Suche Lösung für performanteres WLAN, LAN-routing und PPPoE

Hallo!

Ich habe Probleme mit meiner Internet- und Netzwerkanbindung und hoffe, mir kann jemand ein paar Tipps geben

Situation: Glasfaseranschluss mit 1000Mbps down und 250 Mbps up. Bisher brauchte ich in zwei Räumen WLAN, jedoch sind die Wände teils 80cm dick und auch noch andere Zimmer dazwischen, da geht nix durch. Daher zwei WLAN-Router, einen in jedem Zimmer. Einer stellt auch die PPPoE-Verbindung über das Glasfasermodem her (bridged) und NATed. Bisher nur ein LAN-Segment (192.168.0.0/24) und getrennte WLANs. Geräte waren TP-Link Archer C7 v2 und v5, verbunden über zwei Netgear Switches GS116E v2. PC und Server fast alle kabelgebunden.

Da die Verbindung zum Glasfasermodem VLAN 7 verlangt, was der Router nicht unterstützt, läuft das ganze über zwei Switch-Ports, die für VLAN 7 konfiguriert sind. Von den LAN-Ports des Routers ist nur einer genutzt, dieser geht ebenfalls zum Switch, für das LAN (VLAN 1).

Nun bin ich dabei das ganze zu erweitern: Internet und WLAN sollen in drei weiteren Räumen (andere Etage) verfügbar sein, und zwar in einem eigenen Subnet (192.168.3.0/24). Nun habe ich mir zusätzliche TP-link Archer A7 v5 geholt (die C7 gab es nicht mehr) und dd-wrt darauf geflashed (war früher sehr davon begeistert). Ziel: Anbindung des neuen Subnets an das erste und Einrichten zweier Mesh-Netzwerke (eins je Subnet). Dazu diverse Firewall-Regeln, VPN, Portweiterleitung, Linuxdienste wie ssh, radius, PPPoE, dns-resolver, etc.

Zur Anbindung habe ich einen der drei neuen WLAN-Router zum Gateway (ohne NAT) erklärt, dieser hat also IP-Adressen aus beiden Subnets. Der WAN-Gateway bekam eine statische Route fürs neue Subnet verpasst, sowie eine erweiterte Subnet-Mask /22, was auch gut funktioniert aber sicher nicht die sauberste Lösung ist. Das neue Subnet soll später VLAN 3 zugeordnet werden, um auch auf Layer 2 entkoppelt zu sein (Broadcasts, arp, usw.).

An Downloadspeed wurden allerdings zuvor schon ca. max. 650Mbps erreicht. Jetzt stellt sich aber heraus, dass die tp-link Router zwar 980 Mbps über die Ports schaffen, aber furchtbar lahm sind (<100Mbps, teils nur 30Mbps; getestet mit iperf3), wenn Pakete verarbeitet werden müssen (also VLANs oder Routing ins Spiel kommen). dd-wrt ist wider Erwarten sogar noch langsamer als die original-Firmware. Kurzum: als WLAN-AP gerade so zu gebrauchen), aber nicht als Router oder gar Gateway mit NAT oder Diensten.

Daher ein paar Fragen, vielleicht hat jemand ein paar Tipps?

1. Wie steht es aktuell um dd-wrt? Es gibt zwar aktuelle Builds, aber ich hatte auch mit einigen Bugs zu kämpfen. Wird das noch weiterentwickelt, oder kostet es aktuell sogar Performance? Ist OpenWRT hier besser? Ich hatte hauptsächlich deshalb an dd-wrt gedacht wegen der Mesh-Funktionalität und zusätzlicher Dienste. Mit OpenWRT hab ich noch keine Erfahrungen gemacht.

2. Alternativ zu fertigen WLAN-Routern, was gibt es an alternativen Lösungen?

a) Ich habe mit mal testweise einen Edge-Router bestellt für das WAN (Ubiquiti Networks ER-X). Hat damit jemand Erfahrungen? Mit wäre wichtig, dass das Routing (also zwischen den Subnets und zum Internet) auch mit VLANs, Firewall/iptables etc. ohne Performanceeinbußen klappt. Meine Hoffnung ist, dass dieser Router beide Subnetze (unterschiedliche VLANs) bedienen und absichern kann, sowie eine PPPoE-Verbindung mit VLAN-7 und NAT aufbaut. Welche Firmware läuft auf diesem Gerät? Wäre dies auch dd-wrt oder OpenWRT fähig? Oder ganz allgemein ein Linux?

b) Ich könnte mir auch vorstellen, einen eigenen Router Debian-basiert aufzusetzen. Hab schon gesucht: ITX-Mainboard mit 2 GE-Anschlüssen, aber nichts gefunden, mit dem sich ein Mini-PC bauen ließe und das auch preislich noch attraktiv ist (<200 EUR). Ich bin jetzt über einige SoC-Mini-PCs gestolpert, Intel N100 basiert, was ist davon zu halten? Scheint als China-Ware, hab außer eBay noch keine deutsche Bezugsquelle gefunden.

Hab es schon mit einem RaspPi (Gen 4) versucht, allerdings hat der nur einen RJ45-Port sodass ich auch hier mit 2 VLANs arbeiten muss, um LAN und WAN zu trennen. Das hat auch geklappt, aber die Performance war ebenso mies. (Wenn auch besser: bis zu 400Mbps).

c) Gibt es günstige (<100 EUR) reine WLAN-APs (ggf. ohne WAN etc.), mit denen man ein Mesh aufbauen kann (APs mittels Powerline Adapter verbunden, anders geht's nicht) und die eine wirklich ordentliche Performance ins LAN bieten?

3. Wie würdet ihr die zwei Subnetze so voneinander trennen, dass dennoch ein gemeinsames NAT auf dem Gateway möglich ist? Die Subnetze sollen sich untereinander eigentlich nicht "sehen", bis auf einzelne ausgewählte Geräte per Routing.


Sorry, das war jetzt viel.
Ich wollte aber versuchen, möglichst alle Infos mitzuliefern.

Ich hoffe, dass ich im richtigen Thema gelandet bin. Ich weiß es gibt u.a. noch Routing und Hardware als Themen, aber diese erschienen mir dann doch viel spezieller.

Schonmal danke fürs Lesen, wenn mir sogar jemand weiterhelfen kann, wär das klasse!

Viele Grüße
Andreas

                                            ┌──────────────────────────┐
                                            │                          │
                                            │  WAN / Internet (PPPoE)  │
                                            │        Willy.tel         │
                                            │ 1000/250Mbit/s Glasfaser │
                                            │                          │
                                            └─────────────┬────────────┘
─ ─ ─ ─ ─ ─ ─ ─WAN─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ┼ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ WAN ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─
                                                          │
 ┌────────────────┐   ┌────────────────┐                  │
 │                │   │     Switch     │         ╔════════╩══════════════ pfSense+ ════════╗    Stand: ─ ─ ┐
 │    TrueNAS     ├───┤  USW-Flex-XG   ├─────────╣                                         ║  │
 │                │   │                │         ║                             Netgate 6100║    17.11.2023 │
 └────────────────┘   └───┬────┬───────┘         ║                      LAN: 192.168.3.0/24║  │
 ┌────────────────┐       │    │                 ║   Gäste (W)LAN (VLAN33): 192.168.33.0/24║   ─ ─ ─ ─ ─ ─ ┘
 │      UBNT      │       │    │                 ║       IoT WLAN (VLAN34): 192.168.34.0/24║
 │UniFI AP AC Pro ├───────┘    │                 ║     DynDNS über deSEC mit eigener Domain║
 │                │            │                 ║                                   VPN's:║  
 └────────────────┘            │                 ║         2 x Fritzbox (7490 & 6591) IPSec║
                               │                 ║ 1 x OpenVPN Road Warrior (172.16.3.0/24)║
                               │                 ║               1 x WireGuard Road Warrior║
                               │                 ║                         (172.16.33.0/24)║
                               │                 ╚═════════════════════════════════════════╝
                               │
 ┌────────────────┐   ┌────────┴───────┐ ┌────────────────┐ ┌────────────────┐
 │ Fritzbox 7490  │   │     Switch     │ │      UBNT      │ │    1 x UBNT    │
 │   (Nur VoIP)   ├───┤  USW-Flex-XG   ├─┤USW-ENTERPRISE-8├─┤UniFi AP-Flex-HD│
 │                │   │                │ │      -POE      │ │                │
 └────────────────┘   └────┬───────────┘ └──────┬─────────┘ └────────────────┘
 ┌────────────────┐        │                    │
 │      UBNT      │        │                    │    ┌───────────┐
 │UniFI AP AC Pro ├────────┘                    │    │           │
 │                │                             └────┤  Clients  │
 └────────────────┘                                  │           │
                                                     └───────────┘