UniFi’s New Travel Router – Pocket-Sized Perfection?

The UniFi Travel Router (UTR) is a compact router intended to extend an existing UniFi network to temporary locations such as hotels, offices, or public WiFi environments, with setup and changes handled through the UniFi Mobile App rather than on device controls. It is designed to bind to a UniFi site so that WiFi settings and Teleport can be applied automatically, allowing a familiar SSID and consistent LAN behavior to follow the user between locations without re adopting devices each time. In practical use, this positions it as a way to place multiple client devices behind a single controlled access point when working from shared networks, while still routing traffic through a VPN path back to a UniFi gateway if desired. The UTR also supports multiple uplink types, including Ethernet, WiFi, and USB tethering through a smartphone, with the ability to set uplink priority once an upstream connection has been established and any captive portal login has been completed via the phone.

UniFi Travel Router – Design

The UTR uses a slim, pocket oriented chassis that matches its intended role as a portable router rather than a fixed installation device. At 95.95 x 65 x 12.5 mm and 89 g, it is sized to carry alongside a phone, power bank, or small toolkit, and the enclosure is polycarbonate rather than metal. The design is built around external power, with no internal battery listed, so it is meant to be powered from common USB sources such as a charger, a power bank, or an available USB port in transit environments. UniFi specifies a USB-C 5V 2A input and up to 5W consumption, which places it within the output range of typical phone chargers and many shared USB outlets, but also means functionality depends on having a reliable external power source.

Physical I O is minimal and focused on travel use, with emphasis on flexibility rather than high port count. The unit provides 2 x GbE RJ45 ports for wired connectivity, typically used as WAN and LAN in practice, enabling either a wired upstream connection or a direct wired link to a local device when needed. It also includes a factory reset button but no other on device controls for configuration changes. In your usage notes, you highlighted that power and USB tethering are separated, allowing the device to stay powered from one source while using a different connection for phone tethering, which avoids the single port limitation found on some compact travel routers. You also noted that this layout suits scenarios where the most convenient power source might be a multi port power bank or a vehicle and public USB outlet, while the tether source remains the phone.

Status feedback is provided through a 1.14 inch display, but it is not a touchscreen, and configuration changes are handled in the UniFi Mobile App. This means the display functions as a quick reference for connection state and operational mode, such as whether it is using a particular uplink or whether Teleport is active, rather than a control surface for changing settings. Internally, WiFi is delivered via 2 embedded antennas with 2 x 2 MIMO and listed maximum transmit power of 13 dBm on both 2.4G and 5G, reflecting a design focused on compactness rather than external antenna placement. Operating limits are specified at -10 to 40 C and 5 to 95% noncondensing humidity, and the unit is listed as NDAA compliant with CE, FCC, and IC certifications, which may matter for users deploying it in regulated or corporate environments.

UniFi Travel Router – Connectivity

The UTR is built around 3 uplink paths: wired Ethernet, wireless WAN, and USB tethering through a smartphone, with the router acting as the single aggregation point for connected client devices. On the wired side, it provides 2 x GbE RJ45 ports, typically used as 1 WAN and 1 LAN, which allows a direct connection to an upstream network where a desk port or wall jack is available, while still offering a wired LAN handoff to a laptop, switch, or other local device. In your review, you also noted the practical advantage of using a wired uplink in temporary deployments, since it avoids relying entirely on building WiFi when you are on site for multiple days and want more predictable upstream stability.

For wireless connectivity, the UTR uses WiFi 5 (802.11ac) across 2.4 GHz and 5 GHz, with 2 x 2 MIMO and support for typical channel widths of 20, 40, and 80 MHz. UniFi lists a maximum 802.11ac data rate of up to 866.7 Mbps at VHT 80 and corresponding 802.11n rates up to 300 Mbps, with legacy 802.11a b g rates also supported for compatibility. In your video, you set expectations around real world throughput, noting that this class of WiFi 5 travel router can feel limited compared with newer WiFi 6 and WiFi 7 options, and you referenced typical observed uplink figures around 150 Mbps in the context of public WiFi and travel scenarios rather than sustained near gigabit speeds.

When connecting through hotel or venue WiFi, captive portal handling is part of the connectivity workflow rather than a separate feature layer. The documented process is to select the upstream network in the UniFi Mobile App, then complete any captive portal login on the phone when prompted, after which the router maintains that authenticated upstream session for the devices behind it. This approach can simplify group use, since multiple devices can share the same authenticated uplink without each device individually interacting with the portal. Connectivity limitations are also defined in the documentation, including lack of support for WPA Enterprise and Passpoint networks, which can affect compatibility in some corporate or managed public environments where those authentication methods are enforced.

UniFi Travel Router – Software & Services

The UTR is designed to integrate into an existing UniFi deployment rather than operate as a standalone router with its own separate management model. Once it is bound to a UniFi site, it can automatically apply WiFi configuration and bring up the same network identity used elsewhere, including expected SSIDs and routing behavior. UniFi positions this as a continuity feature, where location aware policies and routing rules can activate when the router connects at a new site, reducing the amount of manual setup typically needed when moving between venues.

Teleport is the primary UniFi service feature tied to remote access on the UTR. The documented workflow is to complete initial setup, open the UniFi Mobile App, select an available UniFi gateway or console, and then connect using Teleport, creating a private path back to the user’s UniFi network. Alongside Teleport, the UTR lists VPN client support for OpenVPN and WireGuard, allowing VPN enforcement at the router level so connected devices use the same tunnel without requiring separate VPN configuration per device. In your review use case, this was framed around keeping work traffic routed through a known UniFi environment while operating on public or untrusted networks during multi day on site work.

Beyond remote access, the feature set includes core router functions such as firewall and port forwarding, with UniFi management intended to keep LAN behavior consistent across locations. UniFi also describes plug and play pairing with existing UniFi devices, aiming to reduce friction when traveling with preconfigured hardware that is expected to reappear on a familiar network. The documentation also references Auto Link in the context of keeping wireless cameras and devices online automatically, positioning it as a continuity mechanism rather than a separate setup workflow. Operationally, configuration and connection selection are handled through the UniFi Mobile App, including joining upstream WiFi and completing captive portal authentication when present, while enterprise style WiFi authentication methods like WPA Enterprise and Passpoint are listed as unsupported.

UniFi Travel Router – Conclusion

The UniFi Travel Router makes the most sense as a “UniFi extender you can pocket” rather than a generic travel router trying to win on raw specs. The real value is how quickly it drops you back into a familiar environment: bind it to your UniFi setup, carry over the SSID you already use, and your devices can reconnect without you rebuilding a network from scratch each time you land somewhere new. For people who work on site, bounce between coffee shops, or travel with a small team, that convenience adds up fast: one upstream connection, one captive portal login handled through the app, and everything behind the UTR can ride through a secure Teleport tunnel back to your home or office UniFi gateway. Add the practical hardware touches, like two gigabit ports for wired WAN or LAN use, separate USB C power and USB tethering for pulling in a phone connection, and a status display that helps you confirm what is actually happening at a glance, and it is easy to see why this little box is appealing if you already live in the UniFi ecosystem.

The drawbacks are largely about what it is not trying to be. If you want a bleeding edge travel router, the UTR’s WiFi 5 radio and 1 GbE ports will feel conservative next to WiFi 6E or WiFi 7 options, and your top end wireless throughput is simply going to be capped by the platform. The screen is useful, but it is not touch, so you are still leaning on the mobile app for most changes, and there is no internal battery to make it a truly self contained travel companion. Just as importantly, there is no integrated SIM or eSIM, so anyone hoping for an all in one cellular travel router will be looking elsewhere or relying on phone tethering. Taken together, the UniFi Travel Router is a strong niche product: it is not the fastest, but for existing UniFi users who care most about consistency, security, and getting online quickly in messy real world networks, it is a smart and affordable addition to the kit bag.

PROS of the UniFI Travel Router

CONS of the UniFI Travel Router

Deep UniFi ecosystem fit, can bind to an existing UniFi site for a familiar setup on the go Teleport support enables secure remote access back to your UniFi network on public WiFi Can clone an existing SSID so your devices connect without reconfiguring Multi uplink flexibility: WiFi uplink, wired WAN via Ethernet, and USB tethering via smartphone Captive portal logins are handled through the mobile app, simplifying hotel and guest WiFi access Two gigabit ports (WAN and LAN) allow simple wired integration when available Separate USB C power and separate USB tethering is practical for travel scenarios Pocket sized, lightweight design with a helpful status display for quick connection checks

WiFi 5 only, so performance and feature set trail newer WiFi 6 or WiFi 7 travel routers Ethernet is 1 GbE, not 2.5 GbE No internal battery and no built in SIM or eSIM option for standalone cellular use

SUBSCRIBE TO OUR NEWSLETTER
[contact-form-7]
Join Inner Circle

This description contains links to Amazon. These links will take you to some of the products mentioned in today's content. As an Amazon Associate, I earn from qualifying purchases. Visit the NASCompares Deal Finder to find the best place to buy this device in your region, based on Service, Support and Reputation - Just Search for your NAS Drive in the Box Below

Need Advice on Data Storage from an Expert?

Finally, for free advice about your setup, just leave a message in the comments below here at NASCompares.com and we will get back to you. Need Help? Where possible (and where appropriate) please provide as much information about your requirements, as then I can arrange the best answer and solution to your needs. Do not worry about your e-mail address being required, it will NOT be used in a mailing list and will NOT be used in any way other than to respond to your enquiry. [contact-form-7] TRY CHAT Terms and Conditions   Alternatively, why not ask me on the ASK NASCompares forum, by clicking the button below. This is a community hub that serves as a place that I can answer your question, chew the fat, share new release information and even get corrections posted. I will always get around to answering ALL queries, but as a one-man operation, I cannot promise speed! So by sharing your query in the ASK NASCompares section below, you can get a better range of solutions and suggestions, alongside my own.

WE LOVE COFFEE

 

En cybersécurité, il ne suffit plus de protéger un poste de travail, d’installer un antivirus ou de déployer un firewall. Aujourd’hui, un seul clic sur un mail piégé peut suffire à compromettre tout un système d’information. Les cybercriminels savent se déplacer latéralement dans les réseaux et transformer une simple compromission en attaque massive.  C’est là […]

The post Sécurité réseau : cloisonnement et protection en cybersécurité first appeared on UnderNews.

Depuis plusieurs années j'utilise un routeur Netgear R8000 avec le firmware FreshTomato, un fork du défunt TomatoUSB. Et j'ai eu envie de bloquer les scans de sites publiques comme Shodan ou Censys.

Mais soyons clair : cela n'augmentera la sécurité et ne diminuera pas le risque de scans/attaques depuis l'extérieur (ce que pourrait faire un fail2ban).

Cela évite quelques scripts kiddies en cas de grosses vulnérabilités, et puis c'était un petit challenge technique.

Fonctionnement

Nous allons injecter des règles dans iptables pour bloquer des listes d'IP v4 publiques correspondant à celles des scanners comme Shodan ou Censys.

Pour rappel, iptables permet de configurer des règles côté utilisateur afin qu'elles soient injectées dans netfilter côté noyau Linux.

Ce tutoriel fonctionne avec FreshTomato et potentiellement tous les forks qui s'en rapprochent.

ipset est une extension d'iptables qui permet de gérer des ensembles d’adresses IP, contrairement aux chaînes iptables classiques. IPset facilite la création de listes d'adresses autorisées et/ou bloquées.

L'idée est donc de stocker une liste d'adresses IP dans un fichier texte pour ensuite le parser et injecter ces IP pour les bloquer depuis internet (chaine INPUT) :

# shodan:
64.226.86.0/24
64.227.90.0/24
64.227.107.0/24
# censys:
162.142.125.0/24
167.94.138.0/24
# etc...

La génération de ce fichier sera abordée dans un autre article afin de ne pas surcharger celui-ci.

En attendant voici la liste contenant les IP/réseaux de shodan et censys ici :

télécharger le fichier blocklist shodan/censys

Merci Arthur pour les listes

Pré-requis

Vous aurez besoin d'un espace de stockage persistant : clé USB ou partition /jffs. Dans mon cas j'utilise une clé USB.

Nous devons activer des modules de filtrage spécifiques dans le noyau, au démarrage du routeur.

Depuis un terminal SSH, saisissez :

modprobe -a ip_set xt_set ip_set_hash_ip ip_set_hash_net
ipset create shodan hash:net

La 1ʳᵉ ligne active les modules de filtrage par IP et par réseau (subnet) dans le noyau Linux du routeur FreshTomato.

La 2ᵉ ligne créé un ipset nommé "shodan" que nous alimenterons ensuite par un script à partir de la blocklist fournie avant les pré-requis.

Important : si vous perdez la connexion SSH c'est qu'un des modules est manquant (voir section "bugs possibles").

Pour rendre ce paramétrage persistant, allez dans Administration > Scripts puis coller les 2 lignes que vous avez saisies manuellement :

Comment manipuler un ipset ?

Voici quelques commandes de base pour comprendre ce que fera le script et éventuellement le déboguer.

Affiche le contenu de l'ipset "shodan" :

ipset list shodan

Vider le contenu de l'ipset "shodan" (sans le supprimer) :

ipset flush shodan

Supprimer l'ipset "shodan" (ne doit plus être utilisé par netfilter pour que cela fonctionne) :

ipset destroy shodan

Lier l'ipset à une chaine iptables (INPUT)

Pour bloquer tout ce qui correspond à l'ipset "shodan" dans iptables (chaine INPUT) :

iptables -I INPUT -m set --match-set shodan src -j DROP

L'option "-I" permet d'insérer la règle en début de chaine en décalant les règles existantes vers le bas.

Pourquoi? parce que iptables fonctionne dans cet ordre : la première règle évaluée et qui correspond s'applique au détriment de la suite. Au contraire si nous voulions ajouter la règle en fin de chaine c'est l'option "-A" que nous aurions du utiliser, comme "append".

Ajout du script d'init

Lorsque le service "firewall" démarre il va lire la configuration web, nous devons donc préciser l'utilisation de l'ipset "shodan" en blocage.

Allez dans Administration > Scripts > Firewall puis coller :

iptables -I INPUT -m set --match-set shodan src -j DROP

Sauvegardez en cliquant sur le bouton "save".

Pourquoi ne pas appeler ici le script inject_blocklist_to_iptables.sh ? On s'affranchit de potentielles problématiques de montage/corruption de la clé USB et on évite un souci un crash au démarrage du routeur. On appellera ce script dans la partie "Wan Up".

Peupler l'ipset avec adresses IP et sous-réseaux

Afin de comprendre ce que l'on fait, voici un exemple.

Imaginons que nous voulons ajouter l'IP 12.34.56.78 et le réseau 137.184.13.0/24 dans l'ipset "shodan" pour les bloquer.

Nous saisissons en SSH :

ipset -! add shodan "12.34.56.78"
ipset -! add shodan "137.184.13.0/24"

La syntaxe "-!" correspond à l'option "-exist", ce qui évite d'avoir une erreur si l'adresse/réseau ajouté est déjà présent dans l'ipset concerné.

Il est aussi possible de préciser une ip au format CIDR (ex: 12.34.56.78/32) :

ipset -! add shodan "12.34.56.78/32"

La prise en compte est immédiate.

Maintenant que vous avez compris le principe nous allons utiliser le script que j'ai écrit, qui va lire les IP/réseaux à bloquer puis injecter le tout dans iptables.

Le script

télécharger inject_blocklist_to_iptables.sh

Lancez-le d'abord à la main (adaptez le chemin suivant l'emplacement sur la clé USB/JFFS) :

/tmp/mnt/CLEUSB/scripts/iptables/block_shodan_censys/inject_blocklist_to_iptables.sh

Le script va injecter la liste des IP à bloquer dans iptables, tout seul comme un grand. Si tout fonctionne nous allons pouvoir le rendre persistant :

Allez dans Administration > Scripts > Firewall :

Dans mon cas avec mon chemin cela donne :

/bin/sh /tmp/mnt/CLEUSB/scripts/iptables/block_shodan_censys/inject_blocklist_to_iptables.sh

Sauvegardez en cliquant sur le bouton "save".

A chaque fois que votre routeur va (re)trouver l'accès à internet le script s'exécutera. Si ce n'est pas suffisant pour vous ajouter une exécution au moment de votre choix dans le planificateur via Administration > Scheduler.

Toutes les 24h semble être une bonne idée, tout cela dépend si votre fichier de liste d'IP est régulièrement mis à jour ou non.

Voir les règles iptables actives

Pour afficher toutes les règles de la chaine INPUT :

iptables -S INPUT

Pour afficher toutes les règles avec le nombre de paquets qui ont matché sur chaque règle :

iptables --list --numeric --verbose --line-numbers

Ou la version courte :

iptables -L -n -v --line-numbers

Bugs possibles

S'il vous manque un des modules noyau j'ai constaté que le routeur part en utilisation CPU proche de 100% et coupe la connexion SSH ouverte dans laquelle vous aurez saisi la commande pour créer l'ipset. C'est pourquoi je vous conseille d'activer les modules à la main en SSH avant de les rendre persistant par script dans l'interface web (pour éviter le plantage du routeur au démarrage...).

Pour redémarrer le service firewall :

service firewall restart

Attention : cette commande va recharger uniquement la configuration depuis votre interface web tomato ainsi que les scripts. Tout ce que vous aurez saisi en SSH devra être de nouveau saisi pour que ce soit actif.

N'hésitez pas à jeter un œil côté logs (Status > Logs) car le script écrira ses erreurs et informations si vous avez besoin de vérifier des choses. Sous condition que vos logs ne tournent pas trop vite, ou bien que vous ayez activer la journalisation sur une clé USB.

Conclusion

Voilà un tutoriel qui pourra servir de base pour d'autres usages. Je n'ai pas parlé d'IPv6 mais c'est à tout à fait possible moyennant un peu d'adaptation.

J'ai pris le temps d'expliquer comment tout ça fonctionne, en plus de la fourniture du script. N'hésitez pas à me faire un retour ou poser vos questions si vous en avez.

J'ai regroupé shodan et censys dans le même ipset, parce que c'est plus simple ainsi. Mais vous pouvez faire autant d'ipset qu'il vous en plaira, pensez à dupliquer la dernière ligne du script avec votre fichier *.list

Gardez en tête que si vous déclarez des subnet entiers dans un ipset de type "hash:ip" iptables va convertir les subnets en IP donc ça se remplira très vite. C'est la raison pour laquelle je suis parti sur les subnets.

Enfin, par défaut la limite est fixée à 65536 lignes dans chaque ipset. Pour augmenter cette valeur il faudra spécifier l'option maxelem. Mais attention à ne pas surcharger votre routeur !

Sources utiles :

• Script d'inspiration (github)
• manuels : ipset (voir "inet6" pour ipv6)
• How to block Shodan scanners (ipfire)
• Utiliser ipset sur Linux (malekal)
• iptables / netfilter (youtube)
• Bloquer des pays entiers : github, reddit
• Adaptation ipv6 et nombre d'éléments maximum (65536)
• Autre exemple qui peut servir...

 

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 13/01/2025 | Un commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article [Tomato] Bloquer des IP externes (Shodan, Censys) ⛔ provient de : on Blogmotion.