November 14th, 2019

Cat-light

Помацал Ubiquiti UniFi

Не понравилось.

Как всегда, продолжаю решать долбанутые задачи. Есть условно-моя офисная сеть. Есть сеть организации-контрагента. Надо их состыковать, чтобы из моей сети попадать во "вражескую". Но поскольку IP-адресация пересекается, приходится NATить (знакомо, да?). Каналообразующее оборудование предоставляет контрагент, я от него получаю RJ-45 порт в своём шкафу, остальное меня не волнует.

От предыдущего админа досталась железяка с пафосным названием "Ubiquiti Security Gateway Pro 4". По некоторым причинам она оказалась никому не нужна, другой всё равно нет, так чего бы не сделать из неё NAT? Ага, щаззз, разбежался...

Стоит она каких-то неразумных денег. Внутри самый обычный Linux 3.10 крутится на MIPS-процессоре. Но ты не можешь просто так взять и настроить его так, как тебе нужно. Потому что все эти iptables-iproute2 обёрнуты в проприетарный шелл со своим ни на что не похожим странным синтаксисом и командами. А в веб-морде нет никаких настроек от слова "совсем".

Производителем предполагается, что сразу после включения ты заводишь этот USG4 в общую "экосистему" под управление централизованного контроллера и выполняешь все настройки через него. При попытке зайти по SSH тебя прям сразу большими буквами недвусмысленно предупреждают: "всё что ты щас тут будешь настраивать, неизбежно похерится сразу после подключения роутера к контроллеру". Вашу ж мать... ну ладно, значит не будем подключать.

А этой самой "экосистемой" в принципе не предусматривается, что у тебя в сети может существовать больше одного этого самого Gateway-я. И что он не будет являться default-ным. Поэтому подключив ("adopt") его к контроллеру, я рисковал положить к чертям вообще всю сетку. Потому что за выход в интернет и глобальную маршрутизацию там отвечает как бе совсем другое устройство. И смена default gateway на клиентах явно ни к чему хорошему бы не привела.

Пришлось изучать этот самый корявый синтаксис и азы идеологии. Блин... у микротиков и то логичнее, хотя всё оно есть суть сорта одного и того же г...на. В итоге я за пару часов настроил, конечно. Но нет, больше не хочу. Мне уже цисок "выше крыши" хватило с их "nat overload", инвертированными масками в ACL-ях и невозможностью добавить на физический интерфейс ip-адрес с маской "/32". Еще и эту ubiquit-евскую е**нину в голове держать — ну на**й.

Контроллер тоже какой-то чудесатый. Взял ноутбук, спустился на соседний этаж. Примостился на подоконнике в одном метре от ближайшей точки доступа. Но нет, бесшовное переключение на неё почему-то не состоялось. Сигнал "одна палка", работаю ни пойми через что. Нафиг так жить?

Короче говоря, весь этот Ubiquiti — для мамкиных одминов, которым хочется красивую веб-морду и чтоб без особых умственных усилий построить простенькую одноранговую сеточку с выходом в интернет. Шаг вправо, шаг влево — всё, тушите свет, сливайте воду. Для SOHO слишком дорого, для Enterprise — совершенно бесполезно. Не знаю даже на кого оно всё рассчитано.

Осталось теперь только где-нибудь пощупать TP-LINK Omada. Так, чисто для общего развития. Чтоб знать какие в принципе бомжвейные решения бывают и насколько они кривые.