen genomen worden om de gebruiker een betere gebruikerservaring te geven. Dit is momenteel voor mij nog een wat minder punt.

Prijs – Prestatie: uitmuntend

Zou ik deze in mijn eigen netwerk willen gaan gebruiken: zeer zeker.

Review:

De naam van de AccessPoint is Een hele mond vol om aan te geven dat deze AccessPoint uit de Business Solution range komt.  In ieder geval wel een oplossing die ervoor kan zorgen dat er eindelijk eens fatsoenlijk draadloos internet mogelijk is.

De doos bevat alles wat je nodig hebt om aan de slag te gaan met de AccessPoint

img_0933img_0932

img_0935img_0934

 

De kreet AC1900 komt voort uit een maximale snelheid van 600mbps voor de 2.4GHz (802.11n/g/b/a) range de 1300mbps is dan voor de 5GHz ( 802.11ac). Dit is een van de weinige accesspoint die de volledige bandbreedte voor wireless gebruikt, wat veelal ook aangeduid wordt als AC1900. Zelfs Ubiquity kan hier niet aan tippen. Deze heeft namelijk een schamele 450mbps op de 2,4Ghz. range zodat deze uitkomt op AC1750

De doos bevat naast de AccessPoint een powersupply, muur en plafond bevestigingen en wat handleidingen.

Wat ontbreekt is een PoE injector welke aangesloten kan worden op de PoE netwerk aansluiting (ETH1). De PoE aansluiting is trouwens de standaard tot 48V (802.3at), je kan dus niet de 24V PoE injector van de Unifi AP Pro gebruiken. Deze laatste is namelijk niet de standaard.

Ik heb dan de AccessPoint ook met de powersupply aangesloten. Een Switch met PoE is in mijn thuisomgeving te duur en derhalve ook niet aanwezig. Dit onderdeel is dan ook niet getest.

In principe gaat het mij in deze test ook niet zozeer om de performance van de AccessPoint, Deze valt en staat namelijk met de verbonden clients. En ookal heb ik de beschikking over de DWL -192 van D-Link, die ook 1300Mbps aan kan, Wat ik met deze test wilde weten is hoe deze oplossing van TP-Link zich verhoud tot de Ubiquity Unifi lijn. Je ziet dat TP-Link geen concessies heeft gedaan op functioneel niveau.

De AccessPoint is degelijk gebouwd, de behuizing is van staal/ijzer en heeft een plastic kap. De AP is zwaar en bezit zelfs een Kensington lock om deze ergens aan vast te maken zodat deze niet direct door iemand meegenomen kan worden mocht deze niet vast te maken zijn.

Aan de voorkant is een LED aanwezig die verschillende kleuren kan aannemen. Helaas is hier geen bescherming aan de zijkanten aangebracht zodat de LED doorschijnt door het plastic. Jammer.  De AP bevat aan de achterkant naast het Kensington lock ook een resetknop. De aansluitingen voor Power, ETH1 (PoE) en ETH2 (geen PoE) vind je ook aan de achterkant, maar dan wat meer naar binnen geschoven.

De AccessPoint voelt stevig aan. Losschroeven kan, maar de kap van de AP laat niet makkelijk los. Ik heb die poging maar opgegeven (bang om wat plastic te breken).
Later in deze review wat simpele eindgebruikers testen om te zien of de werking (gebruik en snelheid) van de AP voldoet aan de verwachtingen.

Software

Een belangrijk onderdeel binnen een business oplossing is de beschikbaarheid van een gecentraliseerd beheer systeem. TP-Link bied software aan: de EAP Controller software, geschikt voor: WinXP/Vista/7/8/8.1/10/Server2008  (32/64 bit) en Server 2012 (64 bit). Helaas geen mogelijkheid om de controller onder Linux te installeren (maar wat er niet is kan wellicht nog komen).

Bij het maken van de controller software is er goed gekeken naar de software van Ubiquity. Wat er onder de motorkap ligt is gelijkwaardig, de userinterface laat hier en daar te wensen over. Daar mag nog wel wat aan gedaan worden.

software

Grotendeels zijn de functies van de TP-Link controller gelijk aan die van de Unifi controller.

Wat ik wel super vind van TP-Link is dat ze de werking van de AP’s onafhankelijk hebben gemaakt van de controller software. Zo blijft een hotspot werken ookal is de controller software niet actief. (Dit in tegenstelling to the Ubitquity Controller software).

Ik schreef al dat de controller software nog wat beter mag,

Overal in de software is het zoeken wat je mag en kunt doen. Daarnaast is het pakket niet consistent. Je kan het MAC adres vervangen door een naam, maar als je dan een overzicht van functionaliteiten of iets anders voor meerdere AP’s opvraagt dan wordt niet de naam maar het MAC adres getoond, zo weet je nog niet met welke AP je bezig bent.

Gelukkig wordt er hard gewerkt aan de functionaliteit van de software om de hardware nog beter te kunnen ondersteunen

Wat ik miste was een handleiding van deze AP. Deze is er wel (zie link). Advies aan TP-Link: stop de PDF ook bij de zip / exe file van de controller software zodat deze direct meegeleverd wordt. Vele systeembeheerders denken vaak dat ze het beter weten dan iemand anders en hoeven geen handleiding te lezen. Die vliegen meteen naar de controller software en dan lopen ze vast en heeft de hardware leverancier het gedaan.

Helaas wordt uit kostenoogpunt veelal geen uitgebreide handleiding in verschillende talen meegeleverd. Iets wat gemeengoed is en dus niet iets wat alleen TP-Link doet.

Het adopten van een AP is trouwens een crime. (als je de handleiding niet leest). De foutmeldingen die je te zien krijgt zijn niet simpel te herleiden. Er wordt namelijk om een gebruikersnaam en wachtwoord gevraagd. Je denkt dat het de gebruikersnaam of wachtwoord is van de software, maar het blijkt uiteindelijk admin/admin te zijn wat achterop de AccessPoint staat. (duh .. )

Nadat de AP opgenomen is in je beheerstool worden de instellingen naar de AP gebracht.

Op de doos staan prachtige unique sellingpoints. Daarover kun je discussieren. Ik vind dat bij een business oplossing het niet noodzakelijk zou moeten zijn of hoeven te zijn dat een AP de functie heeft dat deze op gezette tijden automatisch gereboot kan worden.  Vooral omdat dan beter de stabiliteit gegarandeerd kan worden. Mja ..  Ik snap de marketing filosofie erachter, voor een consumenten oplossing een nuttige functie, maar niet voor een business oplossing. Maar je kan het gebruiken, het hoeft niet.

AccessPoint

De AccessPoint krijgt een IP adres en heeft ook een ‘fall-back’ IP adres zodat je de AP kan benaderen zonder dat deze is opgenomen in je netwerk. Zolang de controller software niet draait kun je in de webinterface van de AP terecht. Is deze opgenomen in je netwerk dan moet je met het admin wachtwoord van je controller naar de webinterface. De interface van de AccesPoint is helder en duidelijk. Niet dat je deze vaak nodig hebt, maar in tegenstelling tot de controller software vind ik dit vele malen beter.

Hotspot

Ook op functioneel niveau heeft TP-Link goed gekeken naar Ubiquity, de Hotspot functionaliteit is hier ook te vinden, aan te maken en te gebruiken en werkt exact zoals het bij Ubiquity werkt. Een mooi voordeel van de TP-Link versie: de hotspot functie blijft werken zonder dat de controller software actief is. Wanneer de configuratie deployed is dan neemt de AccessPoint de taak van de controller software over. Dat is dus beter geregeld dan bij de Unifi controller software welke moet blijven draaien.

Specifieke functionaliteiten

De performance van de AP is buitengewoon goed te noemen. De performance zoals ik hem kon meten was beter dan de Unifi AC Pro

37 MB/s lezen t.o.v. 27MB/s voor de AC Prosnelheid_lezen

En het schrijven scheelt ook zo’n 6 tot 8MB/s

shelheid_schrijven

Wel een kanttekening: ik was niet in staat om de Unifi AC pro op de exact dezelfde plaats te testen. De TP-Link is gewoon sneller. Wel is de schrijf en leessnelheid van de Unifi AC Pro wat stabieler. Ik zie daar wat minder fluctuatie.

De datadoorvoer kan hoger zijn, dit is geheel afhankelijk wat voor soort type protocol je gebruikt. Zo geeft Samba (Windows File Sharing) een andere performance dan FTP of NFS of andersoortige doorvoer testen. In ieder geval ben ik zeer tevreden met het totale resultaat.  Ik heb zowel 2,4Ghz en 5Ghz getest en de snelheden waren goed tot zeer goed te noemen. Wel zal de snelheid vallen en staan met omgevingsfactoren en gebruikte clients die zich aanmelden op de AccessPoit

Wanneer de AP in een drukke omgeving gebruikt wordt in combinatie met meerdere ‘broetjes of zusjes’ dan zijn de onderstaande functionaliteiten ook bruikbaar. Al is het afhankelijk van hoe de situatie is wat je zou willen gebruiken.

Heel goed is de Load Balance feature om te bepalen hoeveel clients er maximaal verbonden mogen worden en wat de kwaliteit van het signaal moet zijn om jezelf erop te kunnen verbinden.

Trunking is mogelijk omdat er 2 Ethernet poorten erop zitten en de AP hier functionaliteit voor bied. Maar ik vraag me af waarom iemand dit zou gebruiken als je toch niet het maximale uit een gigabit verbinding kan halen. Wellicht dat iemand dat kan uitleggen

Om boefjes tegen te gaan is er ook support voor ‘Roque AP detection’ .. een niet geauthentiseerde AP wordt dan gedetecteerd en uitgeschakeld.

Prijs

De prijs van dit setje ligt zo rond de 150 euro, gelijkwaardig aan de Unifi AP AC Pro.

TP-Link probeert met deze set en prijs alles uit de kast te halen op Wireless gebied. Ik denk dat ze daar goed in geslaagd zijn. Zou de controller software een meer eigen gezicht krijgen, zodat het minder lijkt op de concullega, dan is het nog meer een zeer goede keuze dan wat het al is.

OpenSource

Meegeleverd is een boekje met licentie informatie over GPLv1,v2 en v3. Helaas ontbreekt informatie over welke onderdelen dan vallen onder deze licentie en ik vraag me af of er niet andere licentiemodellen ook nog gebruikt wordt. De SourceCode is in ieder geval te downloaden van de website van TP-Link.

 

Disclaimer:

ik ben geen medewerker van TP-Link. Wel ken ik medewerkers van TP-Link Nederland welke in een vorig leven collega’s van mij waren,  echter ben ik objectief en geef mijn eigen mening.  Ik ben tevens niet betaald voor deze test. Zelf bezit ik de Ubiquity Unifi AP series en had een gezonde interesse in deze TP-Link serie, vandaar dat ik de beschikking kreeg over een setje EAP 330 om te testen

De client waarmee ik heb getest is een DWL-192 USB 3.0 Wireless van D-Link.

Dear D-Link, Alpha Networks, Realtek .. I own a DWA-192 and I get satisfied

Update 15-11-2016

I have added extra options to the SMB configuration of Openmediavault

In a last test I got almost 5.5 tot 5.75MB/s downloading data from my NAS to my Win10 notebook.

By adding these ‘options’ my speed improved with almost 600% from 5MB/s to 30MB/s

max protocol = SMB2
max xmit = 65535
socket options = TCP_NODELAY IPTOS_LOWDELAY SO_SNDBUF=65535 SO_RCVBUF=65535
read raw = yes
write raw = yes
max connections = 65535
max open files = 65535

 

Update 21-08

I am getting (its wierd) more satisfied, now the Wireless is stable and I do random tests

First of all I was testing PC Windows 10 –> Debian Linux, so a write action, my rant was about the write speed. But actually I think I cannot be complaining a lot when I achieve 20 to 30MB/s  write speed .. ? can I?

Today I tested a read speed from NAS (Debian with OMV, (OpenMediaVault)) and here I get speeds between 40 and 45MB/s ..  so .. although I would like to have faster write speeds, the read speed is showing expected speeds.. .

 

original rant  below;-)

…..

First of all .. I am geek, like to test, read manuals (not user manuals but engineer manuals or technical manuals) to find and read about settings to see how they can be finetuned for optimal results.

Maybe it’s due to myself, but why is there not a decent manual for the DWA-192? settings explained? best settings used … documentation is dramatic.

Last week I bought a DWA-192. It’s being used in The Netherlands under Windows 10 and I am testing towards a HP Microserver running VMWARE with a host running Debian 8. Normal speeds on Gigabit copper wire are around 78 to 80MB/s

The speed advertised for the DWA-192 within Windows 10 is between 1.1 and 1.3Gbit/s with this I expect at least speeds between 300 and 500mbit/s, but I achieve much lower (180 / 220mbit/s)

update (one day later): due to just wait .. and maybe time of test I see better results. Speed is improved towards 250 to 300 mbit/s

My AP environment consists of 3 APS’s

  1. Ubiquity AC LR in the attic
  2. Ubiquity AC LR 1st floor
  3. Ubiquity AC Pro living room (the DWA-192 is connected to this one). I know that I get much lower speeds when using 1 or 2 but I am using it at 3 .. and expect the full potential ..

The notebook is 4 meters next to the Ubiquity AC Pro. I have a good wireless connection (Images will follow) due to the wireless connection speeds of 1.1 and 1.3Gbit/s

Dear D-Link, please request your engineers at Alpha Networks that they will contact Realtek to see how interoperability between AP’s can be improved. I really like to help to test, things I did many years.

There are a few things:

  • the advanced settings in the network driver are not described, So it is a needle in a haystack to see what are the best settings (I did test a lot of settings and see various results
  • Enable / Disable QoS shows dramatic changes in performance
  • default using the WLAN on auto rather than choosing 802.11ac or a combination of both is causing the DWA-192 not to connect to its max speed, only Wifi speeds: 450 or 600 (if lucky), forcing the device on 802.11ac/n/a is showing higher speeds ..
  • Windows SMB copy shows around 20 to 30MB/s at a connection speed of 1.3Gbit/s this is ‘dramatic’ I am expecting here 45 to 60MB/s
  • Update: SMB is also improved to max 40MB/s

smbcopy

 

  • iperf used between my Windows 10 and linux box is showing between 170mbit/s and 220mbit/s which is in line with the Windows SMB copy

iperf3_1

update: iperf3 is showing ‘higher’ results now to max 300Mbit/s  .. but still not a 400 to 500Mbit/s I am expecting.

Of course I would like to fingerpoint towards Ubiquity’s  AP but I have seen that other AP’s can achieve higher results towards the Ubitquity’s AC Pro device

Of course specific settings like using VHT80 etc are set otherwise the connection speed could not achieve 1.1 or 1.3Gbit/s

So how to achieve a higher throughput speed, something I am seeking.

Anyone?

b.t.w. Altough speed is not everything, the wireless is absolutely stable !

Waarom mensen WPS of WPA op hun Wi-Fi verbinding moeten hebben.

Manon Thomas naakt!: je weet wel, die bekende nederlander 

Manon Thomas, de MILF, de nu naakte bekende nederlander, Manon die tv-presentatrice (eigen huis en tuin), Manon die met Forrest rondhuppelde (alweer jaren geleden), Manon die gewoonweg lekker geniet van vakantie in Mexico en daar wat kiekjes maakt. Voor prive doeleinden.

Ze zet dan die kiekjes op haar laptop en gaat lekker in de tuin internetten, waarom je buurman, die eigenlijk een zak is, je ineens heel erg vrolijk begroet zo over de schutting is je natuurlijk wel opgevallen, maar je snapt eigenlijk niet waarom. Wel viel het je op dat het pas gebeurde na de super zonnige vakantie en nadat je die mooie draadloze breedband internet verbinding had aangeschaft ..

Moraal van het verhaal: je hoeft niet minderjarig met een jaloers ex-vriendje te zijn om met je blootje op het internet te komen als je een draadloze internet verbinding hebt. Het kan je Pa of Ma ook gebeuren.

Dus …  Manon Thomas in haar blootje met haar 44 jaar op het internet, een Computer geek als buurman waarschijnlijk opgepakt en gelukkig weer een wireless routertje beveiligd.

En daarom komen die Wi-Fi steden dekkende netwerken niet van de grond.

FON

Ik heb een ‘witte’ FON AccessPoint ontvangen en nog geen paar dagen na installatie werd mijn DSL verbinding tijdelijk door m’n provider geblocked. Hoe toevallig. Maar het zal wel niets met elkaar te maken.

Het is jammer dat SNMP gewoonweg niet geimplementeerd is op de FON om eventueel datatraffic te blijven volgen. Dat heb ik namelijk wel geactiveerd op mijn C54APT en C54APRA2Plus Conceptronic AccessPoint en DSL modem. Inmiddels dus weer online, maar de witte FON is offline gezet. Ik ga hem maar weer naar het werk meenemen, en ‘s kijken of ik rare dingen zie (de configuratie is ok)

KPN Hotspot Schiphol, KLM Lounge

nohotspot.jpg

xs4all usersname ingevoerd, juiste wachtwoord, maar de KPN verbinding vertikte het om mij toegang te verlenen. Met 2 xs4all acccounts geprobeerd om in te loggen: nope…. nou wat is hier jullie antwoord op? ik heb toch recht op 60 minuutjes vrije toegang?

Update: het weinig zeggende antwoord van de xs4all helpdesk. ipv het probleem uit te zoeken dit antwoord:

 

Als u aanmeldt op de KPN hotspot via uw laptop en u een willekeurige
website oproept dan krijgt u de standaard KPN hotspot vangpagina. Hierop
kunt u inloggen vergeet niet om XS4ALL te kiezen in het menu achter
“Direct internettoegang Via:” Hierna vult u uw XS4ALL uw inlognaam
(beheeraccount) en wachtwoord en klik op “Inloggen”.

Op het moment dat u niet kunt inloggen, heeft u mogelijk niet gekozen om
te verbinden via XS4ALL of u gebruikt een verkeerde inlognaam/wachtwoord
combinatie. De inlognaam die u moet gebruiken is hetzelfde als uw ADSL
inlognaam zonder “@xs4all.nl”.

Als u verder nog problemen heeft met het maken van verbinding met een
bepaalde Hotspot neem dan contact op met de KPN Hotspot helpdesk
0900-HOTSPOTS (0900-4687787) of via e-mail info@kpnhotspots.com .

Voor meer informatie kunt u terecht op onze helpdesk Hotspot login
pagina:
http://www.xs4all.nl/helpdesk/mobielinternet/hotspot/login.html

Voor de configuratie van uw laptop kunt u terecht op de algemene Hotspot
pagina:
http://www.xs4all.nl/helpdesk/mobielinternet/hotspot/index.html

Ik hoop u hiermee voldoende te hebben geinformeerd. Mocht u nog vragen
hebben naar aanleiding van deze e-mail dan horen wij deze graag van u!

Met vriendelijke groet,