USG USG stürzt ab. Möchte IDS / IPS wieder deaktivieren

[SwissUnifi]

Guten Abend.
Toll gibt es ein deutschsprachiges Forum. Danke.
Mein Problem: Die Unifi / Ubiquiti USG Firewall 3G stürzt bei Vollast ab. Das heisst, wenn ich eine 5 GB Datei downloade. Ich vermute es hat mit dem IDS/IPS Service zu tun. Irgendwo habe ich im englischen Bereich gelesen, dass ein aktivieren die Hardwarebeschleunigung deaktiviert. Wenn ich die Funktion IDS/IPS deaktiviere, bekommen neu angemeldete Geräte keine IP Adresse mehr. (z.B. nach Flugmodus) Das ganze Unifi Universum ist nicht mehr erreichbar. Mit einem älteren Backup konnte ich das ganze System wieder retten. Unter Provider Funktionen habe ich die Up/Download Werteauf 15000/75000 angepasst. Ubiquiti schreibt ja mit IPS sei nur noch 85 M/Bit/s möglich. Mein Internetanbieter liefert eine 20/20000 Leitung. Ich glaube es ist so etwas besser. Aber heute hatte ich wieder einen Absturz wegen einer 2,6 GB Iso Datei. Sonst läuft das System sehr stabil. Betreibe drei Sonos Lautsprecher mit Internetradio über Wlan und habe eigentlich nie Unterbrüche.
Weiss jemand wie ich das IPS wieder ausschalten kann? Im englischen Forum erwähnt jemand, das bei der USG Pro defekter RAM Baustein die Ursache für den Absturz sei. Muss ich das Gerät mal zurücksenden? Hätte noch Garantie. Im Anhang habe ich noch einen Ausschnitt von der Logdatei. Die Meldung Gateway disconnected via Email war am 13:59 Uhr. Besten Dank für eure Hilfe

Firmware USG:

4.4.29.5124210

Controller:


5.9.29

 

[hot chili]

Der USG Pro 4 kann es schneller, ist jedoch relativ laut vom Lüfter und teurer. Dann gibts noch das neue Model mit xg Anschlüsse ausgelegt auf viel Power mit reichlich vielen CPU Kernen für Fussballstadien free wifi vielleicht. Jedoch ist bei der 10.000 + Nutzerzahl eine Registrierung der Gäste dann wieder notwendig. Aber gut, das hast ja nicht vor.

 

[Schattenmeister78]

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Ich hatte das Problem ebenfalls ... auf dem USG hab ich IPS aktiviert gehabt und wollte es wieder deaktivieren und schwupss war kein Internet mehr da, PPoE war laut Controller verbunden aber keine Verbindung. Wenn ich IPS oder IDS wieder eingeschaltet hab war auch wieder Internet on. Auch wenn ich sämtliche Optionen von IPS deaktiviert habe (ausser die Aktivierung von IPS selbst) lief von alles aber sobald ich IPS oder IDS deaktiviert habe war Internet tot.

Daraufhin habe ich das USG manuell auf Firmware "4.4.29.5124210" downgraded und schon konnte ich IPS deaktivieren und die Hardwarebeschleunigung lies sich aktivieren. Scheint wohl wirklich ein BUG in der Firmware zu sein!

 

[Gatzi]

4.4.29 ist ja die aktuelle Firmware, du meinst bestimmt die 4.4.22, oder ?

 

[SwissUnifi]

ich habe gestern den CloudKey (Controller) zurückgesetzt und danach das Backup neu geladen. Erfoglos. Ich kann die HW Beschleunigung immer noch nicht aktivieren. Probiere heute Abend auch ein Downgrade.

 

[hot chili]

In der Funktion ISP sehe ich auch keinen Vorteil, da QOS (smarte Warteschleifen) viel mehr Datendurchsatz bietet. Oder übersehe ich etwas?

 

[Schattenmeister78]

Was hat IPS jetzt mit der QoS zu tun? Außer die Tatsache dass der Durchsatz des USG durch aktiviertes IPS oder IDS auf 85Mbit/s reduziert wird ...

 

[hot chili]

Die Wirkung ist doch ähnlich. Dort stellst ein wie schnell der Datendurchsatz vom Netzanbieter ist per WAN Port. Soll doch nur die Datenströme gerecht verteilen auf einem anderen Weg. Nur ich halte es für Blödsinn wenn das USG dann recht wenig Datendurchsatz bietet. Ich habe zum Beispiel 425 Download. Was soll man da mit 85. Für Downloads bei Uploadet zum Beispiel, kann ich auch den PC per switch Port 3 auf 200 Mbps drosseln, alternativ über den JDownloader2 einstellen.

 

[Schattenmeister78]

IPS ist ja eher ein Sicherheitsfeature und schützt vor Angriffen

aber IPS soll ja vor Attacken und Angriffen schützen und dieser Mechanismus bremst dann das USG aus weil der Rechenleistung dafür benötigt. Wenn man einen 450Mbit Anschluss hat muss man für sich selbst entscheiden ob man IPS benötigt aus Sicherheitsgründen. Sicherheit ist natürlich immer sinnvoll aber ob man deswegen fast 3/4 deiner Bandbreite verlieren will ist natürlich schon fragwürdig. Dann braucht man sich eher die grössere Variante des USG. Oder halt IPS aus lassen.
Die smarte Warteschlange sorgt ja für mein Verständnis dafür dass nicht ein User schlagartig die ganze WAN Leitung dicht machen kann, ist zwar auch etwas Sicherheit aber nicht vergleichbar mit IPS/IDS

 

[SwissUnifi]

Nun habe ich ein Downgrade von 4.4.29 auf 4.4.22 der USG gemacht. Ob IPS ein oder ausgeschaltet, ich kann die Hardwarebeschleunigung nicht mehr aktivieren. Vermutlich muss ich ein Controller / Cloudkey Software Reset ausführen und von Null anfangen. Dann müsste ich aber alles neu eintragen, Firewall Regeln usw. Oder hat sonst noch jemand eine Idee?

 

[Gatzi]

Hattest du vor dem Downgrade eine Sicherung gemacht? Wenn ja, versuche diese wieder einzuspielen.


Gesendet von iPhone mit Tapatalk

 

[SwissUnifi]

Ja. Ich musste nach dem Downgrade keine Sicherung einspielen. Die Daten gingen nicht verloren. Ich habe auch versucht den Controller auf Werkseinstellung zu laden und das Backup neu zu installieren. Leider wird der Bug vermutlich mit dem Backup wieder eingespielt. Wenn ich den Controller auf einem anderen PC installiere würde das mit dem HW Beschleunigung on/off funktionieren.

 

[Gatzi]

Versuch mal die Sicherung aufzuspielen, hatte ich irgendwo gelesen. Ansonsten sollte eine Neuinstallation wahrscheinlich helfen...


Gesendet von iPhone mit Tapatalk

 

[SwissUnifi]

Jetzt geht das mit der HW Beschleunigung wieder. Danke. Aber sobald ich IPS deaktiviere, verlieren sämtliche AP und mobile Geräte die IP Adresse. Im Controller steht bei den Ubiquiti Geräte "Einbindung fehlgeschlagen". IPS ein, und alles geht wieder. Ich habe mal gelesen, dass beim USG die Standard IP 192.168.1.1 nicht geändert werden kann/sollte. Bei der Ersteinrichtung habe ich das aber irgendwie doch geschafft auf 192.168.6.1. Vielleicht muss ich mein Netz in ein VLAN umzügeln und danach noch das 192.168.1.1 dazu geben. Ich habe auch noch ein anderes WLAN für IoT, das läuft auf VLAN und funktioniert auch mit "IPS aus". Ich begreife das nicht.

 

[Gatzi]

Was ist mit dem Hinweis #14 ? mit der ip hat das nix zu tun ...


Gesendet von iPhone mit Tapatalk

 

[Schattenmeister78]

Nein, das USG muss nicht mit 192.168.1.1 betrieben werden! Es ist natürlich bei der Ersteinrichtung einfacher wenn man das lässt aber mit wenigen Handgriffen ist das USG auch auf ein anderes Netz umprogrammiert. Das ist keine Grundvoraussetzung für ordentliche Funktion!