Router-Kaskade, Empfehlung Router
Hallo zusammen,
ich habe ein Netzwerk-Konstrukt, ähnlich dem aus dem Heise-Artikel,
http://www.heise.de/netze/artikel/Router-Kaskaden-1825801.html, eingerichtet.
Eine DMZ hinter einem Speedport 724V, Typ an einer Telekom VDSL 100 MBit Leitung.
Dahinter zwei Zonen, eine mit meinen beruflich genutzten Geräten, die andere für privat
genutzte Geräte.
Hintergrund ist, genau wie im Artikel beschrieben, der Wunsch nach Trennung dieser beiden Bereiche.
Für die beiden Zonen nutze ich jeweils eine Fritzbox (7170SL und 7362 SL) als Router. Leider hat sich herausgestellt,
dass der NAT-Durchsatz bei beiden Geräten nicht im geringsten an den Durchsatz des beim direkten Anschluss
an den Speedport heranreicht. Die FritzBoxen erreichen jeweils nur knapp 35 MBit, wobei ich am Speedport
direkt 94 MBit habe. Meine Recherchen haben ergeben, dass die Boxen leider nicht mehr (NAT-Durchsatz) hergeben.
Die Netze selber wurden als drei VLAN mit einem D-LINK 1210-24 realisiert.
Frage:
Welchen Router kann man für diesen Anwendungsfall empfehlen? (NAT-Durchsatz mind. 100 MBit, Eigene Subnetze, Trennung, ggfs. Routing aus dem Homeoffice-Subnetz in das
private Subnetz)
Alternativ könnte ich natürlich die Fritzboxen durch aktuelle (VDSL) Gigabit-Router ersetzen, bin mir
aber ziemlich sicher, dass das nicht die effizienteste Variante ist
Viele Grüße
Chris
ich habe ein Netzwerk-Konstrukt, ähnlich dem aus dem Heise-Artikel,
http://www.heise.de/netze/artikel/Router-Kaskaden-1825801.html, eingerichtet.
Eine DMZ hinter einem Speedport 724V, Typ an einer Telekom VDSL 100 MBit Leitung.
Dahinter zwei Zonen, eine mit meinen beruflich genutzten Geräten, die andere für privat
genutzte Geräte.
Hintergrund ist, genau wie im Artikel beschrieben, der Wunsch nach Trennung dieser beiden Bereiche.
Für die beiden Zonen nutze ich jeweils eine Fritzbox (7170SL und 7362 SL) als Router. Leider hat sich herausgestellt,
dass der NAT-Durchsatz bei beiden Geräten nicht im geringsten an den Durchsatz des beim direkten Anschluss
an den Speedport heranreicht. Die FritzBoxen erreichen jeweils nur knapp 35 MBit, wobei ich am Speedport
direkt 94 MBit habe. Meine Recherchen haben ergeben, dass die Boxen leider nicht mehr (NAT-Durchsatz) hergeben.
Die Netze selber wurden als drei VLAN mit einem D-LINK 1210-24 realisiert.
Frage:
Welchen Router kann man für diesen Anwendungsfall empfehlen? (NAT-Durchsatz mind. 100 MBit, Eigene Subnetze, Trennung, ggfs. Routing aus dem Homeoffice-Subnetz in das
private Subnetz)
Alternativ könnte ich natürlich die Fritzboxen durch aktuelle (VDSL) Gigabit-Router ersetzen, bin mir
aber ziemlich sicher, dass das nicht die effizienteste Variante ist
Viele Grüße
Chris
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 257422
Url: https://administrator.de/forum/router-kaskade-empfehlung-router-257422.html
Ausgedruckt am: 23.12.2024 um 05:12 Uhr
11 Kommentare
Neuester Kommentar
Moin,
Statt eienr Routerkaskade würde ich dir sowas wie aquis [ Preiswerte, VPN fähige Firewall im Eigenbau oder Fertiggerät]Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät zusammen mit einem DSL-Modem empfehlen. Damit hast du dann alle Möglichkeiten udn Geschwindigkeiten offen udn mußt Dich nicht mit den Plastikroutern von Telekom und AVM herumärgern.
Oder einen Mikrotik Router für unter 50€ wenn preiswert sein muß.
lks
PS: Hier hat @dog informationen zu den Durchsatzraten von Mikrotiks.
Statt eienr Routerkaskade würde ich dir sowas wie aquis [ Preiswerte, VPN fähige Firewall im Eigenbau oder Fertiggerät]Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät zusammen mit einem DSL-Modem empfehlen. Damit hast du dann alle Möglichkeiten udn Geschwindigkeiten offen udn mußt Dich nicht mit den Plastikroutern von Telekom und AVM herumärgern.
Oder einen Mikrotik Router für unter 50€ wenn preiswert sein muß.
lks
PS: Hier hat @dog informationen zu den Durchsatzraten von Mikrotiks.
Zitat von @madmail:
Werde immer misstrauisch, wenn ein Produkt, ohne für mich ersichtlichen Grund, wesentlich günstiger als
Konkurrenzprodukte ist.
Werde immer misstrauisch, wenn ein Produkt, ohne für mich ersichtlichen Grund, wesentlich günstiger als
Konkurrenzprodukte ist.
Die pfsense-geräte sind im Prinzip universal-x86-Systeme, die du auch mit etwas anderem als pfsense befeuern kannst, also intel-kompatible Universalhardware. Wenn Du der meinung bist, pfsense gefältl Dir nicht und Du willst lieber m0n0wall oder ipcop oder ..., kannst Du mehr oder weniger unproblematisch wechseln.
Die RouterBoards sind spezielle Hardware, auf denen auch nur das RouterOS von Mikrotik läuft. udn die nur speziell für diesen zweck designed wurden. das mach einen Großteil des Kostenunterschiedes aus.
lks
Diese Dinge werden auch alle hier im Forumstutorial beschrieben:
Kopplung von 2 Routern am DSL Port
Klare Geschichte: Beschaffe dir einen Mikrotik RB750G. der hat 5 Gig Ports die den Durchsatz mit links schaffen.
http://varia-store.com/Wireless-Systeme/Fuer-den-Innenbereich/MikroTik- ...
Wenn dir eine Stateful Firewall zwischen den Geräten lieber ist also ein wirklich sichere Trennung der Netze solltest du in der Tat die obige Firewall bevorzugen.
Für Leute die nicht mit einem Shcraubendreher umgehen können gibts die auch fertig.
Mit der Firewall lässt sich ein wirkliches DMZ Konzept abbilden.
Ein Router Kaskade ist immer gefährlich, da der Traffic des einen Netzes immer durchs andere durch muss. Sicherheit ist was anderes !
Da hilt nur obiger Router, da der 5 Gig Ports und Accesslisten hat oder eben die FW mit 3 Ports und der Stateful Inspection wenn du wirkliche Sicherheit willst.
Kopplung von 2 Routern am DSL Port
Klare Geschichte: Beschaffe dir einen Mikrotik RB750G. der hat 5 Gig Ports die den Durchsatz mit links schaffen.
http://varia-store.com/Wireless-Systeme/Fuer-den-Innenbereich/MikroTik- ...
Wenn dir eine Stateful Firewall zwischen den Geräten lieber ist also ein wirklich sichere Trennung der Netze solltest du in der Tat die obige Firewall bevorzugen.
Für Leute die nicht mit einem Shcraubendreher umgehen können gibts die auch fertig.
Mit der Firewall lässt sich ein wirkliches DMZ Konzept abbilden.
Ein Router Kaskade ist immer gefährlich, da der Traffic des einen Netzes immer durchs andere durch muss. Sicherheit ist was anderes !
Da hilt nur obiger Router, da der 5 Gig Ports und Accesslisten hat oder eben die FW mit 3 Ports und der Stateful Inspection wenn du wirkliche Sicherheit willst.
Darf man fragen, wie Du es letztendlich gemacht hast? Mit dem RV180 oder doch mit Mikrotek? Wenn RV180, wegen FW? Und dann mit 2 Stück hinterm Speedport oder die Variante mit nur einem? Unabhängig davon frag ich mich, warum die (wenigen) Kritiken bzgl. RV180 bei Ama**n nicht so gut ausfallen.
Gruss Kai
Gruss Kai
Frag dich immer mal WER bei Amazon Kritiken schreibt. Bekanntlich sind das bezahlte Berufs "Lober" und Bewerter und der Rest die dort Equipment kaufen sind IT Laien die sehr wenig bis keine Netzwerk Kenntnisse haben.
Die meisten sind mit einem Klicki Bunti GUI schon überfordert.
Von solchen Bewertungen ist rein gar nichts zu halten.
Hier wurde es mit einem Mikrotik gelöst !
Die meisten sind mit einem Klicki Bunti GUI schon überfordert.
Von solchen Bewertungen ist rein gar nichts zu halten.
Hier wurde es mit einem Mikrotik gelöst !
Zitat von @aqui:
Es ist eben die einfacheres Lösung. Bei Minimalanforderungen geht sich auch aber es ist eben ein Router mit ACL und keine SPI
Firewall.
Es ist eben die einfacheres Lösung. Bei Minimalanforderungen geht sich auch aber es ist eben ein Router mit ACL und keine SPI
Firewall.
MikroTik beherrscht doch auch SPI?
Kann man sagen, dass der Mikrotik mit seinen *unabhängigen* Gigabit-Ethernet-Ports vom Grundanstaz wie die pfSense auf APU-Borad verhält, also die Trennung?
Jein.Er ist primär eben ein Router und ein Router trennt und segmentiert nun mal IP Netze als Grundfunktion. In so fern ist die Antwort: Ja
Er agiert aber nicht primär als Firewall (alles verboten was nicht explizit erlaubt ist) sondern als Router bei dem erstmal alles erlaubt ist und DU wenn du Einschränkungen machst dich um entsprechende Accesslisten und FW Einstellungen kömmern musst. Hier wäre die Antwort also Nein.
So oder so sind global gesehen beides aber Router nur der eine routet eben alles frei ber Default (MT) und der andere blockt alles was du nicht freigibst (FW)
Es ist also mehr oder minder ne kosmetische Diskussion.