Logischer Netzwerkaufbau im Eigenheim nachvollziehbar? Brauche ich einen zusätzlichen Router für die VLANs (Mikrotik HEX S/Ubi EdgeRouter X) ?

Es gibt 22 Antworten in diesem Thema, welches 5.163 mal aufgerufen wurde. Der letzte Beitrag () ist von Tuxtom007.

    Guten Abend ins Fan Forum,

    abseits möglicher Fragen zur vorhandenen, aber noch nicht installierten, Ubiquiti Hardware plane ich im Kopf gerade unseren Netzwerkaufbau im Eigenheim (Installation im September). Ich möchte in jedem Fall drei VLANs einrichten. Einmal das private, eines für IoT-Geräte und ein Gäste VLAN dass ausschließlich über WLAN zur Verfügung stehen soll. Ich habe es mal in einem Diagramm laienhaft visualisiert, das ich euch zur Verfügung stellen möchte. Ich weiß, der CRS328 kann grundsätzlich routen, aber dass macht er wohl ohne gute Performance. Daher meine Frage: Benötige ich für das VLAN Routing einen zusätzlichen Router oder sind meine Überlegungen zum Netzwerk bullshit? Falls ich einen Router brauche, tendiere ich entweder zum Mikrotik Hex S (Performance) oder zum Ubi EdgeRouter X (Benutzerfreundlichere Konfiguration). Da ich mich beim CRS328 sowieso mit der RouterOS Konfiguration auseinandersetzen muss, tendiere ich eher zu einem HEX S.

    Verzeiht mir, wenn meine Frage(n) zu laienhaft sind. Ich habe mal zwar eine Fachinformatikerausbildung genossen, aber das war vor 20 Jahren. Ich bin lernwillig und lese mich in alles gerne ein.



    Vielen Dank schon jetzt für alle Antworten :red_heart:

    Ich kenne keine fritz die vlan kann! Mikrotik os ist nicht einfach aber kann alles aus dem anforderungsprofil, der ubnt edge ist eher die kleine lösung, aber für zu hause reicht es


    Gruß

    Zitat von Ubi-Noob101

    der CRS328 kann grundsätzlich routen, aber dass macht er wohl ohne gute Performance

    Reicht Dir das nicht:



    Das ist ne Enterprise-Kiste, die verkraftet auch ne mittelständiges Unternehmen :smiling_face: Überleg doch einmal selbst, was es bei deinem Netzaufbau überhaupt zu routen gibt und welche Bandbreiten da benötigt werden, bzw. wie diese durch ohnehin vorhande Einschränkungen sowieso begrenzt sind. (Wlan, Internet und aus Deiner Synology DS218j werden die Daten auch eher nur herauströpfeln). Ich würde da 2-3 Nummern kleiner rangehen und mich nach einem vernünftigen Vlan-fähigen FW-Router mit 4-8 Ethernetports umsehen (z.B. Sophos SG/XG mit Homelicense - kann auch Wlan-Controller) und dahinter einen preisgünstigen gemanagten PoE-Switch hängen (Netgear/Zyxel oder so etwas). Achso, wo willst Du eigentlich mit den 2,5 GbE vom Admin-PC hin? Da fehlt doch das Gegenstück!

    bic: Das sehe ich genauso. Die Fritzbox kann definitiv KEIN VLAN!!! Da nützt dir der Switch dahinter nix. Ich würde hier einen MiniPC mit PfSense oder OpnSense empfehlen und die Fritzbox in den Bridge Modus zu schalten. Hinter der Firewall einen guten Switch und die AP's von Unifi. Den Controller entweder als Cloudkey - je nach Anforderung, ob dann noch Videoüberwachung gewünscht ist - oder als Softwarecontroller. Geht glaube ich auch auf dem Proxmox. Mein Controller läuft im Docker auf meiner DS918+.


    Eines würde ich aber nicht machen: Soviele Hersteller mischen!!! (AVM, Mikrotik, Unifi,...) Bei Fehlern sucht man sich dann dusslig.


    Viel Erfolg.

    Zunächst mal vielen Dank für eure Antworten ! Bislang ist das alles erst noch ein Gedankenexperiment, daher bin ich für alle Ratschläge dankbar. Nun zu den einzelnen Punkten:


    Ehwi  Ronny1978 : Ja, mir ist bewusst, dass die Fritzbox keine VLANs beherrscht. Im Diagramm wollte ich aber eigentlich nur andeuten, dass über den Mikrotik Switch alle VLANs ins Internet kommunizieren sollen. Soweit ich mich in das Thema VLANs eingelesen habe, sollte der Mikrotik Switch über Tagged VLAN Ports die getaggten Pakete vom/ins Internet weitergeben können.

    Sollte ich hier einen Denkfehler haben, wäre die Alternative die Fritz!Box als "Exposed Host" einzustellen und eine entsprechende Firewall dahinterzuklemmen. Eigentlich würde ich das aber gerne vermeiden. Da ich in Hessen meinen Vodafone Kabelanschluss habe, steht mir der Bridge-Mode nicht zur Verfügung (DS-Lite). Die Frage wäre halt ob der Switch genug Power hat getaggte Pakete in die einzelnen VLANs zu routen.


    Die Switch-Wahl ist insofern bereits schon gefallen und der CRS328 bestellt. Im Diagramm sind z.B. die ganzen Ethernet-Dosen in den Räumen unseres Eigenheimes nicht enthalten. Die sollen dann alle in das Private-VLAN (20 Ports). Der Mikrotik wurde es wegen der PoE+-Leistung von 450W auf allen Ports sowie den 4 SFP+.


    Ronny1978 Als UniFi Controller habe ich bereits eine Cloud Key Gen 2 Plus, da zumindest eine G3 Flex und die G4 Doorbell über Protect laufen sollen. Die Ubiquiti APs sind auch schon da.


    bic Die 2.5GbE sollen auf ein SFP+ Transceiver in den SFP+ Port des Mikrotik, wobei ich hier auch hart überlege direkt über SFP+ auf 10GbE Mulitmode LWL zu gehen und in mein Arbeitszimmer zu legen. Ist mittlerweile nicht mehr teuer. Mit den 2 NICs des Admin-PCs könnte ich dann auch einfacher zwischen Private VLAN und IoT VLAN wechseln.

    Ja, das ganze ist womöglich bislangOverkill, aber zum einen möchte ich hier für einige Jahre Ruhe haben und zum anderen soll es mein ambitioniertes Hobby werden/bleiben wo man gerne mal mehr "investiert".

    Zitat von Ubi-Noob101

    womöglich bislang Overkill

    Ja - mit Exponent hoch 10 :smiling_face: Was machst Du dann zu Hause, Cloudprovider oder Videopostproduktion in 10k ? Erklär mal, was Du mit 10GbE LWL (warum nicht gleich 40 oder 100) zwischen Switch und PC willst, deratige Anschlüsse werden i.d.R. als Backbone zum Kaskadieren von Switchs für mehr als eine Handvoll von Hosts verwendet - so viele Daten, wie Du da hin- und herschieben könntest, hast Du ja gar nicht :grinning_face_with_smiling_eyes: Aber sorry, jedem Tierchen sein Pläsierchen.


    Zitat

    Soweit ich mich in das Thema VLANs eingelesen habe, sollte der Mikrotik Switch über Tagged VLAN Ports die getaggten Pakete vom/ins Internet weitergeben können.

    Sicher, dann schau aber mal nach, ob das Teil nicht nur routet, sondern auch filtert. An sonst kannst Du Dir die Vlans auch gleich sparen :frowning_face: Oder soll das dann die noch nicht vorhandene Firewall machen, die am Pseudo-DMZ-Port der Fritte hängen soll? Wozu dann der Routerswitch/Switchrouter? Oh Mann, jetzt wirds aber kompliziert - aber siehe vor, jedem ....

    Einmal editiert, zuletzt von bic ()

    Zitat von bic

    Erklär mal, was Du mit 10GbE LWL (warum nicht gleich 40 oder 100) zwischen Switch und PC willst, deratige Anschlüsse werden i.d.R. als Backbone zum Kaskadieren von Switchs für mehr als eine Handvoll von Hosts verwendet - so viele Daten, wie Du da hin- und herschieben könntest, hast Du ja gar nicht :grinning_face_with_smiling_eyes: Aber sorry, jedem Tierchen sein Pläsierchen-

    Haben ist besser als brauchen. :grinning_face_with_smiling_eyes: Die 10G SR SFP+ Transceiver kosten 2x18€ und das Kabel über 15m ca.25€. Eine 10G ConnectX-3 NIC mit SFP+ ca. 50€. 100€ investieren für eine 10GbE Leitung finde ich günstig. Alles einfach erstmal eine Machbarkeitsstudie sozusagen.


    Zitat von bic


    Sicher, dann schau aber mal nach, ob das Teil nicht nur routet, sondern auch filtert. An sonst kannst Du Dir die Vlans auch gleich sparen :frowning_face: Oder soll das dann die noch nicht vorhandene Firewall machen, die am Pseudo-DMZ-Port der Fritte hängen soll? Wozu dann der Routerswitch/Switchrouter? Oh Mann, jetzt wirds aber kompliziert - aber siehe vor, jedem ....

    Wie gesagt. Derzeit geht mein Gedankenexperiment davon aus, dass die Fritte den ausgehenden Verkehr aller VLANs vom Tagged Switch Port ins Internet leitet jedoch bei eingehendem Netzverkehr hier entsprechend zunächst routet/filtert und der Switch dass dann für die entsprechenden VLANs tagged. Das setzt natürlich voraus, dass ich hier keinen Denkfehler habe. Sollte das nicht gehen, muss ich wohl die Fritte als Exposed Host konfigurieren und eine Firewall dazwischen hängen.


    Ist meine Annahme denn so falsch?

    Nicht böse sein, aber in einem Mikrotik-Forum bekommst du bessere Infos zum Mikrotik. Mir persönlich wäre die Mischung von 3 Herstellern zu fehlerbehaftet. Der Layer 3 Switch kann sicherlich routen, aber die Fritzbox hat ja nix mit Firewall zu tun. Und die einzigen Sachen, die von Unifi kommen, ist der Cloud Key 2 und die AP's.


    Aber da du ja bereits den Switch bestellt hast, ist ja vieles nebensächlich. Dafür das du von dir selbst sagst, das du eher noch auf Laienbasis unterwegs bis, muss ich bic zustimmen: Viel zu viel für den ersten Schritt. Du wechselst hier von einem VW Polo zum Mercedes. Meine Konstellation ist es definitiv nicht. Aber jeder ist selbst der Herr im Hause.

    Ronny1978 Ich bin nicht böse, warum auch? Bislang waren alle freundlich zueinander. Wenn das Thema zu komplex ist und zu wenig Ubiquiti Bezug hat ist das okay und das Forum hier ist vielleicht für diese Anfrage nicht der richtige Ort. Ich bin mir sicher, dass ich zu einem späteren Zeitpunkt die ein oder andere Nachfrage habe, die sich eher auf das Know-How dieses Forums bezieht.


    Dennoch zunächst mal Danke für die Zeit die ihr euch zum antworten genommen habt.

    Zitat von Ubi-Noob101

    einem späteren Zeitpunkt die ein oder andere Nachfrage habe

    Davon gehe ich bei deinem Vorhaben aus :grinning_squinting_face: . Wir schon mehrfach geschrieben: Du möchtest VLAN's erstellen, um Netze zu trennen und so die Sicherheit erhöhen. Ich denke, weder der Switch, der zwar die Netze trennt, noch die Fritzbox bieten entsprechende Firewall-Regeln, um hier besser zu schützen. Das kann nur ein Router mit Firewall Funktion (UDM Pro/Edge Router oder eine pfSense oder Opnsense).


    Spar dir am Anfang das Geld für SFP und investiere in Netzwerktechnik. Der PC kann die Daten nirgendwo hinbringen wo so viel Durchsatz gefordert ist und deine "kleine" Synology wäre auch überfordert.

    Oder natürlich ein Router von Mikrotik: Dann wäre wenigstens Router und Switch aus einem Hause :winking_face:

    Zitat von Ronny1978

    Das kann nur ein Router mit Firewall Funktion (UDM Pro/Edge Router oder eine pfSense oder Opnsense).


    Oder natürlich ein Router von Mikrotik: Dann wäre wenigstens Router und Switch aus einem Hause :winking_face:

    Eine UDM Pro hatte ich mir auch bereits überlegt würde aber eher einen Mikrotik Router nehmen (sofern dieser dann eine Firewall Funktion hat.) Der vorhandene Cloud Key Gen 2 Plus wäre bei einer UDM Pro ja dann auch überflüssig.

    Ich selbst habe recht viel Mikrotik Erfahrung und selbst einige Mikrotik Hardware im Einsatz.


    Beide Firmen haben Vor- und Nachteile. Aber bei Mikrotik muss ich bezgl. einem Punkt echt warnen. Die haben eine sehr, sehr, sehr steile Lernkurve, wenn man vorher in Sachen Netzwerk unbedarft war. Besonders wenn man RouterOS benutzt. Das kann so ziemlich alles und wird auch in Carrier-Netzwerken genutzt. Gemessen an diesem unglaublichem Funktionsumfang, der Ubiquity in weiten Teilen in den Schatten stellt, ist der Preis schon extrem gut. Dieser Funktionsumfang wird einen am Anfang aber auch erschlagen, wenn man das nicht kennt und die meisten Funktionen sind für Privat irrelevant.


    Ubiquity ist da immer noch ziemlich mächtig, was die UDM-Pro usw. angeht, aber die Bedienung ist viel, viel, viel einfacher als bei Mikrotik.


    In Sachen Performance liegt Ubiquity im Produktportfolio meistens vor Mikrotik, wenn man Firewall, VPN. etc. benutzt, also alles was die CPU beansprucht. Da hat Mikrotik nicht immer die schnellsten CPUs verbaut. Die UDM-Pro liegt beim IDS/IPS, VPN was Durchsatz angeht auch vor vielen teueren Modellen der Mitbewerber, das ist schon ein sehr flottes Teil.


    Bezgl. Performance muss man bei Mikrotik auch aufpassen, was man genau macht. Man kann VLANs so anlegen, dass die CPU ziemlich belastet wird und der Durchsatz leidet oder aber so, dass es im Switch-Prozessor selbst stattfindet und die CPU sich nicht drum kümmern muss. Das liegt an der extremen Konfigurationstiefe und Möglichkeit von Mikrotik RouterOS, aber auch immer noch SwitchOS (vereinfachte Version von RouterOS).


    Was die Implementation von aktuellen Features angeht, ist IMHO Mikrotik besser. Z.B. hat Mikrotik schon ne Weile Wireguard drin, was ich auf der UDM-Pro schmerzlich vermisse. Ja, ich weiß, man kann es in der Shell inoffziell installieren, aber ich habe Schmerzen dabei, wenn ich aus unbekannten Quellen mit curl was herunterladen soll usw. Da wäre mir eine offzielle Implementation von Ubiquity lieber.


    Bezgl. WLAN-Hardware ist für mich eindeutig Ubiquity besser. Performanter, stabiler, bessere Reichweite und schnell eingerichtet. Das CAPsMAN von Mikrotik zur zentralen Verwaltung von APs ist einfach furchtbar zur konfiguieren und zickig bis es mal läuft. Ich kenne auch noch Ruckus und Extreme Networks, was WLAN angeht und auch diese Lösungen sind viel effizienter und einfacher als CAPsMAN. Aber wenn man alles aus einem Guss will, kann man auch Mikrotik WLAN-Technik einsetzen, die tut auch ihren Job und hab ich hier und da auch im Einsatz.

    Auch ich habe die dream machine pro im einsatz, ich werde keine mikrotik mehr einsetzen, zuviel mit go… halbwissen gemacht.

    Ich komme aus der bintec router-welt, dann geht ubnt locker weg, gruß und schönes wochenende

    Ubi-Noob101, bei Vodafone/KabelDeutschland kann man mit einem eigenem Modem den DS-Lite umgehen, denn da kann man den DS-Lite explizit deaktivieren :winking_face:


    Ich habe ein Arris TM 3402B in Betrieb gehabt


    TM 3402B Modem mit 2 Sprach-Ports - Docsis 3.1
    TM3402 ist ein DOCSIS 3.1 Heimtelefoniemodem für Kunden und Teilnehmer. Gigabit-Hochgeschwindigkeits-Datenservices und -Telefonieservices in einer Einheit.
    www.anedis.de


    Nachteil man braucht ein gewerbe und kostet dann doch noch ordentliche fast 300€


    Im Webinterface kann man dann den DS-Lite deaktivieren und hat automatisch normalen DualStack

    Zitat von TechFan

    WLAN-Hardware ist für mich eindeutig Ubiquity besser. Performanter, stabiler, bessere Reichweite und schnell eingerichtet.

    Das sehe ich genauso. Nur das bleibt das Problem bei Ubi-Noob101 bestehen --> 3 Hersteller in seinem Netzwerk: AVM / Mikrotik / Unifi. Mikrotik hat, denke ich, die steilste Lernkurve. Er möchte Sicherheit und die Netze trennen. Sehr gut. AVM als "Firewall"? Nur bedingt gut. Switch von Mikrotik: nur bedingt gut, weil der passende Router mit richtiger Firewall Funktion davor fehlt. Unifi läuft dann auch wieder losgelöst davon. Ich wiederhole mich leider: Ich halte sie Konstellation nicht für optimal, um den Schutz im Netzwerk auszubauen. Vor dem Kauf des Mikrotik Switch hätte ich mich besser informiert und geschaut, wie ich die vorhandenen Komponenten besser integiere. Unifi APs und der Cloud Key 2 war der richtige Anfang. Aber wie auch schon gesagt: Was nützt der PC mit 2,5GB oder mal 10GB, wenn der restliche Haushalt bzw. die restlichen Komponenten nichts damit anfangen können? Ich gehe ja nicht davon aus, dass alle Geräte auf den PC zugreifen.

    Zitat von Ronny1978

    Das sehe ich genauso. Nur das bleibt das Problem bei Ubi-Noob101 bestehen --> 3 Hersteller in seinem Netzwerk: AVM / Mikrotik / Unifi. Mikrotik hat, denke ich, die steilste Lernkurve. Er möchte Sicherheit und die Netze trennen. Sehr gut. AVM als "Firewall"? Nur bedingt gut. Switch von Mikrotik: nur bedingt gut, weil der passende Router mit richtiger Firewall Funktion davor fehlt.

    Ausgehend von meinem Internet-Anbieter habe ich nicht viele Alternativen. Am Anfang muss immer ein Kabelmodem stehen. Von Ubiquiti ist mir keines bekannt, das man von Vodafone provisionieren könnte. Ein TC4400 Modem wäre dann auch ein Hersteller der nicht Mikrotik oder Ubiquiti ist. Von daher ist ein heterogener Herstelleraufbau unumgänglich. Die meisten fahren ja mit einem TC4400 iVm einer UDM Pro.
    Über ein anderes Forum habe ich eine weiterführende Hilfestellung erhalten, wie ein L3-Switching-Konzept mit einer Fritz!Box auch sicher umgesetzt werden kann: https://administrator.de/forum…8442.html#comment-1173859Ein zusätzlicher Router bzw. Firewall ist nach meiner Lesart dann nicht zwingend notwendig.


    Zitat von Ronny1978


    Vor dem Kauf des Mikrotik Switch hätte ich mich besser informiert und geschaut, wie ich die vorhandenen Komponenten besser integiere.

    Ich bin mir sicher, dass die Leistungsfähigkeit und Konfigurierbarkeit des Mikrotik Switches den Ubiquiti Komponenten (Switches) in nichts nachsteht. Insofern finde ich, habe ich die entsprechenden Komponenten schon richtig ausgewählt. Es ist allgemein anerkannte Meinung aller Quellen, die ich bislang gelesen habe, dass Mikrotik Produkte mit dem RouterOS für deren Preis eine unglaublich große Anwendungsbreite und Leistungsfähigkeit abdecken. Die Konfigurationskomplexität steht sicherlich auf einem anderen Blatt, aber wie ich bereits geschrieben habe, bin ich willig steile Lernkurven in Kauf zu nehmen.


    Zitat von Ronny1978


    Aber wie auch schon gesagt: Was nützt der PC mit 2,5GB oder mal 10GB, wenn der restliche Haushalt bzw. die restlichen Komponenten nichts damit anfangen können? Ich gehe ja nicht davon aus, dass alle Geräte auf den PC zugreifen.

    Da gebe ich dir Recht. Es ist derzeit (noch) unnütz. Das kann sich in Zukunft aber auch ändern bzw. ist es insofern erstmal eine Spielerei des technisch Machbaren (wie zuvor bereits geschrieben). Man kann sich ja auch ein 600 PS Auto kaufen, das niemand BRAUCHT und steht dann trotzdem regelmäßig im Stau und kann nichts mit der zur Verfügung gestellten Leistung anfangen. Gekauft werden diese Autos dennoch von denen, die es sich leisten können und wollen. Ich habe mir auch im Vorfeld das Ubiquiti Switch-Portfolio angeschaut und dort bekomme ich für den gleichen Preis nicht die Leistungsfähigkeit, die der Mikrotik Switch bietet. Wäre das der Fall, hätte ich auch einen Ubi Switch ins Haus geholt, da ich grundsätzlich auch eine Hersteller-homogene Umgebung bevorzuge.

    Einmal editiert, zuletzt von Ubi-Noob101 () aus folgendem Grund: Orthografie

    Zitat von GenXRoad

    Nachteil man braucht ein gewerbe und kostet dann doch noch ordentliche fast 300€


    Im Webinterface kann man dann den DS-Lite deaktivieren und hat automatisch normalen DualStack

    Die Hürde einer Gewerbe-Anmeldung um von DS-Lite auf echtes DualStack zu gehen ist mir zu hoch. Es geht ja dann auch mit einem VF Business-Vertrag einher, der nochmal mehr Geld kostet.

    Zitat von Ubi-Noob101

    Mikrotik Produkte mit dem RouterOS für deren Preis eine unglaublich große Anwendungsbreite und Leistungsfähigkeit abdecken. Die Konfigurationskomplexität steht sicherlich auf einem anderen Blatt, aber wie ich bereits geschrieben habe, bin ich willig steile Lernkurven in Kauf zu nehmen.

    Alles gut. Halt uns mal auf dem Laufenden, wie du es zum Schluss umgesetzt hast. Ja, idealer Weise steht am Anfang immer ein Modem. Ist bei mir aber auch so. Ich habe die Fritzbox rausgeschmissen und mir ein Vigor 165 geholt. Danach macht meine Opnsense die Einwahl ins Internet. Die Lernkurve wird definitiv steil sein. Ich drücke die Daumen und bin auf dein Ergebnis gespannt und ob du die Sicherheit in deinem Netzwerk damit erhöht hast.


    Auf was für einer Maschine läuft denn dein Proxmox Server? Wie viele LAN Schnittstellen hat der?