UDM/Pro Alternatief voor graceful shutdown van UDM/Pro/SE via NUT* server met (APC) UPS?

[m4v3r1ck]

Ik heb een ander beeld bij de afkorting TIA maar dat mag de pret niet drukken

Maar het is inderdaad wel verstandig eerst de unifi network applicate te stoppen met het commando /etc/init.d/unifi stop (wat ook weer in een script kan op de syno).

voor de rest worden er verschillende andere eigen scrips aangeroepen die waarschijnlijk de UPS gaan uitlezen wat de status is, dit is netjes gedaan met variabelen, dit is uiteindelijk ook het doel van een net script. Eerst de boel werkend krijgen met de juiste commando’s is het belangrijkste.

Ik wil zaken wel eens verder uitzoeken maar zit nu gewoon achter de tablet….

@Eddie the Eagle Je kan gewoon testen naar je UDM/UDR met het commando /sbin/ubnt-systool cputemp
Dit zou opde syno een output moeten geven van bijvoorbeeld 52

SSH in mijn SynologY Nas met UPS Server, daarna de code:

ssh root@192.168.1.1 /sbin/ubnt-systool cputemp
root@192.168.1.1's password:
40

De output van de cputemp krijg ik dus inderdaad netjes te zien in de terminal van mijn SynologY NAS waarop de UPS Server is geïnstalleerd. Hiervan maakt mijn tweede NAS ook gebruik van, om na een melding naar Veilige Status te gaan.

1 down! Many to go...

edit: ook nog even gecheckt ivm SNMP Monitoring v1 & 2C / 3: ?

 

[Eddie the Eagle]

1 down! Many to go...

Het begin is er; het is dat ik met griep in bed lig anders ging ik ook aan de bak maar even geen energie voor. Ik voel trouwens een mooie handleiding in de lucht hangen .

 

[Komodo]

Overigens is het gewoon Synology en niet SynologY Ze zouden er in Zuid Korea een rolberoerte van krijgen als je het zo schrijft

 

[m4v3r1ck]

Het begin is er; het is dat ik met griep in bed lig anders ging ik ook aan de bak maar even geen energie voor. Ik voel trouwens een mooie handleiding in de lucht hangen .

Hoi Eddie, dank voor je berichtje. Nou dat zou leuk zijn weer. Ondanks dat UI natuurlijk een 950W UPS heeft, is het natuurlijk weer de sport om het op een - veilige en legale - andere manier ook voor elkaar te krijgen.

Beterschap!

 

[m4v3r1ck]

Overigens is het gewoon Synology en niet SynologY Ze zouden er in Zuid Korea een rolberoerte van krijgen als je het zo schrijft

OT: Ik schrijf het altijd met een Y, dat is nml een juichende man en dat ben ik (niet altijd)!

 

[Komodo]

OT: Ik schrijf het altijd met een Y, dat is nml een juichende man en dat ben ik (niet altijd)!

Eveneens Off Topic: ga jij de mannen en vrouwen in Zuid Korea dan aan de beademing leggen? Ze zijn nu ietwat ontsteld namelijk

 

[Reddwarf]

edit: ook nog even gecheckt ivm SNMP Monitoring v1 & 2C / 3: ?

Bekijk bijlage 7342

snmp v1 en v2 moet je vanuit het oogpunt van security vergeten en zijn achterhaalde protocollen waarbij plaintext de wachtwoorden over de lijn gaan (uiteraard is dit lokaal minder van belang maar je moet het sommige mensen niet te makkelijk namen)

ook heetft ubiquiti een eenvoudige implementatie van snmp waarbij je de devices kan bevragen (read-only) en allerlei leuke info kan uitlezen. In principe zou je met snmpv3 ook zaken moeten kunnen aanpassen maar zeket de herstart op OS niveau zit daar niet bij, ook is de configuratie met certificaten en protocollen niet zo eenvoudig.

Maar goed bezig @m4v3r1ck, laat maar weten als ik ergens mee kan helpen met ssh, ssh-keygen en het automatisch inloggen. Dit is zeker niet illegaal maar altijd op het randje je ook moet kijken hoe dit een fw update overleefd (ik weet dat er mensen zijn die hier anders naar kijken op dit forum)

 

[Eddie the Eagle]

Dit is zeker niet illegaal maar altijd op het randje je ook moet kijken hoe dit een fw update overleefd (ik weet dat er mensen zijn die hier anders naar kijken op dit forum)

je installeert toch verder geen S/W op de UDM in dit geval (?)

 

[Reddwarf]

je installeert toch verder geen S/W op de UDM in dit geval (?)

Nee dat zeker niet maar dat doe je ook niet als je je eigen certificaten installeerd, je past enkel bestaand instellingen of configuratie files aan en maakt gebruik van standaard linux. Ubiquiti maakt hier ook gebruik van en zou vanuit de gedachte van open-source ook meer zaken met de community moeten delen (maar is andere discussie)

 

[edwin2019]

Starten kan met wol commando

 

[m4v3r1ck]

Starten kan met wol commando

Voor zover ik even snel heb gecheckt werkt WOL niet voor de UDM/PRO/SE.

 

[m4v3r1ck]

snmp v1 en v2 moet je vanuit het oogpunt van security vergeten en zijn achterhaalde protocollen waarbij plaintext de wachtwoorden over de lijn gaan (uiteraard is dit lokaal minder van belang maar je moet het sommige mensen niet te makkelijk namen)

Ik heb even de SNMP WiKi er op nageslagen en inderdaad zijn er restricties voor het gebruik m.b.t de veiligheid.

Security implications​

Using SNMP to attack a network​

Because SNMP is designed to allow administrators to monitor and configure network devices remotely it can also be used to penetrate a network. A significant number of software tools can scan the entire network using SNMP, therefore mistakes in the configuration of the read-write mode can make a network susceptible to attacks.[27]: 52 

In 2001, Cisco released information that indicated that, even in read-only mode, the SNMP implementation of Cisco IOS is vulnerable to certain denial of service attacks. These security issues can be fixed through an IOS upgrade.[28]

If SNMP is not used in a network it should be disabled in network devices. When configuring SNMP read-only mode, close attention should be paid to the configuration of the access control and from which IP addresses SNMP messages are accepted. If the SNMP servers are identified by their IP, SNMP is only allowed to respond to these IPs and SNMP messages from other IP addresses would be denied. However, IP address spoofing remains a security concern.[27]: 54 

Authentication​

SNMP is available in different versions, each has its own security issues. SNMP v1 sends passwords in clear-text over the network. Therefore, passwords can be read with packet sniffing. SNMP v2 allows password hashing with MD5, but this has to be configured. Virtually all network management software support SNMP v1, but not necessarily SNMP v2 or v3. SNMP v2 was specifically developed to provide data security, that is authentication, privacy and authorization, but only SNMP version 2c gained the endorsement of the Internet Engineering Task Force (IETF), while versions 2u and 2* failed to gain IETF approval due to security issues. SNMP v3 uses MD5, Secure Hash Algorithm (SHA) and keyed algorithms to offer protection against unauthorized data modification and spoofing attacks. If a higher level of security is needed the Data Encryption Standard (DES) can be optionally used in the cipher block chaining mode. SNMP v3 is implemented on Cisco IOS since release 12.0(3)T.[27]: 52 

SNMPv3 may be subject to brute force and dictionary attacks for guessing the authentication keys, or encryption keys, if these keys are generated from short (weak) passwords or passwords that can be found in a dictionary. SNMPv3 allows both providing random uniformly distributed cryptographic keys and generating cryptographic keys from a password supplied by the user. The risk of guessing authentication strings from hash values transmitted over the network depends on the cryptographic hash function used and the length of the hash value. SNMPv3 uses the HMAC-SHA-2 authentication protocol for the User-based Security Model (USM).[29] SNMP does not use a more secure challenge-handshake authentication protocol. SNMPv3 (like other SNMP protocol versions) is a stateless protocol, and it has been designed with a minimal amount of interactions between the agent and the manager. Thus introducing a challenge-response handshake for each command would impose a burden on the agent (and possibly on the network itself) that the protocol designers deemed excessive and unacceptable.[citation needed]

The security deficiencies of all SNMP versions can be mitigated by IPsec authentication and confidentiality mechanisms.[citation needed] SNMP also may be carried securely over Datagram Transport Layer Security (DTLS).[10]

Many SNMP implementations include a type of automatic discovery where a new network component, such as a switch or router, is discovered and polled automatically. In SNMPv1 and SNMPv2c this is done through a community string that is transmitted in clear-text to other devices.[10] Clear-text passwords are a significant security risk. Once the community string is known outside the organization it could become the target for an attack. To alert administrators of other attempts to glean community strings, SNMP can be configured to pass community-name authentication failure traps.[27]: 54  If SNMPv2 is used, the issue can be avoided by enabling password encryption on the SNMP agents of network devices.

The common default configuration for community strings are "public" for read-only access and "private" for read-write.[8]: 1874  Because of the well-known defaults, SNMP topped the list of the SANS Institute's Common Default Configuration Issues and was number ten on the SANS Top 10 Most Critical Internet Security Threats for the year 2000.[30] System and network administrators frequently do not change these configurations.[8]: 1874 

Whether it runs over TCP or UDP, SNMPv1 and v2 are vulnerable to IP spoofing attacks. With spoofing, attackers may bypass device access lists in agents that are implemented to restrict SNMP access. SNMPv3 security mechanisms such as USM or TSM prevent a successful spoofing attack.

ook heetft ubiquiti een eenvoudige implementatie van snmp waarbij je de devices kan bevragen (read-only) en allerlei leuke info kan uitlezen. In principe zou je met snmpv3 ook zaken moeten kunnen aanpassen maar zeket de herstart op OS niveau zit daar niet bij, ook is de configuratie met certificaten en protocollen niet zo eenvoudig.

Dat zouden we kunnen testen op mijn UDR. De volgorde zou dan worden, na melding van de UPS via NUT / SNMP
1. netjes afsluiten en stoppen systeem processen en voornamelijk de HDDs en Dbases die draaien (voorkomen data-corruptie)
2. UDM naar safe mode shutdown
3. Eventueel WOL voor een herstart, zeker als de UDM op een remote lokatie staat. Omdat je zegt dat een herstart van het OS niet mogelijk is, zouden we kunnen kijken om een combinatie te maken met bijvoorbeeld Home Assistant. Zouden we een schakeling kunnen maken met een slimme schakelaar dat als de UDM in Safe Mode staat - op basis van en via terugmelding status UPS in HA - je via een slimme stekker in HA de UDM kan uitschakelen en later weer tot leven kan brengen door de Power=On te schakelen in HA?

Maar goed bezig @m4v3r1ck, laat maar weten als ik ergens mee kan helpen met ssh, ssh-keygen en het automatisch inloggen. Dit is zeker niet illegaal maar altijd op het randje je ook moet kijken hoe dit een fw update overleefd (ik weet dat er mensen zijn die hier anders naar kijken op dit forum)

Dank voor je compliment, maar dit zijn dan ook natuurlijk de leukere projectjes wat mij betreft. Graag neem ik je uitnodiging aan, om ons te assisteren en te voorzien van de nodige "configuraties met certificaten en protocollen die niet zo eenvoudig zijn." Op voorhand dank!

Zo, nu eerst een kop koffie!

 

[edwin2019]

Voor zover ik even snel heb gecheckt werkt WOL niet voor de UDM/PRO/SE.

OH, oeps. Ik dacht de synology nas. Daarvan weet ok nl zeker dat het werkt omdat ik het gebruik.
Zit zelf met net zoiets voor de paar raspberry pi's die ik gebruik die ik eigenlijk netjes wil uitschakelen. Nu alles op een ups gezet.

 

[m4v3r1ck]

OH, oeps. Ik dacht de synology nas. Daarvan weet ok nl zeker dat het werkt omdat ik het gebruik.
Zit zelf met net zoiets voor de paar raspberry pi's die ik gebruik die ik eigenlijk netjes wil uitschakelen. Nu alles op een ups gezet.

Geen probleem, het idee is om het via mijn NAS te doen, want deze is ook de UPS Server voor mijn andere NAS. Nu probeer ik voor de UDM/UDR eenzelfde - via NUT / SNMP - Safe Shutdown te realiseren.

Algemeen: Ik ben verder aan het spitten op o.a. Reddit / UI.com en dergelijken, daar heb ik ook nog geen goede hints gevonden voor onze use case. Wel veel vragen over SNMP - als basis netwerkfunctie in de UDM/UDR niet compatibel/uitgezet? - en de mogelijkheid van het gebruiken van bijvoorbeeld de apcupsd.daemon en/of de NUT Server.

@Reddwarf zou je zo vriendelijk willen zijn - wanneer je zin en tijd hebt - een opzet maken om een serieuze poging te wagen om voor mijn UDR - test console - de juiste commando's te kunnen geven om van de NAS de UDR de opdracht voor een Safe Shutdown te geven?

Nieuwsgierig hoe de opbouw van een dergelijk script voor de SynologY NAS eruit ziet... BVD!

 

[m4v3r1ck]

Wat ik nergens in tech-data van bijvoorbeeld de UniFi UPS-RPS - focus op interne voedingen - kan vinden, is het scenario van een totale black-out van het grid en hoe de UDMs en UNVRs dan wel een Safe Shutdown krijgen. Ik kan me niet voorstellen dat deze set-ups allemaal een generator hebben of een super grote batterij. Dan nog in geval dat er gewoonweg geen stroomtoevoer meer is, hoe krijgen voornoemde - kwetsbaar door mn. de HDD/SDDs - devices dan een Safe Shutdown.

Zijn er op dit Forum ervaringsdeskundigen met dergelijke set-ups?

UniFi - USP-RPS: Setup and Features​

The UniFi SmartPower Redundant Power System (USP-RPS) is a proprietary redundant power system designed to protect up to six UniFi SmartPower supported devices from sudden power supply module failure. The USP-RPS continually monitors all attached devices. In the event of an internal AC/DC power supply failure, failover is automatic so the network continues to operate with no interruption in service. With a 950W (12V 350W, 54V 600W) DC power budget, the USP-RPS can protect a variety of high-power devices, including UniFi PoE switches. Readers will learn how to make the most of the USP-RPS, exploring some of its features and use cases.

 

[Hofstede]

Het is bedoeld voor bedrijven. En bedrijven hebben noodvoorzieningen voor dergelijke zaken. Zo'n UPS is alleen bedoeld om de dip op te vangen voor de noodvoorziening inschakelt. Op mijn bedrijf hebben we drie dieselgeneratoren die bijkomen als onze centrale uitvalt. Die hebben 2 minuten nodig om te starten.

Persoonlijk maak ik me niet zo'n zorgen als ik een keer de spanning kwijtraak op m'n UDM Pro.

 

[m4v3r1ck]

Persoonlijk maak ik me niet zo'n zorgen als ik een keer de spanning kwijtraak op m'n UDM Pro.

Het gaat me meer dat simpelweg de mogelijkheid - en dus een keuze - ontbreekt om ook voor de kleindere netwerken van pro-sumer / MKB gebruikers een mogelijk hebben om hun UDM / UNVR (geheel netwerk) netjes kunnen afsluiten. Daar zoek ik dus een goedkoop alternatief voor.

 

[Eddie the Eagle]

Ja de vraag is of het op een eenvoudige manier kan; waarom zou je dan niet doen. Als er veel kunst- en vliegwerk voor nodig is, haak ik ook af.

 

[m4v3r1ck]

Ja de vraag is of het op een eenvoudige manier kan; waarom zou je dan niet doen. Als er veel kunst- en vliegwerk voor nodig is, haak ik ook af.

Ik denk dan ook dat we eerst de verschillende opties voor de oplossing in kaart moeten brengen. Dan kunnen we een zeer afgewogen keuze maken. Nu weten we nog niet of het uberhaupt kan d.m.v. enig alternatief. Ik heb nog te weinig informatie of nu al een keuze te maken.

Mijn zoektocht gaat voorlopig nog even door...

edit: Hoe mooi is de optie in de UniFi UCK-G2-PLUS...

 

[Eddie the Eagle]

Korte update voor Synology gebruikers in dit topic. Je kunt daar de UPS server functie aanvinken. De hele beschrijving van die functie doet vermoeden dat dit alleen bedoeld is om andere 'client' Synology NAS devices te laten werken met die server. Die kun je dan toegang geven via de Permit knop hieronder. Wat ik niet wist, is dat je daar ook 3rd party NUT clients in kunt zetten die de server kunnen benaderen. In mijn geval is dat de NUT client integratie binnen Home Assistant, zie 2e plaatje. Daar kun je vervolgens een automation opzetten die je een emergency alert geeft geeft zodra de UPS op de batterij loopt danwel onder een bepaalde charge komt. Het is nog geen automatische graceful shutdown maar het geeft je in elk geval meer mogelijkheid om tijdig te handelen en de UDM veilig uit te schakelen. Helaas heeft de Unifi integratie binnen Home Assistant geen power off entity, anders was de klus geklaard.

edit/ de Synology is via de USB poort verbonden met de data poort van de UPS.