Red IP - Tareas #5586

Instalación de puntos Wifi Unifi

02/09/2017 04:21 PM - Daniel Viñar Ulriksen

Status: Cerrada Start date: 02/08/2017

Priority: Normal Due date:

Assignee: Daniel Viñar Ulriksen % Done: 70%

Category: Estimated time: 0.00 hour

Target version: Spent time: 6.00 hours

Description

Compramos cuatro dispositivos de puntos de acceso inalámbrico Ubiquiti / Unifi.

Conviene instalar el software de gestión correspondiente, y configurar los AP

Related issues:

Follows Compras - Tareas # 5485: Compra puntos inalámbricos para CSIC Cerrada 10/07/2016

History

#1 - 02/09/2017 04:21 PM - Daniel Viñar Ulriksen

- Follows Tareas #5485: Compra puntos inalámbricos para CSIC added

#2 - 02/09/2017 04:30 PM - Daniel Viñar Ulriksen

Las descargas de los firmware y del software de gestión están acá

El software requiere un servidor, armamos un debian 8 en [[servidores:Marconi]].

#3 - 02/09/2017 04:30 PM - Daniel Viñar Ulriksen

- Status changed from Nueva to En curso

#4 - 02/09/2017 04:30 PM - Daniel Viñar Ulriksen

- % Done changed from 0 to 20

#5 - 02/09/2017 05:03 PM - Daniel Viñar Ulriksen

Configuré lo esencial de lo habitual para servidores (fail2ban, sudo, cuenta para Seba, firewall, ...)

Y descargo el paquete de ubiquity.

#6 - 02/09/2017 05:04 PM - Daniel Viñar Ulriksen

Acá está la documentación de esta solución.

#7 - 02/09/2017 05:16 PM - Daniel Viñar Ulriksen

Mejor que descargar el .deb, actualizamos los repos en el sources.list, como documentado acá y acá.

#8 - 02/09/2017 05:32 PM - Daniel Viñar Ulriksen

01/07/2020 1/5

Luego de instalar el paquete unifi y sus dependencias, aparentemente no arranca.

Luego de buscar, mongodeb, la base que usa el paquete, es bien comilona en espacio disco:

root@marconi:~# less /var/log/mongodb/mongodb.log

...

Thu Feb 9 17:25:16.567 [initandlisten] ERROR: Insufficient free space for journal files

Thu Feb 9 17:25:16.567 [initandlisten] Please make at least 3379MB available in /var/lib/mongodb/journal or use --smallfiles

#9 - 02/10/2017 12:27 PM - Daniel Viñar Ulriksen

- % Done changed from 20 to 30

Le agregué 3Gb a la partición /var, pero igual se sigue llenando:

root@marconi:~# df -h

S.ficheros Tamaño Usados Disp Uso% Montado en

....

/dev/mapper/marconi--vg-var 5,7G 5,7G 0 100% /var

#10 - 02/14/2017 12:42 PM - Daniel Viñar Ulriksen

Luego de instalarle 3G más, mongodb arranca. Vemos servicios java en los puertos 8080, 8880, 8443 y 8843. En el 8443, presenta el wizard de

instalación de la gestión de PA unifi.

Pero primero pongamos un reverse-proxy, para acceder por los puertos web estándar. Probemos con nginx, para cambiar.

#11 - 02/14/2017 02:34 PM - Daniel Viñar Ulriksen

Aprendiendo a configurar nginx:

root@marconi:~# cat /etc/nginx/sites-available/reverse-unifi

##

# (...)

server {

listen 80;

listen [::]:80;

server_name marconi.csic.edu.uy;

root /var/www/html;

index index.html index.nginx-debian.html;

location / {

try_files $uri $uri/ =404;

}

01/07/2020 2/5

}

configura un sitio en http

#12 - 02/14/2017 02:40 PM - Daniel Viñar Ulriksen

Luego de haber instalado ssl-cert para generar /etc/ssl/certs/ssl-cert-snakeoil.pem y /etc/ssl/certs/ssl-cert-snakeoil.key, podenmos definir un sitio en

https:

root@marconi:~# cat /etc/nginx/sites-available/reverse-unifi-ssl

##

# (...)

server {

listen 443 ssl;

listen [::]:443 ssl;

server_name marconi.csic.edu.uy;

include snippets/snakeoil.conf;

root /var/www/html;

index index.html index.nginx-debian.html;

location / {

try_files $uri $uri/ =404;

}

#13 - 02/14/2017 02:59 PM - Daniel Viñar Ulriksen

Con:

server {

listen 443 ssl;

listen [::]:443 ssl;

server_name marconi.csic.edu.uy;

include snippets/snakeoil.conf;

location / {

proxy_pass https://127.0.0.1:8443;

}

}

configuramos un reverse-proxy, y logramos ver en el puerto 443 el wizard de instalación del gestor unifi previamente instalado.

01/07/2020 3/5

#14 - 02/15/2017 03:02 PM - Daniel Viñar Ulriksen

- Due date deleted (10/10/2016)

- Start date changed from 10/10/2016 to 02/08/2017

Procuro conectar un AP. Uno aparentemente ya fue configurado (no lo accedo en ssh con login/pwd por omisión), tomo otro.

Por omisión, el AP debe acceder a http://unifi:8080/inform

Configuro la resolución de unifi en DNS, y abro temporalmente todos los puertos de firewall.

#15 - 02/15/2017 03:03 PM - Daniel Viñar Ulriksen

- % Done changed from 30 to 50

No logro conectarme a través de https://unifi.csic.edu.uy/, sí logro por https://unifi.csic.edu.uy:8443/, pero presenta un certificado autofirmado.

#16 - 02/15/2017 04:56 PM - Daniel Viñar Ulriksen

Empecemos por abrir los puertos necesarios a la red de CSIC. Encuentro esta documentación reciente al respecto.

En el fwbuilder, abrimos a la red de CSIC los puertos:

- TCP 8080

- TCP 8443

- (como no usamos portal, no abro el 8880 y el 8843)

- no entiendo bien el STUN, UDP 3478.

#17 - 02/16/2017 11:49 AM - Daniel Viñar Ulriksen

Pude hacer funcionar el reverse-proxy en nginx, con esta documentación de foro

La configuración del servidor nginx es:

server {

listen 443 ssl;

listen [::]:443 ssl;

# server_name marconi.csic.edu.uy;

server_name marconi.csic.edu.uy unifi.csic.edu.uy;

ssl_certificate /etc/letsencrypt/live/marconi.csic.edu.uy/fullchain.pem;

ssl_certificate_key /etc/letsencrypt/live/marconi.csic.edu.uy/privkey.pem;

#proxy_ssl_verify off;

#proxy_cache off;

#proxy_store off;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_session_cache shared:SSL:20m;

ssl_session_timeout 180m;

01/07/2020 4/5

ssl_prefer_server_ciphers on;

ssl_ciphers ECDH+AESGCM:ECDH+AES256:ECDH+AES128:DH+3DES:!ADH:!AECDH:!MD5;

# ssl_dhparam dhparam.pem;

location / {

proxy_pass https://localhost:8443;

proxy_http_version 1.1;

proxy_buffering off;

proxy_set_header Upgrade $http_upgrade;

proxy_set_header Connection "Upgrade";

proxy_set_header Host $host;

proxy_set_header X-Real-IP $remote_addr;

proxy_set_header X-Forward-For $proxy_add_x_forwarded_for;

}

}

#18 - 02/16/2017 04:36 PM - Daniel Viñar Ulriksen

Configuro el DHCP con IP fija de los AP, los adopto en el controlador, y los documento acá: [[csic:WiFi_en_CSIC]].

#19 - 02/16/2017 07:22 PM - Daniel Viñar Ulriksen

- Status changed from En curso to Resuelta

- % Done changed from 50 to 70

Ahora los clientes WiFi obtienen las IPs de la LAN, que solo tiene un pool de 20.

EN cuanto anuncié la disponibilidad del nuevo Wifi, las IPs se agotaron.

Empiezo por borrar las viejas leases, y bajar su duración de 3 a 1 día. Hay que supervisar planck.

#20 - 05/18/2017 09:40 AM - Daniel Viñar Ulriksen

- Status changed from Resuelta to Cerrada

01/07/2020 5/5