gigant
Goto Top

Benötige Empfehlung für guten Internet Router

Hallo zusammen,

ich habe nun mehrere Jahre Bintec be.ip's eingesetzt. Das hat auch immer super geklappt. Alle Anschlüsse waren max. 100Mbit VDSL von der Telekom.
Nun habe ich selber einen Company Start Anschluss mit 250MBit bekommen. Da ich weis das die BE.IP nur 100 Mbit kann habe ich ein Draytek Vigor 167 vorgeschaltet. Das funktioniert auch soweit.
Aber NUR wenn ich IPSEC komplett im Router abschalte. Das geht bei mir aber nicht da ich auf jeden Fall VPN mit IKEV1 und IKEV2 benötige. Sobald ich das IPSEC einschalte habe ich nur noch ca. 140 MBit Download. Ich habe zum testen einen RS323jv reingeklemmt, der hat immerhin so um die 180-200 Mbit gebracht. Ich will aber volle 250MBit haben, da ich ca. 40 Clients dranhängen habe. Außerdem habe ich um die 10 VLAN's. Ich bräuchte einen Router der auch ca. 5 frei konfigurierbare LAN Schnittstellen hat. Ein VDSL 35b Modem muss er nicht unbedingt besitzen, da ich weiterhin das Draytek Modem verwenden kann.
Bitte keine empfehlungen der Fritz Box. Die kommt für mich überhaupt nicht in frage.
Layer 3 Switche sind davor geschaltet, der Router übt diese funktion nicht aus.

Was für welche Vorschläge könnt ihr mir machen für max. 1500-2000 Euro ?

Vielen Dank und noch schöne Feiertage !

Gruß,
Thomas

Content-ID: 5086979855

Url: https://administrator.de/forum/benoetige-empfehlung-fuer-guten-internet-router-5086979855.html

Ausgedruckt am: 23.12.2024 um 05:12 Uhr

4863114660
4863114660 25.12.2022 aktualisiert um 12:24:20 Uhr
Goto Top
Die haben alle Hardware-Beschleunigung für IPSec für AES&Co. und bringen 250MBit's via IPSec im Schlaf mit Pro Featureset.

Oder auch ne IPU mit installierter pfSense/OPNSense bringt dir genügend Performance mit einem Pro-Featureset
NRG Systems IPU Systeme

Gruß S.
Vision2015
Vision2015 25.12.2022 um 12:02:05 Uhr
Goto Top
moin...

schau dir mal den Vigor3910 an!

Frank
2423392070
2423392070 25.12.2022 um 12:11:35 Uhr
Goto Top
Lancom?
Lochkartenstanzer
Lösung Lochkartenstanzer 25.12.2022 um 12:25:08 Uhr
Goto Top
Moin,

Ein OpenWRT, DD-WRT oder pfsense auf potenter Serverhardware.

lks
aqui
aqui 25.12.2022 aktualisiert um 13:36:55 Uhr
Goto Top
Cisco 926-4P
Cisco 1112-8P

Das wären die Modelle mit integriertem xDSL Modem.
Die ohne Modem sind entsprechend dann:
Cisco 921-4P
Cisco 1111-8P
Gigant
Gigant 25.12.2022 um 15:53:55 Uhr
Goto Top
Danke für die schnellen und zahlreichen Vorschläge. Jetzt hab ich was zum recherchieren falls mir es an dem Feiertag langweilig wird....
Kuemmel
Kuemmel 25.12.2022 um 16:03:20 Uhr
Goto Top
+1 für den RB5009UPr+S+IN
MysticFoxDE
MysticFoxDE 25.12.2022 aktualisiert um 19:00:42 Uhr
Goto Top
Moin Thomas,

Da ich weis das die BE.IP nur 100 Mbit kann habe ich ein Draytek Vigor 167 vorgeschaltet. Das funktioniert auch soweit.

ich weis nicht wie du auf die Idee kommst, dass deine be.ip nur 100 MBit kann, meine kann auf jeden Fall 5x1G. 😉

Und laut dem Hersteller ist das auch so.
https://www.bintec-elmeg.com/produkte/voice-data/beip/beip/

Ja, das integrierte VDSL Modem der be.ip kann nur 100 MBit, aber du kannst an die be.ip genau so wie du es ja auch gemacht hast, auch ein anderes, schnelleres VDSL Modem davor schalten.

Ich benutze bei meiner be.ip plus, z.B. eine Fritze um mich mit ~250MBit/s bei dem rosa Panther einzuwählen.
Und ich bekomme die 250 Mbit/s auch zu 100% durch die be.ip durchgeschleift. 😁

Beste Grüsse aus BaWü
Alex
4863114660
4863114660 25.12.2022 aktualisiert um 19:12:53 Uhr
Goto Top
Zitat von @MysticFoxDE:

Ich benutze bei meiner be.ip plus, z.B. eine Fritze um mich mit ~250MBit/s bei dem rosa Panther einzuwählen.
Und ich bekomme die 250 Mbit/s auch zu 100% durch die be.ip durchgeschleift. 😁
Bei reinem Routing ja, aber nicht wenn er mit dem Teil einen IPSec-Tunnel aufbaut und genau das meinte der TO wohl, da ist die Hardware für die Verschlüsselungs-Routinen einfach zu schwach für ...
https://www.bintec-elmeg.com/en/products/informationen/beip-series-perfo ...
Gigant
Gigant 26.12.2022 um 08:23:48 Uhr
Goto Top
Ja, genau so meinte ich das. VDSL durchsatz bei aktivierten IPSec. Da kommen bei 250MBit Anschluss nur 140Mbit durch. Ich meinte nicht die 5*1G LAN Ports. Die funktionieren. Schade das es die RXL 12500 nicht mehr gibt. Die sieht richtig schnell aus.
Gigant
Gigant 26.12.2022 um 08:25:21 Uhr
Goto Top
Zitat von @2423392070:

Lancom?

Hast Du mir da einen genauen Typ ?
Gigant
Gigant 26.12.2022 um 08:26:48 Uhr
Goto Top
Zitat von @Vision2015:

moin...

schau dir mal den Vigor3910 an!

Frank

Der Vigor sieht von der Leistung her sehr gut. Aber das Konfigurationsinterface gefällt mir gar nicht. Ich habe da auch keine Rückfallverschlüsselung gesehen wie es beim Bintec gibt. Schade. Preis Leitung ist glaube ich gut bei dem Gerät.
2423392070
2423392070 26.12.2022 um 08:45:32 Uhr
Goto Top
Zitat von @Gigant:

Zitat von @2423392070:

Lancom?

Hast Du mir da einen genauen Typ ?

Selbst der 1926VAG wäre in deinem Budget, ein 17xy wäre auch denkbar.
MysticFoxDE
MysticFoxDE 26.12.2022 aktualisiert um 10:15:03 Uhr
Goto Top
Moin Gigant,

Ja, genau so meinte ich das. VDSL durchsatz bei aktivierten IPSec.

OK, das ist schon etwas anderes.
Hast du dir den Nachfolger der be.ip, die be.ip swift schon mal angesehen?
https://www.bintec-elmeg.com/en/products/all-ip/beip/beip-swift/
Die hat etwas modernere und somit leistungsfähigere Hardware verbaut, das sollte für die 60 bis 80 MBit/s die du bei deinem Anschluss per IPSEC noch rauskratzen kannst, eigentlich genügen.
Die hat übrigens von Haus aus auch schon ein 250er VDSL Modem verbaut, kostet ~ 500 und ist genau so zu konfigurieren wie auch deine jetzige. 😉

Da kommen bei 250MBit Anschluss nur 140Mbit durch.

Berücksichtige hierbei bitte, das du durch eine VPN Verbindung, aufgrund des zusätzlichen VPN-Headers, immer eine geminderte Bandbreite hast.

Schade das es die RXL 12500 nicht mehr gibt.

Die kenne ich auch noch und habe von diesen zu meinen besten ARtem/Bintec/Elmeg Tagen auch einige selbst verbaut.
Schade finde ich es jedoch nicht, dass es die RXL 12500 nicht mehr gibt, weil diese Geräteklasse seit einigen Jahren zu den aussterbenden Rassen zählt.

Wenn du wirklich was neues nehmen möchtest, dann beschäftige dich lieber mit einem SGW wie z.B. die von Sophos.
https://www.sophos.com/en-us/products/next-gen-firewall/tech-specs#XGSDe ...
Selbst deren aller kleinste XGS 87, liefert schon einen IPSEC Durchsatz von 3.000 MBit/s. 😁


Die sieht richtig schnell aus.

Das überschätzt du glaube ich gewaltig, zumindest aus heutiger Sicht gesehen.
https://www.bintec-elmeg.com/produkte/informationen/informationen/rxl-se ...
Die RXL 12500 bringt gerade mal max. 793 MBit/s und ist damit um Welten langsamer, als die oben angesprochene kleinste Sophos XGS 87. Und selbst in ihrer Hauptdomäne, dem Routing, ist die RXL 12500 mit ihren 986,99 MBit/s, den > 3.850 MBit/s einer Sophos XGS 87, ebenfalls hoffnungslos unterlegen.

Auch wenn der Spruch jetzt dem einen oder anderen Grantler nicht gefällt.
Die besten Zeiten der reinen Hardwarerouter, sind definitiv längst vorbei.

Beste Grüsse aus BaWü
Alex
aqui
aqui 26.12.2022 um 10:16:54 Uhr
Goto Top
Die sieht richtig schnell aus.
Der Cisco 1100 erledigt das in Wirespeed... 😉
MysticFoxDE
MysticFoxDE 26.12.2022 um 10:36:54 Uhr
Goto Top
Moin aqui,

Der Cisco 1100 erledigt das in Wirespeed... 😉

😂🤣😂🤣, klar, aber nur in seinen Träumen.
Der C1100-4P packt mit HSEC über IPSEC gerade mal max. 230 MBit/s und der C1100-8P kommt mit HSEC auf max. 480 MBit/s. 😉
Und ohne einer zusätzlichen IPsec Performance Lizenz oder einer HSEC Lizenz, werden die Dinger IPSEC technisch, sogar schon bei 50 MBit/s gedrosselt. 😬

Gruss Alex
Vision2015
Vision2015 26.12.2022 um 12:15:53 Uhr
Goto Top
Moin...
Zitat von @MysticFoxDE:

Moin aqui,

Der Cisco 1100 erledigt das in Wirespeed... 😉

😂🤣😂🤣, klar, aber nur in seinen Träumen.
Der C1100-4P packt mit HSEC über IPSEC gerade mal max. 230 MBit/s und der C1100-8P kommt mit HSEC auf max. 480 MBit/s. 😉
Und ohne einer zusätzlichen IPsec Performance Lizenz oder einer HSEC Lizenz, werden die Dinger IPSEC technisch, sogar schon bei 50 MBit/s gedrosselt. 😬

Gruss Alex
der vigor 9310 macht ein VPN-Durchsatz bis zu 3 Gbit/s bei voller IPSEC-Verschlüsselung!
WireGuard mit ca. 2,4 Gbit/s
bei dem Preis ist die Kiste unschlagbar

Frank
Kuemmel
Kuemmel 26.12.2022 um 13:23:30 Uhr
Goto Top
Die neuen Cisco 1000er kannst du vergessen mit so performanten WAN-Leitungen + VPN, für jeden Mist brauchst du eine Lizenz und der Durchsatz ist auch nicht für so Umgebungen gedacht. Diese Cisco-Serien sind wie von Cisco richtig bezeichnet Zweigstellen-Router die für so ne ca. 100 MBits/VDSL-Leitung gedacht sind um sich an den Hauptstandort anzubinden. Mikrotik oder Konsorten sind hier die richtige Wahl oder halt tiefer in die Tasche greifen und zu einem großen Cisco greifen
aqui
aqui 26.12.2022 aktualisiert um 13:28:45 Uhr
Goto Top
Zweigstellen-Router die für so ne ca. 100 MBits/VDSL-Leitung
Nichts anderes sind aber Lancom, be.ip und Konsorten auch wenn man es mal nüchtern und fair betrachtet. Sollte VPN jenseits der 1Gig tatsächlich ein KO Kriterium des TOs sein kommt er in der Geräteklasse so oder so sehr schnell an die Grenzen und nicht nur bei seinem Budget.
MysticFoxDE
MysticFoxDE 27.12.2022 aktualisiert um 07:09:20 Uhr
Goto Top
Moin Frank,

der vigor 9310

du meinst glaube ich eher den Vigor 3910.

macht ein VPN-Durchsatz bis zu 3 Gbit/s bei voller IPSEC-Verschlüsselung!
WireGuard mit ca. 2,4 Gbit/s
bei dem Preis ist die Kiste unschlagbar

ja, als Router schon.
Ich würde stand heute dennoch keinen reinen Router mehr an einen WAN Anschluss hängen,
weil diese Sicherheitstechnisch schlichtweg nicht mehr "State of the Art" sind.
Kein IPS, kein ATP, keine AV, keine (reverse) Proxies, u.s.w.

Die kleinste Sophos XGS 87 bring, wie ich oben schon geschrieben habe, auch einen IPSEC Durchsatz von 3.000 MBit/s, kostet aber nur die Hälfte des 3910 und ist zudem auch noch ein vollwertiges SGW und nicht nur ein Router mit etwas VPN.

Ja, OK, die Subscription kommt noch hinzu. Das ist bei einem SGW jedoch ganz üblich.

Gruss Alex

P.S.
In den aktuellen BSI Empfehlungen, wird übrigens auch nur noch von SGW's (Sicherheits-Gateway) gesprochen.
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Internetsicherheit/i ...

PF6 und PF12 (und PF10 und PF13) und das VPN-Gateway, können bei einem modernen SGW übrigens in einer Büchse zusammengefasst werden. 😉

Die Perimeterrouter können in der Doku übrigens ignoriert werden, da diese schlichtweg am aussterben sind.
2423392070
2423392070 27.12.2022 um 07:52:25 Uhr
Goto Top
Diese IT Luftschlösser immer.
Nun muss es wohl doch die Fritzbox werden, die bleibt aufm Boden.
MysticFoxDE
MysticFoxDE 27.12.2022 um 08:08:19 Uhr
Goto Top
Moin unbelanglos,

Diese IT Luftschlösser immer.
Nun muss es wohl doch die Fritzbox werden

kann es sein, dass du im Einleitungspost des TO's, vor allem das folgende übersehen hast: "Außerdem habe ich um die 10 VLAN's".

Also, wie machst du das mit der Fritze und den 10 V-LAN's? 🤨
Und komm mir jetzt bitte nicht mit "Routing über den Switch" um die Ecke, danke.

die bleibt aufm Boden.

Natürlich, hat ja auch mit und vor allem im Business notwendiger IT-Security, nicht wirklich was zu tun.
Dieses Spielzeug ist für Zuhause gedacht und genau dort und nur dort, gehört es auch hin.

Gruss Alex
2423392070
2423392070 27.12.2022 um 08:16:57 Uhr
Goto Top
Stimmt.
Hatte nur bis 3GBit IPSec gelesen und dann schon einen Witz im Büro erzählen können, mit administrator.de als Pointe
MysticFoxDE
MysticFoxDE 27.12.2022 um 08:28:35 Uhr
Goto Top
Moin unbelanglos,

Stimmt.
Hatte nur bis 3GBit IPSec gelesen und dann schon einen Witz im Büro erzählen können, mit administrator.de als Pointe

na ja, auch hier kann ich dich nur auf den Initialpost des TO's verweisen, wo dieser lediglich davon spricht,
dass er das Maximum aus seinem 250 MBit/s VDSL Anschluss, respektive den "darüberliegenden" IPSEC-VPN herauskratzen möchte. 😉

Gruss Alex
MysticFoxDE
MysticFoxDE 27.12.2022 um 08:50:54 Uhr
Goto Top
Moin Thomas,

habe doch glatt selbst was in deinem Initialpost übersehen.

Ich will aber volle 250MBit haben, da ich ca. 40 Clients dranhängen habe.

Das geht wie ich schon in einem der vorherigen Posts angeschnitten habe nicht,
weil du pro Paket, durch den IP-SEC Header ~100 Bytes schon mal verlierst.
Und um die restlichen > 1400 Bytes optimal auszulutschen, muss zwischen den Clients auf der einen Seite des VPN's und den Servern auf der andern Seite, MTU technisch auch alles korrekt laufen.
Vor allem das Letztere ist sehr oft nicht der Fall. So kommt es sehr oft vor, dass der Client und oder Server, versucht zu grosse Pakete durch den IP-SEC zu versenden, die dann im Router fragmentiert werden müssen, was wiederum zusätzliche Performance und Bandbreite kostet.

Daher sollte man durch einen VPN Tunnel hindurch auch niemals ICMP verbieten, da sonst "Path MTU Discovery" nicht funktioniert.

Beste Grüsse aus BaWü

Alex
Gigant
Gigant 27.12.2022 um 09:39:51 Uhr
Goto Top
Vielen, Vielen Dank für die zahlreichen Tips und Anmerkungen.
Ich habe gerade schon eine pfSense auf einem Gen10 Server aufgesetzt und werde das mal testen. Allerdings habe ich noch eine große Herausforderung. Ich habe eine Auerswald Compact hinter der be.ip hängen. Das scheint wohl eine große Herausforderung für die pfSense zu werden. Ich habe mir schon überlegt das Draytek Modem als Router laufen zu lassen und die Telefonanlage direkt da zu koppeln. Komischerweise bekomme ich den Draytek nicht dazu sich mit dem Telekom Login anzumelden. Da werde ich noch Zeit investieren müssen. Und Ja, der Draytek 167 kann mittlerweile als Router fungieren.

Viele Grüße aus BaWü,

Thomas
aqui
aqui 27.12.2022 aktualisiert um 12:53:37 Uhr
Goto Top
Nein, ist keinerlei Herausforderung wenn man die Firewall richtig für VoIP customized. Wäre ja auch Unsinn wenn sich der Betrieb einer Firewall und VoIP gegenseitig ausschliessen würden. face-wink
(Kapitel: VoIP Telefonie im FW Tutorial, weiterführende Links sowie diverse Anleitungen im Netz)