Pimp up my network

Hallo allerseits,

ich möchte mich daran machen, ein reichlich in die Tage gekommenes Netzwerk auf einen halbwegs aktuellen Stand zu bringen ohne dabei ein Vermögen auszugeben. Die "Modernisierung" soll dabei schrittweise erfolgen um längere Down-Zeiten zu vermeiden.

Zu der Aktion habe ich mir einige Gedanken gemacht. Allerdings bin ich nicht direkt vom Fach, so dass ich entsprechend eine gewisse Unterstützung benötige.

aktueller Stand:

Provider:

1. Vodafone Breitband: über Fritzbox am WAN-Port der PfSense
2. Telekom Glasfaser: Modem geht direkt an OPT-Port der PfSense. PPPoE der Telekom über VLAN7 macht die PfSense

• Kommentar: failover funktioniert ganz gut. VOIP macht Probleme, das gehört aber wohl in einen separaten Thread.

Router:

• PfSense auf APU-Hardware. Hardware ist nicht die aktuellste, hat aber 3 GBit-Ports.
• Kommentar: Hier sehe ich keinen akuten Nachholbedarf. Ich denke, das kann vorerst mal so bleiben.

Switch:

• Level1 gsw2472tgx 24port 10/100 vlan-fähig, hängt mit Trunk am LAN-Port der PfSense
• Kommentar: Der Switch ist schon ein wenig angestaubt, aber tut soweit. Soll mittelfristig durch was aktuelleres ersetzt werden. Vorerst bleibt der aber erst mal, weil ich nicht 10 Baustellen auf einmal aufmachen möchte.

WLAN:

• Derzeit mehrere TP-Link Archer-C80 im AP-Modus, alle auf dieselben SSIDs gesetzt damit Roaming funktioniert (weil mehrere Stockwerke mit viel Stahbeton).
• Kommentar: Das war ganz klar ein Fehlkauf. Hier drückt der Schuh auch am Meisten. Die Dinger können die Clients nicht auf VLANs verteilen, somit gammeln alle WLAN-Clients im gleichen VLAN herum. Da heutzutage jedes neu angeschaffte Gerät nur mit WLAN+App+Cloud halbwegs brauchbar funktioniert, ist das eine enorm suboptimale Konstellation. Idealerweise würde jedes Gerät mit App+Cloud-Zwang ein eigenes VLAN bekommen. (so zumindest meine naive Vorstellung)

Mein derzeitiger Plan

Erster Schritt: WLAN

APs anschaffen mit der Möglichkeit, Clients in unterschiedliche VLANs packen zu können. Heutzutage kommt ja jedes Brotmesser mit Zwang zu App+Cloud über WLAN daher. Daher halte ich es für sinnvoll, jedes Gerät das nach App+Cloud verlangt in ein eigenes VLAN einsperren zu können.

Der erste Gedanke hierzu war, APs mit MSSID/VLAN anzuschaffen. Bei der Suche nach bezahlbaren und brauchbaren APs bin ich aber über Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik gestolpert. Wenn ich die Mikrotik-Lösung richtig verstanden habe, würde hier eine einzige SSID reichen und die VLAN-Zuordnung könnte zB anhand der MAC erfolgen. Mit herkömmlichen MSSID-fähigen APs müsste man hierzu (sofern ich das Konzept richtig verstanden habe) wohl für jedes angeschaffte Gerät eine eigene SSIDs vergeben, was in einer unübersichtlichen Unmenge an SSIDs ausarten und früher oder später auch an das Limit der unterstützten SSIDs der APs anschlagen würde.

Ein weiterer Vorteil dieser Mikrotik-Lösung wäre wohl auch, dass jeder AP auch gleichzeitig einen VLAN-fähigen "Satelliten-Switch" bereitstellen könnte. Umgekehrt würde jeder VLAN-fähige "Satelliten-Switch" auch gleich einen AP bereitstellen können (sofern sinnvoll).

Ein wenig Bammel habe ich aber bei der Konfiguration dieser Mikrotik-Teile. Das ist wohl eine eigene Script-Sprache, die mir sehr umfangreich zu sein scheint.

Auch die Auswahl an Hardware finde ich sehr unübersichtlich. Da gibt es wohl cAP, hAP, mAP. Das dann auch noch optional als lite und ggf noch weiteren angeklebten Buchstaben. Gibt es irgendwo eine Erläuterung der Systematik der Bezeichnungen oder eine Vergleichstabelle? Meine Wunschvorstellung wäre:

• WLAN (2.4+5GHz)
• 4..8 GBit Ports
• optional speisbar über PoE
• evtl mit PoE-Speisung
• klein, so dass man es gut irgendwo verstauen kann
• und natürlich preiswert, weil ich davon eine grössere Anzahl benötigen würde.

was ich auf die Schnelle preiswertes gefunden habe:

• mAP lite: nur ein Port, somit nicht gleichzeitig als "Satellit-Switch" nutzbar
• mAP: immerhin zwei Ports, aber kein 5GHz und auch kein GBit
• hAP: vier Ports, aber wieder kein 5GHz und auch kein GBit

Der kleinste, der obigen Vorstellungen zu entsprechen scheint wäre wohl der hAP lite tower?

Beim Kauf muss man wohl auch darauf achten, ob eine Lizenz enthalten ist oder ob man diese separat dazukaufen muss? Manchmal steht dabei, dass L4 enthalten ist, bei anderen Angeboten steht hierzu nichts?

Passen die Grundgedanken hier soweit, oder habe ich hier grobe Denkfehler eingebaut?

Zweiter Schritt: Switch

Den angestaubten Switch durch was aktuelleres ersetzen. Das muss kein High-Tech sein.

Hier stellt sich mir zunächst die Frage, ob der Switch L3-Routing unterstützen muss/sollte.

Wie darf ich mir das Routing mit einem L3-switch vorstellen? Dass das schneller geht als alles über die PfSense und wieder zurück zu schieben ist mir schon klar. Aber wie schaut das in der Praxis im Detail aus? Läuft das parallel zum Router so dass der Switch die grosse Masse an einfachen (statischen?) Traffic verarbeitet und die komplexeren Sachen von Router übernommen werden? Oder würde man den Router ausmustern und das Rouing komplett auf den Switch packen? Sind die L3-Funktionalitäten mit zB pfSense vergleichbar?

Unschlüssig bin ich mir bei der Frage, ob der Switch PoE-Speisung haben muss oder ob ich das evtl durch Injektoren abdecke. PoE-Speisung bedeutet ja immer einen erheblichen Preisaufschlag, und one Lüfter geht da grundsätzlich nichts.


Vielen Dank erst mal an alle die die Geduld aufgebracht haben bis hier zu lesen.

Bitte um Kommentare, ob ich auf dem richtigen Weg bin, was ich übersehen und/oder falsch erstanden habe und was ich evtl besser und/oder anders machen sollte.