11
Router-Kaskade, Empfehlung Router
Hallo zusammen,
ich habe ein Netzwerk-Konstrukt, ähnlich dem aus dem Heise-Artikel,
http://www.heise.de/netze/artikel/Router-Kaskaden-1825801.html, eingerichtet.
Eine DMZ hinter einem Speedport 724V, Typ an einer Telekom VDSL 100 MBit Leitung.
Dahinter zwei Zonen, eine mit meinen beruflich genutzten Geräten, die andere für privat
genutzte Geräte.
Hintergrund ist, genau wie im Artikel beschrieben, der Wunsch nach Trennung dieser beiden Bereiche.
Für die beiden Zonen nutze ich jeweils eine Fritzbox (7170SL und 7362 SL) als Router. Leider hat sich herausgestellt,
dass der NAT-Durchsatz bei beiden Geräten nicht im geringsten an den Durchsatz des beim direkten Anschluss
an den Speedport heranreicht. Die FritzBoxen erreichen jeweils nur knapp 35 MBit, wobei ich am Speedport
direkt 94 MBit habe. Meine Recherchen haben ergeben, dass die Boxen leider nicht mehr (NAT-Durchsatz) hergeben.
Die Netze selber wurden als drei VLAN mit einem D-LINK 1210-24 realisiert.
Frage:
Welchen Router kann man für diesen Anwendungsfall empfehlen? (NAT-Durchsatz mind. 100 MBit, Eigene Subnetze, Trennung, ggfs. Routing aus dem Homeoffice-Subnetz in das
private Subnetz)
Alternativ könnte ich natürlich die Fritzboxen durch aktuelle (VDSL) Gigabit-Router ersetzen, bin mir
aber ziemlich sicher, dass das nicht die effizienteste Variante ist
Viele Grüße
Chris
ich habe ein Netzwerk-Konstrukt, ähnlich dem aus dem Heise-Artikel,
http://www.heise.de/netze/artikel/Router-Kaskaden-1825801.html, eingerichtet.
Eine DMZ hinter einem Speedport 724V, Typ an einer Telekom VDSL 100 MBit Leitung.
Dahinter zwei Zonen, eine mit meinen beruflich genutzten Geräten, die andere für privat
genutzte Geräte.
Hintergrund ist, genau wie im Artikel beschrieben, der Wunsch nach Trennung dieser beiden Bereiche.
Für die beiden Zonen nutze ich jeweils eine Fritzbox (7170SL und 7362 SL) als Router. Leider hat sich herausgestellt,
dass der NAT-Durchsatz bei beiden Geräten nicht im geringsten an den Durchsatz des beim direkten Anschluss
an den Speedport heranreicht. Die FritzBoxen erreichen jeweils nur knapp 35 MBit, wobei ich am Speedport
direkt 94 MBit habe. Meine Recherchen haben ergeben, dass die Boxen leider nicht mehr (NAT-Durchsatz) hergeben.
Die Netze selber wurden als drei VLAN mit einem D-LINK 1210-24 realisiert.
Frage:
Welchen Router kann man für diesen Anwendungsfall empfehlen? (NAT-Durchsatz mind. 100 MBit, Eigene Subnetze, Trennung, ggfs. Routing aus dem Homeoffice-Subnetz in das
private Subnetz)
Alternativ könnte ich natürlich die Fritzboxen durch aktuelle (VDSL) Gigabit-Router ersetzen, bin mir
aber ziemlich sicher, dass das nicht die effizienteste Variante ist
Viele Grüße
Chris
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 257422
Url: https://administrator.de/contentid/257422
Ausgedruckt am: 22.11.2024 um 15:11 Uhr
11 Kommentare
Neuester Kommentar
Moin,
Statt eienr Routerkaskade würde ich dir sowas wie aquis [ Preiswerte, VPN fähige Firewall im Eigenbau oder Fertiggerät]Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät zusammen mit einem DSL-Modem empfehlen. Damit hast du dann alle Möglichkeiten udn Geschwindigkeiten offen udn mußt Dich nicht mit den Plastikroutern von Telekom und AVM herumärgern.
Oder einen Mikrotik Router für unter 50€ wenn preiswert sein muß.
lks
PS: Hier hat @dog informationen zu den Durchsatzraten von Mikrotiks.
Statt eienr Routerkaskade würde ich dir sowas wie aquis [ Preiswerte, VPN fähige Firewall im Eigenbau oder Fertiggerät]Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät zusammen mit einem DSL-Modem empfehlen. Damit hast du dann alle Möglichkeiten udn Geschwindigkeiten offen udn mußt Dich nicht mit den Plastikroutern von Telekom und AVM herumärgern.
Oder einen Mikrotik Router für unter 50€ wenn preiswert sein muß.
lks
PS: Hier hat @dog informationen zu den Durchsatzraten von Mikrotiks.
1
Hi Lochkartenstanzer,
vielen Dank soweit.
Habe mir die Anleitung von aqui durchgelesen, auch den Review zum Mikrotik.
Hätte gerne ein Fertigsystem, Selbstbau ist nicht mein Ding
Frage mich aber, was den Preisunterschied zwischen einem pfSense-Fertigsystem (ca. 170 EUR) und dem
Mikrotik rechtfertigt. Für meine Anforderungen, wie im ersten Post dargelegt, sollte doch auch der Mikrotik ausreichen, oder?
Werde immer misstrauisch, wenn ein Produkt, ohne für mich ersichtlichen Grund, wesentlich günstiger als Konkurrenzprodukte ist.
Vielen Dank,
Chris
vielen Dank soweit.
Habe mir die Anleitung von aqui durchgelesen, auch den Review zum Mikrotik.
Hätte gerne ein Fertigsystem, Selbstbau ist nicht mein Ding
Frage mich aber, was den Preisunterschied zwischen einem pfSense-Fertigsystem (ca. 170 EUR) und dem
Mikrotik rechtfertigt. Für meine Anforderungen, wie im ersten Post dargelegt, sollte doch auch der Mikrotik ausreichen, oder?
Werde immer misstrauisch, wenn ein Produkt, ohne für mich ersichtlichen Grund, wesentlich günstiger als Konkurrenzprodukte ist.
Vielen Dank,
Chris
Zitat von @madmail:
Werde immer misstrauisch, wenn ein Produkt, ohne für mich ersichtlichen Grund, wesentlich günstiger als
Konkurrenzprodukte ist.
Werde immer misstrauisch, wenn ein Produkt, ohne für mich ersichtlichen Grund, wesentlich günstiger als
Konkurrenzprodukte ist.
Die pfsense-geräte sind im Prinzip universal-x86-Systeme, die du auch mit etwas anderem als pfsense befeuern kannst, also intel-kompatible Universalhardware. Wenn Du der meinung bist, pfsense gefältl Dir nicht und Du willst lieber m0n0wall oder ipcop oder ..., kannst Du mehr oder weniger unproblematisch wechseln.
Die RouterBoards sind spezielle Hardware, auf denen auch nur das RouterOS von Mikrotik läuft. udn die nur speziell für diesen zweck designed wurden. das mach einen Großteil des Kostenunterschiedes aus.
lks
Diese Dinge werden auch alle hier im Forumstutorial beschrieben:
Kopplung von 2 Routern am DSL Port
Klare Geschichte: Beschaffe dir einen Mikrotik RB750G. der hat 5 Gig Ports die den Durchsatz mit links schaffen.
http://varia-store.com/Wireless-Systeme/Fuer-den-Innenbereich/MikroTik- ...
Wenn dir eine Stateful Firewall zwischen den Geräten lieber ist also ein wirklich sichere Trennung der Netze solltest du in der Tat die obige Firewall bevorzugen.
Für Leute die nicht mit einem Shcraubendreher umgehen können gibts die auch fertig.
Mit der Firewall lässt sich ein wirkliches DMZ Konzept abbilden.
Ein Router Kaskade ist immer gefährlich, da der Traffic des einen Netzes immer durchs andere durch muss. Sicherheit ist was anderes !
Da hilt nur obiger Router, da der 5 Gig Ports und Accesslisten hat oder eben die FW mit 3 Ports und der Stateful Inspection wenn du wirkliche Sicherheit willst.
Kopplung von 2 Routern am DSL Port
Klare Geschichte: Beschaffe dir einen Mikrotik RB750G. der hat 5 Gig Ports die den Durchsatz mit links schaffen.
http://varia-store.com/Wireless-Systeme/Fuer-den-Innenbereich/MikroTik- ...
Wenn dir eine Stateful Firewall zwischen den Geräten lieber ist also ein wirklich sichere Trennung der Netze solltest du in der Tat die obige Firewall bevorzugen.
Für Leute die nicht mit einem Shcraubendreher umgehen können gibts die auch fertig.
Mit der Firewall lässt sich ein wirkliches DMZ Konzept abbilden.
Ein Router Kaskade ist immer gefährlich, da der Traffic des einen Netzes immer durchs andere durch muss. Sicherheit ist was anderes !
Da hilt nur obiger Router, da der 5 Gig Ports und Accesslisten hat oder eben die FW mit 3 Ports und der Stateful Inspection wenn du wirkliche Sicherheit willst.
1Wenn dir eine Stateful Firewall zwischen den Geräten lieber ist also ein wirklich sichere Trennung der Netze solltest du in
der Tat die obige Firewall bevorzugen.
Für Leute die nicht mit einem Shcraubendreher umgehen können gibts die auch fertig.
Mit der Firewall lässt sich ein wirkliches DMZ Konzept abbilden.
der Tat die obige Firewall bevorzugen.
Für Leute die nicht mit einem Shcraubendreher umgehen können gibts die auch fertig.
Mit der Firewall lässt sich ein wirkliches DMZ Konzept abbilden.
Ich tendiere momentan ganz klar zu einer FW-Lösung. Favorisiert habe ich bisher das APU.1C-Board mit pfSense, bis ich
heute über den Cisco RV180 gestolpert bin (auch in einem Artikel hier).
Abgesehen von den ganzen Möglichkeiten einer pfSense-FW, stellt sich mir die Frage, ob der Cisco für meine (bescheidenen)
Ansprüche (Segmentierung über VLANs, FW, Routing) nicht die bessere, weil für den unbedarften User (mich), einfachere Variante ist.
Diverse Videos/Anleitungen haben bei mir den Eindruck erweckt, dass dem so ist.
Diesen "Komfort" bei der Einrichtung würde ich natürlich mit Einbußen bei den Möglichkeiten (die ich wahrscheinlich 'eh nicht benötige) bezahlen.
Kann mir jemand sagen, ob ich mit meiner Einschätzung richtig liege?
Vielen Dank,
Chris
Es ist eben die einfacheres Lösung. Bei Minimalanforderungen geht sich auch aber es ist eben ein Router mit ACL und keine SPI Firewall.
Mag aber natürlich für deine Anwendung reichen. Letztlich ist das deine eigene Entscheidung die dir hier keiner abnehmen kann.
Sicherer ist aber immer ein FW Lösung.
Mag aber natürlich für deine Anwendung reichen. Letztlich ist das deine eigene Entscheidung die dir hier keiner abnehmen kann.
Sicherer ist aber immer ein FW Lösung.
Darf man fragen, wie Du es letztendlich gemacht hast? Mit dem RV180 oder doch mit Mikrotek? Wenn RV180, wegen FW? Und dann mit 2 Stück hinterm Speedport oder die Variante mit nur einem? Unabhängig davon frag ich mich, warum die (wenigen) Kritiken bzgl. RV180 bei Ama**n nicht so gut ausfallen.
Gruss Kai
Gruss Kai
Frag dich immer mal WER bei Amazon Kritiken schreibt. Bekanntlich sind das bezahlte Berufs "Lober" und Bewerter und der Rest die dort Equipment kaufen sind IT Laien die sehr wenig bis keine Netzwerk Kenntnisse haben.
Die meisten sind mit einem Klicki Bunti GUI schon überfordert.
Von solchen Bewertungen ist rein gar nichts zu halten.
Hier wurde es mit einem Mikrotik gelöst !
Die meisten sind mit einem Klicki Bunti GUI schon überfordert.
Von solchen Bewertungen ist rein gar nichts zu halten.
Hier wurde es mit einem Mikrotik gelöst !
Das hatte ich mir schon fast gedacht.
Kann man sagen, dass der Mikrotik mit seinen *unabhängigen* Gigabit-Ethernet-Ports vom Grundanstaz wie die pfSense auf APU-Borad verhält, also die Trennung?
Wenn man kaskadiert, ist das natürlich was anders. Könnte man ihn auch direkt ans Modem hängen?
Gruss
Kann man sagen, dass der Mikrotik mit seinen *unabhängigen* Gigabit-Ethernet-Ports vom Grundanstaz wie die pfSense auf APU-Borad verhält, also die Trennung?
Wenn man kaskadiert, ist das natürlich was anders. Könnte man ihn auch direkt ans Modem hängen?
Gruss
Zitat von @aqui:
Es ist eben die einfacheres Lösung. Bei Minimalanforderungen geht sich auch aber es ist eben ein Router mit ACL und keine SPI
Firewall.
Es ist eben die einfacheres Lösung. Bei Minimalanforderungen geht sich auch aber es ist eben ein Router mit ACL und keine SPI
Firewall.
MikroTik beherrscht doch auch SPI?
Kann man sagen, dass der Mikrotik mit seinen *unabhängigen* Gigabit-Ethernet-Ports vom Grundanstaz wie die pfSense auf APU-Borad verhält, also die Trennung?
Jein.Er ist primär eben ein Router und ein Router trennt und segmentiert nun mal IP Netze als Grundfunktion. In so fern ist die Antwort: Ja
Er agiert aber nicht primär als Firewall (alles verboten was nicht explizit erlaubt ist) sondern als Router bei dem erstmal alles erlaubt ist und DU wenn du Einschränkungen machst dich um entsprechende Accesslisten und FW Einstellungen kömmern musst. Hier wäre die Antwort also Nein.
So oder so sind global gesehen beides aber Router nur der eine routet eben alles frei ber Default (MT) und der andere blockt alles was du nicht freigibst (FW)
Es ist also mehr oder minder ne kosmetische Diskussion.
