Unifi Dream Machine Pro

Chez les afficionados de la marque on a généralement tous commencé par un AP WI-FI. Et puis comme ça fonctionnait bien et que c'était beau on s'est laissé aller pour un USG, et là c'était beau, mais pas exempt de bugs et surtout limité en CPU pour exploiter une fibre ou DPI/IPS. Il y a bien eu l'USG Pro, pas vraiment beaucoup plus puissant. Sur tous ces modèles le VPN n'a jamais été le point fort et quant à faire de la publication il n'y a rien d'autre qu'une possible translation de ports entrants comme sur un vulgaire routeur grand public, si cela pouvais se comprendre sur les modèles précédents, on aurait aimé un reverse proxy sur la machine censée nous faire rêver !


(source Unifi)

Mais il n'en est rien, il faut considérer l'UDM Pro, et c'est son positionnement marketing, comme un routeur d'accès avec des services (Contrôleur Unifi, Unifi Protect, contrôle d'accès, téléphonie IP, etc..). Si l'on souhaite publier des services on regardera plutôt du coté de pfsense ou autres Appliance qui font ça très bien. Et si on veut faire du VPN,  ce qui est par contre dans la cible du produit, ce sera IPSEC ou OpenVPN. Zerotier ayant été porté sur la gamme Edge, il y a des chances que quelqu'un fasse le portage sur l'UDM Pro, voire qu'Unifi le fasse, à moins qu'ils ne se laissent tenter par WireGuard...

A 319 € (HT) l'UDM est un produit intéressant qui combine donc plusieurs fonctions : 

  • un USG performant avec fonctionnalités de firewall avancées (IPS/IDS, DPI)
  • un switch 8-port Gigabit et un port 10G SFP+, un port WAN Gigabit et un second port WAN en 10G SFP+ (de quoi y raccorder les nouveaux produits en 2.5 GB et 10 GB actuellement en Early accès et profiter des offre fibre en 2.5 GB ou 10 GB proposées par certains FAI).
  • un contrôleur UniFi (= CloudKey ou CloudKey Gen2+).
  • un NVR UniFi Video avec emplacement disque dur 3.5″ ou 2.5".
  • d'autres contrôleurs à venir (contrôle d'accès, téléphonie IP, et certainement quelques autres projets dans les cartons...).
  • et enfin comme tous les Gen2 de la marque on est en présence d'un petit écran de contrôle en face avant. Petit gadget pour doigts de fée !

Si le contrôleur Unifi intégré pourrait très bien trouver sa place ailleurs (VM, Cloud, ...), l'enregistreur vidéo (Unifi Protect), qui est identique, mais plus puissant que celui que l'on trouve sur le CloudKey 2+, constitue un vrai plus si on veut gérer un grand nombre de caméras et stocker jusque à 14 TB de vidéos de surveillance. A noter qu'il existe chez Unifi un autre NVR plus puissant avec le support de 4 disques.

Le NVR

Ca c'était le bla bla marketing annoncé. Dans la pratique Unifi Protect sur l'UDM Pro me semble bien bogué pour un produit sorti il y plus de six mois. Ca commence avec le disque dur, quelque soit le modèle installé parfois il le voit, parfois pas, et quand il le voit il ne l'exploite pas (impossibilité d'enregistrer). Certains conseillent de le retirer et de le formater en ext4, pas mieux, de juste supprimer les partitions, là il est visible mais non exploitable. Pas très normal qu'on ne puisse pas lancer l'initialisation/formatage depuis l'interface. Et je passe sur les paramètres des caméras qui sont pris en compte depuis l'application mobile mais impossible depuis le portail web qui lui répond que la caméra n'est pas reconnue, alors qu'elle l'est bien sur... A cette heure je regrette ma CloudKey 2+ !

Le routeur

Le routeur d'accès qui lui remplacera l'USG reste à apprécier à l'usage, Ca remplace mais ça reste un USG dont je ne vais pas reprendre le détail ici, un une partie qui mériterais de la part d'Unifi quelques évolutions, avec notamment l'intégration à l'interface de tout ce qui n'apparait pas mais reste faisable en CLI.

2 ports WAN, mais un seul en 10 G !

A noter que le WAN1 qui est en 1 GB est toujours le port principal WAN et que si on souhaite faire du failover on le fera avec le WAN 2 qui lui est en 10 GB (SFP+) ou en 1 GB en utilisant un adaptateur UF-RJ45-1G. C'est d'autant plus bête qu'en utilisation normale on peut imagine une grosse fibre sur le WAN principal et un xDSL en secours. Ca reste du soft, et on peut imaginer une évolution du firmware, et pourquoi ne pas banaliser tous les ports en WAN/LAN comme le fait Cisco depuis plus de 10 ans sur des produits SMB de la gamme RV.

Dans tous les cas, sur le papier, on reste sur de l'agrégation ou du failover utilisable en sortie, et pour l'instant c'est failover only (La seule solution intégrale d'agrégation via un tunnel restant l'OTB d'OVH ou sa version open source openMPTCP).

Quand au WI-FI contrairement à l'UDM, l'UDM Pro qui se place dans un rack n'intègre logiquement pas d'AP. Alors on est tout de même en droit de se demander pourquoi sur un produit qui est censé gérer des AP et des caméras en POE, on ne trouve aucun ports POE ? Je pense simplement qu'à la conception la question a bien du se poser, le marketing l'a emporté en argumentant que cela ferait vendre des commutateurs POE, produits sur lesquels la marge est certainement bien plus importante. C'est dommage car avec quelques ports POE l'UDM Pro aurait été presque parfait ! Business is business !

Un firmware intégré...

Contrairement aux habitudes prises avec Unifi, ici le firmware intègre tout, le firmware de la machine de base proprement dite (USG), le contrôleur Unfi Network, le contrôleur Unifi Protect et les autres applications... Si la bonne idée est de simplifier, on va voir que dans la pratique ce n'est pas si simple tant les versions sont évolutives chez eux...

Coïncidence, mon UDM Pro est arrivé le lendemain du jour ou j'ai mis à jour (par erreur) ma CloudKey 2+ avec le contrôleur avec 6.0.20. Mal m'en a pris car cette version, tout comme la suivante en 6.0.22 est tellement buggées qu'on peut aisément penser qu'elle a été lâchée en release par erreur (un stagiaire ?). Problème, la 6.0.x n'existe pas sur l'UDM Pro qui est en firmware 1.8 qui intègre le contrôleur en 5.x. Dès lors impossible de migrer une installation en 6.x vers du 5.x ! (il ne s'agit pas vraiment d'un process de migration mais une simple opération de backup/restaure, il faut donc que la source ait un niveau de release inférieur ou égal au contrôleur de destination).

Alors j'ai cherché, j'ai fini par installer la 1.8.1 RC3 qui n'apporte hélas pas de contrôleur en 6.x ... et pour finalement découvrir qu'il était possible de mettre à jour le contrôleur d'UDM Pro en SSH. Et pourquoi pas avec un bouton upload ? On a parfois l'impression qu'il y a chez Unifi pas mal d'ingés de l'ancien monde, ceux pour qui le CLI est et reste la seule option possible... Ce qui n'est pas très logique pour un constructeur qui se démarque avant tout par ses magnifiques interfaces !

ssh udm ...
unifi-os shell
cd /tmp
curl -o "unifi_sysvinit_all.deb" https://dl.ui.com/unifi/x.xx.xx_version/unifi_sysvinit_all.deb
dpkg -i unifi_sysvinit_all.deb 
rm unifi_sysvinit_all.deb 

Et comme je n'ai pas reçu ce produit du service de presse pour le tester, mais que je l'ai acheté pour l'utiliser, me voilà donc en principe dans la possibilité de migrer. Je fait un export du contrôleur et un export du NVR depuis la CK 2+ (je ne me pose pas la question d'exporter les vidéos de la CK 2+, mais il parait que c'est possible...). Ensuite je débranche l'USG et la CK 2+, c'est important. A partir de la il me suffira en principe d'importer le backup du contrôleur sur l'UDM Pro et ensuite le backup du NVR.

Dans la pratique c'est un peu plus compliqué. Si l'importation se passe bien le redémarrage annoncé ne s'opère pas. Je le fais manuellement au bout d'une heure. Mais au retour je ne peux me connecter localement, ni sur l'ancienne l'IP (192.168.1.1), ni sur l'IP de configuration importée (192.168.210.1). Par contre je peux le faire à distance (à noter que c'est un nouveau portail d'administration). Et là en fouillant je constate deux choses :

  • Le port 11 (SFP) qui assure la liaison avec mon USW-48 a perdu sa configuration en 1 GB FDX (et non il n'est pas auto sense...)
  • Que si l'IP LAN a bien été importée dans la configuration, c'est toujours l'ancienne IP qui répond, et de fait le système ne voit pas les autres équipements importés (SW, AP).

Réactiver le port SFP en FDX est facile, pour que l'IP LAN soit bien prise en compte j'ai finalement rentré l'ancienne à la place de la nouvelle, appliqué la configuration, et ensuite remis la nouvelle, et oh merveille ça fonctionne. Oh merveille mon cul, car c'est vraiment n'importe quoi.

A ce stade tout semble fonctionner, bien que dans cette version non finalisée (6.0.22) certaines choses sont à faire dans la nouvelle admin (VPN) tandis que pour d'autres actions il faudra revenir à l'ancienne interface. beta bug beta bug ! Enfin, tout sauf que si le WAN2 sait bien fonctionner en failover, contrairement à l'USG il est ici impossible de la basculer en agrégation (pas de réponse à ce sujet pour l'instant).

Il y a également depuis le 6.0.x des équipements WI-FI qui décrochent. C'est par exemple systématique sur les ampoules Xiaomi/Yeelight, j'ai tout retourner sans trouver de contournement. Et pour mémoire, quand on migre d'une 5.x vers une 6.0.20 il y a un Vlan only network - 0 qui se crée, je pense que c'est lié à la nouvelle façon de gérer le WI-FI Guest, en attendant il empêche toute connexion WIFI normale et il faut donc l'effacer ou le le changer d'ID (en 100 par exemple). Sur le 6.0 le WI-FI est géré différemment et on peu créer plus de 4 SSID, ce qui est par exemple plus souple pour les différencier en 2 ou 5 Ghz. et en isoler certains (IoT par exemple).

Domotique

Pour information les intégrations Unifi et Unifi Protect que l'on utilise dans Home Assistant fonctionnent et reconnaissent bien l'UDM. Petit hic il faut les réinstaller car je n'ai pas trouvé (pas trop cherché non plus) la façon de changer l'IP du contrôleur et du NVR (dans HA). Le résultat est que certaine entités peuvent changer de nom et qu'il faudra s'adapter.

Accéder au contrôleur depuis l'extérieur

Le plus simple pour administrer le contrôleur intégré à l'UDM est bien sur de passer par le cloud Unifi et l'application. Mais on peu vouloir y accéder directement depuis le port WAN. Pour cela on va commencer par suivre ces recommandations et ainsi créer une règle WAN Local :

Action : Accept
IPv4 Protocol : TCP
Rule Applied : Before pre-defined rules
Destination : Create a new port group with port 443 in the group

A partir de là on peut accéder au contrôleur sur son port par défaut (443) depuis l'extérieur. Sauf que le port par défaut n'est pas une bonne idée et on peut vouloir en faire autre chose. On va donc créer une règle dans Port Forwarding qui redirigera par exemple le port 8443 sur l'IP LAN du contrôleur, et ainsi on y accède via ce port. Au même endroit on peut créer une autre règle pour rediriger le port 443 vers une autre IP du LAN, et si on en a pas besoin on la redirige sur 127.0.0.1 afin de bloquer l'accès externe via le 443... Je sais c'est un peu tordu par les cheveux mais je n'ai pas trouvé mieux ! En ce qui me concerne j'en ai eu besoin pour cette solution de backup. Attention toutefois à verrouiller cet accès sur des IP sources pour plus de sécurité.

Conclusion

Par la force des choses je me retrouve :

  • en prod avec du matériel qui tourne intégralement sur des versions beta. Une pratique à éviter.
  • avec un enregistreur qui n'enregistre plus rien...
  • des équipements WI-FI qui décrochent.
  • avec une foule de bugs dont une agrégation de ports inopérante.

Vous l'aurez compris, la machine à rêver ne m'a pas fait rêver mais perdre beaucoup de temps et me retrouver dans une situation très instable !

  • EDIT 22/09/2020 14:00 : la v6.0.23 du contrôleur est sortie et ça règle bien plus de choses qu'annoncé. Dont mes déconnections avec les ampoules Xiaomi/Yeelight. En fait non, mais ça tient quelques heures au lieu de 5 minutes...
  • EDIT 22/09/2020 17:30 : S'agissant de l'enregistrement sur détection de présence (Protect) et de l'enregistrement il semblerait qu'un paramètre n'ait pas été pris en compte lors de la migration ou qu'il soit nouveau (sur chaque caméra, Recording/Motion Events/Motion Algorithm), il faut faire un choix et aucun des deux n'était sélectionné. Dès lors qu'un disque dur est bien reconnu on a donc bien les enregistrements.
  • EDIT 23/09/2020 04:37 : Il est possible d'intervertir WAN1/WAN2 afin que WAN1 (le principal) profite de l'interface 10 GB sur WAN1 (et sans passer par SSH). Par contre pour l'instant seul le support du mode Failover, pour le Load Balancing (supporté sur l'USG) il faudra repasser plus tard.
  • EDIT 23/09/2020 18:22 : En parlant de plus tard, le SNMP, un peu la base sur un routeur, est caché (New Seetings + search snmp), mais pour autant il ne fonctionne pas. Il parait que apt-get ... etc... On se marre !
  • EDIT 23/09/2020 19:30 : Passage de la 6.0.23 en release et sortie de la 6.0.24 en beta. Ca turbine chez Uniquiti, il faut dire que ça grogne partout ! Nouveaux firmwares UAP/USW. Nouvelles déconnexions sur les ampoules Xiaomi.
  • EDIT 29/09/2020 17:17 : S'agissant des ampoules Xiaomi, j'ai essayé tous les paramètres possibles et imaginable ainsi que les version beta de firmware sans obtenir de résultat. J'en conclu que quelque chose a vraiment changé dans cette version qui a plus une allure de beta que de release. J'ai donc honteusement ressorti un vieil AP Netgear...
  • EDIT 29/09/2020 17:17 : A la version 1.8.4 du firmware les choses sont rentrées dans l'ordre.
  • EDIT 26/01/2022 16:16 : Au fil du temps et des firmwares successifs, parfois chaotiques, les choses sont rentrées dans l'ordre et maintenant l'UDMP fonctionne très bien. Pour Unifi Protect un SSD augmentera nettement les performances.

J'espère pouvoir échanger avec Unifi et qu'ils sauront m'apporter des réponse satisfaisantes à tous ces problèmes. Je mettrais bien sur à jour cet article énervé en fonction de.

Bonus

Quand on accède en local à l'UDM via son IP on a bien sur une erreur SSL. Pour remédier à ça :

  1. On exporte le certificat autosigné unifi.local depuis Chrome vers un fichier .CER (un simple clic sur copier dans un fichier quand on visualise le certificat).
  2. Avec une console MMC on importe ce certificat dans "Trusted Root Certification Authorities" store.
  3. On édite C:\Windows\System32\drivers\etc\hosts et on ajoute IP_de_l'UDM > unifi.local (éventuellement avec HostMan).
  4. Après avoir relancé le navigateur on accès de à https://unifi.local

Sources

 

Objets connectés

Depuis longtemps il existait des prises commandées, les plus connues étant les DI-O. Elles se commandent grâce à une télécommande et sont généralement intégrables dans une solution domotique via le protocole Chacon, dont la fiabilité est parfois aléatoire, à l’aide d’un RFPlayer ou d’un RFX-COM. Il y avait également les équipements Z-Wave, mais leur prix a fait que ce protocole est un peu délaissé par l’industrie. Quant à Bluetooth sa portée limitée le restreint à des usages tout aussi limités.

A l’ère des objets connectés on voit apparaître une nouvelle génération de prises et autres objets connectés. Il se dégage deux tendances qui utilisent deux protocoles bien différents qui ont tous les deux leurs avantages et inconvénients, ZigBee et WI-FI.

Zigbee

Il s’agit d’un protocole maillé ou, pour faire simple, les objets connectés au secteur servent de relais. Par exemple une prise sera un relais sur lequel pourra s’appuyer un capteur de température et ainsi mailler une plus grande surface. Pour communiquer avec l’extérieur (applications mobiles par exemple), Zigbee nécessite une passerelle qui se connecte en Ethernet sur le réseau local. Il est intéressant de noter qu’une passerelle de marque X pourra supporter des objets de marque Y.

Coté domotique pour communiquer avec Zigbee il faudra une clé de type ZiGate et le plugin idoine. Il en existe deux sous Jeedom par exemple et c’est intéressant pour les capteurs de température ou d’ouverture.

C’est ce protocole qui est utilisé par les objets connectés des grandes marques, la plus connue est Philips avec son écosystème Hue, mais également Osram, Ikea et Xiaomi. On trouve également sur Amazon ou eBay plusieurs chinoiseries à un tarif attractif mais avec les risques que cela suppose.

WI-FI

L’avantage du WI-FI c’est qu’il est présent partout. Ainsi les objets connectés WI-FI ne nécessitent pas de passerelle particulière pour peu que l’on dispose d’une couverture WI-FI stable. Amazon regorge de de prises, ampoules et autres objets connectés en WI-FI. Un écosystème se dégage autour de Tuya qui permet aux fabricants de proposer des objets OEM sous leur marque tout en utilisant le cloud de Tuya. On se retrouve donc face à des objets qui dépendent d’un cloud, et qui plus est d’un cloud chinois qui pourra en effrayer certains. Ils se pilotent garce à une application mobile fournie par le fabricant qui est généralement une version adaptée de l’application Tuya, donc autant prendre l’originale qui sera à jour et permettra de piloter tous les objets de l’écosystème.

Coté intégration domotique plusieurs options se présentent et des développements sont en cours.

  • L’API Tuya qui permet un usage parallèle mais dépendante du cloud Tuya.
  • IFTTT qui fonctionne sur quasiment toute les solutions avec la double dépendance IFTTT + Tuya et une certaine lenteur.
  • Enfin, certains développeurs travaillent sur des solutions autonomes basées sur du reverse engineering non dépendantes.

Il existe d’autres écosystèmes plus ou moins répandus sous nos contrées et généralement chinois. Le plus connu est Sonoff que l’on trouve sur Amazon et qui propose des produits intéressants et généralement hackables pour un pilotage autonome depuis une solution domotique. Contrairement aux autres les produits Sonoff gèrent généralement l’état (on, off ou état antérieur) après une coupure électrique ce qui est un vrai plus.

Certains objets, les prises Konyks Priska (avec un vrai label CE) par exemple, permettent également de remonter des statistiques sur la consommation. Ainsi quand on s’aperçoit que l’ensemble HI-FI / Home Cinéma consomme 35 watts en veille, la décision de connecter l’ensemble à une multiprise WI-FI est rapidement prise ! Mais une autre attention se portera également à la consommation propre à ces objets WI-FI. Si certains sont raisonnables, ce n’est pas toujours le cas pour certaines chinoiseries et cette information est généralement absente des descriptions.

Plusieurs options de scénarios

En Zigbee comme en WI-FI les applications mobiles sont à même de créer des scénarios simples (exemple j’allume la tv et l’ampli et j’éteins les lampes pour voir un film) et une automatisation des objets (genre allumage répétitif tous les jours à telle heure ou compte à rebours ou l’objet va s’éteindre au bout de x minutes).

Difficile de parler d’objets connectés sans Alexa ou Google Home. La seconde option consistera donc à utiliser son enceinte intelligente préférée, qui servira enfin à quelque chose, pour gérer des petits scénarios. On peut ainsi facilement dire « je vais regarder un film », ce qui activera le home-cinéma et éteindra certaines lampes, puis à la fin du film dire « je vais me coucher » afin d’éteindre le home-cinéma, les lampes de la zone vie, baisser le chauffage et allumer la chambre… Ce n’est pas de la science-fiction, c’est amusant et très facile à mettre en place.

Enfin pour des scénarios plus évolués, mais aussi pour agir sur l’ensemble des équipements (chauffage, sécurité) on pourra toujours se tourner vers une centrale domotique avec des possibilités infinies. Mais là c’est vraiment plus complexe à mettre en œuvre et ça rentrera dans un projet plus qu’un achat impulsif.

Il y a fort à parier que la domotique grand public évoluera avec les objets connectés associés aux écosystèmes des constructeurs et des enceintes connectés. Pour être utilisable et commercialisable à grande échelle la domotique doit être WAF (en 2018 on ne dit plus WAF mais HAF, comme "human acceptance factor"), donc simple. On exclut donc une usine domotique pour piloter deux prises et quatre ampoules. Donc même si on dispose d’une solution domotique, on peut très bien imaginer que certains objets gravitent autour sans pour autant êtres interdépendants.

Maintenant ou demain ?

Pour gérer quelques ampoules et prises en Zigbee ou en WI-FI c’est maintenant si on en a besoin. L’investissement est limité et les produits des grandes marques s’adapteront généralement aux évolutions à moyen court terme.

Pour se lancer dans un projet domotique global je serais plus mesuré. Cela fait 20 ans que l’on parle de domotique sans qu’il se dégage une vraie direction industrielle.

Personnellement j’utilise depuis 10 ans une ZiBase que je vais faire évoluer sous Jeedom pour la simple raison que je ne trouve sur le marché aucun système de thermostat connecté capable de gérer 6 zones de chauffage électrique. Pourquoi ? Parce que le chauffage électrique est une exception française imposée par l’énergie nucléaire et le mirage de l’électricité à bas coût. Le résultat est que l’industrie mondiale ne s’y intéresse pas et que les rares solutions se basent sur la gestion du fil pilote dont les maisons des années 70/80 ne sont pas équipées. Sans ça pas sûr que je persiste dans Jeedom !

Ou acheter ?

Depuis son fauteuil sur Amazon bien sûr, et en surveillant les promos qui sont courantes sur ces produits. La grande distribution spécialisée (FNAC, Castorama, Leroy Merlin ou Boulanger pour ne citer qu’eux, privilégie généralement Zigbee plus simple à vendre sous blister. On trouve également ces produits chez les boutiquiers de la domotique, mais eux ajoutent des frais de ports que l’on évitera chez Amazon Prime. Pour les produits « no name » Amazon permet un retour sans condition pour les produits expédiés par leurs soins. Une bonne solution pour tester la compatibilité et la consommation.

Voilà le résultat de mes cogitations et recherches. C'est par essence incomplet, je reste donc ouvert aux sujétions et nouvelles infos et idées.