Pimp up my network
Hallo allerseits,
ich möchte mich daran machen, ein reichlich in die Tage gekommenes Netzwerk auf einen halbwegs aktuellen Stand zu bringen ohne dabei ein Vermögen auszugeben. Die "Modernisierung" soll dabei schrittweise erfolgen um längere Down-Zeiten zu vermeiden.
Zu der Aktion habe ich mir einige Gedanken gemacht. Allerdings bin ich nicht direkt vom Fach, so dass ich entsprechend eine gewisse Unterstützung benötige.
Der erste Gedanke hierzu war, APs mit MSSID/VLAN anzuschaffen. Bei der Suche nach bezahlbaren und brauchbaren APs bin ich aber über Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik gestolpert. Wenn ich die Mikrotik-Lösung richtig verstanden habe, würde hier eine einzige SSID reichen und die VLAN-Zuordnung könnte zB anhand der MAC erfolgen. Mit herkömmlichen MSSID-fähigen APs müsste man hierzu (sofern ich das Konzept richtig verstanden habe) wohl für jedes angeschaffte Gerät eine eigene SSIDs vergeben, was in einer unübersichtlichen Unmenge an SSIDs ausarten und früher oder später auch an das Limit der unterstützten SSIDs der APs anschlagen würde.
Ein weiterer Vorteil dieser Mikrotik-Lösung wäre wohl auch, dass jeder AP auch gleichzeitig einen VLAN-fähigen "Satelliten-Switch" bereitstellen könnte. Umgekehrt würde jeder VLAN-fähige "Satelliten-Switch" auch gleich einen AP bereitstellen können (sofern sinnvoll).
Ein wenig Bammel habe ich aber bei der Konfiguration dieser Mikrotik-Teile. Das ist wohl eine eigene Script-Sprache, die mir sehr umfangreich zu sein scheint.
Auch die Auswahl an Hardware finde ich sehr unübersichtlich. Da gibt es wohl cAP, hAP, mAP. Das dann auch noch optional als lite und ggf noch weiteren angeklebten Buchstaben. Gibt es irgendwo eine Erläuterung der Systematik der Bezeichnungen oder eine Vergleichstabelle? Meine Wunschvorstellung wäre:
was ich auf die Schnelle preiswertes gefunden habe:
Der kleinste, der obigen Vorstellungen zu entsprechen scheint wäre wohl der hAP lite tower?
Beim Kauf muss man wohl auch darauf achten, ob eine Lizenz enthalten ist oder ob man diese separat dazukaufen muss? Manchmal steht dabei, dass L4 enthalten ist, bei anderen Angeboten steht hierzu nichts?
Passen die Grundgedanken hier soweit, oder habe ich hier grobe Denkfehler eingebaut?
Hier stellt sich mir zunächst die Frage, ob der Switch L3-Routing unterstützen muss/sollte.
Wie darf ich mir das Routing mit einem L3-switch vorstellen? Dass das schneller geht als alles über die PfSense und wieder zurück zu schieben ist mir schon klar. Aber wie schaut das in der Praxis im Detail aus? Läuft das parallel zum Router so dass der Switch die grosse Masse an einfachen (statischen?) Traffic verarbeitet und die komplexeren Sachen von Router übernommen werden? Oder würde man den Router ausmustern und das Rouing komplett auf den Switch packen? Sind die L3-Funktionalitäten mit zB pfSense vergleichbar?
Unschlüssig bin ich mir bei der Frage, ob der Switch PoE-Speisung haben muss oder ob ich das evtl durch Injektoren abdecke. PoE-Speisung bedeutet ja immer einen erheblichen Preisaufschlag, und one Lüfter geht da grundsätzlich nichts.
Vielen Dank erst mal an alle die die Geduld aufgebracht haben bis hier zu lesen.
Bitte um Kommentare, ob ich auf dem richtigen Weg bin, was ich übersehen und/oder falsch erstanden habe und was ich evtl besser und/oder anders machen sollte.
ich möchte mich daran machen, ein reichlich in die Tage gekommenes Netzwerk auf einen halbwegs aktuellen Stand zu bringen ohne dabei ein Vermögen auszugeben. Die "Modernisierung" soll dabei schrittweise erfolgen um längere Down-Zeiten zu vermeiden.
Zu der Aktion habe ich mir einige Gedanken gemacht. Allerdings bin ich nicht direkt vom Fach, so dass ich entsprechend eine gewisse Unterstützung benötige.
aktueller Stand:
Provider:
- Vodafone Breitband: über Fritzbox am WAN-Port der PfSense
- Telekom Glasfaser: Modem geht direkt an OPT-Port der PfSense. PPPoE der Telekom über VLAN7 macht die PfSense
- Kommentar: failover funktioniert ganz gut. VOIP macht Probleme, das gehört aber wohl in einen separaten Thread.
Router:
- PfSense auf APU-Hardware. Hardware ist nicht die aktuellste, hat aber 3 GBit-Ports.
- Kommentar: Hier sehe ich keinen akuten Nachholbedarf. Ich denke, das kann vorerst mal so bleiben.
Switch:
- Level1 gsw2472tgx 24port 10/100 vlan-fähig, hängt mit Trunk am LAN-Port der PfSense
- Kommentar: Der Switch ist schon ein wenig angestaubt, aber tut soweit. Soll mittelfristig durch was aktuelleres ersetzt werden. Vorerst bleibt der aber erst mal, weil ich nicht 10 Baustellen auf einmal aufmachen möchte.
WLAN:
- Derzeit mehrere TP-Link Archer-C80 im AP-Modus, alle auf dieselben SSIDs gesetzt damit Roaming funktioniert (weil mehrere Stockwerke mit viel Stahbeton).
- Kommentar: Das war ganz klar ein Fehlkauf. Hier drückt der Schuh auch am Meisten. Die Dinger können die Clients nicht auf VLANs verteilen, somit gammeln alle WLAN-Clients im gleichen VLAN herum. Da heutzutage jedes neu angeschaffte Gerät nur mit WLAN+App+Cloud halbwegs brauchbar funktioniert, ist das eine enorm suboptimale Konstellation. Idealerweise würde jedes Gerät mit App+Cloud-Zwang ein eigenes VLAN bekommen. (so zumindest meine naive Vorstellung)
Mein derzeitiger Plan
Erster Schritt: WLAN
APs anschaffen mit der Möglichkeit, Clients in unterschiedliche VLANs packen zu können. Heutzutage kommt ja jedes Brotmesser mit Zwang zu App+Cloud über WLAN daher. Daher halte ich es für sinnvoll, jedes Gerät das nach App+Cloud verlangt in ein eigenes VLAN einsperren zu können.Der erste Gedanke hierzu war, APs mit MSSID/VLAN anzuschaffen. Bei der Suche nach bezahlbaren und brauchbaren APs bin ich aber über Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik gestolpert. Wenn ich die Mikrotik-Lösung richtig verstanden habe, würde hier eine einzige SSID reichen und die VLAN-Zuordnung könnte zB anhand der MAC erfolgen. Mit herkömmlichen MSSID-fähigen APs müsste man hierzu (sofern ich das Konzept richtig verstanden habe) wohl für jedes angeschaffte Gerät eine eigene SSIDs vergeben, was in einer unübersichtlichen Unmenge an SSIDs ausarten und früher oder später auch an das Limit der unterstützten SSIDs der APs anschlagen würde.
Ein weiterer Vorteil dieser Mikrotik-Lösung wäre wohl auch, dass jeder AP auch gleichzeitig einen VLAN-fähigen "Satelliten-Switch" bereitstellen könnte. Umgekehrt würde jeder VLAN-fähige "Satelliten-Switch" auch gleich einen AP bereitstellen können (sofern sinnvoll).
Ein wenig Bammel habe ich aber bei der Konfiguration dieser Mikrotik-Teile. Das ist wohl eine eigene Script-Sprache, die mir sehr umfangreich zu sein scheint.
Auch die Auswahl an Hardware finde ich sehr unübersichtlich. Da gibt es wohl cAP, hAP, mAP. Das dann auch noch optional als lite und ggf noch weiteren angeklebten Buchstaben. Gibt es irgendwo eine Erläuterung der Systematik der Bezeichnungen oder eine Vergleichstabelle? Meine Wunschvorstellung wäre:
- WLAN (2.4+5GHz)
- 4..8 GBit Ports
- optional speisbar über PoE
- evtl mit PoE-Speisung
- klein, so dass man es gut irgendwo verstauen kann
- und natürlich preiswert, weil ich davon eine grössere Anzahl benötigen würde.
was ich auf die Schnelle preiswertes gefunden habe:
- mAP lite: nur ein Port, somit nicht gleichzeitig als "Satellit-Switch" nutzbar
- mAP: immerhin zwei Ports, aber kein 5GHz und auch kein GBit
- hAP: vier Ports, aber wieder kein 5GHz und auch kein GBit
Der kleinste, der obigen Vorstellungen zu entsprechen scheint wäre wohl der hAP lite tower?
Beim Kauf muss man wohl auch darauf achten, ob eine Lizenz enthalten ist oder ob man diese separat dazukaufen muss? Manchmal steht dabei, dass L4 enthalten ist, bei anderen Angeboten steht hierzu nichts?
Passen die Grundgedanken hier soweit, oder habe ich hier grobe Denkfehler eingebaut?
Zweiter Schritt: Switch
Den angestaubten Switch durch was aktuelleres ersetzen. Das muss kein High-Tech sein.Hier stellt sich mir zunächst die Frage, ob der Switch L3-Routing unterstützen muss/sollte.
Wie darf ich mir das Routing mit einem L3-switch vorstellen? Dass das schneller geht als alles über die PfSense und wieder zurück zu schieben ist mir schon klar. Aber wie schaut das in der Praxis im Detail aus? Läuft das parallel zum Router so dass der Switch die grosse Masse an einfachen (statischen?) Traffic verarbeitet und die komplexeren Sachen von Router übernommen werden? Oder würde man den Router ausmustern und das Rouing komplett auf den Switch packen? Sind die L3-Funktionalitäten mit zB pfSense vergleichbar?
Unschlüssig bin ich mir bei der Frage, ob der Switch PoE-Speisung haben muss oder ob ich das evtl durch Injektoren abdecke. PoE-Speisung bedeutet ja immer einen erheblichen Preisaufschlag, und one Lüfter geht da grundsätzlich nichts.
Vielen Dank erst mal an alle die die Geduld aufgebracht haben bis hier zu lesen.
Bitte um Kommentare, ob ich auf dem richtigen Weg bin, was ich übersehen und/oder falsch erstanden habe und was ich evtl besser und/oder anders machen sollte.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 34231439519
Url: https://administrator.de/contentid/34231439519
Ausgedruckt am: 21.11.2024 um 21:11 Uhr
12 Kommentare
Neuester Kommentar
Achte bei Mikrotik Wifi darauf, dass die ggfs. unter der gleichen Capsman-Version laufen (Controller).
https://www.youtube.com/watch?v=AkBIQxi-VKs
https://www.youtube.com/watch?v=r2OxOYM0IlQ
https://www.youtube.com/watch?v=37aff6d14Xk
PS: Ich würde mich nur mehr auf die ax-Versionen konzentrieren, weil die alte HW zu wenig Speicher hat um ein upgrade zu erhalten. Die würde ich neu nicht mehr kaufen. Und dann - mit Deinen Portanforderungen - wird die Auswahl eh überschaubar
https://www.youtube.com/watch?v=AkBIQxi-VKs
https://www.youtube.com/watch?v=r2OxOYM0IlQ
https://www.youtube.com/watch?v=37aff6d14Xk
PS: Ich würde mich nur mehr auf die ax-Versionen konzentrieren, weil die alte HW zu wenig Speicher hat um ein upgrade zu erhalten. Die würde ich neu nicht mehr kaufen. Und dann - mit Deinen Portanforderungen - wird die Auswahl eh überschaubar
Das ist wohl eine eigene Script-Sprache…
Nein das ist Quatsch! Die Teile können sowohl über ein stinknormales WebGui per Browser als auch über das grafische WinBox Setup Programm per Klicki Bunti konfiguriert werden. Das Kommando CLI ist dann was für etwas erfahrenere User.Du musst also auch bei Mikrotik nicht auf dein gewohntes FRITZ!Box Look and Feel verzichten und wer eine pfSense bändigen kann muss keine Angst haben.
kann man ab RouterOS 7.13 beide capsman-Versionen parallel laufen lassen. Sollte dann doch kein Problem darstellen?
Das ist in der Tat richtig obwohl du bei einer Erneuerung aber so oder so wohl nur auf neue AP Hardware mit ac2 oder ax2/ax3 setzen würdest wo sich das Thematik dann per se gar nicht erst stellt. 😉Zitat von @FailedNet:
Macht es Sinn, die WLAN-Clients wie beschrieben in eigene VLANs zu packen, oder ist das übertriebene Paranoia?
Das ist eher eine Frage von Aufwand und Nutzen.Macht es Sinn, die WLAN-Clients wie beschrieben in eigene VLANs zu packen, oder ist das übertriebene Paranoia?
Ich würde ja am liebsten jedes Gerät in ein eigenes VLAN packen.
Das ist aber eher quatsch.
Je mehr VLANs umso höher der Aufwand und umso höher die Chance dass man was falsch macht oder vergisst.
Das kann zu Fehlern und zu Löchern führen. Also eher nicht übertreiben.
Es spricht aber nichts dagegen verschiedene Grupen in getrennte VLANs zu packen: Gäste, Famile, TVs, Kameras, IoTs, etc. Ich komme hier im Home-Office auf 7 glaube ich.
Wie darf ich mir das Routing mit einem L3-switch vorstellen?
Ich habe hier zum glück einen kleinen Server (Intel Xeon) mit 2x 10GBit Netzwerk und ESXi auf dem eine PFSense als VM läuft. Das ist mir schnell genug.
Es ist ja nur der interne Router. Er soll ja gar keine Firewall sein. Deshalb finde ich, dass eine VM OK ist.
Stefan
Vielleicht kann ja jemand noch zu dieser Frage was schreiben?
Einfach mal die Suchfunktion benutzen! VLAN Routing mit einem Layer 3 Switch
Stell es dir wie einen Layer 2 Switch vor der gleichzeitig einen Router an Bord hat der in jedem VLAN ein IP Interface hat und so zwischen den physisch getrennten L2 VLANs routen kann. 😉
Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?