11
Reicht ein Mikrotik Hex?
Guten Tag zusammen,
meine praktische Netzwerkerfahrung beschränkt sich bislang auf die Fritzbox, einige Dinge habe ich mir aber hoffentlich in den letzten Wochen angelesen.
Ich möchte eine neue Netzwerkumgebung aufbauen mit mehreren VLANs, die sowohl kabelgebunden als auch per WiFi erreichbar sein sollen. Manche der VLANs sollen nur mit Geräten in bestimmten anderen VLANs, aber nicht mit dem Inet reden dürfen. Anderen VLANs möchte ich temporär den Inet-Zugriff ermöglichen. Bestimmten Geräten möchte ich aber auf jeden Fall einzelne IP-Ranges sperren können (ein Multiroom-Lautsprecher muss nicht jede Statusänderung an die AWS-Cloud des Herstellers senden....)
Das Ganze scheint mit
- einem Mikrotik Hex
- einem L2-fähigen 19"-Switch
machbar, wenn ich mir Mikrotik VLAN Konfiguration ab RouterOS Version 6.41 anschaue. Entsprechende Firewall-Regeln muss ich natürlich hinbekommen, zur Not wird mich aber erstmal eine vorgeschaltete Fritzbox auf wenigstens dasselbe Schutzniveau wie heute heben.
Wenn ich mir aber verschiedene Artikel und Foren (nicht nur hier) durchlese, stolpere ich viel öfter über pfSense als über Mikrotik. Daher stelle ich mir jetzt die Frage: ist ein Mikrotik Hex das richtige für meine Pläne? Oder wäre ein anderes Setup viel sinnvoller? (Anfangs hatte ich ja an einen Switch mit statischen Routen gedacht, aber das wird nicht flexibel genug sein.)
- michacgn
meine praktische Netzwerkerfahrung beschränkt sich bislang auf die Fritzbox, einige Dinge habe ich mir aber hoffentlich in den letzten Wochen angelesen.
Ich möchte eine neue Netzwerkumgebung aufbauen mit mehreren VLANs, die sowohl kabelgebunden als auch per WiFi erreichbar sein sollen. Manche der VLANs sollen nur mit Geräten in bestimmten anderen VLANs, aber nicht mit dem Inet reden dürfen. Anderen VLANs möchte ich temporär den Inet-Zugriff ermöglichen. Bestimmten Geräten möchte ich aber auf jeden Fall einzelne IP-Ranges sperren können (ein Multiroom-Lautsprecher muss nicht jede Statusänderung an die AWS-Cloud des Herstellers senden....)
Das Ganze scheint mit
- einem Mikrotik Hex
- einem L2-fähigen 19"-Switch
machbar, wenn ich mir Mikrotik VLAN Konfiguration ab RouterOS Version 6.41 anschaue. Entsprechende Firewall-Regeln muss ich natürlich hinbekommen, zur Not wird mich aber erstmal eine vorgeschaltete Fritzbox auf wenigstens dasselbe Schutzniveau wie heute heben.
Wenn ich mir aber verschiedene Artikel und Foren (nicht nur hier) durchlese, stolpere ich viel öfter über pfSense als über Mikrotik. Daher stelle ich mir jetzt die Frage: ist ein Mikrotik Hex das richtige für meine Pläne? Oder wäre ein anderes Setup viel sinnvoller? (Anfangs hatte ich ja an einen Switch mit statischen Routen gedacht, aber das wird nicht flexibel genug sein.)
- michacgn
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 518003
Url: https://administrator.de/contentid/518003
Printed on: April 19, 2024 at 01:04 o'clock
11 Comments
Latest comment
Hallo,
Mikrotik ist schon eine harte Nummer.
Man muss sich wirklich gut mit der Materie auskennen.
Ich finde die Mikrotik gut weil sie günstig sind und wirklich alles können.
Aber ich verwende die nicht weil ich mich damit nicht genug auskennen.
Mit 2-3 Tutorials etwas hinzubekommen hilft bei einer Störung gar nichts.
Ich mag PFSense und OPNsense auf einem APU 2C4.
Das kann auch fast alles ist aber deutlich eingängiger.
Oder Unifi.
Für kleine Umgebungungen mit Klikibunti prima, aber in einigen Bereichen doch sehr eingeschränkt.
z.B. Dual-WAN und OpenVPN nur fummelig.
Sonst halt eine "richtige" Firewall mit UTM.
Stefan
Mikrotik ist schon eine harte Nummer.
Man muss sich wirklich gut mit der Materie auskennen.
Ich finde die Mikrotik gut weil sie günstig sind und wirklich alles können.
Aber ich verwende die nicht weil ich mich damit nicht genug auskennen.
Mit 2-3 Tutorials etwas hinzubekommen hilft bei einer Störung gar nichts.
Ich mag PFSense und OPNsense auf einem APU 2C4.
Das kann auch fast alles ist aber deutlich eingängiger.
Oder Unifi.
Für kleine Umgebungungen mit Klikibunti prima, aber in einigen Bereichen doch sehr eingeschränkt.
z.B. Dual-WAN und OpenVPN nur fummelig.
Sonst halt eine "richtige" Firewall mit UTM.
Stefan
1
Zudem der TO mit keinem Wort seine Internet Anbindung erwähnt. Da müssten wir dann so oder so unsere Kristallkugel rausholen.
Für alles was nicht mehr als 200Mbit ist und wenig VPN usw. reicht der hex völlig. Mit dem WinBox GUI Tool hat man ja auch Klicki Bunti. Bzw. Web GUI haben sie ja auch. Durch das recht umfangreiche Featureset quasi auf Cisco Niveau haben die MTs schon eine steile Lernkurve, das stimmt.
Genau deshalb kann man desweiteren keine hilfreiche Antwort auf die Frage geben. Ggf. ist dann je nach Kentnissen und Wissen in der Tat PFSense und OPNsense auf einem APU 2C4 die bessere Alternative. Who knows...?!
Für alles was nicht mehr als 200Mbit ist und wenig VPN usw. reicht der hex völlig. Mit dem WinBox GUI Tool hat man ja auch Klicki Bunti. Bzw. Web GUI haben sie ja auch. Durch das recht umfangreiche Featureset quasi auf Cisco Niveau haben die MTs schon eine steile Lernkurve, das stimmt.
Genau deshalb kann man desweiteren keine hilfreiche Antwort auf die Frage geben. Ggf. ist dann je nach Kentnissen und Wissen in der Tat PFSense und OPNsense auf einem APU 2C4 die bessere Alternative. Who knows...?!
1
Dem TO war an dieser Stelle nicht unbedingt bewusst, dass die Internet-Anbindung relevant sein könnte - schlicht und ergreifend, weil er bislang noch nie über etwas mit mehr als die derzeitgen 25 Mbit nachgedacht hat. Daher bittet er, zu entschuldigen, dass er diesen Parameter nicht erwähnt hat.
Danke für den Hinweis - evtl. sind in der neuen Umgebung tatsächlich 150 oder sogar 1000 Mbit möglich, was natürlich dann ein Faktor sein könnte. Wobei ich noch keine Idee habe, was ich mit mehr als 150 Mbit eigentlich machen sollte. Wenn ich das richtig sehe, sind über 200 Mbit aber auch mit einer Apu2d4 und pfSense nicht zu schaffen. Ich stelle den Aspekt für mich erstmal zurück, merke mir aber: alles über 200 Mbit werde ich auch zwischen internen Netzwerkpartnern (PC, NAS) nur erreichen, wenn der Traffic nicht durch den Router muss.
Bezgl. der Kenntnisse: ich werde nochmal in mich gehen, und schauen, ob ich alle Beispiele nachvollziehen kann. Erfahrung habe ich mit keiner Firewall und keinem Router außer der Fritzbox.
Merci!
- michacgn
Danke für den Hinweis - evtl. sind in der neuen Umgebung tatsächlich 150 oder sogar 1000 Mbit möglich, was natürlich dann ein Faktor sein könnte. Wobei ich noch keine Idee habe, was ich mit mehr als 150 Mbit eigentlich machen sollte. Wenn ich das richtig sehe, sind über 200 Mbit aber auch mit einer Apu2d4 und pfSense nicht zu schaffen. Ich stelle den Aspekt für mich erstmal zurück, merke mir aber: alles über 200 Mbit werde ich auch zwischen internen Netzwerkpartnern (PC, NAS) nur erreichen, wenn der Traffic nicht durch den Router muss.
Bezgl. der Kenntnisse: ich werde nochmal in mich gehen, und schauen, ob ich alle Beispiele nachvollziehen kann. Erfahrung habe ich mit keiner Firewall und keinem Router außer der Fritzbox.
Merci!
- michacgn
Hallo und danke für die Einschätzung!
Im direkten Vergleich klingt pfSense also leichter bedienbar.
Im direkten Vergleich klingt pfSense also leichter bedienbar.
nicht unbedingt bewusst, dass die Internet-Anbindung relevant sein könnte
Warum nicht ? Es ist doch völlig klar das davon direkt die Router Performance abhängig ist ! 
Im direkten Vergleich klingt pfSense also leichter bedienbar.
Nein, das wäre die falsche Schlussfolgerung.Ein MT kann nur erheblich mehr. Diese Fülle an Features überfordert und verwirrt Laien meist etwas. Von der Bedienbarkeit via GUI sind beide gleich.
1
Hi michacgn,
Auch bei der pfSense gehört eine riesige Portion Wissen und Einarbeitungszeit dazu, um die vernünftig zum Einsatz zu bringen.
@ aqui hat hier im Forum zwar zu diesen Themen einige recht gute Tutorials verfasst, das ändert aber nichts an der Tatsache, das Du Dich wirklich intensiv mit dem Thema befassen musst.
Zum anderen übernimmt die Fritzbox derzeit bei Dir sicher auch die Funktion des Modems und einer Telefonanlage, die weder ein Microtik, noch eine pfSense übernehmen kann.
Das bedeutet für Dich, entweder die Fritte mit den derzeitigen Funktionen in der Routerkaskade belassen und Microtik oder pfSense ans LAN der Fritte oder die Fritte ersetzen.
Dann brauchst Du aber ein separates Modem sowie eine extra Telefonanlage, welche die Funktionen der Fritte übernehmen.
Ein nicht ganz preiswertes Modell also.
Wenn Du es testweise zum experimentieren möchtest, bist Du mit einem Microtik, als der Fritte nachgeschaltetem Router/Firewall, mit 30-40 € wohl am preiswertesten bedient.
Entscheiden musst Du letztlich selbst, wie viel Zeit Du in das Thema "investieren" willst. Trivial ist es zumindest nicht.
Gruß orcape
Im direkten Vergleich klingt pfSense also leichter bedienbar.
Das mag alles sein, aber sieh das mal nicht so durch die rosarote Brille.Auch bei der pfSense gehört eine riesige Portion Wissen und Einarbeitungszeit dazu, um die vernünftig zum Einsatz zu bringen.
@ aqui hat hier im Forum zwar zu diesen Themen einige recht gute Tutorials verfasst, das ändert aber nichts an der Tatsache, das Du Dich wirklich intensiv mit dem Thema befassen musst.
Zum anderen übernimmt die Fritzbox derzeit bei Dir sicher auch die Funktion des Modems und einer Telefonanlage, die weder ein Microtik, noch eine pfSense übernehmen kann.
Das bedeutet für Dich, entweder die Fritte mit den derzeitigen Funktionen in der Routerkaskade belassen und Microtik oder pfSense ans LAN der Fritte oder die Fritte ersetzen.
Dann brauchst Du aber ein separates Modem sowie eine extra Telefonanlage, welche die Funktionen der Fritte übernehmen.
Ein nicht ganz preiswertes Modell also.
Wenn Du es testweise zum experimentieren möchtest, bist Du mit einem Microtik, als der Fritte nachgeschaltetem Router/Firewall, mit 30-40 € wohl am preiswertesten bedient.
Entscheiden musst Du letztlich selbst, wie viel Zeit Du in das Thema "investieren" willst. Trivial ist es zumindest nicht.
Gruß orcape
1
...merke mir aber: alles über 200 Mbit werde ich auch zwischen internen Netzwerkpartnern (PC, NAS) nur erreichen, wenn der Traffic nicht durch den Router muss.
@aqui: Ist das so gemeint?! Dass auch das lokale Netzwerk bei rund 200 Mbit dicht macht?! Oder war das vor allem auf die VPN-Fähigkeit bezogen?! Das würde mich im Jahr 2019 eher wundern. Die Marketing-Daten des Hex versprechen da eigentlich mehr - oder interpretiere ich die falsch?
1Ist das so gemeint?! Dass auch das lokale Netzwerk bei rund 200 Mbit dicht macht?!
Nein, natürlich nicht. Deine Comparison sagt das ja auch eindeutig.Hier geht es aber nicht nur um reines Routing sprich also reines IPv4 und ggf. v6 Forwarding sondern jedenfalls ein Port muss obendrauf noch NAT und PPPoE machen.
PPPoE ist ein Encapsulation Verfahren, sprich die Router CPU muss um den IP Frame noch ein PPPoE Frame dazubauen. Ferner muss sie vorher NAT machen, sprich die Absender IP abstrippen und im Paket dafür die eigene WAN IP einsetzen und sich den Quellport merken für die Sessions.
Sowas ist alles sehr CPU intensiv und erfordert entsprechende Power oder dedizierte ASIC Hardware. Deshalb gehen von den 1Gig nackter Port Speed schon was runter. Oben war sehr konservativ gerechnet. Break Even ist in der Tat so um die 400-500 Mbit. Also für die meisten Home xDSL immer noch allemal ausreichend.
2
Hallo Visucius, hallo aqui,
Naja, wie gesagt: bislang war ich mit 25 MBit glücklich, also habe ich hier keine Sorge gehabt. Ich habe mich erst auf Grund Deines Postings mal mit den Möglichkeiten am neuen Wohnort auseinandergesetzt, und frage mich seitdem, was ich denn mit den (wahrscheinlich gewählten) 150 Mbit alles machen kann. Von 400 oder 1000 ganz abgesehen.
Ich hatte mir nach acquis Antwort gestern die Performance mal unter https://mikrotik.com/product/RB750Gr3#fndtn-testresults angeschaut. Logischerweise hängt es von Paketgröße und Filteranzahl ab. Ich denke, dass ich mir hier erstmal keine Sorgen machen muss, auch im Intranet (bspw. zwischen PC und NAS) nicht.
Also: danke für die Einordnung!
nicht unbedingt bewusst, dass die Internet-Anbindung relevant sein könnte
Warum nicht ? Es ist doch völlig klar das davon direkt die Router Performance abhängig ist ! Naja, wie gesagt: bislang war ich mit 25 MBit glücklich, also habe ich hier keine Sorge gehabt. Ich habe mich erst auf Grund Deines Postings mal mit den Möglichkeiten am neuen Wohnort auseinandergesetzt, und frage mich seitdem, was ich denn mit den (wahrscheinlich gewählten) 150 Mbit alles machen kann. Von 400 oder 1000 ganz abgesehen.
Ist das so gemeint?! Dass auch das lokale Netzwerk bei rund 200 Mbit dicht macht?!
Nein, natürlich nicht. Deine Comparison sagt das ja auch eindeutig.Ich hatte mir nach acquis Antwort gestern die Performance mal unter https://mikrotik.com/product/RB750Gr3#fndtn-testresults angeschaut. Logischerweise hängt es von Paketgröße und Filteranzahl ab. Ich denke, dass ich mir hier erstmal keine Sorgen machen muss, auch im Intranet (bspw. zwischen PC und NAS) nicht.
Also: danke für die Einordnung!
Hallo orcape,
danke für die Hinweise. Sie treffen ziemlich genau das, was mir auch durch den Kopf geht:
- es wird ne Lernkurve dabei sein. Aber hey, das ESP8266-basierte Leuchtobjekt im Wohnzimmer hat auch ein paar Wochen gebraucht, und jetzt synchronisiert es die Farbe via Smarthome-Zentrale mit dem Rest der Lampen. Sprich: irgendwofür sind die freien Abende ja gut.
- derzeit regelt alles die Fritzbox. Ich werde im ersten Schritt mit einem Mikrotik Hex DAHINTER und einem passenden Switch anfangen, und mal schauen, ob ich damit ein paar VLANs aufgebaut und gesteuert kriege. Schlechter als vorher kann das Schutzniveau ja nicht sein, die Fritzbox ist ja in der Kaskade dann immernoch führend.
- falls es vorn und hinten nicht klappt, kann ich der pfSense eine Chance geben. Und wenn ich dann immernoch nicht weiterkomme, wird es wohl bei der Fritzbox als Router und dem Switch direkt dahinter bleiben müssen. Zur Sicherheit schaue ich schon nach einem L2+-Switch, der also ggf. statische Routen zwischen VLANs unterstützt. Damit kann ich ggf. immernoch grob das realisieren, was ich möchte.
Ob die Fritzbox langfristig bleibt, kann ich nicht sagen: derzeit ist sie in der Tat auch Modem und Telefonanlage und damit unersetzlich. Zukünftig kann es aber sein, dass ich ein langweiliges Kabelmodem mit TAE-Klemme hier stehen habe, und dann kann es in der Tat sein, dass der Mikrotik der erste Router hinter dem Kabelmodem sein wird. Das schaue ich mir aber dann an, wenn ich sehe, was mir zukünftig als Anschluss zur Verfügung steht. Schlimmstenfalls kann ich ja auch hinter das Kabelmodem erstmal die Fritzbox mit WAN an LAN1 hängen und damit die Routerkaskade wieder aufbauen.
Danke nochmal und viele Grüße
- michacgn
danke für die Hinweise. Sie treffen ziemlich genau das, was mir auch durch den Kopf geht:
- es wird ne Lernkurve dabei sein. Aber hey, das ESP8266-basierte Leuchtobjekt im Wohnzimmer hat auch ein paar Wochen gebraucht, und jetzt synchronisiert es die Farbe via Smarthome-Zentrale mit dem Rest der Lampen. Sprich: irgendwofür sind die freien Abende ja gut.
- derzeit regelt alles die Fritzbox. Ich werde im ersten Schritt mit einem Mikrotik Hex DAHINTER und einem passenden Switch anfangen, und mal schauen, ob ich damit ein paar VLANs aufgebaut und gesteuert kriege. Schlechter als vorher kann das Schutzniveau ja nicht sein, die Fritzbox ist ja in der Kaskade dann immernoch führend.
- falls es vorn und hinten nicht klappt, kann ich der pfSense eine Chance geben. Und wenn ich dann immernoch nicht weiterkomme, wird es wohl bei der Fritzbox als Router und dem Switch direkt dahinter bleiben müssen. Zur Sicherheit schaue ich schon nach einem L2+-Switch, der also ggf. statische Routen zwischen VLANs unterstützt. Damit kann ich ggf. immernoch grob das realisieren, was ich möchte.
Ob die Fritzbox langfristig bleibt, kann ich nicht sagen: derzeit ist sie in der Tat auch Modem und Telefonanlage und damit unersetzlich. Zukünftig kann es aber sein, dass ich ein langweiliges Kabelmodem mit TAE-Klemme hier stehen habe, und dann kann es in der Tat sein, dass der Mikrotik der erste Router hinter dem Kabelmodem sein wird. Das schaue ich mir aber dann an, wenn ich sehe, was mir zukünftig als Anschluss zur Verfügung steht. Schlimmstenfalls kann ich ja auch hinter das Kabelmodem erstmal die Fritzbox mit WAN an LAN1 hängen und damit die Routerkaskade wieder aufbauen.
Danke nochmal und viele Grüße
- michacgn
Hi michacgn,
ich denke Du bist damit auf dem richtigen Weg. Ob Microtik oder pfSense ist letztlich eine Preisfrage und wenn Du Kohle übrig hast, würde ich ein APU mit einer pfSense favorisieren. Denn auch wenn der Mikrotik mit seinem Router-OS für den Preis einfach unschlagbar ist, so bleibt es zumindest Gehäuse mäßig, eine Plastik-Kiste.
Such Dir hier im Forum @aqui 's Tutorials raus, damit hast Du eine perfekte Hilfestellung für Deine Versuche und gute Chancen das zu erreichen was Dir "vorschwebt".
Gruß orcape
ich denke Du bist damit auf dem richtigen Weg. Ob Microtik oder pfSense ist letztlich eine Preisfrage und wenn Du Kohle übrig hast, würde ich ein APU mit einer pfSense favorisieren. Denn auch wenn der Mikrotik mit seinem Router-OS für den Preis einfach unschlagbar ist, so bleibt es zumindest Gehäuse mäßig, eine Plastik-Kiste.
Such Dir hier im Forum @aqui 's Tutorials raus, damit hast Du eine perfekte Hilfestellung für Deine Versuche und gute Chancen das zu erreichen was Dir "vorschwebt".
Gruß orcape
