Heimnetzwerk aktualisieren inkl. Firewall, AP,

Adguard/Pihole kannste innert der OPNsense abbilden.

ok - wenn du WEISST das es dazu bereits zig Threads gibt dann hast du ja vermutlich die Suchfunktion schon gefunden. Dann lass es uns doch mal anders drehen: Was genau gefällt dir an diesen gefühlten 1000 Antworten denn nicht? Was genau glaubst du ist bei dir so speziell das du hier irgendeine andere Antwort erwartest?

Kauf Dir einen kleinen hEX für 60 EUR und mach Dich ran, das zu erleben.

Mein Hauptnutzen liegt in der Echtzeitdarstellung aller Dienste. Ich sehe auf einen Blick, auf welchem Interface was läuft bzw. was nicht läuft. Ich kann jede Schnittstelle live betrachten und dort bis aufs einzelne Paket torchen oder gleich mitschneiden, der Wireshark ist praktisch auch mit dabei. Wer kennt das nicht, dass man verzweifelt vor den Geräten sitzt und einfach nicht weiß, woran es liegt (und dann hier einen Beitrag schreibt). Mit ROS kannst Du das Netzwerk durchleuchten und findest den Verdächtigen einfach schneller. Die gesamte Administration geht mit der Winbox deutlich weniger zäh von der Hand als auf einer WebUI (die trotzdem möglich ist), ich habe eine Fülle von Funktionen, die oob genutzt werden können. Das Logging kann man so granular einstellen, dass es ein Traum ist. Man kann simpel scripten. Oder mit Netwatch IPs überwachen und daran Aktionen knüpfen. Ich kann Switch, Router und APs drüber steuern, ich habe nen Radius drin und und und. Ich habe in meiner häuslichen Firewall gut 200 Rules und finde sie angenehmer zu administrieren als vorher mit der Sense. Allerdings war ich da auch noch recht grün hinter den Ohren (jetzt ein wenig hellgrüner). Insgesamt bringt einem ROS das Netzwerken deutlich näher, um den Preis einer erheblichen Lernkurve. Die ist flacher, wenn man sich mit Netzwerken schon auskennt und deutlich steiler, wenn man noch faktisch nichts weiß. Für 60 EUR eröffnet sich eine neue Welt. Das ist dann natürlich nicht das ultimative Gerät - sondern primär zum lernen. Ich habe aber auch Filialen, kleine Arztpraxen oder Haushalte auf hEX oder hAP ac/x gestellt. In ein paar Wochen ist vielleicht der L009 dann das Gerät der Wahl für die Kleinbetriebe.

Ich bin von einer pfSense gekommen, also nicht so tief in OPNsense drin, kenne sie nur ein paar Wochen von einem Projektkunden. OPNsense hat mir besser gefallen als pfSense. Ich kann aber nicht konkret sagen, ob sie mit Zusatzpaketen auch alles könnte, was der Mikrotik macht, denke aber, man kann das nicht vergleichen. Natürlich fehlen auch bei ROS ein paar Dinge, man kann nicht alles haben. So waren die Aliase in der pfSense besser zu organisieren, es gab Geoblocking und wenn man wollte auch Snort. Und die Oberfläche der OPNsense ist schicker. Im Ergebnis habe ich für mich entschieden, dass mir Netzwerktransparenz wichtiger ist als Geoblocking und Intrusion Detection, die viel zu aufgebläht ist.

Ich habe hier noch einen Odroiden, der eine OPNsense werden will, einfach weil es mich interessiert. Man kann ja auch beides haben. Die Sense am Perimeter und fürs innere Netz den Router. Braucht man zuhause aber nicht. Entweder oder Der Kommerzkram hat mich bislang nicht überzeugt. Z.B. die hochgelobte Sophos SG ist eine armselige Möhre, finde ich.

Switch: Entsprechendes gilt auch für den CRS3xx. Im Vergleich zum HP-Switch ist das einfach eine andere Welt. Zumindest zu dem, den ich gerade von HP in den Fingern habe (1820). Auch hier völlige Transparenz und eine Unzahl von Möglichkeiten - man lernt bei der Einrichtung, was man macht. Wenn man die Lernkurve meistert. Wer das nicht will, sollte es lassen. ROS-Geräte sind solche für Netzwerker oder zumindest Netzwerkfans.
Das finde ich gut. Schon im Sinne der Nachhaltigkeit. Wenn das Equipment seinen Dienst leistet und Dir die Features genügen, reicht das doch völlig aus. Ich schmeiße bei neuen Kunden auch selten was raus. Ich mag es eher, auch seltener gesehene Geräte zu meistern. Ein kleiner Mikrotik muss aber immer ins Netz - wenn man es erlebt hat, fühlt man sich ohne einfach blind.

Viele Grüße, commodity

Das eine ist ne Firewall, das andere ein Router. Ich sehe das – im Prinzip – genau gegensetzlich zu @commodity … mal wieder. 😂

Bin nach 2 Jahren Mikrotik seit 4 Monaten auf OPNsense.

Was ein Spruch ist, der so richtig wie nichtssagend ist.

Der wesentliche Unterschied ist, dass die block-all Rule bei der Firewall schon vorhanden ist, also erstmal alles geblockt wird, während das beim Router nicht so ist. Und dass der Router seine Netze automatisch routet, die Firewall hingegen nicht. Wenn Du aber in den Router als erstes in jedes Deiner Netze eine block-all rule setzt, ist der Effekt gleich. Aber klar: Wenn man vergesslich ist oder der Durchblick fehlt, ist die Ausgangssituation der Firewall sicherer, die des Routers hingegen funktionaler. Netzwerken muss man bei beiden können und wenn man das kann, sind beide gleich sicher. Ich finde sogar, die Transparenz von ROS bietet zusätzliche Sicherheit - weil man Fehler eben auch viel leichter erkennt.

Und ich bin da ganz bei Dir: ROS ist nichts für jeden. Es geht mir auch nicht darum, jemanden zu überzeugen. Aber darum, zu ermuntern. Es hat schon Gründe, dass einige der langjährigen Netzwerker hier so viel mit Mikrotik machen. Wer zum Ergebnis kommt, dass das nicht seine Welt ist, wird anderswo glücklich. Und eine Sense ist fraglos ein prima Gerät.

Das ist imo ein nicht ganz korrekter Hinweis, denn von Mikrotik hattest Du doch einen Switch, den Du als Router missbrauchen wolltest, wenn ich das richtig erinnere. Dieser Vergleich aber hinkt dann aber doch ein Wenig

Viele Grüße, commodity

Die Welt ist bekanntlich voll von Klug###ern die genau wissen wie es geht. In der IT-Presse liest man dann bei wem gerade die Realität zuschlug.

Der Unterschied ist in meinen Augen aber eher – bezogen auf die OPNsense:
a) ein recht "modernes", funktionales Interface (und nein, die alphabetische Sortierung irgendwelcher Befehlsgruppierung von MT ist kein Interface – egal ob in der Winbox oder im Webinterface.

Der Sinn eines Interfaces ist in meinen Augen, Befehle sinnvoll, intuitiv, bzw. nach Anwendungsfall zu arrangieren. Und das ich den Kram auch bedienen kann, wenn ich mal 4 Wochen nicht am Switch/Router rumgefrickelt habe. Ich arbeite aber auch seit 1992 mit MacOS – da sind die Ansprüche an Technik evtl. entsprechend höher.

b) Die Plugins für diverse Erweiterungen die auf dieser Plattform auch nicht zwangsläufig an Grenzen kommen. Vielleicht schafft das MT ja auch irgendwann mit den Containern. Nur eben nicht "Plug&Play" und ganz ehrlich, wenn Du z.B. den CRS oder nen MT-Einsteiger-Router mit 16 MB "FP" hast, wird das auch nix (von CPU, RAM, ... abgesehen). Am Ende ist der CRS "immer ein Switch" und auch bei den Routern lieber gleich ne Nummer größer gehen und sich hier nicht erzählen lassen, dass die für 30 EUR schon für irgendwas taugen. Selbst ne 08/15 Fritze hat mittlerweile Dualcore mit 1400(?) Mhz.

c) Die "Unauffälligkeit" der Dokumentation. Ja, es gibt sie, aber vieles erschließt sich einfach, wenn man mit anderen Geräten schon gearbeitet hat.

Bei MT gibt es eine sehr detaillierte Doku und da stehen dann auch alle Ausnahmen in welcher HW-Konfiguration und mit welchen Chip-Modell diese Funktionalität jetzt doch nicht geht oder bis/ab welcher ROS-Version nicht funktioniert. Gerne mal um "neue Erkenntnisse" im Forum ergänzt. Das hilft Dir nur nix, weil Du die HW ja schon hast. Und Dir muss bei jeder Funktion klar sein, auf welche HW-Komponenten sich diese auswirkt – was dann auch zum Blockdiagramm führt.
Auch so ein Beispiel: Die User hier greifen zur @aquis Anleitung für vLANs. Jo, kann man machen. Nur in der Doku gibt es mind. 4 Arten vLANs anzulegen (und noch ein paar veraltete dazu) – je nach HW und das schon nur in den Case-Studies. HW offloading hier aber auch dort und ja auch da im Untermenue gibts nochmal Häkchen zu setzen

Wie gesagt – ich behaupte mal, dass 80% der Geräte, die nicht im "Automode" laufen nicht ihr volles Potenzial ausschöpfen. Aber die Leute hier im Forum sind da natürlich außen vor! Die sind ja mit ihrem Router auf "Du und Du" … Es soll aber auch welche geben, für die ein Router-BS kein Selbstzweck ist

Nein, ich habe einen 326er der zunächst hinter ner Fritze und mit RouterOS vLANs aufspannen sollte, weil zu lahm dann hinter EdgeOS mit SwitchOS lief, später dann mit RouterOS als alleiniger Router inkl. vLANs (in Deinen Augen missbraucht wurde). Währenddessen ergänzt um einen 328er und nen RB5009. Und vor all diesem Kram gabs zum spielen einen LTE WAP.

Und ob der Vergleich hinkt – ist auch so ne Frage. Die Einsteiger-Router, die hier auch gerne mal empfohlen werden, sind ähnlich mager ausgestattet.

Ach ja: Und jetzt läuft er wieder mit SwitchOS hinter der OPNsense ... a Traum, wie man hier sagt und der 5009er ist zum spielen ohne Bottleneck und versorgt bei Bedarf den LTE WAP für die Tesla-Updates

Und ein schönes Wochenende!
Viele Grüße, commodity

Nee, ne 10 Tage Urlaub

Danke
Und immer dem Bauchgefühl folgen. Soll ja für Dich passen
finde ich gut. Bitte aber an die Voraussetzungen denken: Steile Lernkurve - braucht Interesse/Motivation/Zeit
(auch den WAF beachten!)
Hilfe gibt's hier oder im Mikrotik-Forum

Viele Grüße, commodity

@Chrisi2501

Moin, guck mal in diesen (parallel-Thread) - da wurde schon einiges diskutiert. Bin ja im Urlaub 😉
Switch, OPNsense, APs, Patchpanel für Heimnetzwerk

Gibts soweit nix zu meckern. Welche Appliance du nimmst ist eher Geschmackssache.
https://www.amazon.de/Firewall-Appliance-Mikrotik-OPNsense-HUNSN-RS41-2- ...

Für ein Heimnetz allemal. Da die NICs alle HW und Checksum Offloading supporten ist da genügend Reserve. Mit den 2,5Gig Interfaces dann auch entsprechend skalierbar sowohl für WAN als auch LAN.

Kaufst Du Dir auch Deine Smartphones doppelt, für den Fall dass Du eines verlierst?!

Das ist ne 08/15 Hardware, welche Du gleichwertig von x Händlern, bei Amazon auch innert 24 Std. geliefert bekommst – zum dann aktuellen Stand. Aber Du kannst Dir natürlich auch 2 Jahre alte Einsteigerprozis auf Halde legen, falls Du die in 5Jahren mal benötigst. Wäre halt nur ungeschickt wenn dann z.B. 10 Gbit-Ports „üblich“ wären.

PS: Meine läuft auf nem Celeron von 2013 … das funktioniert, zeigt aber Limits - je nachdem welche Pakete und Internetbandbreite Du einsetzt

Wie sollen wir das sinnvoll beurteilen können OHNE deine persönlichen Security- und Verfügbarkeitsanforderungen und Präferenzen wirklich zu kennen. Das ist doch Raterei und hilft dir sicher nicht für eine Entscheidung.

Wie gesagt kann man alles machen. OPNsense kann man mit CARP in ein redundantes HA Cluster bringen und bei Mikrotik macht man das mit VRRP. Beide führt zum Erfolg wenn du 2 Geräte stacken willst.

"Probleme" ist natürlich ein sehr sehr weit gefasster Begriff. Was erwartest du für eine Antwort darauf??
Die Sternebewertung und Kommentare ist überdurchschnittlich positiv was den Betrieb mit einer Firewall angeht.

Kann ich Dir leider nicht sagen, ich habe keine Erfahrung mit den Arubas, denke aber der Kollege, der die in den Himmel lobt, wird schon wissen was er da tut

Schaue ich mir Datenblätter an, fällt mir auf, dass die NWA55 mehr Strom benötigen (at statt af), "mehr" MU-MIMO und max. Abstrahlleistung bieten. Ich würde mir mal auf YT entsprechende Videos ansehen. Gibt ja ausreichend "Influenzer", die diese Gerätschaften auch in der Praxis und ggfs. im Vergleich ausprobieren.

Ach ja ... bin seit Heute aus dem Urlaub zurück ... und erholt ... Danke!

War doch alles geklärt, oder gab's noch offene Fragen?? 🤔