[Kaufberatung] Netzwerk in Eigenheim (Unifi?)

[totti4ever]

Moin zusammen,

ich haben jetzt schon einiges zu dem Thema gelesen, brauche aber dennoch individuelle Beratung denke ich - ich hoffe, ihr unterstützt mich

----

Also, im nächsten Frühjahr gehts ins Eigenheim aus den 1960ern. Obs Leerrohre gibt, keine Ahnung, vermutlich nicht. Es gibt aber im EG einen Einbauschrank zwischen Wohnzimmer, Esszimmer und Diele (also recht zentral), in den ich aus dem Keller vermutlich relativ komfortabel ein Netzwerkkabel legen könnte. Dazu ebenfalls aus dem Keller ins Arbeitszimmer ein Kabel. Evtl. ziehe ich noch eines irgendwie auf den Dachboden hoch, um von dort das OG zu versorgen. Im Keller hätte ich dann neben dem Hausanschluss vmtl. zumindest mal einen Switch und meinen HomeServer (mit Fotos, Filmen und PiHole). In unserer Wohnung nutzen wir heute eine Fritz!Box 7590 und den Fritz 1750E. An der Fritzbox hängt ein DECT Telefon und sie wird manchmal zum Faxversand und noch seltener zum Empfang genutzt.

Idee/Verständnis wäre jetzt, dass ich die Fritzbox weiter verwenden kann als Verbindung zum Internet, aber dann direkt einen Router/Gateway/Switch als DMZ dran hänge, also nur die Internetverbundung und die Telefoniefunktionen der Fritzbox nutze.

Recht klar scheint mir auch, dass an den oben genannten Stellen, wo ich Netzwerkkabel hinziehen will, AccessPoints mit LAN-Anschluss hinkommen. Diese laufen dann alle in einem Switch zusammen.

Folgende Fragen:

1. Brauche ich zwischen dem Switch und der Fritzbox noch einen Router? Was ist der Unterschied eines managed Switch zu unmanaged plus Router?
2. Welche Geräte könnt ihr mir für die einzelnen Komponenten empfehlen?
   Ich hatte ganz stark auf Unifi geschielt, auf den letztern Metern aber von Mikrotik gelesen, was wohl etwas technischer zu konfigurieren ist, aber gerade beim Switch deutlich günstiger im Preis.

Zu den Anforderungen:

• der HomeServer sollte in Richtung Netz das maximale an Up-/Download des Internetanschlusses (derzeit 250/40) mitnehmen, da er als Cloud genutzt wird.
• per LAN würde intern insb. der TV angeschlossen werden, der FullHD, künftig ggf. 4K streamen soll. Dazu der Laptop im HomeOffice.
• per WLAN würden dann ganz typisch Laptops und Handys kommen. Hier wäre mir eine gute Anbindung schon wichtig, um möglichst viel Fotos direkt vom Server ziehen zu können und nicht zum Bearbeiten/Anschauen erst auf den Lappi kopieren muss.
• dazu kommen noch einige Tasmota Steckdosen im WLAN

Ich würde mich nicht als Netzwerkspezialist bezeichnen, aber als durchaus lernfähig und interessiert an der Materie. Habe mich für den Server auch in Linux und Docker eingefuchst und eigentlich alles, was ich vorhatte irgendwie erreicht. Ich muss also nicht eine Massenmarkt-taugliche UI wie in der FritzBox haben - bin aber natürlich nicht abgeneigt, wenn man zentrale Dinge in einer guten UI einstellen kann.


Beste Dank schonmal für alle Rückmeldungen!

 

[Gen8 Runner]

1. Nein, empfiehlt sich nur eine VLAN fähige Firewall dahinter zu setzen, wie bspw. PFSense. Die FritzBox kann keine VLAN's (um bspw. dein übliches WLAN, Gäste-WLAN, IOT für Tasmota etc. zu trennen). FritzBox würde dann wirklich nur dem Internetzugang und max. DECT dienen. Für die VLAN's hingegen brauchst du dann auch wieder einen managed Switch.
2. Entweder komplett Unifi (für die einfache Verwaltung) oder mischen zwischen Unifi und Mikrotik (braucht dann aber tatsächlich mehr Zeit und Selbststudium) und definitiv einen managed Switch nehmen.

Renoviert / saniert ihr noch?
Falls ja, würde ich wahrscheinlich folgende Kombination machen:

- Keller: FritzBox, Homeserver (VM installieren, PFSense einrichten, diese als "Exposed Host" in der FritzBox freigeben, um alle Möglichkeiten zu nutzen), 10Gbit Switch(möglichst mit POE+), AP
- Erdgeschoss: 10Gbit Switch (möglichst mit POE+), AP
- Dachgeschoss: 10Gbit Switch (möglichst mit POE+), AP

Die Switche untereinander mit 10Gbit verbinden und vom Switch ausgehend in die gewünschten Räume / AP Point Stellen 10Gbit fähige Kabel und Dosen legen (gerade wenn ihr noch renoviert / saniert und sowieso die Tapete und dgl. von den Wänden kommt). Damit wärst du für die Zukunft Safe.
Sonst kannst du die ganzen Geräte per Gigabit LAN an die Switche anklemmen und -wenn zukünftig 10Gbit der Standard wird- dank der 10Gbit fähigen Kabel & Dosen einfach auf 10Gbit umsteigen, ohne neue Kabel legen zu müssen. Alternativ 2,5 Gbit nutzen, aber das ist derzeit noch nicht so verbreitet und fraglich, ob sich das durchsetzt oder zügig von 10Gbit überholt wird.
An AP's: Mikrotik hat auch gute AP's im Angebot, das ist dann letztendlich Geschmackssache und eine Frage, wieviel Arbeit du investieren möchtest. Desweiteren hat Mikrotik noch keine Wifi 6 Geräte im Angebot, Unifi bringt im Dezember die ersten Wifi 6 AP's heraus (von welchen ich auch die Extended und nicht Lite nehmen würde).

Am besten stell dir selber mal eine Liste zusammen mit dem ganzen Equipment.
Mikrotik, als auch Unifi werden nicht günstig werden. Aber eines ist schon jetzt klar, bei Unifi wirst du ungefähr das doppelte hinlegen, dafür aber auch eine super Verwaltungssoftware bekommen.

 

[totti4ever]

Hey, danke für deine Antwort!

Renovieren werden wir nur ausgewählte Bereiche (Küche, Wohnzimmer, Esszimmer), alles andere muss warten, sonst sind wir noch vorm Einzug pleite ;-)
Fürs Wohnzimmer erwäge ich tatsächlich eine Buchse zu legen, die dann auch hinter dem AP hängt - die anderen Endpunkte im EG wären alle sternförmig vom Keller aus versorgt. Daher hätte ich jetzt erstmal nur mit einem 10er Switch im Keller geplant. Es ist doch vermutlich kein Problem, bei Mehrbedarf irgendwann an den heutigen Endpunkten nen Switch dann erst dran zu hängen und heute erstmal nur den fürn Keller zu kaufen?

-> EG-Whz (TV1) /--> EG-AP FRITZ --> Switch (Keller, managed) ------> EG-Arbeitszimmer 1 \--> EG-Gästezimmer (TV2) -> OG-AP

So ungefähr stelle ich mir das vor. Wenn ich bspw. im Arbeitszimmer 1 einen PC und einen Drucker versorgen möchte, müsste ich dort entsprechend entweder 2 Kabel ausm Keller hinlegen oder an das eine Kabel wieder einen managed Switch hängen? Ggf. würde ich dann dort vielleicht in der Tat direkt einen zweiten Switch berücksichtigen.

Das mit pfSense klingt gut, wie muss ich mir das technisch vorstellen; muss die pfSense physisch zwischen fritzbox und switch setzen? Oder wäre die pfSende im obigen einfach nur ein weiteres Gerät am Switch, dass allerdings als Gateway eingetragen ist?
Und wie würde die Verbindung von pfSense zu HomeServer aussehen? Das wäre typischerweise etwas virtuelles zwischen VM und Host-OS, oder? Oder hätte es irgendeinen Vorteil, dies physisch zu trennen (mein Server hat zwei LAN-Ports)?


----------

Hinsichtlich der Marke habe ich den Eindruck, dass es vielleicht ganz gängig wäre, für die Switches MikroTik und für die AP Unifi zu nehmen, oder?

Unifi scheint tatsächlich ein deutlich besseres Erscheinungsbild zu haben, bzw. andersherum die Zu von MikroTik ist der Web-Demo zufolge schon sehr angestaubt. Andererseits hoffe ich, dass man da halt nicht täglich rein geht und dann nehme ich natürlich gerne den Preisvorteil mit, bzw. bei den Routern schein MT einfach besser zu sein?!

Irgendein Tipp, welche Geräte man als Switch und vor allem Access Point nehmen sollte? MikroTik hat ja ebenso wie Unifi gefühlt tausende?!
Bei den AP von Unifi schwanke ich zwischen dem UAP-AC-PRO und dem UAP-nanoHD (nur 20€ mehr, dafür neueste Generation und einfach nochmal schneller). Ich würde dann vor dem kauf noch die Wifi 6 Geräte abwarten, aber erwarte, dass die entsprechend teuer sein werden zum Einstieg?
Edit: Sehe gerade, dass der Unifi 6 long range ja schon angekündigt ist und nur unwesentlich teurer sein soll als der nanoHD - dann würde ich vermutlich doch auf den neuen hüpfen? Oder gibts schlechte Erfahrungen mit neuen Linien?

Bei MikroTik bin ich völlig lost bei den ganzen Switches. Irgendein Tipp, mit welchem ich recherche-technisch anfangen kann?

 

[KurantRubys]

Bei Mikrotik bin ich raus, liegt aber ausschließlich an der Konfiguration. APs bin mit UniFi sehr zufrieden, kaum Probleme damit, außer es gibt mal ne schlechte SW Version. Ist mir bis jetzt aber auch nur auf einer Site mit Auto Update passiert, da war das Gäste Gateway dann defekt. Seitdem ist Auto Upgrade auch aus und allein auf der Site laufen 20 APs seit 300 Tagen dauerhaft.

Bei UniFi würde ich ganz klar bei den aktuellen entweder den NanoHD, oder den FlexHD nehmen. Je nachdem ob Decken oder Wandmontage. Beim Pro warte ich eigentlich nur auf die EOL Ankündigung und AC Wave 2 kann der auch nicht. Die WiFi 6 Lite gibts jetzt im EA, sind aber nicht vergleichbar, da eben Lite. Da würde ich aber warten bis der Kram offiziell draußen ist, bei UBNT geht manches extrem schnell EOL.

Switche mit 10G halte ich bei deinem anscheinenden Anfoderungsprofil definitiv fürs erste für übertrieben, da geht aber dann eigentlich kein Weg an Mikrotik vorbei. Die werfen die dir quasi ja nach. Ebenso VLANs, alles schön und gut, hatte ich in der alten Wohnung auch. In der neuen hab ich erstmal keinen Bock wieder 6 Geräte hinzustellen und komm im Moment auch sehr gut aus.

 

[hominidae]

....wenn Du keinen IDS/IPF/NMS ins pfsense integrieren willst, sondern "nur" einen "normalen", richtigen Router für VLANs usw. hinter die Fritz stellen willst, hier ein paar Vorschläge aus dm "MT-Bauchladen"

Router:

Hex-S: https://geizhals.de/mikrotik-routerboard-hex-s-rb760igs-a1923211.html​

oder RB4011: https://geizhals.de/mikrotik-routerboard-rb4011-router-rb4011igs-rm-a1923183.html​

Der hat gleich einen Switch mit 10 Ports, sowie ein SFP+ Port für 10G eingebaut​

AP:

cAP ac: https://geizhals.de/mikrotik-routerboard-cap-ac-rbcapgi-5acd2nd-a1861544.html​

Switches:

MikroTik Cloud Smart Switch CSS610 Desktop Gigabit Smart Switch ab € 96,41 (2020) | Preisvergleich Geizhals Deutschland

✔ Preisvergleich für MikroTik Cloud Smart Switch CSS610 Desktop Gigabit Smart Switch ✔ Produktinfo ⇒ Funktion: Switch • Typ: Standalone, Rackmount (via Montagewinkel) • Netzwerkanschlüsse: 8x RJ-45, 2x SFP+… ✔ Switches ✔ Testberichte ✔ Günstig kaufen

geizhals.de

MikroTik Cloud Router Switch CRS326 Dual Boot Rackmount Gigabit Managed Switch ab € 155,90 (2020) | Preisvergleich Geizhals Deutschland

✔ Preisvergleich für MikroTik Cloud Router Switch CRS326 Dual Boot Rackmount Gigabit Managed Switch ✔ Produktinfo ⇒ Funktion: Switch • Typ: Standalone, Rackmount (via Montagewinkel) • Netzwerkanschlüsse: 24x RJ-45, 2x SFP… ✔ Switches ✔ Testberichte ✔ Günstig kaufen

geizhals.de

MikroTik Cloud Router Switch CRS328 Dual Boot Rackmount Gigabit Managed Switch, 24x RJ-45 ab € 324,09 (2021) | Preisvergleich Geizhals Deutschland

✔ Preisvergleich für MikroTik Cloud Router Switch CRS328 Dual Boot Rackmount Gigabit Managed Switch, 24x RJ-45 ✔ Produktinfo ⇒ Funktion: Switch • Typ: Standalone, Rackmount (via Montagewinkel) • Netzwerkanschlüsse: 24x RJ-45, 4x SFP… ✔ Switches ✔ Testberichte ✔ Günstig kaufen

geizhals.de

​

...grundsätzlioch für die APs die Stromversorgung über PoE nehmen. Injectoren sind schon dabei.
Ich habe allerdings ein paar PoE-Ports mehr, aber keinen PoE-Switch, wie den CRS328...sondern sowas: https://geizhals.de/inline-desktop-gigabit-poe-injektor-32308h-a1859949.html
Vom zentrallen Switch versorge ich in einzelnen Zimmern dann einen kleinen Switch, der auch über PoE angeschlossen werden kann und auch zB einen AP weiterversorgt, sowas: https://geizhals.de/d-link-dgs-1100-desktop-gigabit-smart-switch-dgs-1100-05pd-a1541892.html

...ich hab den RB4011, CRS326 und 2x cAP-ac im EInsatz...UnifI APs habe ich wieder abgebaut...hatte Probleme mit den VLANs für die SSISs und DFS channeln (wahrscheinloch sass das Problem aber vor der Tastatur)

 

[totti4ever]

Sooo, ich bin wieder da und möchte jetzt konkret werden. Ich werde mir 3 Unifi 6 Long Range als Access Points anschaffen.

Bleibt der Rest...also ich habe knapp 24 Kabel eingeplant, davon 3 für die APs und ggf. 2-3 für Kameras mit POE. Dann brauche ich noch einen Router, den ich hinter die Fritz!Box hänge und hinter den dann wieder einen Switch, korrekt? Macht es Sinn, irgendetwas direkt an den Router anzuschließen, die Anbindung innerhalb des Switches ist vermutlich schneller als vom Switch zum Router, oder? Das hieße, ich könnte da irgendwas dranhängen, was keine Bandbreite braucht, wenn ich mit den Plätzen am Switch nicht auskomme...sonstige Nachteile hätte der direkte Anschluss nicht?!

Zum Router:
Was bringt mir der Hex-S gegenüber dem Hex? Mikrotik schreibt PoE und SFP; PoE sehe ich im Switch, SFP bringt mir nichts, oder?
Einen einfachen "nur Router", der Rack-tauglich ist, hat Mikrotik nicht, oder? Ist die Idee Quatsch, alles in ein Rack sauber zu verfrachten? Sollte man für solche privaten Aufbauten sowieso drauf verzichten und die Geräte einfach sauber an einer Spanplatte o.ä. aufhängen?

Zum Switch:
Der CRS328 hätte die 24 Plätze, die ich bräuchte und das auch mit PoE. Er kann DualBoot, also auch mit RouterOS gestartet werden - brauche ich denn dann überhaupt noch einen Router oder verstehe ich das falsch? Ich habe gelesen, dass das Problem die mangelnde Hardware ist?!

----------

zur Software:
Ich hatte überlegt, systemkritische Software von meinem Homeserver auszulagern, auf dem ich auch gerne mal etwas rumspiele. Das hieße, ich würde HomeAssistant, pfSense und piHole auslagern - reicht dafür ein Pi? Den würde ich dann im Zweifel direkt an den Router hängen, weil über den kein großer Traffic läuft oder schleust die pfSense jedes einzelne Paket einmal durch und man hat ein Bottleneck bei lokalen Transfers (Homeserver zu Geräten)?

Für welche Zwecke sollte ich IDS/IPF/NMS brauchen und was wäre dann zu ändern hardwareseitig?


beste Grüße und weiterhin vielen Dank!

 

[smoothwater]

Hi,
Zur Software: Wenn du die APs von UniFi nehmen willst, solltest du die Controller-Software dazu nutzen. Also entweder eine Ubiquiti UDM Pro, einen CloudKey oder selbst eine VM aufsetzen.

Dann wäre die Frage nach den Kameras. Wenn Ubiquiti, dann bräuchtest du auch Protect. Das gibt es derzeit nur über den neuen NVR, die UDM Pro oder den CloudKey 2 Plus.

Wenn eh die Controller-Software installiert werden muss, würde ich auch gleich die UniFi Switche nehmen. Dann hat man alles in einer Konfigurationsoberfläche.
Aber: Wenn du MagentaTV der Telekom darüber nutzen willst, wird das haarig bis unmöglich. Je nach Router (USGs und UDMs können es nicht ohne Anpassungsgefriemle).

Wie bereits angesprochen würde ich einen PC nehmen, der Proxmox oder ähnliches handlen kann. Irgend nen kleiner QuadCore mit 8-16 GB RAM reicht ja erstmal. Darin eine oder mehrere Netzwerkkarten rein (ggf. Dual/Quad-Karte) und die an die Routersoftware (pfsense, OPNsense, VyOS,...) durchreichen bzw. exklusiv zuweisen.
Eine einfache Raspberry ist da etwas dünn.

Bzgl. SFP: Du kannst RJ-45-Module einsetzen und darin dann normale Patchkabel nutzen. SFP heißt aber auch max. 1 GBit/s. Andernfalls braucht man SFP+. Allerdings ist es dann mit PoE schwierig.

Zu RouterOS/SwitchOS:
Ich bekomme da immer Krämpfe, wenn ich RouterOS nutzen muss. Das ist so dermaßen unübersichtlich, das nervt. Die haben da sämtliche Einstellungen drin die alle Geräte können. Du musst dann selbst schauen, was dein Gerät überhaupt unterstützt oder hat. SwitchOS ist das genaue Gegenteil. Klar strukturiert, aber eben nur für Switchfunktionen gedacht.

Macht es Sinn, Sachen an der Fritzbox anzuschließen? Ja, vielleicht. Kommt halt drauf an, wie du das konfigurieren willst. Du kannst über die Fritzbox auch einen Port als exposed Host konfigurieren. Dann wird sämtlicher Verkehr durchgeleitet. Dann würde ich allerdings auf einen separaten Router in Hardware setzen und auf die VM verzichten. Zumindest kann man dabei die Fritzboxfunktionen wie Telefon etc. weiter nutzen und im UniFi-Fall auch MagentaTV über einen der Ports separat an den Mediareceiver anschließen.

IDS/IPS machen vorallem dann Sinn, wenn du einen eigen Server in Netz hängen willst. Also etwas, dass von außen erreichbar sein soll: Nextcloud, Mailserver, etc.. Ansonsten ist es eine hübsche Geschichte. Man kann eben auch GeoBlocking definieren und Anfragen an bestimmte Länder blocken. Auf jeden Fall hat man eine zusätzliche Einbruchserkennung im Netz. Das frisst aber auch entsprechend Leistung. Auf Ubiquiti bezogen: Meine USG 3 kommt nur bis 120 MBit/s mit (offiziell nur 85 MBit/s). Da ich Glasfaser mit 500/100 MBit/s habe, bräuchte ich mindestens eine UDM l um da gerüstet zu sein. Wenn du das innerhalb von pfsense/OPNsense nutzen willst genauso. Da muss schon entsprechende Hardware ran. Da reicht eine Raspberry Pi definitiv nicht mehr.

 

[hominidae]

Sooo, ich bin wieder da und möchte jetzt konkret werden. Ich werde mir 3 Unifi 6 Long Range als Access Points anschaffen.

Bleibt der Rest...also ich habe knapp 24 Kabel eingeplant, davon 3 für die APs und ggf. 2-3 für Kameras mit POE. Dann brauche ich noch einen Router, den ich hinter die Fritz!Box hänge und hinter den dann wieder einen Switch, korrekt? Macht es Sinn, irgendetwas direkt an den Router anzuschließen, die Anbindung innerhalb des Switches ist vermutlich schneller als vom Switch zum Router, oder? Das hieße, ich könnte da irgendwas dranhängen, was keine Bandbreite braucht, wenn ich mit den Plätzen am Switch nicht auskomme...sonstige Nachteile hätte der direkte Anschluss nicht?!

Die Ports im Router haben in der Regel auch einen Switch-Chip....wenn Du den "richtigen" nimmst, kannst Du Router und Switch mit einem 10G Link verbinden.
Es ist immer sinnvoll mehr Ports im Switch als Anzahl Ports mit Dosen zu haben.....das schadet nie!

Zum Router:
Was bringt mir der Hex-S gegenüber dem Hex? Mikrotik schreibt PoE und SFP; PoE sehe ich im Switch, SFP bringt mir nichts, oder?
Einen einfachen "nur Router", der Rack-tauglich ist, hat Mikrotik nicht, oder? Ist die Idee Quatsch, alles in ein Rack sauber zu verfrachten? Sollte man für solche privaten Aufbauten sowieso drauf verzichten und die Geräte einfach sauber an einer Spanplatte o.ä. aufhängen?

Ja, natürlich macht das Sinn, alles in das Rack zu packen.
Der "Kabelsalat" ist dann auch übersichtlicher zu managen.

Der MT RB4011 hat die Halterung für 19Zoll im Packet.
Die Anbindung an den CRS kann dann über SFP+ in 10G (Achtung: LWL, kein DAC...das mag der RB4011 lt. Anleitung nicht) erfolgen
Der MT4011 mit 10 Ports kann sicher auch als Notlösung dienen, wenn der Switch mal ausfällt.

Der Hex-S hat 6 Ports (ein SFP extra) und Metallgehäuse...der Hex (GR3) ist Plaste, aber von RAM und CPU gleich.
Es gibt für den Rack-Einbau, wenn man ein wenig sucht, Halter im 3D-Druck...aber auch ein fachboden im Rack tut da seinen Dienst.

Zum Switch:
Der CRS328 hätte die 24 Plätze, die ich bräuchte und das auch mit PoE. Er kann DualBoot, also auch mit RouterOS gestartet werden - brauche ich denn dann überhaupt noch einen Router oder verstehe ich das falsch? Ich habe gelesen, dass das Problem die mangelnde Hardware ist?!

Die CRS Serie von MT hat auch RouterOS an Bord.
Du *kannst* also den Switch auch als Router verwenden....aber die CPU und RAM Ausstattung ist dafür nicht gemacht, wenn Du grosse Sprünge machen willst.
Es ist und bleibt Hardware für L2 optimiert, nicht für L3 (Routing)....für alles über 25MBit I-Net würde ich das nicht versuchen.

MikroTik

MikroTik is a Latvian company which was founded in 1996 to develop routers and wireless ISP systems. MikroTik now provides hardware and software for Internet connectivity in most of the countries around the world.

mikrotik.com

Kann aber als "Backup" dienen, wenn der Router mal ausfällt.

Ansonsten ist der Switch mit PoE topp....er kann sowohl passive PoE für MT, aber auch 802.3af/at für alles andere
Man kann auch die Lüfter einfach tauschen und sogar noch zwei weitere nachrüsten.

zur Software:
Ich hatte überlegt, systemkritische Software von meinem Homeserver auszulagern, auf dem ich auch gerne mal etwas rumspiele. Das hieße, ich würde HomeAssistant, pfSense und piHole auslagern - reicht dafür ein Pi?

pfsense auf nem Pi...nein.
Das ist eine Alternative zum HW-Router...wenn Du aber gBit I-net willst und noch IPS usw machen willst, brauchst Du da schon was ordentliches und das wird viel teurer.

Auslagern ist ene gute Idee...wenn Du die Unifi APs nimmst, kannst Du auch den Controller dort in einem Docker laufen lassen.
Wenn Du ein potentes NAS hast, kannst Du das aber alles (ausser pfsense und IDS/...) auch da machen.

Den würde ich dann im Zweifel direkt an den Router hängen, weil über den kein großer Traffic läuft oder schleust die pfSense jedes einzelne Paket einmal durch und man hat ein Bottleneck bei lokalen Transfers (Homeserver zu Geräten)?

Alles, was L3 ist geht durch den router....immer....jedes Paket
Also alles, was zwischen verschiedenen IP-Netzen kommuniziert....also zwischen LANs/VLANs/I-Net

Für welche Zwecke sollte ich IDS/IPF/NMS brauchen und was wäre dann zu ändern hardwareseitig?

s.o....pfsense...da brauchst Du auch ordentlich RAM und CPU.
Wenn Du nix besonderes vorhast und keine ganze Server-Farm betreibst, tut es einen Firewall in einem MT allemal (die kann auch DPI https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/L7)....der kann schon so viel mehr als eine Fritz.
Wenn es sein *muss* und eben ein Server mit Docker/VMs vorhanden ist, geht auch ein IDS, aber aufwendiger als eine Installation in einer pfsense: https://forum.mikrotik.com/viewtopic.php?f=23&t=162709&p=801641&hilit=suricata#p801641

 

[totti4ever]

Hey, allein die Tatsache, dass die Unifi Switches nicht mit Magenta TV klarkommen ist für mich ein Grund, sie nicht zu nehmen - auch wenn ich nicht plane, es einzusetzen. Aber der Unifi Controller kommt dann auch auf mein Gerät mit den anderen essentiellen Dingen, genau.

Ich habe zwar nen Homeserver am Laufen mit Nextcloud und einigen anderen Dingen (teils im Internet exposed, teils nur intern) - aber dann werde ich es wohl erstmal mit dem Hex probieren. pfSense/openSense kann ich ja immernoch nachschieben, wenn ichs brauche.

Den Hex hätte ich dem Hex S vorgezogen, weil der eine geringere Leistungsaufnahme hat. Oder ist der Stromverbrauch ähnlich, wenn PoE und SFP nicht genutzt werden? Dann wäre Metallgehäuse natürlich schöner - und die 5€ Unterschied sind natürlich auch nicht der Rede wert. Die 150€ Aufpreis für den RB4011 würde ich mir aber sparen, da ich ja eh noch nen Switch brauche.

SFP+ wäre vermutlich relevant, wenn man zwei Switche zusammen schließen muss, oder?

 

[hominidae]

Der Stromverbrauch "ohne" Attachments ist relevant...da ist 1W unterschied zwischen Hex und Hex-S ....und der trifft auch nur zu, wenn der viel zu tun hat...über PoE über den CRS328 befeuert läuft der mit 2-3W.
Der Hex-S kann 802.3at/af, also auch 48V...das wird ihn sogar effizienter machen, als einen mit 24V passiv.

Wie kommst Du auf 150 Steine unterschied zum RB4011...sind eher 100EUR....wenn Du mehr als 250MBit I-Net nutzen willst, nimm den RB4011.
Für bis zu 1Gbit I-Net, alternativ einen RB450GX4, aber da kommt dann noch ein Gehäuse dazu: https://geizhals.de/mikrotik-routerboard-router-rb450gx4-a1861523.html und https://geizhals.de/mikrotik-routerboard-aluminiumgehaeuse-fuer-rb450-ca150-a1829789.html

SFP+ ja, für den Switch Interlink oder für ein dickes NAS mit 10G

 

[totti4ever]

Okay, danke fürs schnelle Feedback. Dann aber nochmal zum Verständnis:
Warum macht der Hex nur 250MBit Internet mit? Auch ohne IDS?
Und wenn der RB450GX4 bis 1 GBit schafft, wozu/wann braucht man dann den RB4011?

Mit den 100€ hast du natürlich Recht.

 

[hominidae]

Das sind Router....jedes Paket aus/zum I-Net muss durch die Firewall und damit durch die CPU....ausserdem haben die MT Router so Spielchen wie Hardware-NAT nicht....ist ein Linux-Kernel...keine extra Firmware für Chipsätze usw, wie manche SoHo Teile....jeder MT mit ROS kann im Prinzip das Gleiche.

Performance kommt durch Anzahl Cores, Single Core-Performance (MHz/GHz) und bei Themen um Firewall, VLANs und QoS/Bandbreiten-Management vor allem RAM.
Die CPUs sind aber keine XEONs oder so ;-) oder was glaubst Du, wieso der mit 3-5W auskommt ...Aber das Prinzip ist das gleiche, übrigens auch bei einer pfsense (ob mit oder ohne IDS).
Vergleiche die Datenblätter....aufs Siegertreppchen kommt der RB4011...der hat ja auch SFP+ und schafft die 10G auch (fast, real etwa 7+Gbps) mit 4 schnellen ARM Cores und 1RB RAM...dann der RB450GX4 mit 4 ARM Cores, etwas weniger GHz aber auch 1GB RAM...der Hex(-S) hat 2C/4T einer MIPS CPU, unter 1GHz und "nur" 256´GB RAM.

Es hängt natürlich auch immer etwas davon ab, was genau man so macht und vielleicht schafft der Hex-S auch 450Mbps, wenn man nur NAT braucht und keine sonstigen Themen, wie mehr als 3 VLANs macht....wie sagt man so schön: "Your mileage may vary!" ;-)

Wenn Du shoppen gehst, nicht nur bei Geizhals gucken...MT hat viele, kleine Distributoren, die da nicht gelistet sind.
Ich gucke immer auch bei senetic.de vorbei.

Beitrag automatisch zusammengeführt: 11.02.2021

...nur mal so, als Beispiel, was bei pfsense/opnsense steht: https://docs.opnsense.org/manual/hardware.html#hardware-requirements

Recommended

The recommended specification to run all OPNsense standard features, means every feature is functional and fits most use cases.
Processor

    1.5 GHz multi core cpu

RAM

    8 GB

Install method

    Serial console or video (vga)

Install target

    120 GB SSD

Edit: ...und IDS ist auch kein Standard-feature und da auch nicht mit drin....ein PC in dieser Kategorie, inkl. AES für HW-Acceleration beim VPN kommt auf 300+EUR

 

[totti4ever]

Wenn Du shoppen gehst, nicht nur bei Geizhals gucken...MT hat viele, kleine Distributoren, die da nicht gelistet sind.
Ich gucke immer auch bei senetic.de vorbei.

Die kommen bei idealo aber nicht so gut weg, sind dort aber gelistet:

https://www.idealo.de/preisvergleich/Shop/300023.html#Bewertung

 

[Gen8 Runner]

Kann je nach Hardware auch eurodk.de empfehlen.
Lieferung kam nach spätestens drei Tagen per UPS, Preise unschlagbar und Support antwortet auch schnell und freundlich.

Rückgabe hatte ich (Gott sei Dank) noch nicht nutzen müssen.

 

[totti4ever]

Super, hab mich dort mal auf die Warteliste für die U6-LR gesetzt

Eine Frage nochmal zum eigentlichen Netzwerk: Ich habe 8-9 Anschlüsse, die die ersten 5 Meter identisch vom Keller (Hausanschluss, Server, Router, Switch) in einen kleinen Wandschrank im EG verlaufen. Macht es Sinn, bis dorthin ein SFP+ Kabel zu legen und dann dort noch einen 12er Switch zu setzen und dann von dort erst weiter aufzuteilen? Oder würdet ihr einfach alles am Switch im Keller starten lassen und halt nen fetten Kabelstrang bis zum Wandschrank parallel laufen lassen?

 

[hominidae]

Die kommen bei idealo aber nicht so gut weg, sind dort aber gelistet:

https://www.idealo.de/preisvergleich/Shop/300023.html#Bewertung

Stimmt, habe die aber selten bei Teilen von MT gesehen, obwohl die durchaus günstiger sind...habe dort schon ein paar Mal bestellt....bisher alles OK....klar, fs.com ist halt der Benchmark ...da kommt keiner der Standards ran, nicht mal Amazon. ;-)