14
VLAN: Irritationen und Anfängerfragen
Grüße an die Community.
Ich möchte bei mir zu Hause einen Großteil der Verbindungen von WLAN auf LAN umstellen. Des Weiteren stehen neue Gerätschaften an. Deshalb muss/möchte ich Anpassungen an meinem Netzwerk vornehmen und dabei auch gleich die Möglichkeit in Betracht ziehen, VLAN einzuführen (Gründe: aus Spaß an der Sache / etwas Neues ausprobieren und lernen / evtl. Sicherheit im Netz erhöhen?)
Soweit es mir meine Hobby-IT-Kenntnisse ermöglichen, habe ich mich in grundlegende Informationen zum Thema VLAN / Segmentierung eingelesen und das oft verwiesene Thread zum Thema hier im Forum angeschaut (z.B. VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern)
Allerdings bekomme ich einige Details und Fakten noch nicht beisammen und habe gehofft, dass ihr mir weiterhelfen könnt.
Ich habe verstanden, dass es Layer 2 und Layer 3 Switches gibt. Außerdem noch Layer 2+, die allerdings keinem Standard entsprechen und die jeder Hersteller für sich anders auslegen kann (häufig aber ein Layer Switch mit statischen Routing-Möglichkeiten).
Für die grundlegende Fähigkeit VLAN einzusetzen, genügt zunächst ein Layer 2 Switch der konfigurierbar ist (managed). Wenn ich eine Kommunikation zwischen den VLAN möchte, benötige ich einen Switch, der routen kann. Also entweder einen Layer 2+ Switch mit Routing-Fähigkeit oder eben Layer 3 Switch.
Router ist nicht gleich Router. Da gibt es Modem-Router-Kombi-Geräte wie die Fritzbox, der „Router“ in einem L3 Switch, und dedizierte Router (wie z.B. Mikrotik hex S oder hAP ac2, usw.).
Falls ich bis hier hin alles richtig habe, kommen jetzt meine Irritationen:
Folgendes Zielbild habe ich:
Zum Bild noch folgende Info: In jedem Raum habe ich einen LAN-Anschluss. Die laufen in einem Schränkchen im Flur zusammen und sind an ein Patchpanel angeklemmt. Diese 5 Leitungen würde ich alle an einen L2+/L3 Switch/Router (?) anschließen. An diesen wiederum auch die bestehende Fritzbox für die Internetverbindung anschließen.
Im Augenblick benötige ich nur die LAN-Anschlüsse in den drei eingezeichneten Räumen.
(In der Zeichnung fehlen noch Access Points. Wie und an welcher Stelle ich diese in das Netzwerk bekomme, muss ich mir noch erarbeiten
)
Meine Überlegungen bisher: Im Büro und Wohnzimmer kommen L2 managed Switches zum Einsatz, um VLAN Tagging zu ermöglichen. Diese sind an den L2+/L3 Switch oder Router angeschlossen.
Dann noch die ganze Konfiguration und alles ist gut? Irgendwie fühlt sich das ganze aber nach Holzweg an... wo biege ich falsch ab? Habe ich an zu viele / zu wenige / an die falschen Geräte gedacht?
Ich denke, meine Fragen offenbaren noch grundlegende Lücken. Selbstverständlich ist es nicht eure Aufgabe, diese zu schließen. Wenn ihr mir bei der einen oder anderen Fragestellung allerdings weiterhelfen könnt, würde ich mich sehr freuen.
Ich möchte bei mir zu Hause einen Großteil der Verbindungen von WLAN auf LAN umstellen. Des Weiteren stehen neue Gerätschaften an. Deshalb muss/möchte ich Anpassungen an meinem Netzwerk vornehmen und dabei auch gleich die Möglichkeit in Betracht ziehen, VLAN einzuführen (Gründe: aus Spaß an der Sache / etwas Neues ausprobieren und lernen / evtl. Sicherheit im Netz erhöhen?)
Soweit es mir meine Hobby-IT-Kenntnisse ermöglichen, habe ich mich in grundlegende Informationen zum Thema VLAN / Segmentierung eingelesen und das oft verwiesene Thread zum Thema hier im Forum angeschaut (z.B. VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern)
Allerdings bekomme ich einige Details und Fakten noch nicht beisammen und habe gehofft, dass ihr mir weiterhelfen könnt.
Ich habe verstanden, dass es Layer 2 und Layer 3 Switches gibt. Außerdem noch Layer 2+, die allerdings keinem Standard entsprechen und die jeder Hersteller für sich anders auslegen kann (häufig aber ein Layer Switch mit statischen Routing-Möglichkeiten).
Für die grundlegende Fähigkeit VLAN einzusetzen, genügt zunächst ein Layer 2 Switch der konfigurierbar ist (managed). Wenn ich eine Kommunikation zwischen den VLAN möchte, benötige ich einen Switch, der routen kann. Also entweder einen Layer 2+ Switch mit Routing-Fähigkeit oder eben Layer 3 Switch.
Router ist nicht gleich Router. Da gibt es Modem-Router-Kombi-Geräte wie die Fritzbox, der „Router“ in einem L3 Switch, und dedizierte Router (wie z.B. Mikrotik hex S oder hAP ac2, usw.).
Falls ich bis hier hin alles richtig habe, kommen jetzt meine Irritationen:
- Wann oder warum würde ich ein Layer 3 Switch benötigen, wenn es mir nur um ein Routing zwischen VLANs geht? Würde da nicht einfach ein L2+ mit Routing-Fähigkeiten ausreichen?
- Und wenn es Switches mit Routing-Fähigkeiten gibt, wozu benötige ich einen dedizierten Router (wie etwa den oben erwähnten Mikrotik)
- An welcher Stelle kommt das Thema Hardware-Level Routing zum Tragen?
- Sind Hardware-Level Routing, Layer 3 Hardware Offloading und ASIC Routing im Grunde das Gleiche?
- Ich habe keine besonderen Anforderungen an die Geschwindigkeiten in meinem Netzwerk. Aktuell und in den kommenden Jahren werden mir Gigabit im LAN ausreichen. Nach außen habe ich eine 100 Mbit Leitung, damit bin ich ganz zufrieden. Macht es in diesem Fall einen Unterschied, ob ich auf Hardware oder Software-Ebene route?
Folgendes Zielbild habe ich:
Zum Bild noch folgende Info: In jedem Raum habe ich einen LAN-Anschluss. Die laufen in einem Schränkchen im Flur zusammen und sind an ein Patchpanel angeklemmt. Diese 5 Leitungen würde ich alle an einen L2+/L3 Switch/Router (?) anschließen. An diesen wiederum auch die bestehende Fritzbox für die Internetverbindung anschließen.
Im Augenblick benötige ich nur die LAN-Anschlüsse in den drei eingezeichneten Räumen.
(In der Zeichnung fehlen noch Access Points. Wie und an welcher Stelle ich diese in das Netzwerk bekomme, muss ich mir noch erarbeiten
)Meine Überlegungen bisher: Im Büro und Wohnzimmer kommen L2 managed Switches zum Einsatz, um VLAN Tagging zu ermöglichen. Diese sind an den L2+/L3 Switch oder Router angeschlossen.
Dann noch die ganze Konfiguration und alles ist gut? Irgendwie fühlt sich das ganze aber nach Holzweg an... wo biege ich falsch ab? Habe ich an zu viele / zu wenige / an die falschen Geräte gedacht?
Ich denke, meine Fragen offenbaren noch grundlegende Lücken. Selbstverständlich ist es nicht eure Aufgabe, diese zu schließen. Wenn ihr mir bei der einen oder anderen Fragestellung allerdings weiterhelfen könnt, würde ich mich sehr freuen.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 82481169198
Url: https://administrator.de/contentid/82481169198
Printed on: May 3, 2024 at 23:05 o'clock
14 Comments
Latest comment
benötige ich einen Switch, der routen kann
Nicht zwingend. Du hast das Layer 2 Tutorial ja auch gelesen und dann weisst du ja das es auch ein externer Router ider eine Firewall kann wenn man keinen L3 Switch hat. 
Zu deinen Fragen/Irritationen
- Ja, natürlich. Da reicht natürlich ein "2+" Switch. Grundsätzlich kann der auch routen aber das "2+" bedeutet immer das er kastrierte L3 Funktionen hat aber ein grundsätzliches Routing zw. den VLANs ist da problemlos möglich.
- Wenn du einen L3 Switch hast dann benötigst du natürlich keinen zusätzlichen Router mehr. Einzig natürlich den Internet Router, der muss dann auch im Falle eines L3 VLAN Konzepts selber natürlich keinen VLAN Support haben.
- Keine Ahnung was du mit dem ominösen "Hardware Level Routing" meinst?? So einen Begriff gibt es in der IT Welt nicht. Das L3 Forwarding auf einem L3 Switch wird heutzutage immer in Silizium in den ASICS gemacht.
- Nein das macht bei den Anforderungen keinen Unterschied zumal es Software Routing in den Sinne (fast) gar nicht mehr gibt.
1
Moin.
Deine Netzwerksizze liest sich super.
Welche Art Internetanschluss ist vorhanden (Kabel, DSL, Glasfaser)?
@aqui beantwortete alle Fragen an der Stelle aus technischer Sicht.
Dein Vorhaben ist, aufgrund deiner strukturierten Vorüberlegungen, relativ simpel auf gute Füße zu stellen.
Drei Konstellationen sehe ich zunächst (oberflächlich betrachtet):
Im Büro und WZ jeweils ein managed/smartmanaged L2 Switch hinsetzen und beide an eine OPN-/PF-Sense Box anschließen und dort sämtliche Netzwerke mit VLANs trennen und routen.
Dann hast du auch volle Kontrolle mit einer stateful Firewall.
Ein Layer 3 Switch Konzept funktioniert prinzipiell auch, aber bei den meisten Switches sind die Regelwerke (ACL) nicht so granular und auf jeden Fall nicht stateful "zu betreiben".
Was ist mit dem Thema Telefonie? Die Fritzbox könnte dann hinter der Firewall als TK Anlage stehen.
Als Firewall/Router Hardware würde ich dir irgendetwas aus den Threads hier empfehlen:
Ersatzhardware für pfsense
Bastelrechner - Sammlung
Gruß
Marc
Deine Netzwerksizze liest sich super.
Welche Art Internetanschluss ist vorhanden (Kabel, DSL, Glasfaser)?
@aqui beantwortete alle Fragen an der Stelle aus technischer Sicht.
Dein Vorhaben ist, aufgrund deiner strukturierten Vorüberlegungen, relativ simpel auf gute Füße zu stellen.
Drei Konstellationen sehe ich zunächst (oberflächlich betrachtet):
- Bei DSL: die Fritzbox durch ein reines Modem ersetzen und Firewall/Router PPPoE Einwahl machen lassen
- Bei Glasfaser: Fritte ersetzen und Firewall/Router an ONT direkt mit PPPoE Einwahl
- Bei Kabel: Firewall/Router als Exposed Host in der Fritzbox definieren und dann dort die PPPoE Einwahl machen lassen
Im Büro und WZ jeweils ein managed/smartmanaged L2 Switch hinsetzen und beide an eine OPN-/PF-Sense Box anschließen und dort sämtliche Netzwerke mit VLANs trennen und routen.
Dann hast du auch volle Kontrolle mit einer stateful Firewall.
Ein Layer 3 Switch Konzept funktioniert prinzipiell auch, aber bei den meisten Switches sind die Regelwerke (ACL) nicht so granular und auf jeden Fall nicht stateful "zu betreiben".
Was ist mit dem Thema Telefonie? Die Fritzbox könnte dann hinter der Firewall als TK Anlage stehen.
Als Firewall/Router Hardware würde ich dir irgendetwas aus den Threads hier empfehlen:
Ersatzhardware für pfsense
Bastelrechner - Sammlung
Gruß
Marc
2
Hallöle, kurz ergänzt von mir:
Der (Mikrotik-)Router erfüllt zudem noch etliche andere Funktionen, zB VPN-Server, Radius-Server, zentrales WiFi Management, Lastverteilung im Netzwerk, Hotspot, Kindersicherung u.V.m. Im KU oder HO würde ich den Router immer vorziehen.
Auch für die Analyse von Netzwerkproblemen ist der (Mikrotik-)Router besser. Mit der Torch-Funktion kannst Du Pakete bis in den letzten Winkel Deines Netzes verfolgen, was beim Debuggen ungeheuer nützlich ist. Das geht auf einem L3-Switch nicht. Bei Mikrotik können immerhin auch die Switche torchen, nicht aber, wenn das L3HW-Offloading aktiv ist (das lässt sich aber auch temporär abschalten). Auch kann der Switch nur eine Bridge in Wirespeed bedienen. Eine zweite Bridge wäre grottenlahm. Je nach Leistung des Routers ist das anders.
Viele Grüße, commodity
Und wenn es Switches mit Routing-Fähigkeiten gibt, wozu benötige ich einen dedizierten Router (wie etwa den oben erwähnten Mikrotik)
Ein (ordentlicher) Router routet im Regelfall nicht nur, er erfüllt auch Firewall-Funktionen zwischen den Netzen, die sich auf einem Switch teils nicht, teils umständlicher realisieren lassen. Im Switch hast Du dafür sog. ACLs und keine Firewall-Regeln und kannst das nicht so granular steuern.Der (Mikrotik-)Router erfüllt zudem noch etliche andere Funktionen, zB VPN-Server, Radius-Server, zentrales WiFi Management, Lastverteilung im Netzwerk, Hotspot, Kindersicherung u.V.m. Im KU oder HO würde ich den Router immer vorziehen.
Auch für die Analyse von Netzwerkproblemen ist der (Mikrotik-)Router besser. Mit der Torch-Funktion kannst Du Pakete bis in den letzten Winkel Deines Netzes verfolgen, was beim Debuggen ungeheuer nützlich ist. Das geht auf einem L3-Switch nicht. Bei Mikrotik können immerhin auch die Switche torchen, nicht aber, wenn das L3HW-Offloading aktiv ist (das lässt sich aber auch temporär abschalten). Auch kann der Switch nur eine Bridge in Wirespeed bedienen. Eine zweite Bridge wäre grottenlahm. Je nach Leistung des Routers ist das anders.
Viele Grüße, commodity
2
Zunächst möchte ich euch allen für eure Posts und eure Zeit danken.
@aqui
Danke für Hinweis. Das habe ich zum Anlass genommen, diesen Part nochmal nachzulesen
zu 1:
Ich habe bei meinen bisherigen Gedanken das Thema DHCP außer Acht gelassen. Das würde in einem neuen Setup künftig die Fritzbox nicht mehr übernehmen können. Daher würde sehr wahrscheinlich der "L2+" auch nicht infrage kommen. Denn die "L2+" Geräte, die ich bisher finden konnte, haben keinen integrierten DHCP-Server.
zu 2:
Soweit nachvollziehbar. Ein L3-Switch und ein Router parallel würde in meinem Fall somit keinen (großen) Nutzen bringen.
zu 3, 4 und 5:
Ich denke, das werde ich mit "Hardware Level Routing" gemeint, allerdings falsch beschrieben haben. Wenn ich dich richtig verstehe, ist dieser Aspekt bei der Auswahl eines Geräts für mich aber vernachlässigbar.
@radiogugu
Ich habe einen DSL-Anschluss und überlege ebenfalls, die Fritzbox weiterhin zu nutzen, allerdings dann nur noch als „Internet-Router“. Telefonie/Fax spielen für mich keine Rolle, könnte ich mit der Fritzbox allerdings unproblematisch umsetzen, falls sich daran etwas ändert.
OPNSense hatte ich bisher nicht auf dem Schirm. Rudimentäres dazu konnte ich in der Zwischenzeit nachlesen. Ich habe mich zunächst gefragt, ob das nicht zu kompliziert für mein Vorhaben ist. Allerdings kenne ich auch andere Plattformen (z.B. RouterOS) nicht und müsste mich ganz grundsätzlich irgendwo neu einarbeiten. Eines ist mir aber wichtig: Ich will mich nicht selbst überfordern und gleich zu Beginn demotivieren. Ich will schnell ein brauchbares Grundgerüst aufsetzen und mich nach und nach in weitere Details einarbeiten.
Wie sinnvoll ist OPNSense? Wären diese Lösungen nicht eventuell zu wartungsintensiv?
@commodity
Ich glaube inzwischen auch, dass ein Router für mich und meine aktuellen Anforderungen die bessere Option darstellt. Allerdings fällt mir auch auf, dass so einiges von dem, was du schreibst, mir (noch) nichts sagt und ich noch eine Lernkurve vor mir habe (Stichworte Radius-Server, Torch, usw.). Die Zeit wird zeigen, was davon relevant für mich sein wird ;) Vielen Dank für den Ratschlag und die Insights.
Zwei neue Punkte habe ich:
Eine Frage, für den Fall, dass ich den Router-Pfad weiterverfolge:
Ich habe in der Zwischenzeit noch am „Netzwerk“ herumgeplant. Ich benötige einen 8-Port Switch im Büro und einen 5-Port Switch im WZ.
Wenn ich
- alle Netzwerkanschlüsse in allen Zimmer,
- im oberen Stockwerk ein AP
- und die Fritzbox als Tor ins Internet einsetzen möchte,
(= volle Ausstattung), dann benötige ich auch am Patchpanel einen Router mit mindestens sieben Ports.
Wenn ich noch bei kompakten Maßen bleiben möchte, ist die Anzahl an Optionen (auch eine finanzielle Frage) wieder kleiner. Mein Gedanke war, auch am Patchpanel ein L2-managed Switch einzusetzen und den Router daran anzuschließen.
Am Switch am Patchpanel würden dann hängen:
- Switch WZ
- Switch Büro
- Router für Internet (Fritzbox)
- Router für VLAN
Sollte ein Gerät A an Switch Büro (VLAN 10) mit einem Gerät B an Switch Büro (allerdings VLAN 20) Daten austauschen wollen, müssten diese vollständig den Weg
Gerät A -> Switch Büro -> Switch am Patchpanel -> Router (und zurück) -> Switch am Patchpanel -> Switch Büro -> Gerät B.
zurücklegen.
Ist sowas in der Praxis „OK“? Üblich? Schädlich? Ineffizient? Schaffe ich mir damit beim Router einen „Kopfbahnhof“ mit spürbaren negativen Effekten für das Netzwerk?
Thema konkrete Modelle:
Ich fände es praktisch, mich nicht in zu viele neue Systeme einarbeiten zu müssen. Eine „alles aus einer Hand“-Lösung hat für mich Charme. Gesamt-Lösungen mit Routern, Switches, APs (und ein zentrales Management) scheinen mehrere Hersteller anzubieten: TP-Link (OMADA), Zycel (Nebula), Unify (Unify Controller)...
Hier werde ich noch Recherche hineinstecken. Gibt es aus eurer Sicht „No-Gos“ oder andere Achtungspunkte, die ihr mit mir teilen könnt?
Euch allen ein schönes sonniges Wochenende!
@aqui
Nicht zwingend. Du hast das Layer 2 Tutorial ja auch gelesen und dann weisst du ja das es auch ein externer Router ider eine Firewall kann wenn man keinen L3 Switch hat. face-wink
Danke für Hinweis. Das habe ich zum Anlass genommen, diesen Part nochmal nachzulesen
zu 1:
Ich habe bei meinen bisherigen Gedanken das Thema DHCP außer Acht gelassen. Das würde in einem neuen Setup künftig die Fritzbox nicht mehr übernehmen können. Daher würde sehr wahrscheinlich der "L2+" auch nicht infrage kommen. Denn die "L2+" Geräte, die ich bisher finden konnte, haben keinen integrierten DHCP-Server.
zu 2:
Soweit nachvollziehbar. Ein L3-Switch und ein Router parallel würde in meinem Fall somit keinen (großen) Nutzen bringen.
zu 3, 4 und 5:
Ich denke, das werde ich mit "Hardware Level Routing" gemeint, allerdings falsch beschrieben haben. Wenn ich dich richtig verstehe, ist dieser Aspekt bei der Auswahl eines Geräts für mich aber vernachlässigbar.
@radiogugu
Ich habe einen DSL-Anschluss und überlege ebenfalls, die Fritzbox weiterhin zu nutzen, allerdings dann nur noch als „Internet-Router“. Telefonie/Fax spielen für mich keine Rolle, könnte ich mit der Fritzbox allerdings unproblematisch umsetzen, falls sich daran etwas ändert.
OPNSense hatte ich bisher nicht auf dem Schirm. Rudimentäres dazu konnte ich in der Zwischenzeit nachlesen. Ich habe mich zunächst gefragt, ob das nicht zu kompliziert für mein Vorhaben ist. Allerdings kenne ich auch andere Plattformen (z.B. RouterOS) nicht und müsste mich ganz grundsätzlich irgendwo neu einarbeiten. Eines ist mir aber wichtig: Ich will mich nicht selbst überfordern und gleich zu Beginn demotivieren. Ich will schnell ein brauchbares Grundgerüst aufsetzen und mich nach und nach in weitere Details einarbeiten.
Wie sinnvoll ist OPNSense? Wären diese Lösungen nicht eventuell zu wartungsintensiv?
@commodity
Ich glaube inzwischen auch, dass ein Router für mich und meine aktuellen Anforderungen die bessere Option darstellt. Allerdings fällt mir auch auf, dass so einiges von dem, was du schreibst, mir (noch) nichts sagt und ich noch eine Lernkurve vor mir habe (Stichworte Radius-Server, Torch, usw.). Die Zeit wird zeigen, was davon relevant für mich sein wird ;) Vielen Dank für den Ratschlag und die Insights.
Zwei neue Punkte habe ich:
Eine Frage, für den Fall, dass ich den Router-Pfad weiterverfolge:
Ich habe in der Zwischenzeit noch am „Netzwerk“ herumgeplant. Ich benötige einen 8-Port Switch im Büro und einen 5-Port Switch im WZ.
Wenn ich
- alle Netzwerkanschlüsse in allen Zimmer,
- im oberen Stockwerk ein AP
- und die Fritzbox als Tor ins Internet einsetzen möchte,
(= volle Ausstattung), dann benötige ich auch am Patchpanel einen Router mit mindestens sieben Ports.
Wenn ich noch bei kompakten Maßen bleiben möchte, ist die Anzahl an Optionen (auch eine finanzielle Frage) wieder kleiner. Mein Gedanke war, auch am Patchpanel ein L2-managed Switch einzusetzen und den Router daran anzuschließen.
Am Switch am Patchpanel würden dann hängen:
- Switch WZ
- Switch Büro
- Router für Internet (Fritzbox)
- Router für VLAN
Sollte ein Gerät A an Switch Büro (VLAN 10) mit einem Gerät B an Switch Büro (allerdings VLAN 20) Daten austauschen wollen, müssten diese vollständig den Weg
Gerät A -> Switch Büro -> Switch am Patchpanel -> Router (und zurück) -> Switch am Patchpanel -> Switch Büro -> Gerät B.
zurücklegen.
Ist sowas in der Praxis „OK“? Üblich? Schädlich? Ineffizient? Schaffe ich mir damit beim Router einen „Kopfbahnhof“ mit spürbaren negativen Effekten für das Netzwerk?
Thema konkrete Modelle:
Ich fände es praktisch, mich nicht in zu viele neue Systeme einarbeiten zu müssen. Eine „alles aus einer Hand“-Lösung hat für mich Charme. Gesamt-Lösungen mit Routern, Switches, APs (und ein zentrales Management) scheinen mehrere Hersteller anzubieten: TP-Link (OMADA), Zycel (Nebula), Unify (Unify Controller)...
Hier werde ich noch Recherche hineinstecken. Gibt es aus eurer Sicht „No-Gos“ oder andere Achtungspunkte, die ihr mit mir teilen könnt?
Euch allen ein schönes sonniges Wochenende!
Zu1.)
Du benötgst auch keinen DHCP Server auf dem Switch. Das kann z.B. ein zentraler DHCP Server im netzwerk übernehmen, dann ist es bei L3 Switches aber zwingend das die das Feature DHCP Relay (Helper Adress) supporten!
Zu2, 4 und 5.)
Bei einem L3 Switch hätte man diese Einschränkungen nicht. Wie gesagt: Bei einem Heimnetz ist das irrelevant.
Ebenso ein schönes WE!
Du benötgst auch keinen DHCP Server auf dem Switch. Das kann z.B. ein zentraler DHCP Server im netzwerk übernehmen, dann ist es bei L3 Switches aber zwingend das die das Feature DHCP Relay (Helper Adress) supporten!
Zu2, 4 und 5.)
"Hardware Level Routing"
Hardware "Level" Routing ist Blödsinn. So einen Begriff gibt es in der IT nicht. Wie sinnvoll ist OPNSense? Wären diese Lösungen nicht eventuell zu wartungsintensiv?
Nein, nicht wartungsintensiver als eine Fritzbox. Siehe HIER.(Stichworte Radius-Server, Torch, usw.).
Sind erstmal völlig irrelevant für das Setup eines einfachen VLAN Konzeptes.Mein Gedanke war, auch am Patchpanel ein L2-managed Switch einzusetzen und den Router daran anzuschließen.
Das wäre der klassische und auch der sinnvollste Weg!müssten diese vollständig den Weg zurücklegen.
Richtig!Ist sowas in der Praxis „OK“? Üblich?
Ist klassische, übliche Praxis wenn mein einen sog "one armed" Router oder auch "Router on a Stick" betreibt statt eines Layer 3 Switches der diesen Router gleich eingebaut hat.mit spürbaren negativen Effekten für das Netzwerk?
In einem einfachen Heimnetz nicht. In großen Netzen wo es sehr viel iner VLAN Traffic mit sehr hohen Traffic Volumia gibt schon, denn auf den Trunk Port der Router und Switch verbindet verdoppelt sich prinzipbedingt dieser Traffic. Siehe der von dir oben beschriebene Ablauf. Deshalb schliests man die Trunks bei so einem Design immer mit LACP LAGs an.Bei einem L3 Switch hätte man diese Einschränkungen nicht. Wie gesagt: Bei einem Heimnetz ist das irrelevant.
Eine „alles aus einer Hand“-Lösung hat für mich Charme
Dann aber immer wo es keine Chinesen Cloud und ganz besonders keinen Cloud- oder Controller Zwang gibt!Ebenso ein schönes WE!
1
Dem ist nichts hinzuzfügen. Insbesondere, was die Routerwahl angeht. Zyxel, TP-Link, Unifi und wie sie alle heißen funktionieren (meist), sind IMO aber eher was für Leute ohne Anspruch und schnell Elektroschrott, wenn der Hersteller entscheidet, sie aus der Cloud zu nehmen. Wenn man es ernsthaft und langlebig betreiben - und günstig bleiben will, geht an Mikrotik IMO kein Weg vorbei - wenn man die Lernkurve nicht scheut. Dafür gibt's aber endlos Tutorials und Videos - neben einer ausgezeichneten Dokumentation.
Wenn Du sicher bist, dass die Ansprüche klein bleiben, Du außer Grundeinrichtung nicht viel am Netzwerk machen willst und es eher einfach sein soll, geht auch alles andere Preislich kann dann aber IMO nur TP-Link mithalten.
"Alles aus einer Hand" ist im Übrigen fast immer eine schlechte Prämisse. Es ist der Traum der Hersteller, nicht Deiner. Dir wird es nur verlockend gemacht. Am Ende geht es darum, Abhängigkeiten zu schaffen, damit man Dir für immer mehr Geld immer schlechte HW verkaufen kann. Wer zB Sophos APs zusammen mit der Firewall einsetzt, weiß, was ich meine
Radius u.ä. brauchst Du derzeit natürlich nicht. Es ging ja nur um die Frage der Unterschiede der Konzepte. Das Router-Konzept ist ausbaufähiger und flexibler, finde ich. In der Praxis würde man bei Bedarf beides (also Router und L3-Switch) einsetzen, das wäre bei Dir aber Overkill.
Torch hingegen braucht eigentlich jeder, hat aber IMO nur Mikrotik. Wer Mikrotik nicht nutzt, hat dann entweder deutlich mehr Aufwand mit Wireshark, nutzt Tools, die ich vielleicht nicht kenne oder sucht eben (oft sehr) lange nach seinem Problem
Hier kommen sehr häufig Fragen zu lange "erforschten" Problemen, die mit einem schnellen Torch in 5 Min. geklärt werden könnten.
Ich nutze die One-Armed-Konzepte möglichst so, dass zwischen Switch und Router eine SFP+ Verbindung besteht. Dann braucht man kein LAG, denn dass man gleichzeitig 5 Gbit/s in beide Richtungen schaufelt ist im kleinen Office oder privat eher selten bis gar nicht.
Viele Grüße, commodity
Wenn Du sicher bist, dass die Ansprüche klein bleiben, Du außer Grundeinrichtung nicht viel am Netzwerk machen willst und es eher einfach sein soll, geht auch alles andere
Preislich kann dann aber IMO nur TP-Link mithalten."Alles aus einer Hand" ist im Übrigen fast immer eine schlechte Prämisse. Es ist der Traum der Hersteller, nicht Deiner. Dir wird es nur verlockend gemacht. Am Ende geht es darum, Abhängigkeiten zu schaffen, damit man Dir für immer mehr Geld immer schlechte HW verkaufen kann. Wer zB Sophos APs zusammen mit der Firewall einsetzt, weiß, was ich meine
Radius u.ä. brauchst Du derzeit natürlich nicht. Es ging ja nur um die Frage der Unterschiede der Konzepte. Das Router-Konzept ist ausbaufähiger und flexibler, finde ich. In der Praxis würde man bei Bedarf beides (also Router und L3-Switch) einsetzen, das wäre bei Dir aber Overkill.
Torch hingegen braucht eigentlich jeder, hat aber IMO nur Mikrotik. Wer Mikrotik nicht nutzt, hat dann entweder deutlich mehr Aufwand mit Wireshark, nutzt Tools, die ich vielleicht nicht kenne oder sucht eben (oft sehr) lange nach seinem Problem
Hier kommen sehr häufig Fragen zu lange "erforschten" Problemen, die mit einem schnellen Torch in 5 Min. geklärt werden könnten.
Ich nutze die One-Armed-Konzepte möglichst so, dass zwischen Switch und Router eine SFP+ Verbindung besteht. Dann braucht man kein LAG, denn dass man gleichzeitig 5 Gbit/s in beide Richtungen schaufelt ist im kleinen Office oder privat eher selten bis gar nicht.
Viele Grüße, commodity
2
"Hardware Level Routing"
OPNSense und Komplexität
Ich werde noch weitere Threads hier im Forum durchforsten.
Negative Effekte auf das Netzwerk mit einem "one armed router" / Ineffizienzen
Geräte Auswahl
Elektroschrott muss es aber dennoch nicht sein. Gilt deine Einschätzung nur für Router dieser Hersteller oder auch für deren L2-Switches?
MikroTik wird hier im Forum wirklich sehr oft thematisiert und scheint sehr beliebt zu sein. Im Moment gefällt mir der Gedanken auch mehr, meinen Router nicht selbst zusammenzubauen, sondern eine fertige Lösung zu beschaffen.
Hier mal einige meiner Ideen:
Router mit Wifi: Mikrotik hAP ax3
Router ohne Wifi: Mikrotik hEX S
Switch Büro + am Patchpanel (somit zwei 8 Port Switches):
Mikrotik CSS610-8G-2S+IN (teurer als die anderen Modelle), außerdem "nur" SwitchOS Lite (Auswirkungen auf meinen Anwendungsfall muss ich erst noch in Erfahrung bringen)
TP-Link SG2008
DLink DGS-1210-08P
ZyXEL GS1910-8 oder GS1915-8
Für den Switch im WZ dann die passende 5 Port Variante dazu.
Zu2, 4 und 5.)
"Hardware Level Routing"
Hardware "Level" Routing ist Blödsinn. So einen Begriff gibt es in der IT nicht. face-sad
Verstanden. Ist aus dem Glossar gestrichen "Hardware Level Routing"
Hardware "Level" Routing ist Blödsinn. So einen Begriff gibt es in der IT nicht. face-sad
OPNSense und Komplexität
Nein, nicht wartungsintensiver als eine Fritzbox. Siehe HIER.
Danke für deine Einschätzung und den Link, werde mir das in Ruhe einmal durchlesen. Ich konnte hier beim Herumstöbern auch schon einige Threads zum Thema Hardware-Empfehlung sehen. Auch User @radiogugu hat dankenswerterweise bereits auf einige dieser Threads verwiesen. Mir schien es aber, dass es häufiger um eher potente Hardware geht. Ich will ja nur kleine Brötchen backen Ich werde noch weitere Threads hier im Forum durchforsten.Negative Effekte auf das Netzwerk mit einem "one armed router" / Ineffizienzen
Wie gesagt: Bei einem Heimnetz ist das irrelevant.
aber gut zu wissen, dass es auch eine Lösung gibt, falls es mal relevant werden sollte:denn auf den Trunk Port der Router und Switch verbindet verdoppelt sich prinzipbedingt dieser Traffic. [...] Deshalb schliests man die Trunks bei so einem Design immer mit LACP LAGs an.
oder wie von @commodity vorgeschlagenIch nutze die One-Armed-Konzepte möglichst so, dass zwischen Switch und Router eine SFP+ Verbindung besteht. Dann braucht man kein LAG, denn dass man gleichzeitig 5 Gbit/s in beide Richtungen schaufelt ist im kleinen Office oder privat eher selten bis gar nicht.
Geräte Auswahl
Dann aber immer wo es keine Chinesen Cloud und ganz besonders keinen Cloud- oder Controller Zwang gibt!
Das hätte ich nicht vor. Das ganze sollte schon lokal stattfinden.Zyxel, TP-Link, Unifi und wie sie alle heißen funktionieren (meist), sind IMO aber eher was für Leute ohne Anspruch und schnell Elektroschrott, wenn der Hersteller entscheidet, sie aus der Cloud zu nehmen.
Meine Ansprüche sind tatsächlich bescheiden Elektroschrott muss es aber dennoch nicht sein. Gilt deine Einschätzung nur für Router dieser Hersteller oder auch für deren L2-Switches?Torch hingegen braucht eigentlich jeder, hat aber IMO nur Mikrotik.
Ich werde mir das Video in Ruhe anschauen."Alles aus einer Hand" ist im Übrigen fast immer eine schlechte Prämisse.
Das hat für mich ganz pragmatische Gründe. Das neue Netzwerk mit samt Segmentierung mache ich aus eigenem Antrieb heraus, setze dafür Ressourcen ein und plane zum Teil mit steiler Lernkurve. Aber für gleich mehrere neue Systeme fehlen mir neben der allgemeinen Theorie, die ich mir hier und da aneigne, einfach die Kapazitäten. Daher kann ich im Augenblick auch über die von dir aufgezeigten (und gut nachvollziehbaren) negativen Aspekte hinwegsehen.MikroTik wird hier im Forum wirklich sehr oft thematisiert und scheint sehr beliebt zu sein. Im Moment gefällt mir der Gedanken auch mehr, meinen Router nicht selbst zusammenzubauen, sondern eine fertige Lösung zu beschaffen.
Hier mal einige meiner Ideen:
Router mit Wifi: Mikrotik hAP ax3
Router ohne Wifi: Mikrotik hEX S
Switch Büro + am Patchpanel (somit zwei 8 Port Switches):
Mikrotik CSS610-8G-2S+IN (teurer als die anderen Modelle), außerdem "nur" SwitchOS Lite (Auswirkungen auf meinen Anwendungsfall muss ich erst noch in Erfahrung bringen)
TP-Link SG2008
DLink DGS-1210-08P
ZyXEL GS1910-8 oder GS1915-8
Für den Switch im WZ dann die passende 5 Port Variante dazu.
Gilt deine Einschätzung nur für Router dieser Hersteller oder auch für deren L2-Switches?
Von Unifi halte ich generell nichts. Das sehen andere aber durchaus anders. Ich finde, das ganze Geschäftskonzept ist darauf aus, die Leute in ein Ökosystem zu ziehen. Das ist immer schädlich. Auch sind die Möglichkeiten der Geräte vergleichsweise beschränkt, unübersichtlich und man lernt nicht viel dabei. Schickes UI-Design ist nicht das, worauf es ankommt, aber viele wollen genau das. Ist wie beim Auto. Manch einer legt vor allem Wert aufs solide ankommen, manch einer gibt mehr für den Lack aus, als die ganze Kiste wert ist.Zyxel kannste Die Switche nur noch in der Cloud administrieren, das scheidet für mich komplett aus. Der Name Nebula gibt da schon die richtigen Assoziationen
TP-Link ist für Switche im Privaten IMO in Ordnung. Gibt aber durchaus auch mal unerwartetes Verhalten, das dann zu einem Forenthread führt. Aber nichts schlimmes. Bei TP-Link stört mich die mangelnde Produktunterstützung. Zumindest noch vor ein paar Jahren gab es ständig neue Revisionen der Geräte (ja, Switche), die alten bekamen dann keinen Support mehr. Ob das besser geworden ist, weiß ich nicht. TP-Link hatte zuweilen auch schon Backdoors in der Firmware (kein Einzelfall). Auch nicht das, was man bei einem Router haben möchte.
Mikrotik ist anspruchsvoll und nicht für den, der nicht wirklich verstehen will. Mal eben so hingebogen führt meist zu Fehlkonfigurationen mit entsprechendem Frust im Netzwerk (WAF und CHAF ggf. im Blick behalten
).Schau hier vielleicht mal in zwei, drei Videos rein. Ist zwar älter, gibt aber einen sehr guten Eindruck, was vom User erwartet wird.
Cisco gibt's natürlich auch noch
Feines Zeugs, mir erschließt sich der Mehrwert aber für HO/KMU bislang nicht, zumal Mikrotik auch in Rechenzentren reichlich Einsatz findet.Alles hat seinen Preis. Cloudzwang, Marketing, Geld, Lerneinsatz, China-BigBrother. Man muss seinen persönlichen Kompromiss finden.
Für ein Heimnetz ohne Mikrotik-Lernkurve ist eine OPNsense oder PfSense dann die bessere Wahl als ein China/Cloud-Router. Da muss auch nichts gebaut werden (kann aber) sondern nur die Software drauf. Außerdem gibt's für überschaubares Geld auch fertige Appliances bei den Herstellern - Netgate/PfSense mit dem besseren Angebot, finde ich. Auch hier kann man sich durchklicken. Ich würde aber eher eine OPNsense drauf spielen.
Viele Grüße, commodity
1Ich will ja nur kleine Brötchen backen
Dann nimmst du für einen pfSense/OPNsense immer eins der Standard Allerwelts Appliances von den üblichen Versendern:https://www.amazon.de/KingnovyPC-Firewall-Appliance-Fanless-Ethernet/dp/ ...
MikroTik wird hier im Forum wirklich sehr oft thematisiert und scheint sehr beliebt zu sein.
Das liegt am sehr guten Preis Leistungsverhältnis.Hier mal einige meiner Ideen:
Mit der Auswahl machst du nichts falsch! 👍1
Da ich nun in den letzten Tagen wieder etwas Zeit für Recherchen gefunden habe, hier wieder der Anschluss an das Thema und ein aktueller Stand meiner Überlegungen.
Eine aktuelle Skizze:
Das sehe ich auch so. Und gerade versuche ich für mich die Balance zu finden.
Im Grunde weiß ich, was ich möchte. Und das ist aktuell nicht mal so viel. Sicherlich ist auch ein gewisser Spieltrieb hier bei der ganzen Sache am Start. Aber das Netzwerk soll in erster Linie funktionieren, stabil laufen und mir dann möglichst wenig Aufmerksamkeit abverlangen. Es stehen immerhin noch zahlreiche andere Projekte an... wir wollen ja keine Langeweile aufkommen lassen
Das bedeutet für mich, komplexe Tools mit hohem Funktionsumfang sind zwar toll. Aber die Nutzung will erlernt sein. Deswegen würde ich von solchen Systemen derzeit eher Abstand nehmen.
Außerdem finde ich den Ansatz "alles aus einer Hand" weiterhin charmant. TP-Link hat alle relevanten Komponenten im Angebot und mit Omada auch eine zentrale Plattform zur Konfiguration. So auch Ubiquiti.
Zwischen den beiden stehe ich gerade.
TP-Link
- Office: SG2008 8 Port
- Flur: SG2008P 8 Port, davon 4 mit PoE für die beiden APs
- WZ: TL-SG105E 5 Port
- AP: 2 x EAP610 oder EAP613
- Router: Marke Eigenbau mit virtualisiertem OPNSense, brauche im Grunde nur eine Netzwerkkarte. Alles andere ist vorhanden.
Kosten: ca. 430 Euro
Nachteil: Es ist nicht alles aus einer Hand. Bis auf OPNSense ist zwar alles von TP-Link und auch der Omada-Controller würde bei mir lokal im Netz laufen, aber OPNSense könnte eine kompliziertere Angelegenheit werden. Beide Dienste würden in einer virtuellen Umgebung in Proxmox laufen, die ich erst einmal aufsetzen und konfigurieren müsste (samt Backup-Lösung). Das nimmt Zeit in Anspruch. Insgesamt sehe ich einen deutlich umfangreicheren Aufwand.
Vorteile: Breites Wissen und viele Informationen zum geplanten Equipment sind im Netz abrufbar. Das erleichtert den Start und kann bei Problemstellungen sehr hilfreich sein. Ich bin flexibler im Einsatz durch OPNSense und kann zu einem späteren Zeitpunkt weitere Funktionalität aufgreifen (wovon ich aktuell aber nicht ausgehe). Außerdem ist das Set etwas günstiger (Opportunitätskosten außer Acht gelassen).
Ubiquiti:
- Office + Flur: je ein Lite 8 PoE Switch mit 4 PoE Ports
- WZ: Flex Mini 5 Port
- AP: 2 x U6 Lite
- Router: Cloud Gateway Ultra
Kosten: ca. 540 Euro
Nachteil: Es ist etwas teurer als TP-Link/OPNSense.
Vorteile: Auch zu Unifi Geräten gibt es im Netz ausreichend Wissen und Tipps, auf die ich zugreifen könnte. Es ist alles aus einer Hand, ich muss also nur ein System erlernen. Es ist keine Bastelei (Router) notwendig und ich spare dadurch Zeit.
Ich werde weiterhin beide Varianten eruieren. Mal schauen, in welche Richtung es geht. Meinungen / Anregungen in der Zwischenzeit sind natürlich weiterhin Willkommen
Eine aktuelle Skizze:
Alles hat seinen Preis. Cloudzwang, Marketing, Geld, Lerneinsatz, China-BigBrother. Man muss seinen persönlichen Kompromiss finden.
Das sehe ich auch so. Und gerade versuche ich für mich die Balance zu finden.
Im Grunde weiß ich, was ich möchte. Und das ist aktuell nicht mal so viel. Sicherlich ist auch ein gewisser Spieltrieb hier bei der ganzen Sache am Start. Aber das Netzwerk soll in erster Linie funktionieren, stabil laufen und mir dann möglichst wenig Aufmerksamkeit abverlangen. Es stehen immerhin noch zahlreiche andere Projekte an... wir wollen ja keine Langeweile aufkommen lassen
Das bedeutet für mich, komplexe Tools mit hohem Funktionsumfang sind zwar toll. Aber die Nutzung will erlernt sein. Deswegen würde ich von solchen Systemen derzeit eher Abstand nehmen.
Außerdem finde ich den Ansatz "alles aus einer Hand" weiterhin charmant. TP-Link hat alle relevanten Komponenten im Angebot und mit Omada auch eine zentrale Plattform zur Konfiguration. So auch Ubiquiti.
Zwischen den beiden stehe ich gerade.
TP-Link
- Office: SG2008 8 Port
- Flur: SG2008P 8 Port, davon 4 mit PoE für die beiden APs
- WZ: TL-SG105E 5 Port
- AP: 2 x EAP610 oder EAP613
- Router: Marke Eigenbau mit virtualisiertem OPNSense, brauche im Grunde nur eine Netzwerkkarte. Alles andere ist vorhanden.
Kosten: ca. 430 Euro
Nachteil: Es ist nicht alles aus einer Hand. Bis auf OPNSense ist zwar alles von TP-Link und auch der Omada-Controller würde bei mir lokal im Netz laufen, aber OPNSense könnte eine kompliziertere Angelegenheit werden. Beide Dienste würden in einer virtuellen Umgebung in Proxmox laufen, die ich erst einmal aufsetzen und konfigurieren müsste (samt Backup-Lösung). Das nimmt Zeit in Anspruch. Insgesamt sehe ich einen deutlich umfangreicheren Aufwand.
Vorteile: Breites Wissen und viele Informationen zum geplanten Equipment sind im Netz abrufbar. Das erleichtert den Start und kann bei Problemstellungen sehr hilfreich sein. Ich bin flexibler im Einsatz durch OPNSense und kann zu einem späteren Zeitpunkt weitere Funktionalität aufgreifen (wovon ich aktuell aber nicht ausgehe). Außerdem ist das Set etwas günstiger (Opportunitätskosten außer Acht gelassen).
Ubiquiti:
- Office + Flur: je ein Lite 8 PoE Switch mit 4 PoE Ports
- WZ: Flex Mini 5 Port
- AP: 2 x U6 Lite
- Router: Cloud Gateway Ultra
Kosten: ca. 540 Euro
Nachteil: Es ist etwas teurer als TP-Link/OPNSense.
Vorteile: Auch zu Unifi Geräten gibt es im Netz ausreichend Wissen und Tipps, auf die ich zugreifen könnte. Es ist alles aus einer Hand, ich muss also nur ein System erlernen. Es ist keine Bastelei (Router) notwendig und ich spare dadurch Zeit.
Ich werde weiterhin beide Varianten eruieren. Mal schauen, in welche Richtung es geht. Meinungen / Anregungen in der Zwischenzeit sind natürlich weiterhin Willkommen
Die Mikrotik Variante hast du vergessen...
Die Mikrotik Variante hast du vergessen...
Ich halte eher respektvollen Abstand
Um mich da mal selbst zu zitieren:
Das bedeutet für mich, komplexe Tools mit hohem Funktionsumfang sind zwar toll. Aber die Nutzung will erlernt sein. Deswegen würde ich von solchen Systemen derzeit eher Abstand nehmen.
Darunter habe ich sehr subtil auch Mikrotik subsumiert
Aber wie würden meine Optionen aussehen, wenn ich Mikrotik ebenfalls berücksichtige:
- Office: RB260GS 5 Port (könnte entgegen meiner Zeichnung oben auch reichen)
- Flur: CSS610-8G-2S+IN 8 Port Switch
- WZ: RB260GS 5 Port
- AP: je nach Router entweder ein oder zwei AP; wenn WIFI 6: cAP ax, wenn WIFI 5: cAP ac
- Router: hEX PoE (mit zwei AP) oder hAP ac3 / hAP ax3 (mit einem AP)
Die Kosten sind hier abhängig von der Konstellation: mit der Variante hEX PoE + zwei AP zwischen 420 € (Wifi 5) und 500 € (Wifi 6), mit einem WIFI-Router + einem AP zwischen 350 € (Wifi 5) und 430 € (Wifi 6).
Wifi 5 würde in meinem Fall für die kommenden Jahre noch reichen. Die Mehrkosten für Wifi 6 halten sich aber sehr in Grenzen.
Im Gegensatz zu den Optionen TP-Link und Unifi würden die APs direkt am Router hängen. Wäre das nachteilig?
Ich halte eher respektvollen Abstand
ja, lass das besser mal sein. Selbstbeschränkung ist durchaus eine Tugend I.Ü. halte ich mich raus, weil ich Dir keine der beiden anderen Varianten ausreden möchte.
Im Gegensatz zu den Optionen TP-Link und Unifi würden die APs direkt am Router hängen. Wäre das nachteilig?
Nein.Viele Grüße, commodity
Wenn es das denn nun war bitte nicht vergessen deinen Thread dann auch als erledigt zu markieren!
How can I mark a post as solved?
How can I mark a post as solved?
