View
2
Download
0
Category
Preview:
Citation preview
Red IP - Tareas #5586
Instalación de puntos Wifi Unifi
02/09/2017 04:21 PM - Daniel Viñar Ulriksen
Status: Cerrada Start date: 02/08/2017
Priority: Normal Due date:
Assignee: Daniel Viñar Ulriksen % Done: 70%
Category: Estimated time: 0.00 hour
Target version: Spent time: 6.00 hours
Description
Compramos cuatro dispositivos de puntos de acceso inalámbrico Ubiquiti / Unifi.
Conviene instalar el software de gestión correspondiente, y configurar los AP
Related issues:
Follows Compras - Tareas # 5485: Compra puntos inalámbricos para CSIC Cerrada 10/07/2016
History
#1 - 02/09/2017 04:21 PM - Daniel Viñar Ulriksen
- Follows Tareas #5485: Compra puntos inalámbricos para CSIC added
#2 - 02/09/2017 04:30 PM - Daniel Viñar Ulriksen
Las descargas de los firmware y del software de gestión están acá
El software requiere un servidor, armamos un debian 8 en [[servidores:Marconi]].
#3 - 02/09/2017 04:30 PM - Daniel Viñar Ulriksen
- Status changed from Nueva to En curso
#4 - 02/09/2017 04:30 PM - Daniel Viñar Ulriksen
- % Done changed from 0 to 20
#5 - 02/09/2017 05:03 PM - Daniel Viñar Ulriksen
Configuré lo esencial de lo habitual para servidores (fail2ban, sudo, cuenta para Seba, firewall, ...)
Y descargo el paquete de ubiquity.
#6 - 02/09/2017 05:04 PM - Daniel Viñar Ulriksen
Acá está la documentación de esta solución.
#7 - 02/09/2017 05:16 PM - Daniel Viñar Ulriksen
Mejor que descargar el .deb, actualizamos los repos en el sources.list, como documentado acá y acá.
#8 - 02/09/2017 05:32 PM - Daniel Viñar Ulriksen
01/07/2020 1/5
Luego de instalar el paquete unifi y sus dependencias, aparentemente no arranca.
Luego de buscar, mongodeb, la base que usa el paquete, es bien comilona en espacio disco:
root@marconi:~# less /var/log/mongodb/mongodb.log
...
Thu Feb 9 17:25:16.567 [initandlisten] ERROR: Insufficient free space for journal files
Thu Feb 9 17:25:16.567 [initandlisten] Please make at least 3379MB available in /var/lib/mongodb/journal or use --smallfiles
#9 - 02/10/2017 12:27 PM - Daniel Viñar Ulriksen
- % Done changed from 20 to 30
Le agregué 3Gb a la partición /var, pero igual se sigue llenando:
root@marconi:~# df -h
S.ficheros Tamaño Usados Disp Uso% Montado en
....
/dev/mapper/marconi--vg-var 5,7G 5,7G 0 100% /var
#10 - 02/14/2017 12:42 PM - Daniel Viñar Ulriksen
Luego de instalarle 3G más, mongodb arranca. Vemos servicios java en los puertos 8080, 8880, 8443 y 8843. En el 8443, presenta el wizard de
instalación de la gestión de PA unifi.
Pero primero pongamos un reverse-proxy, para acceder por los puertos web estándar. Probemos con nginx, para cambiar.
#11 - 02/14/2017 02:34 PM - Daniel Viñar Ulriksen
Aprendiendo a configurar nginx:
root@marconi:~# cat /etc/nginx/sites-available/reverse-unifi
##
# (...)
server {
listen 80;
listen [::]:80;
server_name marconi.csic.edu.uy;
root /var/www/html;
index index.html index.nginx-debian.html;
location / {
try_files $uri $uri/ =404;
}
01/07/2020 2/5
}
configura un sitio en http
#12 - 02/14/2017 02:40 PM - Daniel Viñar Ulriksen
Luego de haber instalado ssl-cert para generar /etc/ssl/certs/ssl-cert-snakeoil.pem y /etc/ssl/certs/ssl-cert-snakeoil.key, podenmos definir un sitio en
https:
root@marconi:~# cat /etc/nginx/sites-available/reverse-unifi-ssl
##
# (...)
server {
listen 443 ssl;
listen [::]:443 ssl;
server_name marconi.csic.edu.uy;
include snippets/snakeoil.conf;
root /var/www/html;
index index.html index.nginx-debian.html;
location / {
try_files $uri $uri/ =404;
}
#13 - 02/14/2017 02:59 PM - Daniel Viñar Ulriksen
Con:
server {
listen 443 ssl;
listen [::]:443 ssl;
server_name marconi.csic.edu.uy;
include snippets/snakeoil.conf;
location / {
proxy_pass https://127.0.0.1:8443;
}
}
configuramos un reverse-proxy, y logramos ver en el puerto 443 el wizard de instalación del gestor unifi previamente instalado.
01/07/2020 3/5
#14 - 02/15/2017 03:02 PM - Daniel Viñar Ulriksen
- Due date deleted (10/10/2016)
- Start date changed from 10/10/2016 to 02/08/2017
Procuro conectar un AP. Uno aparentemente ya fue configurado (no lo accedo en ssh con login/pwd por omisión), tomo otro.
Por omisión, el AP debe acceder a http://unifi:8080/inform
Configuro la resolución de unifi en DNS, y abro temporalmente todos los puertos de firewall.
#15 - 02/15/2017 03:03 PM - Daniel Viñar Ulriksen
- % Done changed from 30 to 50
No logro conectarme a través de https://unifi.csic.edu.uy/, sí logro por https://unifi.csic.edu.uy:8443/, pero presenta un certificado autofirmado.
#16 - 02/15/2017 04:56 PM - Daniel Viñar Ulriksen
Empecemos por abrir los puertos necesarios a la red de CSIC. Encuentro esta documentación reciente al respecto.
En el fwbuilder, abrimos a la red de CSIC los puertos:
- TCP 8080
- TCP 8443
- (como no usamos portal, no abro el 8880 y el 8843)
- no entiendo bien el STUN, UDP 3478.
#17 - 02/16/2017 11:49 AM - Daniel Viñar Ulriksen
Pude hacer funcionar el reverse-proxy en nginx, con esta documentación de foro
La configuración del servidor nginx es:
server {
listen 443 ssl;
listen [::]:443 ssl;
# server_name marconi.csic.edu.uy;
server_name marconi.csic.edu.uy unifi.csic.edu.uy;
ssl_certificate /etc/letsencrypt/live/marconi.csic.edu.uy/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/marconi.csic.edu.uy/privkey.pem;
#proxy_ssl_verify off;
#proxy_cache off;
#proxy_store off;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_session_cache shared:SSL:20m;
ssl_session_timeout 180m;
01/07/2020 4/5
ssl_prefer_server_ciphers on;
ssl_ciphers ECDH+AESGCM:ECDH+AES256:ECDH+AES128:DH+3DES:!ADH:!AECDH:!MD5;
# ssl_dhparam dhparam.pem;
location / {
proxy_pass https://localhost:8443;
proxy_http_version 1.1;
proxy_buffering off;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "Upgrade";
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forward-For $proxy_add_x_forwarded_for;
}
}
#18 - 02/16/2017 04:36 PM - Daniel Viñar Ulriksen
Configuro el DHCP con IP fija de los AP, los adopto en el controlador, y los documento acá: [[csic:WiFi_en_CSIC]].
#19 - 02/16/2017 07:22 PM - Daniel Viñar Ulriksen
- Status changed from En curso to Resuelta
- % Done changed from 50 to 70
Ahora los clientes WiFi obtienen las IPs de la LAN, que solo tiene un pool de 20.
EN cuanto anuncié la disponibilidad del nuevo Wifi, las IPs se agotaron.
Empiezo por borrar las viejas leases, y bajar su duración de 3 a 1 día. Hay que supervisar planck.
#20 - 05/18/2017 09:40 AM - Daniel Viñar Ulriksen
- Status changed from Resuelta to Cerrada
01/07/2020 5/5
Recommended