madmail
Goto Top

Router-Kaskade, Empfehlung Router

Hallo zusammen,

ich habe ein Netzwerk-Konstrukt, ähnlich dem aus dem Heise-Artikel,
http://www.heise.de/netze/artikel/Router-Kaskaden-1825801.html, eingerichtet.

Eine DMZ hinter einem Speedport 724V, Typ an einer Telekom VDSL 100 MBit Leitung.
Dahinter zwei Zonen, eine mit meinen beruflich genutzten Geräten, die andere für privat
genutzte Geräte.

Hintergrund ist, genau wie im Artikel beschrieben, der Wunsch nach Trennung dieser beiden Bereiche.

Für die beiden Zonen nutze ich jeweils eine Fritzbox (7170SL und 7362 SL) als Router. Leider hat sich herausgestellt,
dass der NAT-Durchsatz bei beiden Geräten nicht im geringsten an den Durchsatz des beim direkten Anschluss
an den Speedport heranreicht. Die FritzBoxen erreichen jeweils nur knapp 35 MBit, wobei ich am Speedport
direkt 94 MBit habe. Meine Recherchen haben ergeben, dass die Boxen leider nicht mehr (NAT-Durchsatz) hergeben.

Die Netze selber wurden als drei VLAN mit einem D-LINK 1210-24 realisiert.

Frage:
Welchen Router kann man für diesen Anwendungsfall empfehlen? (NAT-Durchsatz mind. 100 MBit, Eigene Subnetze, Trennung, ggfs. Routing aus dem Homeoffice-Subnetz in das
private Subnetz)
Alternativ könnte ich natürlich die Fritzboxen durch aktuelle (VDSL) Gigabit-Router ersetzen, bin mir
aber ziemlich sicher, dass das nicht die effizienteste Variante ist face-smile

Viele Grüße
Chris

Content-ID: 257422

Url: https://administrator.de/forum/router-kaskade-empfehlung-router-257422.html

Ausgedruckt am: 23.12.2024 um 05:12 Uhr

Lochkartenstanzer
Lochkartenstanzer 12.12.2014, aktualisiert am 16.12.2014 um 20:27:51 Uhr
Goto Top
Moin,

Statt eienr Routerkaskade würde ich dir sowas wie aquis [ Preiswerte, VPN fähige Firewall im Eigenbau oder Fertiggerät]Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät zusammen mit einem DSL-Modem empfehlen. Damit hast du dann alle Möglichkeiten udn Geschwindigkeiten offen udn mußt Dich nicht mit den Plastikroutern von Telekom und AVM herumärgern.

Oder einen Mikrotik Router für unter 50€ wenn preiswert sein muß.

lks

PS: Hier hat @dog informationen zu den Durchsatzraten von Mikrotiks.
madmail
madmail 12.12.2014 aktualisiert um 12:56:07 Uhr
Goto Top
Hi Lochkartenstanzer,

vielen Dank soweit.

Habe mir die Anleitung von aqui durchgelesen, auch den Review zum Mikrotik.

Hätte gerne ein Fertigsystem, Selbstbau ist nicht mein Ding face-smile
Frage mich aber, was den Preisunterschied zwischen einem pfSense-Fertigsystem (ca. 170 EUR) und dem
Mikrotik rechtfertigt. Für meine Anforderungen, wie im ersten Post dargelegt, sollte doch auch der Mikrotik ausreichen, oder?
Werde immer misstrauisch, wenn ein Produkt, ohne für mich ersichtlichen Grund, wesentlich günstiger als Konkurrenzprodukte ist.

Vielen Dank,
Chris
Lochkartenstanzer
Lösung Lochkartenstanzer 12.12.2014, aktualisiert am 17.12.2014 um 18:20:02 Uhr
Goto Top
Zitat von @madmail:

Werde immer misstrauisch, wenn ein Produkt, ohne für mich ersichtlichen Grund, wesentlich günstiger als
Konkurrenzprodukte ist.

Die pfsense-geräte sind im Prinzip universal-x86-Systeme, die du auch mit etwas anderem als pfsense befeuern kannst, also intel-kompatible Universalhardware. Wenn Du der meinung bist, pfsense gefältl Dir nicht und Du willst lieber m0n0wall oder ipcop oder ..., kannst Du mehr oder weniger unproblematisch wechseln.

Die RouterBoards sind spezielle Hardware, auf denen auch nur das RouterOS von Mikrotik läuft. udn die nur speziell für diesen zweck designed wurden. das mach einen Großteil des Kostenunterschiedes aus.

lks
aqui
Lösung aqui 12.12.2014, aktualisiert am 17.12.2014 um 18:20:08 Uhr
Goto Top
Diese Dinge werden auch alle hier im Forumstutorial beschrieben:
Kopplung von 2 Routern am DSL Port

Klare Geschichte: Beschaffe dir einen Mikrotik RB750G. der hat 5 Gig Ports die den Durchsatz mit links schaffen.
http://varia-store.com/Wireless-Systeme/Fuer-den-Innenbereich/MikroTik- ...

Wenn dir eine Stateful Firewall zwischen den Geräten lieber ist also ein wirklich sichere Trennung der Netze solltest du in der Tat die obige Firewall bevorzugen.
Für Leute die nicht mit einem Shcraubendreher umgehen können gibts die auch fertig.
Mit der Firewall lässt sich ein wirkliches DMZ Konzept abbilden.
Ein Router Kaskade ist immer gefährlich, da der Traffic des einen Netzes immer durchs andere durch muss. Sicherheit ist was anderes !
Da hilt nur obiger Router, da der 5 Gig Ports und Accesslisten hat oder eben die FW mit 3 Ports und der Stateful Inspection wenn du wirkliche Sicherheit willst.
madmail
madmail 16.12.2014 aktualisiert um 20:59:29 Uhr
Goto Top
Wenn dir eine Stateful Firewall zwischen den Geräten lieber ist also ein wirklich sichere Trennung der Netze solltest du in
der Tat die obige Firewall bevorzugen.
Für Leute die nicht mit einem Shcraubendreher umgehen können gibts die auch fertig.
Mit der Firewall lässt sich ein wirkliches DMZ Konzept abbilden.

Ich tendiere momentan ganz klar zu einer FW-Lösung. Favorisiert habe ich bisher das APU.1C-Board mit pfSense, bis ich
heute über den Cisco RV180 gestolpert bin (auch in einem Artikel hier).

Abgesehen von den ganzen Möglichkeiten einer pfSense-FW, stellt sich mir die Frage, ob der Cisco für meine (bescheidenen)
Ansprüche (Segmentierung über VLANs, FW, Routing) nicht die bessere, weil für den unbedarften User (mich), einfachere Variante ist.
Diverse Videos/Anleitungen haben bei mir den Eindruck erweckt, dass dem so ist.

Diesen "Komfort" bei der Einrichtung würde ich natürlich mit Einbußen bei den Möglichkeiten (die ich wahrscheinlich 'eh nicht benötige) bezahlen.

Kann mir jemand sagen, ob ich mit meiner Einschätzung richtig liege?

Vielen Dank,
Chris
aqui
Lösung aqui 18.12.2014 aktualisiert um 18:18:35 Uhr
Goto Top
Es ist eben die einfacheres Lösung. Bei Minimalanforderungen geht sich auch aber es ist eben ein Router mit ACL und keine SPI Firewall.
Mag aber natürlich für deine Anwendung reichen. Letztlich ist das deine eigene Entscheidung die dir hier keiner abnehmen kann.
Sicherer ist aber immer ein FW Lösung.
kai700
kai700 30.03.2015 um 18:06:34 Uhr
Goto Top
Darf man fragen, wie Du es letztendlich gemacht hast? Mit dem RV180 oder doch mit Mikrotek? Wenn RV180, wegen FW? Und dann mit 2 Stück hinterm Speedport oder die Variante mit nur einem? Unabhängig davon frag ich mich, warum die (wenigen) Kritiken bzgl. RV180 bei Ama**n nicht so gut ausfallen.
Gruss Kai
aqui
aqui 30.03.2015 aktualisiert um 18:21:13 Uhr
Goto Top
Frag dich immer mal WER bei Amazon Kritiken schreibt. Bekanntlich sind das bezahlte Berufs "Lober" und Bewerter und der Rest die dort Equipment kaufen sind IT Laien die sehr wenig bis keine Netzwerk Kenntnisse haben.
Die meisten sind mit einem Klicki Bunti GUI schon überfordert.
Von solchen Bewertungen ist rein gar nichts zu halten.
Hier wurde es mit einem Mikrotik gelöst !
kai700
kai700 30.03.2015 um 18:44:32 Uhr
Goto Top
Das hatte ich mir schon fast gedacht.
Kann man sagen, dass der Mikrotik mit seinen *unabhängigen* Gigabit-Ethernet-Ports vom Grundanstaz wie die pfSense auf APU-Borad verhält, also die Trennung?
Wenn man kaskadiert, ist das natürlich was anders. Könnte man ihn auch direkt ans Modem hängen?
Gruss
teret4242
teret4242 30.03.2015 um 21:20:57 Uhr
Goto Top
Zitat von @aqui:
Es ist eben die einfacheres Lösung. Bei Minimalanforderungen geht sich auch aber es ist eben ein Router mit ACL und keine SPI
Firewall.

MikroTik beherrscht doch auch SPI?
aqui
aqui 31.03.2015 um 10:20:01 Uhr
Goto Top
Kann man sagen, dass der Mikrotik mit seinen *unabhängigen* Gigabit-Ethernet-Ports vom Grundanstaz wie die pfSense auf APU-Borad verhält, also die Trennung?
Jein.
Er ist primär eben ein Router und ein Router trennt und segmentiert nun mal IP Netze als Grundfunktion. In so fern ist die Antwort: Ja

Er agiert aber nicht primär als Firewall (alles verboten was nicht explizit erlaubt ist) sondern als Router bei dem erstmal alles erlaubt ist und DU wenn du Einschränkungen machst dich um entsprechende Accesslisten und FW Einstellungen kömmern musst. Hier wäre die Antwort also Nein.
So oder so sind global gesehen beides aber Router nur der eine routet eben alles frei ber Default (MT) und der andere blockt alles was du nicht freigibst (FW)
Es ist also mehr oder minder ne kosmetische Diskussion.