Ubiquiti Edgerouter X anmeldelse

I disse VPNfilter tider havde jeg ikke længere tiltro til min gamle TPlink wifi router. TPlink har ikke den bedste trackrecord og routeren har ikke modtaget opdateringer i over et år, så jeg besluttede mig for at anskaffe en router fra en mere pålidelig leverandør.

Valget faldt på en Ubiquiti Edgerouter X der er en billig router (jeg betalte omkring 400 kr) med høj ydelse fra en leverandør med en god historik om at lave lækkert professionelt udstyr der bliver løbende opdateret.

Edgerouter X er en advanceret router med firewall og vlan funktionalitet. Den har en indbygget 5 port switch men ingen WIFI.

Så mit nye setup er følgende:

Internet -> Edgerouter med følgende tilsluttet:

  • En computer med LAN kabel
  • En Raspberry Pi der leger server.
  • Min gamle router konfigureret til kun at være trådløst access point.

 

Da min raspberry pi er eksponeret imod internettet kunne jeg oprette et separat LAN netværk til den hvor jeg lavede firewall regler der sikre at den ikke kan få fat på enheder på mit normale LAN eller logge ind på routeren. Reglerne tillader dog samtidig at enheder på mit normale LAN kan forbinde til min Raspberry pi så længe det er dem der initierer trafikken. Det skulle give mig en smule ekstra beskyttelse hvis jeg er så uheldig at min raspberry pi blev hacket (jeg har tidligere(https://www.itsikkerhed.org/sikkerhed/2016/09/19/host-ikke-noget-offentligt-på-dit-hjemmenet/) skrevet om problemerne med at hoste internet tilgængelige tjenester på sit hjemmenetværk).

Edgerouteren er ikke svær at sætte op men man kan godt mærke at den ikke sigter imod samme marked som google wifi og amplifi. For at sætte den op i første omgang skal man manuelt sætte sin ip til 192.168.1.2 og forbinde via https://192.168.1.1 (hvorfor den ikke har DHCP som standard er underligt).

Her skal du logge ind og du kan nu vælge en ”wizard” til at sætte routeren op.

Her kan du vælge ”basic setup” hvis du vil have en normal opsætning med en WAN forbindelse og resten af portene som LAN. Du kan også vælge ting som WAN load balancing og switch only.

Jeg valgte WAN+2LAN2 der sætter en valgfri port op som WAN og opretter 2 LAN netværk på valgfrie porte og udfyldte DHCP ranges og routeren var hurtigt klar.

I forbindelse med installationen var der 2 ting der generede mig:

  • Den tvinger dig ikke til skifte password og lader dig køre med standard password.
  • Den fortæller dig ikke at der er ny firmware og kan ikke auto opdatere.

 

Det første er nok ikke et stort problem da den ikke tillader logins via internettet men jeg synes ikke at det er det bedste udgangspunkt. Det andet er et større problem da man kan mangle features og sikkerhedsrettelser (fx har nyere firmwares flere wizards). Ubiquiti levere løbende ny firmware men man er nødt til at hoppe ind på deres hjemmeside og hente den ned manuelt for så at uploade den via web interfacet.

Efter det lavede jeg firewall regler der adskiller de to netværk, det er der en glimrende guide til her. Du behøver ikke bekymre dig om VPN sektionen.

Nu hvor den var sat op og jeg fik den i gang sat blev jeg voldsomt skuffet over hastigheden, jeg kunne maksimalt presse ca 300-400 megabit igennem den (jeg har gigabit fiber hos gigabit.dk)  hvilket ikke er acceptabelt. Efter at have kigget i deres udmærkede forum viser det sig at de har funktioner til at accelerere NAT men de af uvisse grunde er slået fra som standard (der er ikke noget negativt ved funktionen ifølge manualen). Så det skal slået til ved enten at bruge ssh til at tilgå routeren eller ved at start den webbaserede kommando linje og taste følgende kommandoer.

configure

set system offload hwnat enable

commit

save

 

og så genstart routeren.

Efter det kan jeg opnå fine hastigheder der udnytter min linie, hvis jeg tester med iperf fra wan til lan ser det sådan ud:

 

[ ID] Interval           Transfer     Bandwidth

[  4]   0.00-1.00   sec   112 MBytes   936 Mbits/sec

[  4]   1.00-2.00   sec   108 MBytes   909 Mbits/sec

[  4]   2.00-3.00   sec   112 MBytes   939 Mbits/sec

[  4]   3.00-4.00   sec   108 MBytes   908 Mbits/sec

[  4]   4.00-5.00   sec   110 MBytes   919 Mbits/sec

[  4]   5.00-6.00   sec   112 MBytes   940 Mbits/sec

[  4]   6.00-7.00   sec   112 MBytes   941 Mbits/sec

[  4]   7.00-8.00   sec   112 MBytes   942 Mbits/sec

[  4]   8.00-9.00   sec   112 MBytes   938 Mbits/sec

[  4]   9.00-10.00  sec   112 MBytes   942 Mbits/sec

- - - - - - - - - - - - - - - - - - - - - - - - -

[ ID] Interval           Transfer     Bandwidth

[  4]   0.00-10.00  sec  1.08 GBytes   931 Mbits/sec                  sender

[  4]   0.00-10.00  sec  1.08 GBytes   931 Mbits/sec                  receiver

 

Hvilket giver 931 megabit i gennemsnit med top på 942 og bund på 909 megabit.

Dog hvis jeg slå avancerede funktioner til så som deep packet inspection til koster det på hastigheden, her kan jeg maksimalt pushe omkring 850 megabit igennem routeren. Det gør mig ikke det store da det er hurtigt nok og jeg egentligt ikke har noget at bruge DPI til. Men det er værd at skrive sig bag øret at hvis man vil anvende alle avancerede funktioner så som DPI og QoS kan man måske ikke håndtere en fuld gigabit på WAN interfacet.

Med Deep Packet Inspection kan man se mange spændende detaljer om trafikken og følge med i hvad der sker på netværket. Desværre gemmer den ikke data så længe med mindre at man bruger deres Ubiquiti Network Management System.

Ubiquiti har også en mobil app hvor man kan se information om routeren og foretage meget basale ændringer.

Hvad der er mere imponerende, er deres Ubiquiti Network Management System, der er en software pakke man kan installere på en server og så styre mange af deres netværksenheder, gemme og se statistikker samt  opgradere firmware automatisk.

Edgerouter X kan også fungere som VPN server hvor du kan installere en VPN profil på dine enheder og så tilgå dit hjemmenetværk når du er ude af huset. Den understøtter flere forskellige protokoller så som L2TP, IPSec og PPTP. PPTP er nemmest at sætte up via en wizard men ikke så sikker som de andre muligheder og ikke understøttet på iphone/ipad så du bør vælge IPSec.

Desværre kan du kun sætte IPSec op via kommandolinien men du kan finde en fin guide her. Hastigheden er ikke imponerende, på en 4G forbindelse der normalt trækker omkring 70 megabit kan jeg gennem VPN til edgerouteren kun trække ca 30 megabit. Ifølge Ubiquiti er det en bug i den nuværende firmware version der skulle blive rettet. Hvad der så kan trækkes af hastigheder vil jeg opdatere anmeldelsen med når fejlen er rettet. Stabilitetsmæssigt fungerer det fint men iPhone genopretter ikke automatisk forbindelsen efter afbrydelser hvilket kan være problematisk. Du kan også vælge at VPN forbindelsen kun bruges til at tilgå tjenester på dit LAN imens resten af trafikken får direkte til internettet.

Så for at konkludere er Edgerouteren et fund til prisen for folk der synes det er sjovt at rode med netværk og har brug for avanceret opsætning. Hvis man bare vil have noget der er nemt at sætte op og inkludere wifi er det nærmere ting så som Ubiquiti amplifi eller google wifi man bør kigge efter. Jeg er så positiv over routeren at jeg nu også overvejer Ubiquitis unfi wifi access punkter.

Det eneste rigtigt negative jeg kan sige er at web interfacet ikke virker særligt godt på en iPad.

Opdatering December 2018: Jeg er skiftet til hiper hvor jeg også bruger edgerouteren med stor fornøjelse.