Router gesucht (Mikrotik, OPNsense)
Hallo,
ich komme von pfSense und würde gerne OPNsense als moderneres (von pfSense geforktes) System ausprobieren und Erfahrungen sammeln. Ist für SOHO oder Heimanwendung gedacht und noch keine Hardware vorhanden. Ich dachte mir ich installiere OPNsense als VM auf meinem PVE 8.x aber evtl. macht es Sinn sich eine neue Hardware hierzu zu kaufen. Aktuell habe ich keinen "gescheiten" L3-Router, lediglich 'nen unmanaged 08-15 Gigabitswitch und Fritzbox.
Ziel ist es, VLAN-fähig zu werden durch Nutzung verschiedener VLANs (prod, test, lab, guests, dmz). Soll multi-wan wähig sein und policy-based-routing eingerichtet werden, das kann alles OPNsense. Ich bin mir nur nicht sicher, ob und welche Hardware ich benötige. Der Switch muss definitiv durch einen moderneren und VLAN-fähigen switch ersetzt werden, das ist klar. Beim Router überlege ich ob ich es durch meinen bisherigen Hypervisor abfertige, aber es ist ein Intel NUC mit nur einer physischen Netzwerkkarte. Ich könnte eine zusätzliche USB-2.5Gbe verwenden für das zweite Netzwerkinterface, skeptisch jedoch wegen Performance. Das Gerät sollte möglichst wenig verbrauchen, kleinen Formfaktor haben (also ähnlich Intel NUC oder Mini-PCs, kein 19" !) und dennoch performant sein.
Könnt ihr mir eine Richtung geben wonach ich schauen sollte oder konkrete Modelle hierzu empfehlen?
ich komme von pfSense und würde gerne OPNsense als moderneres (von pfSense geforktes) System ausprobieren und Erfahrungen sammeln. Ist für SOHO oder Heimanwendung gedacht und noch keine Hardware vorhanden. Ich dachte mir ich installiere OPNsense als VM auf meinem PVE 8.x aber evtl. macht es Sinn sich eine neue Hardware hierzu zu kaufen. Aktuell habe ich keinen "gescheiten" L3-Router, lediglich 'nen unmanaged 08-15 Gigabitswitch und Fritzbox.
Ziel ist es, VLAN-fähig zu werden durch Nutzung verschiedener VLANs (prod, test, lab, guests, dmz). Soll multi-wan wähig sein und policy-based-routing eingerichtet werden, das kann alles OPNsense. Ich bin mir nur nicht sicher, ob und welche Hardware ich benötige. Der Switch muss definitiv durch einen moderneren und VLAN-fähigen switch ersetzt werden, das ist klar. Beim Router überlege ich ob ich es durch meinen bisherigen Hypervisor abfertige, aber es ist ein Intel NUC mit nur einer physischen Netzwerkkarte. Ich könnte eine zusätzliche USB-2.5Gbe verwenden für das zweite Netzwerkinterface, skeptisch jedoch wegen Performance. Das Gerät sollte möglichst wenig verbrauchen, kleinen Formfaktor haben (also ähnlich Intel NUC oder Mini-PCs, kein 19" !) und dennoch performant sein.
Könnt ihr mir eine Richtung geben wonach ich schauen sollte oder konkrete Modelle hierzu empfehlen?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 672203
Url: https://administrator.de/forum/router-gesucht-mikrotik-opnsense-672203.html
Ausgedruckt am: 10.05.2025 um 19:05 Uhr
38 Kommentare
Neuester Kommentar
Hier die Daten:
https://utm-shop.de/firewall/sophos/sophos-xg/xg-135/hardware-appliance/ ...
4 VPN-User sind -denke ich - eher nicht das Limit, eher der Uplink.
Installation ist kein Problem, läuft sehr smooth. Die sg und xg v3 ist auch die erste Generation mit nem SFP-Port (leider kein SFP+)
https://utm-shop.de/firewall/sophos/sophos-xg/xg-135/hardware-appliance/ ...
4 VPN-User sind -denke ich - eher nicht das Limit, eher der Uplink.
Installation ist kein Problem, läuft sehr smooth. Die sg und xg v3 ist auch die erste Generation mit nem SFP-Port (leider kein SFP+)
Als Vorlage könntest du hier schauen:
https://www.thomas-krenn.com/de/produkte/einsatzzweck/opnsense-firewalls ...
Betrachtet auf die Lebensdauer der Hardware, min. 5 Jahre, sollte man ggf. etwas mehr Ressourcen einplanen bzw. die Nachrüstbarkeit berücksichtigen und die Plattform danach ausrichten.
Gibt immer wie Mini PCs Richtung Firebat T8 Plus, kosten 110€, haben zwei LAN Schnittstellen.
Umziehen auf größere Hardware lässt ich dank Backup/Restore im Handumdrehen.
https://www.thomas-krenn.com/de/produkte/einsatzzweck/opnsense-firewalls ...
Betrachtet auf die Lebensdauer der Hardware, min. 5 Jahre, sollte man ggf. etwas mehr Ressourcen einplanen bzw. die Nachrüstbarkeit berücksichtigen und die Plattform danach ausrichten.
Gibt immer wie Mini PCs Richtung Firebat T8 Plus, kosten 110€, haben zwei LAN Schnittstellen.
Umziehen auf größere Hardware lässt ich dank Backup/Restore im Handumdrehen.
aber es ist ein Intel NUC mit nur einer physischen Netzwerkkarte.
Das ist für die OPNsense kein Thema und als VM kannst du das auch mit nur einem einzigen Adapter laufen lassen, zu mindestens für den Test.Guckst du hier:
OPNsense/pfSense unter Proxmox
Zwingende Voraussetzung um das umzusetzen ist dann VLAN fähiger Switch. Den bekommst du aber schon für 20€ bei den üblichen Versendern.
Beachte die entsprechenden Settings für eine Router bzw. Firewall VM auf einem Hypervisor:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Die kannst du natürlich problemlos weiternutzen. Entweder in einer Kaskade mit doppeltem NAT und Firewalling so wie es im o.a. Proxmox Beispiel zu sehen ist oder auch besser und effizienter im Bridged Mode.
Für Letzteres reicht die Fritte ja dann direkt den Provider Traffic an die Firewall durch. Dafür musst du dann ein separates, isoliertes VLAN schaffen weil dort dann ungeschützter Internet Traffic von der Fritte an den Firewall WAN Port transportiert wird den du von deinem lokalen Traffic natürlich fernhalten musst. Aber auch das schafft ein 20€ VLAN Switch natürlich mit Links!
BTW ist der oben zitierte Link zur OPNsense/pfSense wirklich sehr gut geschrieben! Das ist wirklich eine Referenz, auch hier.
Für Letzteres reicht die Fritte ja dann direkt den Provider Traffic an die Firewall durch. Dafür musst du dann ein separates, isoliertes VLAN schaffen weil dort dann ungeschützter Internet Traffic von der Fritte an den Firewall WAN Port transportiert wird den du von deinem lokalen Traffic natürlich fernhalten musst. Aber auch das schafft ein 20€ VLAN Switch natürlich mit Links!
BTW ist der oben zitierte Link zur OPNsense/pfSense wirklich sehr gut geschrieben! Das ist wirklich eine Referenz, auch hier.
da er unmanaged ist und kein VLAN beherrscht.
Richtig! Das wäre der allererste wichtige Schritt um hier eine arbeitsfähige Hardware für die grundlegende Netz Infrastruktur zu haben für das was du vorhast.Was die obige Auswahl anbetrifft kannst du 3. gleich streichen, denn das ist utopisch, denn so ein "Wundergerät" gibt es nicht. Zu mindestens was die Integration von OPNsense oder pfSense angeht. Aber auch wenn wäre so eine Konzentration in einem einzigen Gerät eher kontraproduktiv. (Single Point of Failure)
Was 1. und 2 anbetrifft gibt es keine wirkliche goldene Regel. Das Thema virtualisierte Firewall hat zu Recht auch viele Kritiker wenn es um Security geht. Diese Entscheidung ist von mehreren Faktoren abhängig wie eigene Policy, Vorlieben, Anforderungen die man als Externer nicht oder nur schwer beurteilen kann. Da musst du selber in dich gehen was für deine Belange am besten ist.
Einen besten Weg gibt es da nicht. Wenn Security der Tiebreaker ist dann spricht mehr für Punkt 2. Bei Kompaktheit und Flexibilität 1.
Die CRS-Serie von Mikrotik kommt zumindest teilw. ohne Lüfter aus.
Beim oben genannten SG/XG 125 haben zumindest die v3 nen ungeregelten Lüfter. Ehrlicher Weise aber nur wegen des Gehäuses. Bei mir lief der wochenlang auf dem Schreibtisch ohne Gehäuse und die CPU-Temperatur war niedriger als später im Rack mit Gehöuse.
Beim oben genannten SG/XG 125 haben zumindest die v3 nen ungeregelten Lüfter. Ehrlicher Weise aber nur wegen des Gehäuses. Bei mir lief der wochenlang auf dem Schreibtisch ohne Gehäuse und die CPU-Temperatur war niedriger als später im Rack mit Gehöuse.
EDIT: Aus purer Neugier. Wie wäre dieser Mikrotik im Vergleich zur Sopho XG135? Kann man darauf überhaupt OPNsense installieren oder ist man gezwungen die Mikrotik Router OS zu nutzen ?
Der ist prima ... hängt in der PoE-Version bei mir über der XG135/OPNsense. Reicht locker für Soho ... läuft aber kein OPNsense drauf. Für OPNsense brauchste im Prinzip irgendwas Intel-kompatibles – im Prinzip etwas, wo Du auch Windows zum laufen bringen könntest. Die ganzen ARMs usw. fallen da mW. raus.
Switch: Dafür täts eigentlich schon der lüfterlose CRS326-24G-2S+RM (hängt bei mir über dem RB5009) im Rack. Hat 2 SFP+Ports für Deine 2,5 Gbit/s Transceiver. Gabs vor 3 Jahren noch für 160 EUR
Willste PoE, wäre auch der CRS328-24P-4S+RM noch ne Option - der hat 4 SFP+ Ports, dafür aber Lüfter. Beide haben ne sehr geringe Einbautiefe.
Achtung: Nur zur Info, ne OPNSense kennt in dem Sinne keine echten AccessPorts mit PVID, du kannst zwar Bridges erstellen, aber in Kombination mit VLANs hast du dann wieder Einschränkungen. Du kannst auch ein und das selbe VLAN wie sonst üblich tagged nicht auf zwei Ports legen.
Ne OPNSense macht also auf einem Switch mit vielen Ports nur begrenzt Sinn, wenn da dran direkt Endgeräte in verschiedene VLANs sollen. Ne OPNSense bindet man üblicherweise per LAG an nen separaten Switch an zu dem alle VLANs tagged über das LAG zur OPNSense gehen.
RouterOS dagegen, hat diese Einschränkung nicht, da bist du vollkommen frei was solche Konfigurationen betrifft.
Set Up a Fully Functioning Home Network Using OPNsense
Ne OPNSense macht also auf einem Switch mit vielen Ports nur begrenzt Sinn, wenn da dran direkt Endgeräte in verschiedene VLANs sollen. Ne OPNSense bindet man üblicherweise per LAG an nen separaten Switch an zu dem alle VLANs tagged über das LAG zur OPNSense gehen.
RouterOS dagegen, hat diese Einschränkung nicht, da bist du vollkommen frei was solche Konfigurationen betrifft.
Set Up a Fully Functioning Home Network Using OPNsense
Zitat von @panguu:
@BiberMan: du meinst jetzt das Bridging, oder? Ich würde Bridging im layer2 Bereich so oder so auf dem managed switch durchführen, schon aus Gründen der Performance.
Die Anbindung der Clients an die VLANs meine ich, ja. Dann alles gut.@BiberMan: du meinst jetzt das Bridging, oder? Ich würde Bridging im layer2 Bereich so oder so auf dem managed switch durchführen, schon aus Gründen der Performance.
Wollte das hier nur noch mal erwähnen, da sich hier schon mal jemand etwas ähnliches aufbauen wollte und dann bei OPNSense über dieses Detail gestolpert ist.
Ich werde mir 'nen Sophos XG135 kaufen, um darauf OPNsense zu installieren.
Dazu ist das lesenswert:https://www.heise.de/ratgeber/Gebrauchter-Sophos-Hardware-neues-Leben-ei ...
Mit den beiden oben zitierten Cisco Switches machst du nix falsch.
Der RB5009er ist ein Router und kein Switch! Wenn du eine Firewall hast benötigst du logischerweise keinen Router mehr sondern einen Switch.
Jeder kennt doch jemanden der einen kennt... 

Der CBS ist ein einfacher SoHo Switch und der Catalyst ein full featured Premium Switch.
Das ist so als wenn dich jemand fragt ob du den Vorjahres Dacia Duster willst oder einen 10 Jahre alten Porsche mit Vollausstattung...
Wie würdest DU dich denn da entscheiden?!
Welchen Cisco würdest du empfehlen?
Du lässt hier einem die Wahl zw. Äpfel und Birnen. Der CBS ist ein einfacher SoHo Switch und der Catalyst ein full featured Premium Switch.
Das ist so als wenn dich jemand fragt ob du den Vorjahres Dacia Duster willst oder einen 10 Jahre alten Porsche mit Vollausstattung...
Wie würdest DU dich denn da entscheiden?!
Zitat von @aqui:
Jeder kennt doch jemanden der einen kennt...

Der CBS ist ein einfacher SoHo Switch und der Catalyst ein full featured Premium Switch.
Das ist so als wenn dich jemand fragt ob du den Vorjahres Dacia Duster willst oder einen 10 Jahre alten Porsche mit Vollausstattung...
Wie würdest DU dich denn da entscheiden?!
Jeder kennt doch jemanden der einen kennt...
Welchen Cisco würdest du empfehlen?
Du lässt hier einem die Wahl zw. Äpfel und Birnen. Der CBS ist ein einfacher SoHo Switch und der Catalyst ein full featured Premium Switch.
Das ist so als wenn dich jemand fragt ob du den Vorjahres Dacia Duster willst oder einen 10 Jahre alten Porsche mit Vollausstattung...
Wie würdest DU dich denn da entscheiden?!
Für den Fiat Topolino. Zum Brötchenholen reicht der vollkommen.
lks
Schreib mal den Kollegen @Globetrotter an. Der hat vor geraumer Zeit div. Ciscos (SG550, SG350, …) angeboten. Zwar alles Geräte, die EOS/ EOL sind, aber für zuhause IMHO OK.
Edit:
hier der Link zum Thread: CISCO 350,550XG Switche abzugeben
Edit:
hier der Link zum Thread: CISCO 350,550XG Switche abzugeben
dass ich die zwei Geräte nicht gegeneinander verglichen hätte, daher für mich kein wirklicher Apfel-/Birnenvergleich.
"Vergleichen" ist dann für dich wohl sicher etwas anderes...abgesehen von den zwei SFR Mehrports
Was sind "SFR" Ports für dich?In deinem Vergleich zählst du lediglich eine Handvoll Hardware Features auf, vernachlässigst aber den gesamten Rest. 4 Räder, Scheibenwischer und Rückfahrscheinwerfer haben Dacia und Porsche auch. Der gesamte Rest und alle "inneren" Werte scheinen für dich irrelevant zu sein. Du verstehst also unter "vergleichen" vermutlich wirklich etwas anderes als der Rest der Foren Community. 🤔
Aber reduziert auf nur diese HW Punkte machst du auch mit den o.g. SG350/550 des Kollegen @Globetrotter nix falsch. Wenn man aber den lüfterlosen 2960X-PSQL für Umme bekommt muss man eigentlich nicht mehr diskutieren.
erkläre mir bitte die Vorzüge eines SG350-10-K9 im Vergleich zu einem CBS220-24T-4G
Warum ein sehr treffender Autovergleich da hinkt erschliesst sich einem zwar nicht wirklich, aber egal...Wie die Ziffer im Modellnamen schon sofort selber sagt kann der "3"50er Routing, hat allso volle Layer 3 Funktionalität. Der 220er hat da nur eine "2", ist damit also ein reiner Layer 2 Switch.
Sorry, aber so ein gravierendes Unterscheidungsmerkmal kann man auch im Datenblatt sofort auf den ersten Blick erkennen. Wenn man es denn einmal liest...
Auch für die die "inneren" Werte (Featureset) muss man sich nicht zwingend auskennen. Üblicherweise sind sie mit einem kurzen Blick in das Administrator Manual oder beim Catalysten in die Command Reference doch sofort transparent erkennbar. Vorlesen lassen von der Foren Community ist natürlich einfacher, da hast du Recht.
Ja da bist Du mit Mikrotik genau richtig. Wir verwenden Mikotik in unserem Datacenter als redundante Core-Router seit Jahren und hatten nie Probleme. Es gibt da sehr kleine Router, die wenig Strom brauchen und auch noch richtig performant sind.
Wir haben gerade ein paar Router ausgebaut und haben auch noch Router-Switch hier, leider nur 19".
Wir haben gerade ein paar Router ausgebaut und haben auch noch Router-Switch hier, leider nur 19".
Anstatt sachlich auf meine Punkte einzugehen
Na ja, da musst du aber auch mal etwas vor deiner eigenen Tür kehren. Du machst einen recht laienhaften und sehr oberflächlichen Vergleich der Systeme indem du lediglich einen Bruchteil der Features ansprichst und dich eher auf die Hardware fokussierst.DU selber vereinfachst damit sehr stark, da du die wirklichen Kriterien eines Switches mit dieser rudimentären Sichtweise schlicht außer Acht lässt. Der Autovergleich sollte lediglich dazu dienen dir diesen Sachverhalt einmal aufzuzeigen und ggf. deinen Fokus darauf zu legen. Er war keinesfalls böse gemeint, im Gegenteil.
Das Datenblatt und insbesondere das Administrator Manual erklärt eigentlich umfassend die Möglichkeiten eines Switches und sollte immer primäre Informationsquelle sein. Um beim Auto zu bleiben sieht man dort auch einmal ins Handbuch um alle Feinheiten zu erkennen.
keine Frage aber genau hier liegt mein Punkt: Brauche ich das für ein SOHO-Setup?
Das ist in der Tat genau der Punkt und du hast dir diese Frage eigentlich schon lange vorher selbst beantwortet. Primär geht es dir weder um Featureset noch Hardware, denn du suchst lediglich eine subjektive Bestätigung deiner Annahme das in einem sehr einfachen SoHo Umfeld mit minimalsten Anforderungen wie deinem, du all diesen Schnickschnack nicht benötigst. Die Antwort ist evident.Das das mit einer sachlichen Technik Diskussion wenig zu tun hat ist dir natürlich auch selber klar. Das sind ja alles subjektive Soft Facts die ein Außenstehender niemals sachlich beurteilen kann schon gar nicht in einem Forum. Größtenteils sind sie auch von einer Vielzahl nicht technischer Annahmen getrieben.
Um beim Auto zu bleiben geht es dir also letztlich nur um die Frage ob du eher mit dem Porsche oder dem Dacia zum Einkaufen für einen Singlehaushalt um die Ecke fährst.
Technisch gesehen ist die Antwort klar. Es gibt aber durchaus eine Menge nicht techischer Punkte die für das eine und für das andere sprechen. Diese Punkte sind aber mehr oder minder nicht sachlich bzw. technisch. Du willst sie aber auf diese Ebene stellen.
Vom Stromverbrauch her, um einmal bei einem für dich zu Recht relevanten Punkt zu bleiben, vergleichst du einen PoE Switch mit einem non PoE Switch. Soviel zum Thema sachlicher Vergleich, aber nundenn...
Zitat von dir: "ich habe keinen blassen wie die Energieaufnahme der beiden Switche ist..."
Laut offiziellem Datenblatt (Table 21.) verbraucht der Cat2960X-PSQ-L 28Watt bei 0% Traffic und 32Watt bei 10% Traffic. In einem Heimnetz sind max. 1-3% Traffic üblich, also wird der Verbrauch um die 29Watt +- liegen.
Der CBS220 ist mit 36,1 Watt im Datenblatt (Power Consumption) angegeben wobei solche Angaben sich dann immer auf eine Vollbestückung beziehen.
Fazit einer sachlichen Diskussion über den Stromverbrauch und Zuhilfenahme des Datenblattes:
Es gibt keinen relevanten Unterschied ob du einen 2960X oder den CBS220 verwendest. Der Catalyst hat sogar noch den Vorteil das er bis zu 110Watt PoE liefert bei weniger Gesamtverbrauch.
Allein diesen, für dich zweifelsohne wichtigen Punkt bei einem Heimnetz, hätte man allein mit der Lektüre des Datenblattes umfassend klären können.
Um wieder den Turnaround zum Auto zu schaffen kann man also auch mit dem Porsche fahren wenn man sich an die innerstädtische Geschwindigkeitsbegrenzung (Heimnetz) hält.
Da es dir bei den restlichen Anforderungen lediglich um den Transport von Ethernet Paketen von Port A zu Port B geht muss man auf das weitere Featureset in der Tiefe nicht groß einsteigen. Beide Systeme sind umfassend geeignet für deine geplante Infrastruktur. Wenn das zum Nulltarif bei gleichen Betriebskosten möglich ist bleibt die Entscheidung klar. Auf deine sind wir dann gespannt.
Alles gut...mach dir keine Gedanken! 😊
Allerdings lauern ja schon wieder Fallen in deiner Frage...
Wenn man mal beim Auto bleibt und Tanken keine Rolle spielt und du nicht für eine achtköpfige Familie einkaufen musst was spricht dagegen den geschenkten Porsche zu nehmen? Will sagen ein Vorteil in dem Sinne kann es ja nicht geben weil der Catalyst dem CBS in allen Belangen teilweise deutlich überlegen ist. Ausnahme ist natürlich du magst weiss oder beige lieber als anthrazit oder bevorzugst die LED Anzeige bei dem einen oder anderen. Lüfter fällt beim PSQ-L ja auch weg und auch wenn man PoE nicht braucht ist es niemals falsch das an Bord zu haben. Das du nie Telefone oder WLAN APs oder mal einen RasPi über einen PoE Adapter usw. betreibst sollte man nie ganz ausschliessen. 😉
Allerdings lauern ja schon wieder Fallen in deiner Frage...