Netzwerkausrüstung für zu Hause
Guten Abend zusammen,
Ich weiß die Frage kommt hier häufiger auf und es gibt diversen Input.
Bin auch bereits einige Beiträge durch gegangen aber habe immer noch keine eindeutige Meinung.
Um was geht es?
Gerne würde ich mein Heimnetzwerk etwas strukturieren und sicherer aufbauen.
Es geht dabei um WLAN, LAN, WAN, Segmentierung
Leider bin ich von der Arbeit etwas verwöhnt, als Firewall kommt eine Cisco FirePower 3140 zum Einsatz und Switchmäßig Cisco Nexus oder Catalyst C9300. Für zu Hause wäre das aber mit Kanonen auf Spatzen geschossen und sprengt mein Budget.
Mit Mikrotik habe ich bereits gute Erfahrungen gemacht komme aber nicht so mit der CLI zurecht. Da bin ich zu sehr an Cisco / Brocade / Ruckus gewohnt.
Was wird gesucht:
- Firewall System, was ggf. auch die Interneteinwahl macht
Als Internetanschluss kommt zum 01.05.23 ein Glasfaseranschluss mit 1000 MBit/s down und 500 MBit/s Upload.
- 8 bis 24 Port Layer2 Manager Switch für den Anschluss von diversen Systemen.( NAS, Intel NUC Server, Raspberry PI, WLAN AP, Drucker, Notebook, Konsole)
- WLAN AccessPoint mit 2 & 5 GHz, nach Möglichkeit mit Roaming
Was ist an Hardware vorhanden / vorgeplant:
Als AccessPoint liegt bereits ein Mikrotik cap AC an, der mir ein ordentliches WLAN bereit stellt.
Eine FritzBox 7590 macht aktuell den DHCP und stellt die Internetverbindung her.
Auf dem Intel NUC läuft ein AD-Guard DNS, der mir Werbung blockiert und DNS filtert.
Als Switch habe ich einen Mikrotik CSS326-24G-2S+RM eingeplant.
Für die Firewall dachte ich an eine Netgate 4100 Appliance.
Was sind die Anforderungen?
- VLAN Segmentierung
- nach Hause telefonieren von Alexa, Fernseher, Saugroboter einschränken
- Gast WLAN getrennt vom restlichen Netz (AirPlay am Fernseher sollte dennoch funktionieren, Stichwort Bonjour Gateway)
- Logging von allen aufgerufenen Webseiten, etc.
Habt ihr ggf. andere Hardware Erfahrungen / Empfehlungen die ihr aussprechen könnt?
Budget Technisch wollte ich für Firewall, Switch und einen weiteren AP so ca. 1400€ ausgeben.
Natürlich kann ich eine PFSense nicht mit einer Cisco FTD vergleichen….aber etwas besseres als eine FritzBox muss her
Baumarkt Switche von Netgear und HP sagen mir aus persönlichen Gründen nicht zu! Ubiquity ist aufgrund des Controller Zeugs auch eher raus, ich favorisiere auch eine ordentliche CLI.
Zu gerne würde ich einen C9300-48-UN von der Arbeit mitnehmen, aber der ist laut, frisst Strom und ich glaube beim Arbeitgeber kommt das nicht gut, wenn ein solches Gerät „verloren“ geht.
Interessant wäre auch ein Switch mit mehreren 2,5 GBit/s Anschlüssen. Mein NAS hat einen solchen Port, der Tower PC als auch das Notebook. Aber dafür Switche zu finden scheint mir was aussichtslos.
Ebenso wäre mir sehr wichtig, dass die Firewall auch wirklich die Bandbreite von 1GBit/s Down und 500 MBit/s packt. Als VPN kommt ein WireGuard Server auf dem NUC zum Einsatz. Würde ich dann auch gerne über die Firewall abfackeln.
Optimaler Weise kann ich die neuen Geräte auch in mein Zabbix aufnehmen und sehe entsprechende Auslastungsdaten.
Ich wünsche euch einen schönen Abend und Danke für euren Rat.
Freundliche Grüße
Ich weiß die Frage kommt hier häufiger auf und es gibt diversen Input.
Bin auch bereits einige Beiträge durch gegangen aber habe immer noch keine eindeutige Meinung.
Um was geht es?
Gerne würde ich mein Heimnetzwerk etwas strukturieren und sicherer aufbauen.
Es geht dabei um WLAN, LAN, WAN, Segmentierung
Leider bin ich von der Arbeit etwas verwöhnt, als Firewall kommt eine Cisco FirePower 3140 zum Einsatz und Switchmäßig Cisco Nexus oder Catalyst C9300. Für zu Hause wäre das aber mit Kanonen auf Spatzen geschossen und sprengt mein Budget.
Mit Mikrotik habe ich bereits gute Erfahrungen gemacht komme aber nicht so mit der CLI zurecht. Da bin ich zu sehr an Cisco / Brocade / Ruckus gewohnt.
Was wird gesucht:
- Firewall System, was ggf. auch die Interneteinwahl macht
Als Internetanschluss kommt zum 01.05.23 ein Glasfaseranschluss mit 1000 MBit/s down und 500 MBit/s Upload.
- 8 bis 24 Port Layer2 Manager Switch für den Anschluss von diversen Systemen.( NAS, Intel NUC Server, Raspberry PI, WLAN AP, Drucker, Notebook, Konsole)
- WLAN AccessPoint mit 2 & 5 GHz, nach Möglichkeit mit Roaming
Was ist an Hardware vorhanden / vorgeplant:
Als AccessPoint liegt bereits ein Mikrotik cap AC an, der mir ein ordentliches WLAN bereit stellt.
Eine FritzBox 7590 macht aktuell den DHCP und stellt die Internetverbindung her.
Auf dem Intel NUC läuft ein AD-Guard DNS, der mir Werbung blockiert und DNS filtert.
Als Switch habe ich einen Mikrotik CSS326-24G-2S+RM eingeplant.
Für die Firewall dachte ich an eine Netgate 4100 Appliance.
Was sind die Anforderungen?
- VLAN Segmentierung
- nach Hause telefonieren von Alexa, Fernseher, Saugroboter einschränken
- Gast WLAN getrennt vom restlichen Netz (AirPlay am Fernseher sollte dennoch funktionieren, Stichwort Bonjour Gateway)
- Logging von allen aufgerufenen Webseiten, etc.
Habt ihr ggf. andere Hardware Erfahrungen / Empfehlungen die ihr aussprechen könnt?
Budget Technisch wollte ich für Firewall, Switch und einen weiteren AP so ca. 1400€ ausgeben.
Natürlich kann ich eine PFSense nicht mit einer Cisco FTD vergleichen….aber etwas besseres als eine FritzBox muss her
Baumarkt Switche von Netgear und HP sagen mir aus persönlichen Gründen nicht zu! Ubiquity ist aufgrund des Controller Zeugs auch eher raus, ich favorisiere auch eine ordentliche CLI.
Zu gerne würde ich einen C9300-48-UN von der Arbeit mitnehmen, aber der ist laut, frisst Strom und ich glaube beim Arbeitgeber kommt das nicht gut, wenn ein solches Gerät „verloren“ geht.
Interessant wäre auch ein Switch mit mehreren 2,5 GBit/s Anschlüssen. Mein NAS hat einen solchen Port, der Tower PC als auch das Notebook. Aber dafür Switche zu finden scheint mir was aussichtslos.
Ebenso wäre mir sehr wichtig, dass die Firewall auch wirklich die Bandbreite von 1GBit/s Down und 500 MBit/s packt. Als VPN kommt ein WireGuard Server auf dem NUC zum Einsatz. Würde ich dann auch gerne über die Firewall abfackeln.
Optimaler Weise kann ich die neuen Geräte auch in mein Zabbix aufnehmen und sehe entsprechende Auslastungsdaten.
Ich wünsche euch einen schönen Abend und Danke für euren Rat.
Freundliche Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6248704035
Url: https://administrator.de/contentid/6248704035
Ausgedruckt am: 21.11.2024 um 12:11 Uhr
11 Kommentare
Neuester Kommentar
komme aber nicht so mit der CLI zurecht.
How come?? Die CLI Logik ist fast so wie bei Cisco. Aber bei Mikrotik gibts ja noch das WinBox Tool. Damit hat man dann ein gutes KlickiBunti GUI.Für die Firewall dachte ich an eine Netgate 4100 Appliance.
Besser wäre ein APU3 oder APU4. Gibts fertig oder als Kit. Oder gleich sowas oder sowas.und ich glaube beim Arbeitgeber kommt das nicht gut
Warum nimmst du dann nicht einen Cisco CBS250? Hat ein vollständiges Cisco CLI wie du es gewohnt bist. Aber mit dem Mikrotik machst du auch nix falsch.die Firewall auch wirklich die Bandbreite von 1GBit/s Down und 500 MBit/s packt.
Bei APU3 und 4 kein Thema!kann ich die neuen Geräte auch in mein Zabbix aufnehmen
Das können alle ausnahmslos.Als VPN kommt ein WireGuard Server auf dem NUC zum Einsatz.
Wäre völliger Unsinn und ein sinnloses und überflüssige Gerät, denn das kann die Firewall deutlich besser. Zudem ghören VPN niemals ins lokale Netz sondern bekanntlich immer in die Peripherie. Jemand der mit Firepower hantiert sollte das wissen?!PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Würde dann vermutlich PFSense drauf spielen und loslegen
Derzeit ist wegen der unsicheren Zukunft der CE Edition eher OPNsense empfehlenswert.was mich privat an Cisco etwas stört ist ggf. Die Support / Lizenz Politik.
Gibt es bei den CBS Modellen bekanntlich nicht. Dort spielen Lizenzen keine Rolle! Solltest du als Cisco Profi aber eigentlich auch wissen?!
Moinsen,
ich störe nur kurz mit einer kurzen Zwischenfrage:
warum die Empfehlung Apu statt Netgate 4100? Wenn sich der TE sogar schon mit mGBit fähigen switch-Anschaffungen auseinandersetzt, wäre doch das Netgate Teil ein (teure) Alternative, dafür aber u.a. mit 4 x 2,5 Gbit LAN und pfsense plus statt (mal wieder angeblich unsicherer weiterer) CE Edition...
Da ich selber auch gerade immer wieder am Überlegen bin, das alten Apu 2 Board hier in Rente zu schicken und mit der 4100 liebäugle an Einschätzungen dazu interessiert...
ich störe nur kurz mit einer kurzen Zwischenfrage:
warum die Empfehlung Apu statt Netgate 4100? Wenn sich der TE sogar schon mit mGBit fähigen switch-Anschaffungen auseinandersetzt, wäre doch das Netgate Teil ein (teure) Alternative, dafür aber u.a. mit 4 x 2,5 Gbit LAN und pfsense plus statt (mal wieder angeblich unsicherer weiterer) CE Edition...
Da ich selber auch gerade immer wieder am Überlegen bin, das alten Apu 2 Board hier in Rente zu schicken und mit der 4100 liebäugle an Einschätzungen dazu interessiert...
Du hast natürlich Recht was mGBit anbetrifft. Die Frage ist natürlich generell ob für ein Heimnetz ein Dual WAN Modell mit mGbit sinnvoll ist da doch überdimensioniert und man das Budget nicht besser in andere Heimnetz Infrastruktur investiert. Ein APU Kit ist zudem deutlich preiswerter und leistet zu 99% das gleiche.
Technisch hast du natürlich Recht, da spricht außer dem Preis (in Bezug auf Heimanwendung) nichts gegen die NetGate Appliance obwohl es in dem Umfeld eine 1100er oder 2100er auch tut. Verglichen damit wäre dann aber APU oder die Celeron Appliances oben die bessere Wahl sofern man keinen gesteigerten Wert auf mGbit legt.
Technisch hast du natürlich Recht, da spricht außer dem Preis (in Bezug auf Heimanwendung) nichts gegen die NetGate Appliance obwohl es in dem Umfeld eine 1100er oder 2100er auch tut. Verglichen damit wäre dann aber APU oder die Celeron Appliances oben die bessere Wahl sofern man keinen gesteigerten Wert auf mGbit legt.
Von einer APU kann ich nach meinen persönlichen Erfahrungen, die ich gemacht habe, nur abraten.
Die sind einfach zu langsam für die Geschwindigkeiten. Ich habe nie Linespeed hingekriegt, egal, was ich gemacht habe. Ein Umstieg auf eine IPU aus dem gleichen Haus, allerdings mit Intel Pentium 5405U 2.30GHz 2C/4T und 8GB RAM bestückt (und einer alten 120GB SSD), hat alle Geschwindigkeitsprobleme gelöst.
Die Kosten sind im Vergleich zur Netgate deutlich niedriger und man hat die Wahl beim OS. Ich bin bei OPNsense gelandet, das wird nach meinem persönlichem Empfinden besser gepflegt.
Die sind einfach zu langsam für die Geschwindigkeiten. Ich habe nie Linespeed hingekriegt, egal, was ich gemacht habe. Ein Umstieg auf eine IPU aus dem gleichen Haus, allerdings mit Intel Pentium 5405U 2.30GHz 2C/4T und 8GB RAM bestückt (und einer alten 120GB SSD), hat alle Geschwindigkeitsprobleme gelöst.
Die Kosten sind im Vergleich zur Netgate deutlich niedriger und man hat die Wahl beim OS. Ich bin bei OPNsense gelandet, das wird nach meinem persönlichem Empfinden besser gepflegt.
iPerf3 zeigt zumindestens bei APU3 und 4 ca. 950 Mbit/s Durchsatz bei mehreren parallelen Streams. Sowohl nacktes TCP und UDP Routing mit und ohne NAT als auch in Kombination mit PPPoE Encapsulation wo der Durchsatz geringfügig auf 930Mbit/s sinkt. Zumindestens bei der HW gibt es im IP Forwarding bis 1 Gig keine merklichen Einschränkungen.
Die Netgate 1100 und 2100 haben schwächere ARM CPUs schaffen aber laut Netgate ähnliche Forwarding Raten.
Der TO als Cisco Profi sollte so oder so immer einen Cisco 926-4P oder einen Cisco 1112-8P bevorzugen. Da hat er sein gewohntes Umfeld und eine Top SPI Zonen Firewall gleich mit an Bord! 1Gig Wirespeed Durchsatz (oder mehr je nach Modell) inklusive. 😉
Die Netgate 1100 und 2100 haben schwächere ARM CPUs schaffen aber laut Netgate ähnliche Forwarding Raten.
Der TO als Cisco Profi sollte so oder so immer einen Cisco 926-4P oder einen Cisco 1112-8P bevorzugen. Da hat er sein gewohntes Umfeld und eine Top SPI Zonen Firewall gleich mit an Bord! 1Gig Wirespeed Durchsatz (oder mehr je nach Modell) inklusive. 😉
Wir können NRG Systems und deren IPUs wärmstens empfehlen:
https://www.nrg-systems.de/
Leistung ohne Ende, wenig Wärme und geringer Stromverbrauch.
Darauf pfSense oder OpenSense, je nach Geschmack.
https://www.nrg-systems.de/
Leistung ohne Ende, wenig Wärme und geringer Stromverbrauch.
Darauf pfSense oder OpenSense, je nach Geschmack.
Kein Feedback vom TO ist natürlich auch ein Feedback!
Kann man dann nur hoffen das er seinen Thread hier dann auch als erledigt schliesst sollte es das denn gewesen sein?!
Kann man dann nur hoffen das er seinen Thread hier dann auch als erledigt schliesst sollte es das denn gewesen sein?!