Hardware-Empfehlung für Heimnetzwerk

[Springrbua]

Hallo,
ich bin aktuell in der Endphase des Neubaus meines Reihenhauses und beschäftige mich schon eine ganze Weile mit der Frage, welche Komponenten für mein Heimnetzwerk geeignet sind.
AM bisherigen Wohnort gab es nur einen einzigen WLan Router, LAN Dosen waren nicht vorhanden. Entsprechend wenig kenne ich mich mit der ganzen Thematik aus, aber ich bin selbst Softwareentwickler und generell sehr Technik interessiert und traue mir auch zu das für mich notwendige zu lernen.
Allerdings bin ich bei der Auswahl der Komponenten durch die unendlichen Möglichkeiten sowie den zugehörigen Reviews, die in jedem System einen Haken finden, etwas überfordert.
Daher erhoffe ich mir von euch ein paar Empfehlungen um die Möglichkeiten zumindest etwas einzugrenzen.

Gegeben ist:

• Glasfaseranschluss
• Insgesamt 34 LAN Anschlüsse (müssen nicht alle gleichzeitig bedient werden)
• Netzwerkschrank 15HE, 60cm tief

Anforderungen:

• Mindestens 24 Ports
• Mindestens 12 PoE Ports (Accesspoints, Türsprechanlage, Wanddisplays)
• Möglichkeit das Netzwerk zu unterteilen (VLan?):
  • Einige Geräte sollen keinen Internet-Zugriff haben (z.B. Induktionskochfeld), aber lokal soll man darauf zugreifen können
  • Einige Geräte sollen nur Internetzugriff haben, aber nicht auf das lokale Netzwerk zugreifen können (Netzwerk für Gäste)
  • Geräte welche sich außen befinden (Türsprechanlage) soll nur sehr begrenzten lokalen Zugriff haben
  • ...
• 4 Access Points (Deckenmontage) mit PoE
• Möglichkeit ein Gäste WLan (nur Internet) einzurichten
• VPN Unterstützung wäre nett, um sicheren Zugriff über das Internet zu gewähren

Bisher habe ich mich stark auf Unifi fixiert, da ich die Produktpalette recht übersichtlich fand und die Geräte aktuell wohl "mainstream" sind.
Die Geräte die ich dabei geplant habe sind:

• UDM-PRO (Router + Controller) oder UDM-SE (Aufgrund der PoE Ports)
• USW-24-POE (24 Port PoE Switch) oder UDM-PRO-24-POE (Aufgrund des höheren PoE Budgets)
• U6-Lite (Wifi 6 Access Point)

Allerdings haben mich diverse Erfahrungsberichte (Online und im Bekanntenkreis) doch eher abgeschreckt.
So soll z.B. die Konfiguration der Firewall nicht besonders gut gelöst sein, viele stört die Update-Politik und wenn ich es richtig verstanden habe ist ein Unifi-Account mittlerweile Voraussetzung.
Auch beim VPN bin ich mir nicht sicher inwiefern das bereits unterstützt wird.

Wo ich mich noch umgesehen habe:
- Omada: Wird hier in einigen (aktuellen) Threads nicht unbedingt empfohlen.
- Mikrotik: Hier fällt es mir irgendwie schwerer die für mich passenden Geräte zu finden (größere Auswahl). Zudem soll das verwendete RouterOS relativ komplex sein. Auch die Auswahl des geeigneten Access Point fällt mir hier irgendwie schwerer.

Gefühlt liegt das größte Problem bei allen Systemen aber beim Router, weshalb ich mir auch überlege verschiedene Systeme zu mischen.
Mir wäre es ja lieber das komplette System von einem Hersteller zu nehmen und eine Plug&Play Lösung zu haben, die ich nach und nach anpassen kann. Aber ich bin mir mittlerweile nicht mehr sicher ob das der richtige Ansatz ist.
Wenn man Systeme mischt, wäre dann auch pfSense (oder eine andere Open Source Software) eine Möglichkeit. Allerdings habe ich auch hier wieder Schwierigkeiten die geeignete Hardware zu finden, da gefühlt jedes Gerät verwendet werden könnte.

Ich bin mit dem ganzen Thema aktuell also noch etwas überfordert und hoffe daher hier ein paar gute Empfehlungen zu bekommen um die Auswahl zumindest etwas eingrenzen zu können.

Danke im Voraus

LG,
Robert

 

[hominidae]

Wo ich mich noch umgesehen habe:
- Omada: Wird hier in einigen (aktuellen) Threads nicht unbedingt empfohlen.
- Mikrotik: Hier fällt es mir irgendwie schwerer die für mich passenden Geräte zu finden (größere Auswahl). Zudem soll das verwendete RouterOS relativ komplex sein. Auch die Auswahl des geeigneten Access Point fällt mir hier irgendwie schwerer.

Gefühlt liegt das größte Problem bei allen Systemen aber beim Router, weshalb ich mir auch überlege verschiedene Systeme zu mischen.

...Omada APs und Router + Switches von Mikrotik, wäre eine Option....jeweils "das Beste aus beiden Welten"...mikrotik/RouterOS ist aber nicht so plug&play...opneSense eine Alternative.
Welche Bandbreite wird der Glasfaser-Anschluss haben und wird der ne öffentliche IPv4 bekommen (gar eine feste?)

Anforderungen:

• Mindestens 24 Ports

..was ist mit dezentraler Verteilung in den Zimmern, da evtl noch einen kleinen 5-8Port Switch im "Büro"/Home-Office, am TV/Video-Renderer?

• Mindestens 12 PoE Ports (Accesspoints, Türsprechanlage, Wanddisplays)

CAMs ??

• Möglichkeit das Netzwerk zu unterteilen (VLan?):
  • Einige Geräte sollen keinen Internet-Zugriff haben (z.B. Induktionskochfeld), aber lokal soll man darauf zugreifen können

Das ist/sind ein/zwei Firewall Regel, nicht zwingend VLANs

• • Einige Geräte sollen nur Internetzugriff haben, aber nicht auf das lokale Netzwerk zugreifen können (Netzwerk für Gäste)

...siehe oben

• • Geräte welche sich außen befinden (Türsprechanlage) soll nur sehr begrenzten lokalen Zugriff haben

siehe oben

• • ...

VLANs machen Sinn, wenn zB Geräte am Start sind, die eine Fernwartung vom Installateur/Betreiber/Service-Betrieb brauchen...machmal ist das die Heizung, ein Solar-Wechselrichter, ...

• 4 Access Points (Deckenmontage) mit PoE

separate SSIDs...die gehen dann über VLANs über das gleiche, eine Kabel.

• Möglichkeit ein Gäste WLan (nur Internet) einzurichten

VLAN + firewall, siehe "Kochfeld"

• VPN Unterstützung wäre nett, um sicheren Zugriff über das Internet zu gewähren

Wirguard sollte mMn da heute mit an Bord sein.
Siehe den Hinweis zum Thema öffentliche IPv4...

 

[Springrbua]

Erstmal vielen Dank für die Informationen!

Welche Bandbreite wird der Glasfaser-Anschluss haben und wird der ne öffentliche IPv4 bekommen (gar eine feste?)

Bandbreite steht noch nicht 100%ig fest, aber vermutlich wird es 80/50 oder 120/70 werden. Bzgl. öffentliche IPv4 müsste ich nachfragen, eine feste kann ich mir bei einem Privatanschluss nicht vorstellen.

was ist mit dezentraler Verteilung in den Zimmern

Die Kabel und Dosen wurden zum größten Teil schon gezogen und angeschlossen. Insgesamt kommen 35 Kabel im Netzwerkschrank an, wie gesagt müssen aber nicht alle gleichzeitig funktionieren und können bei Bedarf (wenn Möbel umgestellt werden) umgesteckt werden. Ich dachte an einen 24 Port Switch, da dadurch bereits 2/3 der Anschlüsse abgedeckt wären was aktuell locker ausreicht. Einen weiteren kann man dann immer noch dazukaufen, im Schrank sollte ausreichend Platz sein.

CAMs ??

Sind aktuell tatsächlich nicht geplant. Die beiden Türstationen haben jeweils eine Kamera, wodurch der Außenbereich bereits zum größten Teil überwacht ist.
Kann aber durchaus sein, dass hier früher oder später welche dazu kommen, weshalb ein etwas höheres PoE Budget sicher nicht verkehrt ist.

separate SSIDs...die gehen dann über VLANs über das gleiche, eine Kabel.

Wie meinst du das gleiche Kabel? Aktuell kommen die alle über ein eigenes Cat7 Kabel in der Verteilung an und ich wollte die dort auch ganz normal auf das Patchpanel auflegen und von da an den Switch anschließen.
Macht man das nicht so?

Wirguard sollte mMn da heute mit an Bord sein.

Ich kann mir gut vorstellen, dass pfSense u.s.w sowie auch Mikrotik das bereits mit an Bord hat. Wie sieht es aber bei Omada und Unifi aus?

LG,
Robert

 

[hominidae]

Bandbreite steht noch nicht 100%ig fest, aber vermutlich wird es 80/50 oder 120/70 werden. Bzgl. öffentliche IPv4 müsste ich nachfragen, eine feste kann ich mir bei einem Privatanschluss nicht vorstellen.

...dann ist eine Sense Perlen vor die Säue, bzw kannst Du mit vergleichweise kleinem Budget bauen, evtl. auch was gebrauchtes...ein Mikrotik Hex-S kostet aber selbst neu wohl weniger und verbraucht weniger Strom und geht prima mit I-Net bis etwa 400-450Mbps

Wie meinst du das gleiche Kabel?

jeder AP hat eine LAN-Verbindung zum Switch...aber mehrere "Wireless-Wires" auf der WiFi Seite (jede SSID eine, je ein VLAN - das V steht für virtuell - im LAN Kabel)
Das wäre mMn der einzigee Anwendungsfall wo VLANs bei Deinen Use-Cases Sinn macht...ansonsten ginge auch ein dummer Switch und eine Fritzbox.

ann aber durchaus sein, dass hier früher oder später welche dazu kommen, weshalb ein etwas höheres PoE Budget sicher nicht verkehrt ist.

PoE im Switch ist komfortabler, weil man den Strom vom Sofa aus/einschalten kann.
Aber auch teurer, insbesondere wenn man eben schon Ports vorhält.
Sind die 12 Stück schon fix? Oder reichen erstmal 8x....haben Winkel fürs Rack und die gibt es auch in 16 oder gar 24 und mehr...aber nur die 8er sind passiv.
Den Lüfterlärm würde ich nicht unterschätzen...der Switch kann dann auch passiv sein.

Ich kann mir gut vorstellen, dass pfSense u.s.w sowie auch Mikrotik das bereits mit an Bord hat. Wie sieht es aber bei Omada und Unifi aus?

Ja, für die beiden Ersten, bei Omada als Router weiss ich es nicht, aber wohl nicht zu empfehlen, weil die Router wohl gar kein IPV6 unterstützen...bei unifi kann ich es auch nicht sagen.
Eine moderne Fritz kann inzwisschen auch, mit der richtigen, aktuellen Firmware auch Wireguard (aber kein VLAN)

 

[Springrbua]

Sind die 12 Stück schon fix?

Die 8 würden vorerst ausreichen. Fix sind 4 Access Points und eine Türstation. Zudem wäre zumindest ein Wallpanel geplant welches mit PoE versorgt werden soll. Alles weitere wäre zunächst nicht notwendig.

Den Lüfterlärm würde ich nicht unterschätzen

Der Netzwerkschrank befindet sich im Heiz- und Technikraum da spielt Lärm keine so große Rolle. Aber passiv bedeutet vermutlich auch geringeren Stromverbrauch da geringere Leistung, das macht das Ganze dann schon interessant.

prima mit I-Net bis etwa 400-450Mbps

Wie sieht es mit der Geschwindigkeit innerhalb des Netzwerks aus? Ist die auch von Router abhängig?
Ich habe einige Multiroom Amps im Einsatz (Arylic) welche über das Netzwerk synchronisiert werden. Zudem habe ich geplant einen Medienserver (Plex) laufen zu lassen u.s.w. Wird zwar von der Bandbreite her alles nicht besonders spannend sein aber ich möchte auf Nummer sicher gehen.

Edit:
Ich hätte die Möglichkeit einen gebrauchten Unifi USW-PRO-24-POE zu kaufen. Der hätte sicher genügend PoE Ports und Leistung. Würde sich der zusammen mit dem Mikrotik HexS eignen? Dann wäre es vermutlich auch Sinnvoll die APs von Unifi zu nehmen?

Danke nochmal für deine Vorschläge

LG,
Robert

 

[hominidae]

Wie sieht es mit der Geschwindigkeit innerhalb des Netzwerks aus? Ist die auch von Router abhängig?

Nein, solange Du kein Inter-VLAN Routing brauchst.
Aber auch hier gibt es Router, die für die LAN-Ports einen Switch-Chip mit Hardware-Beschleunigung für sowas haben.
Wenn die Verbindung einmal durch die Firewall etabliert ist (Verbindungsaufbau zwischen Client und Server über IP/L3) wird der Rest für die Dauer der Nutzung auf L2 abgeworfen -> https://help.mikrotik.com/docs/display/ROS/Switch+Chip+Features ...der Hex-S gehört auch dazu.
Die "grossen" CRS3xx haben sogar komplette L3 HW-Beschleunigung: https://help.mikrotik.com/docs/display/ROS/CRS3xx,+CRS5xx,+CCR2116,+CCR2216+switch+chip+features (allerdings sollte man die nicht als Router misbrauchen, weil eben RAM und CPU doch etwas kleiner sind).

Kurz: mach Dir da im LAN keine Sorgen.
Wenn Du allerdings 10G Links fahren willst, solltest Du ein stärkeres Modell in Betracht ziehen (RB4011 oder RB5009).
Eine Sense hat diesen Switch Chip übrigens nicht (ist j nur ein PC)...da muss die CPU alles leisten.

Ich habe einige Multiroom Amps im Einsatz (Arylic) welche über das Netzwerk synchronisiert werden.

Die laufen i.d.R. über Multicast, da musst Du darauf achten, dass die - inkl. der Clients im gleichen VLAN sind/bleiben.
Multicast Helper für Cross-(V)LAN rufen eher nach Ärger, weil knifflig: https://help.mikrotik.com/docs/pages/viewpage.action?pageId=59277403
Performance-mässig aber siehe oben.
Edit: Acrylic -> Wireless? Dann solltest Du da auch in die APs etwas investieren....Omada APs miit WiFi6/AX und HD Version evtl.

Zudem habe ich geplant einen Medienserver (Plex) laufen zu lassen u.s.w. Wird zwar von der Bandbreite her alles nicht besonders spannend sein aber ich möchte auf Nummer sicher gehen.

siehe oben. Das sollte kein Problem sein, Performance seitig.
Siehe meine Anmerkung zu 10G, wenn garnix mehr geht und ein 1G LAN einen Bottleneck darstellt.

 

[Springrbua]

Die Arylic Boards sollen alle per LAN verbunden werden. Die meisten davon werden sowieso zentral in den Netzwerkschrank gepackt, nur die für die TVs befinden sich im jeweiligen Raum. Aber auch da sind die entsprechenden Lan-Dosen vorgesehen.
Wenn der HexS für 1G Lan ausreicht sollte das für die nächsten Jahre definitiv ausreichen.
Bzgl. Switch hätte ich, wie oben erwähnt, die Möglichkeit einen USW-PRO-24-POE zu bekommen. Ist mit Sicherheit overkill für meine Anforderungen aber wäre der prinzipiell empfehlenswert? Würde dann wohl auch die APs von Unifi einsetzen und der Switch Flex Mini wäre als Switch für Büro etc. Interessant, da er güstig ist und mit PoE versorgt werden kann.

 

[hominidae]

Die Arylic Boards sollen alle per LAN verbunden werden.

...die kenne ich nicht, hatte nur kurz mal tante google gefragt und nur WiFi Geräte gesehen...LAN ist ntürlich gut

Wenn der HexS für 1G Lan ausreicht sollte das für die nächsten Jahre definitiv ausreichen.

Wie gesagt, ist nicht click,click, finish...aber auch ne Sense hat ne Lernkurve....gibt aber auch Hilfe hier im Forum.

Bzgl. Switch hätte ich, wie oben erwähnt, die Möglichkeit einen USW-PRO-24-POE zu bekommen. Ist mit Sicherheit overkill für meine Anforderungen aber wäre der prinzipiell empfehlenswert? Würde dann wohl auch die APs von Unifi einsetzen und der Switch Flex Mini wäre als Switch für Büro etc. Interessant, da er güstig ist und mit PoE versorgt werden kann.

jetzt bist Du doch wieder bei einem dezentralen Switch ;-)
Schau mal hier: https://mikrotik.com/product/css610_8g_2s_in oder https://mikrotik.com/product/css610_8p_2s_in
Die MT Switche haben eigentlich alle PoE-In als Alternative, oder redundante Stromversorgung, glaube ich (manche aber "nur" passive PoE, muss man ehrlicherweise sagen).
Ich würde Dir in der Zentrale nen CRS326 empfehlen: https://mikrotik.com/product/CRS326-24G-2SplusRM - non PoE und den 8x-Inline Injektor - weil stromsparender.

Für UBNT oder Omada braucht es einen Controller zum einrichten...
Ich finde das P/L bei Omanda bessser, zumindest bei APs.
Nur für nen Switch den Controller anwerfen oder gar in HW anschaffen (geht auch als App auf nem NAS, im Docker) finde ich passt dann nicht.

 

[Springrbua]

jetzt bist Du doch wieder bei einem dezentralen Switch

Ich habe schon versucht möglichst vielzentral zu machen, ein paar Meter Lan Kabel mehr ist günstiger als ein Switch. Aber an manchen Stellen kann es durchaus passieren, dass zu wenig Anschlüsse vorhanden sind. Auch für die Multiroom Amps wäre ao ein kleiner, günstiger Switch interessant. Meine Idee wäre es dabei 4 solcher Amps zusammen mit dem Netzteil und einem Switch in ein 1 oder 2HE Rackgehäuse zu packen. Bis ich das aber wirklich umsetze vergeht si her noch eine ganze Weile

Die Geräte von Mikrotik und die Omada APs werde ich mir jedenfalls nochmal genauer anschauen.

Vielen Dank

 

[hominidae]

Die Geräte von Mikrotik und die Omada APs werde ich mir jedenfalls nochmal genauer anschauen.

Du kannst auch in der zentrale den CSS610 in der P(oE-Out) Version neben den CRS326 stellen....statt des 8x inline Injectors...dann ein 10G-DAC Kabel für 8-10EUR dazwischen und Du hast nen 32x1G mit 8xPoE-Out Switch im rack ;-)

 

[Springrbua]

Ich denke der zusätzliche PoE Switch wäre da tatsächlich die bessere Wahl. Er kostet nicht so viel mehr als der Injector und ich habe ein paar zusätzliche Ports.
Meine Einkaufsliste würde dann also so aussehen:

• Mikrotik HexS (Router)
• Mikrotik CRS326-24G-2S+RM (24 Port Switch)
• Mikrotik CSS610-8P-2S+IN (PoE Switch)

Zum CRS326 habe ich noch eine Frage: Bei diesem Switch handelt es sich ja um einen Switch, der sowohl SwitchOS als auch RouterOS unterstützt.
Es handelt sich aber dennoch um einen reinen Switch oder? Was ist dann der Unterschied zwischen dem und z.B. einem CSS, der nur SwitchOS unterstützt?

Danke

 

[mbrhwl]

Den CRS kannst du mit SwitchOS oder RouterOS betreiben die CSS nur mit SwitchOS.

Mit RouterOS kannst du bei den CRS auch über die bridge switchen. (Ein CRS ist auch kein Router mit dem du zum Beispiel dein Internet Zugang routen solltest, dafür gibt es dann die CCR Reihe oder halt den hex, ab RouterOS 7 sollte man aber L3 routing machen können somit sind es quasi Layer 3 switches)

 

[hominidae]

Zum CRS326 habe ich noch eine Frage: Bei diesem Switch handelt es sich ja um einen Switch, der sowohl SwitchOS als auch RouterOS unterstützt.
Es handelt sich aber dennoch um einen reinen Switch oder? Was ist dann der Unterschied zwischen dem und z.B. einem CSS, der nur SwitchOS unterstützt?

-> RouterOS: https://help.mikrotik.com/docs/display/ROS/RouterOS
-> SwOS: https://help.mikrotik.com/docs/display/SWOS/SwOS

SwitchOS ist wesentlich simpler aufgebaut und macht genau das, was ein L2-Switch, inkl. VLANs, ACLs usw können muss.
In den CRS/CSS-3xx Modellen (und neueren) ist aber ein Switch-Chip drin, der viel mehr kann, was HW-Beschleunigung usw angeht. Dieses Potential wurde mit RouterOS ab v7 gehoben.
Ein CSS hat/kann einfach die ROS-Lizenz (und ROS-Firmware) nicht....und ist daher günstiger ... gilt auch beim CSS326.

Ich sehe keinen grossen Nachteil, den kleinen CSS610 als Satelit am CRS326 zu nehmen...Du hast aber wieder ein anderes Interface...aber VLANs ändert man nicht so schnell und wenn Du da die APs dran hast, ist das eh nur einmal gemacht bzw. wenn SSIDs/VLANs hinzu kommen.
Durch die Anbindung über 10G an den CRS326 macht der eh den Rest und entlastet schon beim Inter-VLAN Routing den Hex-S. Im CRS326 und im Hex-S wird die Haupt-Konfig gemacht und da macht RouterOS Sinn.

 

[mbrhwl]

und entlastet schon beim Inter-VLAN Routing den Hex-S.

Ich probiere das beim CRS mit der v7 noch zu verstehen, wie machst du das, dass der CRS das inter VLAN routing macht? Bei mir geht das immer noch über den Router wenn ich über subnetze gehe... irgend was mach ich noch falsch.

 

[hominidae]

Ich bin ehrlich gesagt dafür zu faul, bisher...ich hab aber auch nen RB4011 mit 10G zum CRS326 dran ... und noch nen CRS309 dazwischen ;-)
Eigentlich muss man wohl nur "aufpassen", dass die Bridge und das Filtering so eingestellt ist, dass HW/L3-Beschleunigung "an" bleibt.
Die "alte" Anleitung aus ROSv6, die jeder aus dem EffEff kann, berücksichtigt das wohl nicht, bzw. man muss aufpassen, wie die Ports konfiguriert werden.

Da schon mal geschaut: https://help.mikrotik.com/docs/disp...oading#L3HardwareOffloading-Inter-VLANRouting ?

Edit: Mein Verständnis ist aber, dass der CRS dass nicht komplett allein macht. Der Verbindungsaufbau zwischen "Client & Server" in unterschiedlichen VLANs muss zuerst einmal durch den Router (Firewall/conntrack)...sobald die Verbindung ausgehandelt ist und steht (conntrack) schaltet der Switch-Chip durch.

 

[Springrbua]

Sind die Omada EAP610 Access Points empfehlenswert oder lohnt sich der Aufpreis auf z.B. EAP650?

 

[Springrbua]

@hominidae spricht eigentlich etwas gegen den MikroTik CRS112-8P im Vergleich zum CSS610-8P?
Der CRS112 wäre aktuell verfügbar (getic.de) und sogar etwas günstiger als der CSS610.

 

[mbrhwl]

Mein Verständnis ist aber, dass der CRS dass nicht komplett allein macht. Der Verbindungsaufbau zwischen "Client & Server" in unterschiedlichen VLANs muss zuerst einmal durch den Router (Firewall/conntrack)...sobald die Verbindung ausgehandelt ist und steht (conntrack) schaltet der Switch-Chip durch.

Ich habe das noch mal am Wochenende probiert und es will einfach nicht. Auf den CRS habe ich an sich gar keine Firewall aktiv, da ich die nur als Switch verwende. Die schicken immer alles durch den OPNsense wenn ich in ein anders subnetz will.

Ich frage mich langsam ob es nur mit Firewall regeln aktiviert wird, davon steht aber nichts in der Anleitung....

Hat jemand L3HW schon ans laufen bekommen?

 

[hominidae]

@hominidae spricht eigentlich etwas gegen den MikroTik CRS112-8P im Vergleich zum CSS610-8P?
Der CRS112 wäre aktuell verfügbar (getic.de) und sogar etwas günstiger als der CSS610.

Der CRS112 läuft auf ROS, nicht SwOS, was ihn schon wieder etwas interessant macht. Allerdings hat er keine 10G Interfaces, wie der CSS610.
In Kombination mit einem zentralen CRS3xx macht für mich der CSS610 mehr Sinn. Einfach ein günstiiges 10G DAC und beide als Trunk-Port verbinden. Da wird es keine Probleme mit Performance und VLANs geben.
Unter der Annahme, das der eh bei VLANs nur Acces- oder einfach Trunk-Ports für die APs bedient, ist da nicht viel zu konfigurieren, wofür sich ROS lohnen würde. Es sei denn Du brauchst an den Ports Dot1X (802.1X - https://help.mikrotik.com/docs/display/ROS/Dot1X ), da könnte es mit der Kaskade schwierig werden, aber wissen tue ich es nicht.

Wenn Du warten kannst, würde ich auf den CSS610 warten.....ich habe seit Anfang Corona zwei Stück der non-PoE Version im Einsatz (damals 70EUR, das waren noch Zeiten) und die laufen einfach zuverlässig durch, selbst über 18m CAT5e und MT/fs.com RJ45 Modulen.

Schau bei getic auch immer mal in den Sale-Bereich...da tauchen die Kunden-Retouren auf...hab da meinen CRS309 mal günstig geschossen.

Beitrag automatisch zusammengeführt: 03.04.2023

Ich frage mich langsam ob es nur mit Firewall regeln aktiviert wird, davon steht aber nichts in der Anleitung....

Mein Verständnis ist, dass Du das brauchst.
Die Firewall des Routers handelt die Verbindung aus (erlaubt diese).
Danach muss/soll der Switch "lokal" übernehmen.
Probier mal sowas in der Art:

/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=established,related hw-offload=yes

Edit: wobei der Switch L3HW-Offload für fastrack unterstützen muss....das geht nur für die mit DX8000 und DX4000 Chips: https://help.mikrotik.com/docs/disp...ading#L3HardwareOffloading-L3HWFeatureSupport

 

[Springrbua]

Super, danke für deine Info, dann werde ich wohl auf den CSS610 warten.
Der HexS ist mittlerweile angekommen, ein paar Ports kann ich ja damit bereits verbinden.
Macht es für den Router eigentlich einen Unterschied woher er Internet bekommt? Den Vertrag mit dem Provider habe ich noch nicht und nutze aktuell immer den Hotspot meines Smartphones.
Dafür habe ich ein TP-Link Nano, der das WLan Signal des Hotspots über LAN zugänglich macht. Könnte ich das theoretisch auch als Eingang für den MikroTik verwenden?
In erster Linie möchte ich langsam das lokale Netzwerk aufbauen um mit der Einrichtung des Medienservers, MultiRoom Audio u.s.w. beginnen zu können. Es wäre dabei natürlich super, wenn die ganzen Geräte dann auch meinen Hotspot nutzen könnten und ich später nur das Modem an den MiktroTik anschließen muss und das meiste bereits funktioniert.

EDIT:
Der CSS610 scheint gerade wieder verfügbar zu sein

 

[mbrhwl]

/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=established,related hw-offload=yes

Edit: wobei der Switch L3HW-Offload für fastrack unterstützen muss....das geht nur für die mit DX8000 und DX4000 Chips: https://help.mikrotik.com/docs/disp...ading#L3HardwareOffloading-L3HWFeatureSupport

Ich habe die firewall mal auf dem CRS317 aktiviert, jedoch hat es noch nicht geholfen, muss ich eingentlich fast forward auf der bridge aktivieren oder aus lassen?

/interface bridge
add fast-forward=no ingress-filtering=no name=BR1 priority=0x3000 vlan-filtering=yes

 

[hominidae]

Macht es für den Router eigentlich einen Unterschied woher er Internet bekommt?

Nein, alle Interfaces können WAN "spielen"

Den Vertrag mit dem Provider habe ich noch nicht und nutze aktuell immer den Hotspot meines Smartphones.
Dafür habe ich ein TP-Link Nano, der das WLan Signal des Hotspots über LAN zugänglich macht. Könnte ich das theoretisch auch als Eingang für den MikroTik verwenden?

Ja, kannst Du. Ich vermute, der TP-Link Adapter oder Dein Phone dahinter kehrt via DHCP ne (WAN-) IP aus.
Edit: achte mal drauf, was für ne IP/was fürn netz da kommt...vermutlich schon was internes (192.168.x.x oder 10.x.x.x)...dann achte drauf, dass sich das mit keinem Deiner internen Netze beisst, sodas Du später nix ändern musst auf der Seite.
Wenn Dein lokaler Provider-Zugang da ist, musst Du aber dann wahrscheinlich ppoe noch auf dem WAN Port einrichten (DSL-Modem oder Glasfaser).
NAT würde ich im MT schonmal einschalten, wird nicht schaden und kann später nicht vergessen werden.

Beitrag automatisch zusammengeführt: 03.04.2023

muss ich eingentlich fast forward auf der bridge aktivieren oder aus lassen?

soweit ich das : https://help.mikrotik.com/docs/display/ROS/Bridging+and+Switching#BridgingandSwitching-FastForward verstehe, ist FF nicht mit HW-Offloading kompatibel...also, ja: aus.

Ich habe die firewall mal auf dem CRS317 aktiviert, jedoch hat es noch nicht geholfen,

Ich habe es auch noch nicht ausprobiert, also tappe ich auch im dunkeln. Der CRS317 sollte das können...sehe gerade das mein kleiner CRS326 das nicht kann ... müsste ich über den CRS309 gehen.
Hast Du den betreffenden VLAN Interfaces auf der Bridge mal eine IP verpasst, sodass auch eine IP-Route - über den externen Router - zwischen den VLANs existiert?

Edit: ohne das jetzt gelesen zu haben, aber da steht "solved": https://forum.mikrotik.com/viewtopic.php?p=987804&hilit=inter+vlan+routing+l3hw#p987804

Beitrag automatisch zusammengeführt: 03.04.2023

EDIT:
Der CSS610 scheint gerade wieder verfügbar zu sein

...besser geht's nicht...da würd ich zuschlagen ;-)
Edit: oder Du gibst den hex zurück und nimmst den: https://www.getic.de/product/mikrotik-rb5009upr-s-in ... aber eben nicht vorrätig

 

[mbrhwl]

Hast Du den betreffenden VLAN Interfaces auf der Bridge mal eine IP verpasst, sodass auch eine IP-Route - über den externen Router - zwischen den VLANs existiert?

Ja, dies ist meine aktuelle config:

# apr/03/2023 13:43:23 by RouterOS 7.8
# software id = R85S-8D6C
#
# model = CRS317-1G-16S+
/interface bridge
add fast-forward=no ingress-filtering=no name=BR1 priority=0x3000 \
    vlan-filtering=yes
/interface ethernet
set [ find default-name=ether1 ] l2mtu=1592
set [ find default-name=sfp-sfpplus1 ] l2mtu=1592
set [ find default-name=sfp-sfpplus2 ] l2mtu=1592
set [ find default-name=sfp-sfpplus3 ] l2mtu=1592
set [ find default-name=sfp-sfpplus4 ] l2mtu=1592
set [ find default-name=sfp-sfpplus5 ] l2mtu=1592
set [ find default-name=sfp-sfpplus6 ] l2mtu=1592
set [ find default-name=sfp-sfpplus7 ] l2mtu=1592
set [ find default-name=sfp-sfpplus8 ] l2mtu=1592
set [ find default-name=sfp-sfpplus9 ] l2mtu=1592
set [ find default-name=sfp-sfpplus10 ] l2mtu=1592
set [ find default-name=sfp-sfpplus11 ] l2mtu=1592
set [ find default-name=sfp-sfpplus12 ] l2mtu=1592
set [ find default-name=sfp-sfpplus13 ] l2mtu=1592
set [ find default-name=sfp-sfpplus14 ] l2mtu=1592
set [ find default-name=sfp-sfpplus15 ] l2mtu=1592
set [ find default-name=sfp-sfpplus16 ] l2mtu=1592
/interface vlan
add interface=BR1 name=GUEST_VLAN vlan-id=90
add interface=BR1 name=LAN_VLAN vlan-id=240
add interface=BR1 name=MANAGEMENT_VLAN vlan-id=99
add interface=BR1 name=SERVER_VLAN vlan-id=820
add interface=BR1 name=WORK_VLAN vlan-id=35
/interface ethernet switch
set 0 l3-hw-offloading=yes
/interface list
add name=BASE
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/port
set 0 name=serial0
/routing bgp template
set default disabled=no output.network=bgp-networks
/routing ospf instance
add disabled=no name=default-v2
/routing ospf area
add disabled=yes instance=default-v2 name=backbone-v2
/interface bridge port
add bridge=BR1 frame-types=admit-only-vlan-tagged interface=sfp-sfpplus1
add bridge=BR1 frame-types=admit-only-vlan-tagged interface=sfp-sfpplus2
add bridge=BR1 frame-types=admit-only-vlan-tagged interface=sfp-sfpplus3
add bridge=BR1 frame-types=admit-only-vlan-tagged interface=sfp-sfpplus4
add bridge=BR1 frame-types=admit-only-vlan-tagged interface=sfp-sfpplus5
add bridge=BR1 frame-types=admit-only-vlan-tagged interface=sfp-sfpplus6
add bridge=BR1 frame-types=admit-only-vlan-tagged interface=sfp-sfpplus7
add bridge=BR1 frame-types=admit-only-vlan-tagged interface=sfp-sfpplus8
add bridge=BR1 frame-types=admit-only-untagged-and-priority-tagged interface=\
    sfp-sfpplus9 pvid=240
add bridge=BR1 frame-types=admit-only-untagged-and-priority-tagged interface=\
    sfp-sfpplus10 pvid=820
add bridge=BR1 frame-types=admit-only-untagged-and-priority-tagged interface=\
    sfp-sfpplus11 pvid=820
add bridge=BR1 frame-types=admit-only-untagged-and-priority-tagged interface=\
    sfp-sfpplus12 pvid=820
add bridge=BR1 frame-types=admit-only-untagged-and-priority-tagged interface=\
    sfp-sfpplus13 pvid=820
add bridge=BR1 frame-types=admit-only-untagged-and-priority-tagged interface=\
    sfp-sfpplus14 pvid=820
add bridge=BR1 frame-types=admit-only-untagged-and-priority-tagged interface=\
    sfp-sfpplus15 pvid=820
add bridge=BR1 frame-types=admit-only-untagged-and-priority-tagged interface=\
    sfp-sfpplus16 pvid=820
add bridge=BR1 frame-types=admit-only-vlan-tagged ingress-filtering=no \
    interface=ether1
/ip neighbor discovery-settings
set discover-interface-list=BASE
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
/interface bridge vlan
add bridge=BR1 tagged="BR1,sfp-sfpplus1,sfp-sfpplus2,sfp-sfpplus3,sfp-sfpplus4\
    ,sfp-sfpplus5,sfp-sfpplus6,sfp-sfpplus7,ether1" vlan-ids=99
add bridge=BR1 tagged="BR1,ether1,sfp-sfpplus1,sfp-sfpplus2,sfp-sfpplus3,sfp-s\
    fpplus4,sfp-sfpplus5,sfp-sfpplus6,sfp-sfpplus7" untagged="sfp-sfpplus10,sf\
    p-sfpplus11,sfp-sfpplus12,sfp-sfpplus13,sfp-sfpplus14,sfp-sfpplus15,sfp-sf\
    pplus16" vlan-ids=820
add bridge=BR1 tagged="BR1,sfp-sfpplus1,sfp-sfpplus2,sfp-sfpplus3,sfp-sfpplus4\
    ,sfp-sfpplus5,sfp-sfpplus6,sfp-sfpplus7,ether1" untagged=sfp-sfpplus9 \
    vlan-ids=240
add bridge=BR1 tagged="BR1,sfp-sfpplus1,sfp-sfpplus2,sfp-sfpplus3,sfp-sfpplus4\
    ,sfp-sfpplus5,sfp-sfpplus6,sfp-sfpplus7,ether1" vlan-ids=35
add bridge=BR1 tagged="BR1,sfp-sfpplus1,sfp-sfpplus2,sfp-sfpplus3,sfp-sfpplus4\
    ,sfp-sfpplus5,sfp-sfpplus6,sfp-sfpplus7,ether1" vlan-ids=90
/interface list member
add interface=MANAGEMENT_VLAN list=BASE
/interface ovpn-server server
set auth=sha1,md5
/ip address
add address=10.8.20.17/24 interface=SERVER_VLAN network=10.8.20.0
add address=192.168.90.17/24 interface=GUEST_VLAN network=192.168.90.0
add address=192.168.8.17/24 interface=LAN_VLAN network=192.168.8.0
add address=172.16.99.17/24 interface=MANAGEMENT_VLAN network=172.16.99.0
add address=172.16.35.17/24 interface=WORK_VLAN network=172.16.35.0
/ip dns
set servers=172.16.99.254
/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=\
    established,related hw-offload=yes
add action=accept chain=forward connection-state=established,related
/ip route
add disabled=no dst-address=0.0.0.0/0 gateway=172.16.99.254 routing-table=\
    main suppress-hw-offload=no
/system clock
set time-zone-name=Europe/Zurich
/system identity
set name=crs317-c1
/system ntp client
set enabled=yes
/system ntp client servers
add address=172.16.99.254
/system routerboard settings
set boot-os=router-os
/tool mac-server
set allowed-interface-list=BASE
/tool mac-server mac-winbox
set allowed-interface-list=BASE
/tool romon
set enabled=yes

Beitrag automatisch zusammengeführt: 03.04.2023

Edit: ohne das jetzt gelesen zu haben, aber da steht "solved": https://forum.mikrotik.com/viewtopic.php?p=987804&hilit=inter+vlan+routing+l3hw#p987804

Beitrag automatisch zusammengeführt: 03.04.2023

Hab das was sie vorgeschlagen hatten auch mal probiert:

/interface/bridge/settings
set use-ip-firewall=yes
set use-ip-firewall-for-vlan=no
set use-ip-firewall-for-pppoe=no
set use-ip-firewall=no

 

[hominidae]

@mbrhwl ...das wird jetzt langsam etwas offtopic...wie wäre es, die Diskussion in den Mikrotik-Geräte Faden zu verlagern? Zumal ich ja auch nicht wirklich helfen kann, mangels Setup.

 

[Springrbua]

Nein, alle Interfaces können WAN "spielen"

Super, dann kann ich ja anfangen zu "spielen"

dann achte drauf, dass sich das mit keinem Deiner internen Netze beisst

Aktuell habe ich ja noch keine Netze, die müssen jetzt ja alle erst durch diese Geräte aufgebaut werden. Oder meinst du, dass der TP-Link keine IP-Adresse belegt, die ich später für ein anderes Gerät vorgesehen habe?

oder Du gibst den hex zurück und nimmst den

Bestellung ist schon raus, aber preislich schenkt sich das eh nichts.
Hab auch schon mal überlegt den 24 Port PoE Switch zu nehmen (CRS328-24P), aber der kostet mehr als die beiden Switche zusammen und ich hätte 8 Ports weniger und vermutlich einen höheren Verbrauch.

Nochmals vielen dank für deine Hilfe!

 

[hominidae]

Aktuell habe ich ja noch keine Netze, die müssen jetzt ja alle erst durch diese Geräte aufgebaut werden.

Du hat ja da ein Netz auf WAN Seite. Durch diese "Kaskade" übers Smartphone und dem TP-Link vermutete ich, wird da eine Adresse aus einem nicht öffentlichen Netz ankommen - der Hotspot Deines Phone macht bestimmt NAT. Dieses Netz kannst Du nicht mehr für die Heim-Seite (LAN/VLAN) des Routers (und Clients/Switche/... ) verwenden.

 

[mbrhwl]

Ich habe das mit dem L3HW im lab jetzt hinbekommen, wen es interessiert, hier hab ich die config gepostet.

 

[even.de]

Gegeben ist:

• Glasfaseranschluss
• Insgesamt 34 LAN Anschlüsse (müssen nicht alle gleichzeitig bedient werden)
• Netzwerkschrank 15HE, 60cm tief

Anforderungen:

• Mindestens 24 Ports
• Mindestens 12 PoE Ports (Accesspoints, Türsprechanlage, Wanddisplays)
• Möglichkeit das Netzwerk zu unterteilen (VLan?):
  • Einige Geräte sollen keinen Internet-Zugriff haben (z.B. Induktionskochfeld), aber lokal soll man darauf zugreifen können
  • Einige Geräte sollen nur Internetzugriff haben, aber nicht auf das lokale Netzwerk zugreifen können (Netzwerk für Gäste)
  • Geräte welche sich außen befinden (Türsprechanlage) soll nur sehr begrenzten lokalen Zugriff haben
  • ...
• 4 Access Points (Deckenmontage) mit PoE
• Möglichkeit ein Gäste WLan (nur Internet) einzurichten
• VPN Unterstützung wäre nett, um sicheren Zugriff über das Internet zu gewähren

Bisher habe ich mich stark auf Unifi fixiert, da ich die Produktpalette recht übersichtlich fand und die Geräte aktuell wohl "mainstream" sind.
Die Geräte die ich dabei geplant habe sind:

• UDM-PRO (Router + Controller) oder UDM-SE (Aufgrund der PoE Ports)
• USW-24-POE (24 Port PoE Switch) oder UDM-PRO-24-POE (Aufgrund des höheren PoE Budgets)
• U6-Lite (Wifi 6 Access Point)

Dem ist nichts hinzuzufügen. Habe ich exakt so, außer die Pro APs statt Lite, aber lite reichen auch massig.
Ich nutze auch exakt diese Funktionen, die du unter Anforderungen aufgelistet hast.

VPN zwischen meinem Elternhaus und der UDM Pro reizt den vollen Upload der Leitungen aus (250 Mbit/s Glasfaser)

Kann ich nur empfehlen. Kostet aber halt auch mehr als eine 08/15 Fritz!Box und ein unmanaged Switch.

 

[Springrbua]

@hominidae Router und Switche sind mittlerweile angekommen, den Router habe ich bereits eingerichtet, sodass er mit dem Hotspot laufen würde.
Die internen IPs habe ich in den Klasse B Bereich (172.16.0.0 - 172.31.255.255) gepackt (wurde im Tutorial das ich verfolgt habe so gemacht). Vom TP-Link (WAN) bekomme ich eine Klasse C Adresse, somit dürfte es keine Konflikte geben und ich könnte später einfach nur das WAN abändern.
Hierzu habe ich noch eine Frage:
Benötige ich ein separates Modem oder kann der Mikrotik diese Aufgabe bereits selbst übernehmen?

Der HexS hat für WAN sowohl einen SFP als auch einen RJH45 Anschluss. Da ich ja aktuell nur 120/70 habe, wäre der SFP Port ja überdimensioniert.
Kann ich den dann als Uplink zum Switch verwenden? Das lokale Netz könnte davon ja durchaus profitieren, oder muss der lokale Traffic nicht zwingend komplett über den Router gehen?

LG,
Robert

 

[hominidae]

Hierzu habe ich noch eine Frage:
Benötige ich ein separates Modem oder kann der Mikrotik diese Aufgabe bereits selbst übernehmen?

Nein, für Glasfaser bekommst Du vom Anbieter ein Modem....wobei das eh nur ein Medienkonverter ist, schau mal hier: https://www.deutsche-glasfaser.de/glasfaser/hausanschluss/
Das NT hat i.d.R. RJ45 in DE (woanders in EU auch SFP, bei einem Business-Anschluss mit grösser 1Gbps auch SFP+ oder noch was schnelleres)...den Hex-S kannst Du dann mit seiner WAN Seite da dranstecken, wenn es soweit ist.

Der HexS hat für WAN sowohl einen SFP als auch einen RJH45 Anschluss. Da ich ja aktuell nur 120/70 habe, wäre der SFP Port ja überdimensioniert.

Das ist ein SFP, kein SFP+, also nicht 10G ....der Hex-S hat also 6x1G Ports und Du kannst die frei belegen/nutzen...egal ob LAN oder WAN (ginge auch 2x WAN oder mehr)

Kann ich den dann als Uplink zum Switch verwenden?

Grundsätzlich ja. (SFP+ ist eigentlich abwärtskompatibel, also kannst Du in den Switch auch einen SFP-Tranceiver einstecken).
Tranceiver sind i.d.R. Hersteller-kodiert...Mikrotik ist aber sehr genügsam und nimmt eigentlich auch die von Cisco oder generische.
Es gibt eine Komptibilitätsmatrix: https://wiki.mikrotik.com/wiki/MikroTik_wired_interface_compatibility
Dieses Wiki ist aber nur der Vorläufer von "help.mikrotik.com" und evtl. nicht up-2-date.

Das lokale Netz könnte davon ja durchaus profitieren,

nein, nicht für den HEX, da eben kein 10G Port beim Hex-S.
Du könntest natürlich zwei LWL-Transceiver nehmen oder ein DAC (siehe auch: https://community.fs.com/blog/sfp-vs-sfp-vs-sf-p28-vs-qsfp-vs-qsf-p28-what-are-the-differences.html Edit: also SFP+ Transceiver passen nicht in den HEX-S)...aber beim Hex mit 1G bringt das keinen Vorteil, es sei denn Dir gehen die RJ45-Ports am Hex-S aus. ... bei 10G-Links wäre ein (SFP+) DAC deutlich energiesparender, bei 1G egal.

Da Du aber doch einen grossen Switch (CRS326) und den CSS610er nutzen wolltest, macht aber dort das SFP+ DAC total Sinn, sowas z.B. um die beiden zu koppeln (wenn die eh neben/übereinander im Rack/Regal stehen, ist das optimal, weil günstig und energiesparend)

oder muss der lokale Traffic nicht zwingend komplett über den Router gehen?

Lokaler Traffic zwischen Clients wird den/die Switch(es) nicht wirklich verlassen...bis auf Services, wie DNS und DHCP, die der Router ja intern bereitstellt, neben I-Net latürnich.
Erst wenn Du VLANs nutzt und Inter-VLAN Routing brauchst, wird es da interessanter...da könntest Du aber beim Hex-S auch Ports zum zentralen Switch bündeln (LACP) um für mehrere, simultane Clients mehr als 1G Bandbreite bereitzustellen.