Benötige Empfehlung für guten Internet Router
Hallo zusammen,
ich habe nun mehrere Jahre Bintec be.ip's eingesetzt. Das hat auch immer super geklappt. Alle Anschlüsse waren max. 100Mbit VDSL von der Telekom.
Nun habe ich selber einen Company Start Anschluss mit 250MBit bekommen. Da ich weis das die BE.IP nur 100 Mbit kann habe ich ein Draytek Vigor 167 vorgeschaltet. Das funktioniert auch soweit.
Aber NUR wenn ich IPSEC komplett im Router abschalte. Das geht bei mir aber nicht da ich auf jeden Fall VPN mit IKEV1 und IKEV2 benötige. Sobald ich das IPSEC einschalte habe ich nur noch ca. 140 MBit Download. Ich habe zum testen einen RS323jv reingeklemmt, der hat immerhin so um die 180-200 Mbit gebracht. Ich will aber volle 250MBit haben, da ich ca. 40 Clients dranhängen habe. Außerdem habe ich um die 10 VLAN's. Ich bräuchte einen Router der auch ca. 5 frei konfigurierbare LAN Schnittstellen hat. Ein VDSL 35b Modem muss er nicht unbedingt besitzen, da ich weiterhin das Draytek Modem verwenden kann.
Bitte keine empfehlungen der Fritz Box. Die kommt für mich überhaupt nicht in frage.
Layer 3 Switche sind davor geschaltet, der Router übt diese funktion nicht aus.
Was für welche Vorschläge könnt ihr mir machen für max. 1500-2000 Euro ?
Vielen Dank und noch schöne Feiertage !
Gruß,
Thomas
ich habe nun mehrere Jahre Bintec be.ip's eingesetzt. Das hat auch immer super geklappt. Alle Anschlüsse waren max. 100Mbit VDSL von der Telekom.
Nun habe ich selber einen Company Start Anschluss mit 250MBit bekommen. Da ich weis das die BE.IP nur 100 Mbit kann habe ich ein Draytek Vigor 167 vorgeschaltet. Das funktioniert auch soweit.
Aber NUR wenn ich IPSEC komplett im Router abschalte. Das geht bei mir aber nicht da ich auf jeden Fall VPN mit IKEV1 und IKEV2 benötige. Sobald ich das IPSEC einschalte habe ich nur noch ca. 140 MBit Download. Ich habe zum testen einen RS323jv reingeklemmt, der hat immerhin so um die 180-200 Mbit gebracht. Ich will aber volle 250MBit haben, da ich ca. 40 Clients dranhängen habe. Außerdem habe ich um die 10 VLAN's. Ich bräuchte einen Router der auch ca. 5 frei konfigurierbare LAN Schnittstellen hat. Ein VDSL 35b Modem muss er nicht unbedingt besitzen, da ich weiterhin das Draytek Modem verwenden kann.
Bitte keine empfehlungen der Fritz Box. Die kommt für mich überhaupt nicht in frage.
Layer 3 Switche sind davor geschaltet, der Router übt diese funktion nicht aus.
Was für welche Vorschläge könnt ihr mir machen für max. 1500-2000 Euro ?
Vielen Dank und noch schöne Feiertage !
Gruß,
Thomas
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 5086979855
Url: https://administrator.de/forum/benoetige-empfehlung-fuer-guten-internet-router-5086979855.html
Ausgedruckt am: 23.12.2024 um 05:12 Uhr
27 Kommentare
Neuester Kommentar
Die haben alle Hardware-Beschleunigung für IPSec für AES&Co. und bringen 250MBit's via IPSec im Schlaf mit Pro Featureset.
Oder auch ne IPU mit installierter pfSense/OPNSense bringt dir genügend Performance mit einem Pro-Featureset
NRG Systems IPU Systeme
Gruß S.
- RB4011iGS+RM
- RB4011iGS+5HacQ2HnD-IN
- RB5009UG+S+IN
- RB5009UPr+S+IN (PoE on all ports)
- hAP ax³
- weitere Modelle mit oder ohne Wifi, such dir was aus ...
Oder auch ne IPU mit installierter pfSense/OPNSense bringt dir genügend Performance mit einem Pro-Featureset
NRG Systems IPU Systeme
Gruß S.
Lancom?
Moin Thomas,
ich weis nicht wie du auf die Idee kommst, dass deine be.ip nur 100 MBit kann, meine kann auf jeden Fall 5x1G. 😉
Und laut dem Hersteller ist das auch so.
https://www.bintec-elmeg.com/produkte/voice-data/beip/beip/
Ja, das integrierte VDSL Modem der be.ip kann nur 100 MBit, aber du kannst an die be.ip genau so wie du es ja auch gemacht hast, auch ein anderes, schnelleres VDSL Modem davor schalten.
Ich benutze bei meiner be.ip plus, z.B. eine Fritze um mich mit ~250MBit/s bei dem rosa Panther einzuwählen.
Und ich bekomme die 250 Mbit/s auch zu 100% durch die be.ip durchgeschleift. 😁
Beste Grüsse aus BaWü
Alex
Da ich weis das die BE.IP nur 100 Mbit kann habe ich ein Draytek Vigor 167 vorgeschaltet. Das funktioniert auch soweit.
ich weis nicht wie du auf die Idee kommst, dass deine be.ip nur 100 MBit kann, meine kann auf jeden Fall 5x1G. 😉
Und laut dem Hersteller ist das auch so.
https://www.bintec-elmeg.com/produkte/voice-data/beip/beip/
Ja, das integrierte VDSL Modem der be.ip kann nur 100 MBit, aber du kannst an die be.ip genau so wie du es ja auch gemacht hast, auch ein anderes, schnelleres VDSL Modem davor schalten.
Ich benutze bei meiner be.ip plus, z.B. eine Fritze um mich mit ~250MBit/s bei dem rosa Panther einzuwählen.
Und ich bekomme die 250 Mbit/s auch zu 100% durch die be.ip durchgeschleift. 😁
Beste Grüsse aus BaWü
Alex
Zitat von @MysticFoxDE:
Ich benutze bei meiner be.ip plus, z.B. eine Fritze um mich mit ~250MBit/s bei dem rosa Panther einzuwählen.
Und ich bekomme die 250 Mbit/s auch zu 100% durch die be.ip durchgeschleift. 😁
Bei reinem Routing ja, aber nicht wenn er mit dem Teil einen IPSec-Tunnel aufbaut und genau das meinte der TO wohl, da ist die Hardware für die Verschlüsselungs-Routinen einfach zu schwach für ...Ich benutze bei meiner be.ip plus, z.B. eine Fritze um mich mit ~250MBit/s bei dem rosa Panther einzuwählen.
Und ich bekomme die 250 Mbit/s auch zu 100% durch die be.ip durchgeschleift. 😁
https://www.bintec-elmeg.com/en/products/informationen/beip-series-perfo ...
Selbst der 1926VAG wäre in deinem Budget, ein 17xy wäre auch denkbar.
Moin Gigant,
OK, das ist schon etwas anderes.
Hast du dir den Nachfolger der be.ip, die be.ip swift schon mal angesehen?
https://www.bintec-elmeg.com/en/products/all-ip/beip/beip-swift/
Die hat etwas modernere und somit leistungsfähigere Hardware verbaut, das sollte für die 60 bis 80 MBit/s die du bei deinem Anschluss per IPSEC noch rauskratzen kannst, eigentlich genügen.
Die hat übrigens von Haus aus auch schon ein 250er VDSL Modem verbaut, kostet ~ 500 und ist genau so zu konfigurieren wie auch deine jetzige. 😉
Berücksichtige hierbei bitte, das du durch eine VPN Verbindung, aufgrund des zusätzlichen VPN-Headers, immer eine geminderte Bandbreite hast.
Die kenne ich auch noch und habe von diesen zu meinen besten ARtem/Bintec/Elmeg Tagen auch einige selbst verbaut.
Schade finde ich es jedoch nicht, dass es die RXL 12500 nicht mehr gibt, weil diese Geräteklasse seit einigen Jahren zu den aussterbenden Rassen zählt.
Wenn du wirklich was neues nehmen möchtest, dann beschäftige dich lieber mit einem SGW wie z.B. die von Sophos.
https://www.sophos.com/en-us/products/next-gen-firewall/tech-specs#XGSDe ...
Selbst deren aller kleinste XGS 87, liefert schon einen IPSEC Durchsatz von 3.000 MBit/s. 😁
Das überschätzt du glaube ich gewaltig, zumindest aus heutiger Sicht gesehen.
https://www.bintec-elmeg.com/produkte/informationen/informationen/rxl-se ...
Die RXL 12500 bringt gerade mal max. 793 MBit/s und ist damit um Welten langsamer, als die oben angesprochene kleinste Sophos XGS 87. Und selbst in ihrer Hauptdomäne, dem Routing, ist die RXL 12500 mit ihren 986,99 MBit/s, den > 3.850 MBit/s einer Sophos XGS 87, ebenfalls hoffnungslos unterlegen.
Auch wenn der Spruch jetzt dem einen oder anderen Grantler nicht gefällt.
Die besten Zeiten der reinen Hardwarerouter, sind definitiv längst vorbei.
Beste Grüsse aus BaWü
Alex
Ja, genau so meinte ich das. VDSL durchsatz bei aktivierten IPSec.
OK, das ist schon etwas anderes.
Hast du dir den Nachfolger der be.ip, die be.ip swift schon mal angesehen?
https://www.bintec-elmeg.com/en/products/all-ip/beip/beip-swift/
Die hat etwas modernere und somit leistungsfähigere Hardware verbaut, das sollte für die 60 bis 80 MBit/s die du bei deinem Anschluss per IPSEC noch rauskratzen kannst, eigentlich genügen.
Die hat übrigens von Haus aus auch schon ein 250er VDSL Modem verbaut, kostet ~ 500 und ist genau so zu konfigurieren wie auch deine jetzige. 😉
Da kommen bei 250MBit Anschluss nur 140Mbit durch.
Berücksichtige hierbei bitte, das du durch eine VPN Verbindung, aufgrund des zusätzlichen VPN-Headers, immer eine geminderte Bandbreite hast.
Schade das es die RXL 12500 nicht mehr gibt.
Die kenne ich auch noch und habe von diesen zu meinen besten ARtem/Bintec/Elmeg Tagen auch einige selbst verbaut.
Schade finde ich es jedoch nicht, dass es die RXL 12500 nicht mehr gibt, weil diese Geräteklasse seit einigen Jahren zu den aussterbenden Rassen zählt.
Wenn du wirklich was neues nehmen möchtest, dann beschäftige dich lieber mit einem SGW wie z.B. die von Sophos.
https://www.sophos.com/en-us/products/next-gen-firewall/tech-specs#XGSDe ...
Selbst deren aller kleinste XGS 87, liefert schon einen IPSEC Durchsatz von 3.000 MBit/s. 😁
Die sieht richtig schnell aus.
Das überschätzt du glaube ich gewaltig, zumindest aus heutiger Sicht gesehen.
https://www.bintec-elmeg.com/produkte/informationen/informationen/rxl-se ...
Die RXL 12500 bringt gerade mal max. 793 MBit/s und ist damit um Welten langsamer, als die oben angesprochene kleinste Sophos XGS 87. Und selbst in ihrer Hauptdomäne, dem Routing, ist die RXL 12500 mit ihren 986,99 MBit/s, den > 3.850 MBit/s einer Sophos XGS 87, ebenfalls hoffnungslos unterlegen.
Auch wenn der Spruch jetzt dem einen oder anderen Grantler nicht gefällt.
Die besten Zeiten der reinen Hardwarerouter, sind definitiv längst vorbei.
Beste Grüsse aus BaWü
Alex
Moin aqui,
😂🤣😂🤣, klar, aber nur in seinen Träumen.
Der C1100-4P packt mit HSEC über IPSEC gerade mal max. 230 MBit/s und der C1100-8P kommt mit HSEC auf max. 480 MBit/s. 😉
Und ohne einer zusätzlichen IPsec Performance Lizenz oder einer HSEC Lizenz, werden die Dinger IPSEC technisch, sogar schon bei 50 MBit/s gedrosselt. 😬
Gruss Alex
Der Cisco 1100 erledigt das in Wirespeed... 😉
😂🤣😂🤣, klar, aber nur in seinen Träumen.
Der C1100-4P packt mit HSEC über IPSEC gerade mal max. 230 MBit/s und der C1100-8P kommt mit HSEC auf max. 480 MBit/s. 😉
Und ohne einer zusätzlichen IPsec Performance Lizenz oder einer HSEC Lizenz, werden die Dinger IPSEC technisch, sogar schon bei 50 MBit/s gedrosselt. 😬
Gruss Alex
Moin...
WireGuard mit ca. 2,4 Gbit/s
bei dem Preis ist die Kiste unschlagbar
Frank
Zitat von @MysticFoxDE:
Moin aqui,
😂🤣😂🤣, klar, aber nur in seinen Träumen.
Der C1100-4P packt mit HSEC über IPSEC gerade mal max. 230 MBit/s und der C1100-8P kommt mit HSEC auf max. 480 MBit/s. 😉
Und ohne einer zusätzlichen IPsec Performance Lizenz oder einer HSEC Lizenz, werden die Dinger IPSEC technisch, sogar schon bei 50 MBit/s gedrosselt. 😬
Gruss Alex
der vigor 9310 macht ein VPN-Durchsatz bis zu 3 Gbit/s bei voller IPSEC-Verschlüsselung!Moin aqui,
Der Cisco 1100 erledigt das in Wirespeed... 😉
😂🤣😂🤣, klar, aber nur in seinen Träumen.
Der C1100-4P packt mit HSEC über IPSEC gerade mal max. 230 MBit/s und der C1100-8P kommt mit HSEC auf max. 480 MBit/s. 😉
Und ohne einer zusätzlichen IPsec Performance Lizenz oder einer HSEC Lizenz, werden die Dinger IPSEC technisch, sogar schon bei 50 MBit/s gedrosselt. 😬
Gruss Alex
WireGuard mit ca. 2,4 Gbit/s
bei dem Preis ist die Kiste unschlagbar
Frank
Die neuen Cisco 1000er kannst du vergessen mit so performanten WAN-Leitungen + VPN, für jeden Mist brauchst du eine Lizenz und der Durchsatz ist auch nicht für so Umgebungen gedacht. Diese Cisco-Serien sind wie von Cisco richtig bezeichnet Zweigstellen-Router die für so ne ca. 100 MBits/VDSL-Leitung gedacht sind um sich an den Hauptstandort anzubinden. Mikrotik oder Konsorten sind hier die richtige Wahl oder halt tiefer in die Tasche greifen und zu einem großen Cisco greifen
Zweigstellen-Router die für so ne ca. 100 MBits/VDSL-Leitung
Nichts anderes sind aber Lancom, be.ip und Konsorten auch wenn man es mal nüchtern und fair betrachtet. Sollte VPN jenseits der 1Gig tatsächlich ein KO Kriterium des TOs sein kommt er in der Geräteklasse so oder so sehr schnell an die Grenzen und nicht nur bei seinem Budget.
Moin Frank,
du meinst glaube ich eher den Vigor 3910.
ja, als Router schon.
Ich würde stand heute dennoch keinen reinen Router mehr an einen WAN Anschluss hängen,
weil diese Sicherheitstechnisch schlichtweg nicht mehr "State of the Art" sind.
Kein IPS, kein ATP, keine AV, keine (reverse) Proxies, u.s.w.
Die kleinste Sophos XGS 87 bring, wie ich oben schon geschrieben habe, auch einen IPSEC Durchsatz von 3.000 MBit/s, kostet aber nur die Hälfte des 3910 und ist zudem auch noch ein vollwertiges SGW und nicht nur ein Router mit etwas VPN.
Ja, OK, die Subscription kommt noch hinzu. Das ist bei einem SGW jedoch ganz üblich.
Gruss Alex
P.S.
In den aktuellen BSI Empfehlungen, wird übrigens auch nur noch von SGW's (Sicherheits-Gateway) gesprochen.
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Internetsicherheit/i ...
PF6 und PF12 (und PF10 und PF13) und das VPN-Gateway, können bei einem modernen SGW übrigens in einer Büchse zusammengefasst werden. 😉
Die Perimeterrouter können in der Doku übrigens ignoriert werden, da diese schlichtweg am aussterben sind.
der vigor 9310
du meinst glaube ich eher den Vigor 3910.
macht ein VPN-Durchsatz bis zu 3 Gbit/s bei voller IPSEC-Verschlüsselung!
WireGuard mit ca. 2,4 Gbit/s
bei dem Preis ist die Kiste unschlagbar
WireGuard mit ca. 2,4 Gbit/s
bei dem Preis ist die Kiste unschlagbar
ja, als Router schon.
Ich würde stand heute dennoch keinen reinen Router mehr an einen WAN Anschluss hängen,
weil diese Sicherheitstechnisch schlichtweg nicht mehr "State of the Art" sind.
Kein IPS, kein ATP, keine AV, keine (reverse) Proxies, u.s.w.
Die kleinste Sophos XGS 87 bring, wie ich oben schon geschrieben habe, auch einen IPSEC Durchsatz von 3.000 MBit/s, kostet aber nur die Hälfte des 3910 und ist zudem auch noch ein vollwertiges SGW und nicht nur ein Router mit etwas VPN.
Ja, OK, die Subscription kommt noch hinzu. Das ist bei einem SGW jedoch ganz üblich.
Gruss Alex
P.S.
In den aktuellen BSI Empfehlungen, wird übrigens auch nur noch von SGW's (Sicherheits-Gateway) gesprochen.
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Internetsicherheit/i ...
PF6 und PF12 (und PF10 und PF13) und das VPN-Gateway, können bei einem modernen SGW übrigens in einer Büchse zusammengefasst werden. 😉
Die Perimeterrouter können in der Doku übrigens ignoriert werden, da diese schlichtweg am aussterben sind.
Diese IT Luftschlösser immer.
Nun muss es wohl doch die Fritzbox werden, die bleibt aufm Boden.
Nun muss es wohl doch die Fritzbox werden, die bleibt aufm Boden.
Moin unbelanglos,
kann es sein, dass du im Einleitungspost des TO's, vor allem das folgende übersehen hast: "Außerdem habe ich um die 10 VLAN's".
Also, wie machst du das mit der Fritze und den 10 V-LAN's? 🤨
Und komm mir jetzt bitte nicht mit "Routing über den Switch" um die Ecke, danke.
Natürlich, hat ja auch mit und vor allem im Business notwendiger IT-Security, nicht wirklich was zu tun.
Dieses Spielzeug ist für Zuhause gedacht und genau dort und nur dort, gehört es auch hin.
Gruss Alex
Diese IT Luftschlösser immer.
Nun muss es wohl doch die Fritzbox werden
Nun muss es wohl doch die Fritzbox werden
kann es sein, dass du im Einleitungspost des TO's, vor allem das folgende übersehen hast: "Außerdem habe ich um die 10 VLAN's".
Also, wie machst du das mit der Fritze und den 10 V-LAN's? 🤨
Und komm mir jetzt bitte nicht mit "Routing über den Switch" um die Ecke, danke.
die bleibt aufm Boden.
Natürlich, hat ja auch mit und vor allem im Business notwendiger IT-Security, nicht wirklich was zu tun.
Dieses Spielzeug ist für Zuhause gedacht und genau dort und nur dort, gehört es auch hin.
Gruss Alex
Stimmt.
Hatte nur bis 3GBit IPSec gelesen und dann schon einen Witz im Büro erzählen können, mit administrator.de als Pointe
Hatte nur bis 3GBit IPSec gelesen und dann schon einen Witz im Büro erzählen können, mit administrator.de als Pointe
Moin unbelanglos,
na ja, auch hier kann ich dich nur auf den Initialpost des TO's verweisen, wo dieser lediglich davon spricht,
dass er das Maximum aus seinem 250 MBit/s VDSL Anschluss, respektive den "darüberliegenden" IPSEC-VPN herauskratzen möchte. 😉
Gruss Alex
Stimmt.
Hatte nur bis 3GBit IPSec gelesen und dann schon einen Witz im Büro erzählen können, mit administrator.de als Pointe
Hatte nur bis 3GBit IPSec gelesen und dann schon einen Witz im Büro erzählen können, mit administrator.de als Pointe
na ja, auch hier kann ich dich nur auf den Initialpost des TO's verweisen, wo dieser lediglich davon spricht,
dass er das Maximum aus seinem 250 MBit/s VDSL Anschluss, respektive den "darüberliegenden" IPSEC-VPN herauskratzen möchte. 😉
Gruss Alex
Moin Thomas,
habe doch glatt selbst was in deinem Initialpost übersehen.
Das geht wie ich schon in einem der vorherigen Posts angeschnitten habe nicht,
weil du pro Paket, durch den IP-SEC Header ~100 Bytes schon mal verlierst.
Und um die restlichen > 1400 Bytes optimal auszulutschen, muss zwischen den Clients auf der einen Seite des VPN's und den Servern auf der andern Seite, MTU technisch auch alles korrekt laufen.
Vor allem das Letztere ist sehr oft nicht der Fall. So kommt es sehr oft vor, dass der Client und oder Server, versucht zu grosse Pakete durch den IP-SEC zu versenden, die dann im Router fragmentiert werden müssen, was wiederum zusätzliche Performance und Bandbreite kostet.
Daher sollte man durch einen VPN Tunnel hindurch auch niemals ICMP verbieten, da sonst "Path MTU Discovery" nicht funktioniert.
Beste Grüsse aus BaWü
Alex
habe doch glatt selbst was in deinem Initialpost übersehen.
Ich will aber volle 250MBit haben, da ich ca. 40 Clients dranhängen habe.
Das geht wie ich schon in einem der vorherigen Posts angeschnitten habe nicht,
weil du pro Paket, durch den IP-SEC Header ~100 Bytes schon mal verlierst.
Und um die restlichen > 1400 Bytes optimal auszulutschen, muss zwischen den Clients auf der einen Seite des VPN's und den Servern auf der andern Seite, MTU technisch auch alles korrekt laufen.
Vor allem das Letztere ist sehr oft nicht der Fall. So kommt es sehr oft vor, dass der Client und oder Server, versucht zu grosse Pakete durch den IP-SEC zu versenden, die dann im Router fragmentiert werden müssen, was wiederum zusätzliche Performance und Bandbreite kostet.
Daher sollte man durch einen VPN Tunnel hindurch auch niemals ICMP verbieten, da sonst "Path MTU Discovery" nicht funktioniert.
Beste Grüsse aus BaWü
Alex
Nein, ist keinerlei Herausforderung wenn man die Firewall richtig für VoIP customized. Wäre ja auch Unsinn wenn sich der Betrieb einer Firewall und VoIP gegenseitig ausschliessen würden.
(Kapitel: VoIP Telefonie im FW Tutorial, weiterführende Links sowie diverse Anleitungen im Netz)
(Kapitel: VoIP Telefonie im FW Tutorial, weiterführende Links sowie diverse Anleitungen im Netz)