[Kaufberatung] MikroTik CRS328-24P-4S+RM // Accesspoints

[PackElend]

Entweder mehr Power am Router oder zwei getrennte VLAN-Kabel zu den Parteien oder VLAN-fähige kleine Switches bei den Parteien.

ich denke im ersten Anlauf geht nur ein Kabel in jede Wohnung uns sie müssen dann über einen Router in der Wohnung weitermachen. Damit wäre auch eine Sicherheit gegeben, gegenüber Eindringen ins Netzwerk von anderen Wohnungen.
SAT>IP wäre dann auch immer eine Wohnung VLAN zugeordnet. Da möchte ich nichts vermischen, bzw. auf Anbieter wie Zatoo verweisen. Hierfür sollte ein 100 Mbits/s pro Wohnung ausreichen. Mit dem Angebot von Zatoo, Netflix usw. gibt es eigentlich keine Rechtfertigung mehr für DVB-C und DVB-S, ausser hat ich immer schon will ich weiterhin so.

Meine Erfahrung mit den MT Geräten ist, dass sie eigentlich kaum "kaputt" gehen. Von kleinst bis größt sind früher viele solche Geräte durch meine Hände oder der meiner Kollegen gegangen und von paar hundert war einmal ein WLAN an einem Homerouter bei Auslieferung defekt und einmal hat ein Netzteil eines CCR1036 massive Probleme nach drei oder vier Jahren RZ Betrieb gemacht.

danke für die Info

Um den SPOF abzufangen könntest Du Dir zwei kleine Switches am Inet aufstellen,

Deswegen die Frage. Fritz!Boxen und das HP E2810-24G Switch 1 (J9021A) habe ich auch noch. Die Gegensprechanlage soll zur Sicherheit auch mit 12V Versorgt werden. Ein kleines Netzteil will ich dafür installieren lassen.

zwei separate Leitungen beauftragen (unterschiedliche Provider und Zugangswege natürlich), zwei Router per VRRP den Vorrang aushandeln lassen und nach hinten nochmal zwei gleiche Switches aufstellen, die Du im Fehlerfall umstecken musst, weil die Geräte der Parteien eh nicht damit umgehen können.

Aus diesem Grunde lasse ich schon zwei Glasfaserleitungen zurückverlegen aber ich bin seit ein paar Jahren auf Glas unterwegs und hatte bisher noch keine Probleme

Ich würde eher auf ein offenes Gespräch mit den Mitbewohnern setzen und die Kirche im Dorf lassen.

Eigentümerversammlung ist nächste Woche Donnerstag.

Die Switche waren platt und er konnte nicht arbeiten. Das hat richtig Geld gekostet, nicht die Switche, der Ausfall.

das Problem werden heute viele haben. Wenn der Standardrouter vom ISP ausfällt war es das mit HomeOffice.

denn wer sagt einem, dass er in 5 Jahren das Gerät noch auf die Schnelle bekommt

Wer sagt, dass nicht zwei gekauft werden oder nach 5 Jahren das Gerät getauscht wird, bzw. ein schwächeres Geräte gekauft wird, was das nötigste macht.

IPTV kam ihm ja auch erst später in den Sinn....

dazu hatte ich, glaube ich zumindest gerade, schon am Anfang drin stehen

Eventuell wird auch noch SAT>IP eingebunden, wenn jemand nicht auf das TV Angebot des Kabelanbieteres verzichten möchte (hatte ich immer so, will ich weiterhin so)

Beitrag automatisch zusammengeführt: 29.09.2020

. Könnte es sein, dass die Türklingel nur innerhalb einer L2-Domäne erreichbar ist.

hatte schon mit 2N darüber gesprochen, welche Anforderung ihr System an ein Switch hat. Die Geräte brauchen ne IP, darf auch dynamisch sein, und fertig. Der Anspruch ist überschaubar.

So für heute ist Sendepause und gute Nacht

 

[underclocker2k4]

das Problem werden heute viele haben. Wenn der Standardrouter vom ISP ausfällt war es das mit HomeOffice.

Wer sagt, dass nicht zwei gekauft werden oder nach 5 Jahren das Gerät getauscht wird, bzw. ein schwächeres Geräte gekauft wird, was das nötigste macht.

1.
Dann ist aber der ISP der Arsch und idR Regel ist dann entweder Wohnung 1 oder 2 oder 3 betroffen. (sofern da kein Blitz reinfährt)
So bist du der Arsch, denn du hast 1. den SPOF gebaut und der geht jetzt nicht.

2.
Wie gesagt, ich sage nicht, dass man das nicht machen kann oder sollte.
Es gehört aber mehr dazu also irgend ne gammelige Fritzbox oder nen MT zu nehmen und die irgendwie zusammenzubauen.
Und das fängt in allererster Instanz mit Disziplin an, von der 1. Sekunde bis in 20 Jahren.
Bist du z.B. 2 Wochen auf Malle feiern und es passiert was, braucht es einen Plan.
Ich plane solche Konstrukte mit 1000-facher Komplexität, ich könnte das jetzt bis ins unendliche weitermachen, am Ende ist es eigentlich relativ einfach.
Mache einen Plan und durchdenke jedwede Betriebssituation.
Und das geht manchmal nur mit professioneller Hilfe, wenn man selber nicht wirklich im Thema steckt. Das ist nichts schlimmes, nur sollte man zu sich und dem Gegenüber dann auch so ehrlich sein. Das fällt aber leider einigen Technikverliebten schwer.

PS: Die erwähnte Türklingel ist nur ein Beispiel und bezieht sich nicht auf das von dir angedachte Produkt. Das kann auch die Katzenklappe von Oma Gertude sein oder der selbstlaufende Krückstock von Herbert. Viele Firmen pfuschen da was hin und dann hat man den Salat.

 

[martingo]

Ich habe gemischte Gefühle.

Ja, es braucht ein Konzept für den Ausfall. Nein, ich habe nicht jede Komponente redundant auf Lager liegen, aber ich weiß, dass ich jedes Teil innerhalb von 1-2 Tagen vor der Tür stehen habe. Nicht zum besten Preis und vielleicht ist es auch mal ein Nachfolger, aber ich habe ausreichendes Wissen, um meine gesicherten Konfigs einzuspielen (5-10min - im Notfall könnte ich sie auch in einigen Stunden neu bauen) und auch auf geänderte Gegebenheiten zu reagieren (andere Ports, whatever). Wenn bei mir im Haus das Internet/Netzwerk ausfällt, muss eben auf die Handys zurückgegriffen werden. SmartHome (Shelly) ist elektrisch so geregelt, dass alles wichtige auch ohne Netzwerk läuft, maximal fallen Komfortfunktionen weg. Wenn ich im Homeoffice und darauf angewiesen bin, nehme ich mein Handy als Hotspot.

Nein, ich bin nicht der Meinung, dass man für ein kleines MFH eine RZ-Redundanz benötigt. Wissen kann man nicht pflücken wie Blumen, aber man kann es sich erarbeiten. Leider sind die Ausführungen des Fragestellers relativ dürftig, aber ich gehe nicht davon aus, dass er ohne Evaluation und Testing allen anderen Parteien das Netz nehmen und auf sein ungetestetes Konzept umziehen wird. Für den drastischen Fall einer sehr lange ungeplanten Abwesenheit (Unfall, massive Krankheit, ggf. Tod) kann man über Dokumentation sehr vieles regeln. Idealerweise sehr offensichtlich zugänglich. Diese sollte so gestrickt sein, dass (wenn in der Familie niemand fähig) außenstehende die Umgebung überblicken und administrieren können.

So, dass ich nicht völlig an Euren Beiträge vorbei schreibe, noch kurz paar Antworten:

@underclocker2k4
Dass Du Dich auskennst, erkenne ich. Geschmäcker und Erfahrungen sind dennoch unterschiedlich, daher:
TOs Wissen und Weitsicht: Ja. Denke, er fragt daher auch nach, will lernen und es gibt auch meist eine nicht 100pro Lösung
Ausfallkosten im MFH: würde ich als gering einschätzen, notfalls müssen die Ärsche vom HO in die Firma bewegt werden
billige MT Hardware: will ich so nicht stehen lassen. P/L ist imho mega. Meine Erfahrungen sind seit fast 10 Jahren sehr gut (auf den Namen gebracht hat mich ein "höherrangiger" Vertreter von Juniper oder Cisco (weiß nicht mehr, wo er damals war))
Es gehört aber mehr dazu also irgend ne gammelige Fritzbox oder nen MT zu nehmen und die irgendwie zusammenzubauen: Hmmm, wo fange ich an? Alles für seinen Einsatzbereich. Gammlig finde ich die Geräte nicht. Dass es für einen Edge Switch/Router grundsätzlich performanter ist, HW-basierend zu arbeiten, bestreite ich nicht. Aber das ist nicht das beschriebene Szenario. Und es gehen auch immer mehr namhafte Hersteller auf SW-based über.

@PackElend
Ein gänzlicher Verzicht auf konventionelles Fernsehen wundert mich sehr. Bist Du sicher, dass das so sein soll? Sieht nicht jeder nur YT, Netflix, etc.
Meinen Sarkasmus bzgl . Redundanz hattest Du wahrscheinlich missverstanden. Das kannst Du privat kaum bis nicht leisten. Ich denke nicht, dass Du Dir mind. 4 Switches und 2 Router in den Keller hängen und dazu zwei unabhängige INet Anbindungen bezahlen willst.

Viel Grüße
Martin

 

[underclocker2k4]

@martingo
MT ist billige Hardware, denn sonst würde das Gerät das 10-fache kosten.
MT verbaut sicherlich nicht für 1k EUR Hardware und verlangt dann vom Endkunden nur 100EUR.
Wenn doch, dann würde ich mal ganz entspannt Geldwäsche unterstellen.
Ergo billige Hardware. Ich habe in den Geräten nichts gesehen, wo ich sagen würde, top notch Technik. Ob das dann P/L passt, spielt dabei erstmal keine Rolle.
Ich kann mir auch für nen 5er nen Werkzeugkasten kaufen. Wenn ich damit 1x im Jahr ne Schraube festmache, passt der. P/L OK-> trotzdem billig.
Das wiederum bedeutet nicht, dass es schlecht ist. Aber es ist, und das ist ein Fakt, immer ein Kompromiss. Was ist das Ziel der HW und was muss ich machen, damit ich das erreiche.
Und wenn die da keine Hotswap super duper tralalla machen, dann ist das eben mit dem Ziel billig(er) zu sein. Wenns dem Kunden genügt, OK!
Und sicherlich ist in einem 200k EUR Extreme Switch nicht 200k EUR Hardware drin, aber eben doch schon "etwas" bessere als es bei MT der Fall ist.

Es geht auch nicht um die Kosten bei einem Ausfall. Es geht um die Scharmützel drum herum. Passiert irgendeine Scheiße, hast du irgendeinen dabei, dem du eh schon quer liegst, dann hast du Maschendrahtzaun². (kannst ja mal die Story suchen)
Darum geht es.

Zu deinen ersten beiden Absätzen.
Und genau darum geht es. Ich sage nicht, er soll es so und so machen. Was ich sage, er soll sich hinsetzen und die graue Masse anstrengen.
Für dich ist das alles klar, da du das schon ein paar Tage machst. Du hast deine Denkprozesse bereits hinter dir und musst die im Alltag nur noch anpassen.
Ein DAU, und das ist er, ohne dass es beleidigen soll, hat die Denkstrukturen nicht, daher müssen diese erstmal ausgebildet werden und genau das versuche ich mit den Posts anzuregen, mehr nicht.

PS: Ich verstehe ehrlich gesagt nicht, warum du MT immer so in den Himmel lobst. Hast du da Aktien?
Ich habe auch so "meine" Hersteller und trotzdem bin ich mir nicht zu fein, einem z.B. HP zu sagen, dass ihre z.B. 1930 eben Billigswitche sind, die evtl. dem ein oder anderen use case hinreichen.
Evtl. habe ich auch einfach eine etwas bessere Verbindung zur Realität?
PPS: Wenn ich der Meinung wäre, dass MT hier keine Lösung wäre, dann hätte ich das schon gesagt. Hab ich? Nein? Warum nur?

EDIT:

Nicht zum besten Preis und vielleicht ist es auch mal ein Nachfolger, aber ich habe ausreichendes Wissen, um meine gesicherten Konfigs einzuspielen (5-10min - im Notfall könnte ich sie auch in einigen Stunden neu bauen) und auch auf geänderte Gegebenheiten zu reagieren (andere Ports, whatever).

Und genau das kann auch ein Problem sein. Wenn er sich hier schon einen abbricht, überhaupt ein Netzwerkkonzept zu bauen, dann wird das ggf. mit der Config, je nach Komplexität, noch eine andere Hausnummer. Wenn man dann in 10Jahren diese Config wieder reengineeren muss, dann kann das schon sehr spannend werden. Denn mitunter hat er sich seit dem Aufbau damit gar nicht mehr beschäftigt und dann?
Das Ganze kann man noch viel viel weiter spinnen. Man sollte nicht versuchen, seinen Erfahrungshorizont auf andere zu projizieren, das geht in aller Regelmäßigkeit schief.

 

[martingo]

Ich lobe MT so, weil ich für Privatkunden und kleinere Betriebe nichts kenne, was für so wenig Geld so viel Umfang bietet. Außerdem halten die Kisten ewig und werden auch nach vielen Jahren noch mit Updates versorgt.
Darüber, ob man das als billig bezeichnen sollte, kann man sicher streiten. Für mich ist P/L top und die Qualität mehr als angemessen. Ergo günstig, ja.

Mein Netzwerk Team ist von Extreme ebenfalls sehr begeistert und nachdem die Kisten als Access-Switches überzeugt haben, haben wir erst letztes Jahr auch die Core-Infrastruktur in den Rechenzentren auf Extreme migriert.
Würde ich hier MT einsetzen wollen? Nein, sicher nicht. Aber darum ging es bei der Fragestellung ja auch nicht.

Jedes Gerät für seinen Anwendungsfall, sagtest Du ja auch schon.

Wird der Fragesteller zunächst mit der Konfiguration überfordert sein? Wahrscheinlich. Ich setze aber einen gewissen Lernwillen voraus, sonst würde er sich sowas wohl nicht aufladen. Solange er sich in Ruhe in die Materie einarbeitet, finde ich daran nichts falsch. Es scheint ja um ein längerfristiges Projekt zu gehen, bei dem bestehende Infrastruktur umgestellt werden soll und das nicht zum Zeitpunkt X fertig sein muss.
Oder habe ich das falsch verstanden?

Viele Grüße
Martin

 

[PackElend]

Hallo zusammen,
vordergründing ging es mir nur darum, ob die Geräte die Leistung liefern, welche im Maximalfall erforderlich ist.
Um den Befürchtungen entgegenzutreten, es ist hier ein DAU am werkeln, schreibe ich mal das Gesamtkonzept zusammen.

1. Gegensprechanlage (da es hiermit anfing)
   Die Gegensprechanlage kommt von einem einem GA für Gebäudesicherheit, womit Wartung und Einrichtung der Geräte eingeschlossen ist. Die Installation übernimmt ein Elektriker, welcher regelmässig Arbeiten im Haus macht.
   Die Geräte werden über eine zusätzliche 12V Leitung versorgt, womit der Ausfall von PoE abgesichert ist.
   Die Geräte können über jedes Switch kommunizieren. Im Fall eines Falles wird umgesteckt und fertig. Die Geräte haben eine statische IP und werden sich auch durch andere Switches finden.
   Ein entsprechender Test wird gemacht.
   Ich denke die Rückfalllösung ist so in Ordnung und es besteht zur Absicherung immer noch eine Geschäftsbeziehung zum Lieferanten
   Eine Documentation wird erstellt und ist Teil des Auftrages.
   
   
2. Internet über einen Zugang
   Jede Wohnung ist mit Glasfaser erschlossen aber der Glasfaseranbieter möchte natürlich nicht, dass eine Dose im Keller installiert wird, womit den ISP auf dem Netz potenzielle Kunde entgehen. Das Risiko, falls man es doch macht ist bekannt und auch mit Installateuren, welche die Glasfaserinstallation machen abgestimmt. Es werden mindestens zwei Leitungen zurückgeführt, um eine Ausfallssicherheit zu haben. Das Wohnen in diesem Haus ist alles andere als anonym, es herrscht ein reger und offener Austausch untereinander, ansonsten würde ich das Projekt nicht angehen.
   Falls der Switch und/oder Router ausfallen, kann auf eine (vorrätige) Fritz!Box 4040 (mit zusätzlichen Medienkonverter) oder 5490 zurückgegriffen werden, woran ein unmanged Switch hängt. Die Einteilung in VLANs und eventuelles Routing ist dann nicht mehr geben aber für den Minimalzweck (ich brauche www) ausreichend. Die mögliche Bandbreite wird evtl. nicht voll ausgeschöpft aber gehen wird es, da auch jetzt niemand mit mehr als 30 Mbit/s unterwegs ist.
   Deswegen auch meine Frage ob der hEX S ausreichend ist. Da ~60 € als Investition in eine Teil-Redundanz mehr als vertretbar ist.
   Die Anmerkungen zum Thema Redundanz was ist nötig, was ist übertrieben ist schon angekommen aber Ironie kann auch mal nach hinten losgehen, von daher wollte ich nicht tiefer darauf eingehen 😉.
   Ein Sicherung der Logs und Konfiguration nach extern ist sichergestellt.
   Auf eventuelle Zusatzfunktionen muss und kann temporär verzichtet werden, man muss halt wieder seinen Hintern etwas mehr bewegen.
   
   Die rechtliche Betrachtung ist nicht zu vernachlässigen. Der Raum der Installation ist abgeschlossen und der Schrank wird auch abgeschlossen und den Schlüssel und später evtl. die Kennwörter erhält der Verwalter.
   Ports werden alle geschlossen und nur ausgehend die nötigsten erlaubt. Sonderwünsche können besprochen werden. Entsprechende Firewall-Regeln für das spezifische VLAN werden dann gestzt und geloggt.
   
   
3. Netzwerksegmentierung
   Da in jeder Wohnung ein WLAN gewünscht ist, soll jeder dies eigenständig, wie gewohnt über einen Router einrichten.
   Somit wäre ein Segmentierung auf dem Switch nicht zwingend notwendig, da durch die Firewalls auf dem Router, bzw. dem Subnet des Router dies schon passiert.
   Es ist vorstellbar, dass später auf die zusätzlichen Router verzichtet wird und AP installiert werden. Dies würde auch erlauben den Elektro-Smog zu reduzieren. Dies ist aber ein individuelle Investition, bzw. Bedürfnis jedes Eigentümer. Dies wird im Nachgang einzeln betrachtet werden. Die Technik wäre hierfür aber schon vorhanden.
   Die Basisfunktion ist immer geben, jegliche gemeinsamen Dienste wie die Gegensprechanlage (welche auf einem eigenem VLAN unterwegs ist) oder was auch immer kommt ist eine Zusatzfunktion welche man nutzen möchte aber auch mal ohne auskommt.
   
   
4. Heimautomatisierung in der Wohnung
   Dies ist Privatsache, die System sind in der Verantwortung jedes einzelnen. Daher ist auch der Plan, anfangs mit eigenen Router in der Wohnung zu arbeiten.
   Die Kosten hierfür sind schnell amortisiert. Es kann sein, dass sich das später ändert, wenn ein Zuverlässigkeit des System geben ist.
   
   
5. Automatisierungen im Haus / gemeinsame Dienste
   Diese sind in der Lager für den Minimalbetrieb autark zu laufen. Selbst eine Videoüberwachung braucht schlussendlich nur ein Festplatte, wovon die Daten bei Bedarf geholt werden.
   Jegliche Zusatzfunktion ist eine Funktion, die nicht überlebenswichtig ist, sprich sie kann auch mal ein paar Wochen ausfallen. Dies ist kein Weltuntergang, es ist nur eine Sache der Bequemlichkeit, wenn solch ein Dienst mal nicht zur Verfügung steht.
   Selbst ein Ausfall des Zugang nur über APs kann im Fehlerfall ersetzt werden durch lokale Router, welche vorhanden sind.
   
   
6. Dokumentation und Wartung
   Die Installation wird sauber Dokumentiert, im Gegensatz zu früheren Installation.
   Die Rückfalllösungen sind sauber festgehalten und stehen jedem zur Verfügung.
   Nach Abschluss der Arbeiten wird auch eine Wartung, bzw. Notfalldienst vereinbart und werden Teil der Unterhaltskosten. Hier mache ich mir die geringsten Sorgen, da die anfragten Anbieter/Installateure selbst interessiert sind, da solche Projekte eher selten sind und sie auch Interesse an der langfristigen Entwicklung des Projektes haben.
   
   
7. konventionelles / IPTV Fernsehen
   Ihr hatte ich nicht erwähnt, dass jährlich 2'200 € an Kosten für den vorhanden Hauskabelanschluss anfallen, nur das ein Grundprogramm für jede Wohnung verfügbar ist.
   Diese Kosten möchte ich streichen und in diese Projektes stecken.
   Da das Haus keine SAT-Anlage hat, gibt es nur Kabel oder Telekom aber zum Glück wurde die Gemeinde mit Glasfaser versorgt, worüber viele Anbieter TV, Telefon und Internet anbieten.
   Anstatt TV über Kabel gibt es dann TV über eine Set-Top-Box. Manche ISP bieten einfach x-Streams an, andere erlauben, mehrere Abos auf einen I-Zugang zu buchen. Damit wäre eine Alternative geschaffen. Zudem bieten die IPTV Anbieter zattoo, teleboy etc. auch die gleiche Vielfalt wie Kabel oder Telekom.
   Es besteht kein Bedarf an speziellen Pay-TV. Einzig eine Person hat schon angedeutet, dass sie nicht auf das gewohnt Kabel-TV Angebot verzichten möchte. Hier geht aber eher darum, dass diese Person die anderen Angebot gar nicht kennt (und sich damit bisher auch nicht auseinander setzen möchte).
   Daher suche ich auch ein Gerät, was mit höherem IGMP snooping Aufwand zurecht kommt. Jedoch ist meine gefühlter Eindruck (nach einigem am Lesen) das bei einem 1 Gbit/s selbst bei 10 Multicast das Netzwerk noch nicht verstopft ist.
   
   
8. Netzwerkinstallation
   Da die einzigen verfügbaren Rohre, diese sind, worin momentan die Koaxialkabel verlegt sind, möchte ich diese eigentlich entfernt haben, da es sonst sehr eng in den Rohren wird und dann nur noch eine Erschliessung durch Glasfaser in Frage kommt, mit den entsprechenden Kosten.
   Als einzige Alternative ist mir nur HomeNet von BKS Kabel-Service GmbH bekannt, wo ich schon eine Anfrage am Laufen habe. Mir hat aber ein Elektroinstallateur davon abgeraten, da diese mühsam zu installieren sind.
   Um die Kosten niedrig zu halten fällt mir dann nur noch DVB-C>IP ein aber habe hier das Problem mit CI+...
   

Ich hoffe die Situation ist nun klarer und manche Bedenke nicht mehr so hoch.
Mir geht es primär um die Netzwerktechnik die auch die hier angedeutet maximale Integration/Vernetzung/Dienstverteilung, da die Meinungen zu den verschieden möglichen Geräten, wie hier auch schon geschehen, durchaus auseinander gehen können.


Dennoch erstmal vielen Dank für all die konstruktiven Beiträge

Beitrag automatisch zusammengeführt: 30.09.2020

bei dem bestehende Infrastruktur umgestellt werden soll und das nicht zum Zeitpunkt X fertig sein muss.
Oder habe ich das falsch verstanden?

ja nur die Netzwerkkabel möchte ich gleich mit dem Austausch der Gegensprechanlage verlegen lassen

 

[PStran]

Hey, man kommt ja kaum mit dem Lesen hinterher.

Kannst Du trotzdem Mal Deine Konfig Posten?

Kannste haben. Ich habe alle IPs bzw. Netze stur gegen x.x.x.x. getauscht. Also bitte nicht davon ausgehen, dass überalls wo x.x.x.x steht in der Realität auch die selbe Adresse steht. Einrichtung per quickset war es übrigens nicht, sondern so, wie der Router kam bzw. was als Standardkonfig gesetzt wurde. Davon ausgehend habe ich dann die Anpassungen vorgenommen.

# oct/01/2020 15:02:50 by RouterOS 6.47.4
# model = RBcAPGi-5acD2nD

/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment=IPsec dst-port=$ports protocol=udp
add action=accept chain=input comment=IPsec protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="Verbindung aus dem LAN zum Router" \
    in-interface-list=list_LAN_alle
add action=accept chain=input comment="accept VPN networks" ipsec-policy=\
    in,ipsec src-address-list=acl_VPN
add action=accept chain=input comment="Verbindung aus dem Gastnetz zum DNS" \
    dst-address=x.x.x.x dst-port=53 in-interface=vlan_Gastnetz \
    protocol=udp
add action=accept chain=input comment="Verbindung aus dem Gastnetz zum DHCP" \
    dst-address=x.x.x.x dst-port=67 in-interface=vlan_Gastnetz \
    protocol=udp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!list_LAN_alle
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-mark=!ipsec connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="Gastnetz isolieren" in-interface=\
    vlan_Gastnetz out-interface-list=!list_WAN
add action=drop chain=forward comment="fuer WAN gesperrter IP-Bereich" \
    dst-address-list=!acl_VPN log-prefix=gesperrt out-interface-list=\
    list_WAN src-address-list=acl_wan-eingeschraenkt
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=list_WAN

/ip firewall mangle
add action=mark-connection chain=forward comment="mark IPsec out" \
    ipsec-policy=out,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="mark IPsec in" \
    ipsec-policy=in,ipsec new-connection-mark=ipsec passthrough=yes
add action=change-mss chain=forward comment="change MSS IPsec in" \
    dst-address-list=acl_VPN new-mss=1380 out-interface-list=list_WAN \
    passthrough=yes protocol=tcp src-address=x.x.x.x/24 tcp-flags=syn \
    tcp-mss=1381-65535

/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none log-prefix=srcnat out-interface-list=list_WAN
add action=dst-nat chain=dstnat comment="lokale TCP-Dienste" \
    dst-port=$paarPorts in-interface-list=\
    list_WAN protocol=tcp src-address-list=!acl_VPN to-addresses=x.x.x.x
add action=dst-nat chain=dstnat comment=Wireguard dst-port=$port \
    in-interface-list=list_WAN protocol=udp src-address-list=!acl_VPN \
    to-addresses=x.x.x.x

heisst Hex-S/HexGr3 sollten 1 Gbit/s schaffen?

Davon würde ich nicht ausgehen: https://mikrotik.com/product/hex_s#fndtn-testresults

Aber man kann den hEX S als Ausfallsicherung in der Hinterhand halten, auf die man im Fehlerfall wechselt und an der man vielleicht auch mal eine Konfiguration testen kann.

 

[underclocker2k4]

Davon würde ich nicht ausgehen: https://mikrotik.com/product/hex_s#fndtn-testresults

Was liest du denn für eine L3 Performance aus der Tabelle ab?

Beitrag automatisch zusammengeführt: 01.10.2020

Als einzige Alternative ist mir nur HomeNet von BKS Kabel-Service GmbH bekannt, wo ich schon eine Anfrage am Laufen habe. Mir hat aber ein Elektroinstallateur davon abgeraten, da diese mühsam zu installieren sind.

Wenn du nicht gerade regelmäßig in BDSM-Clubs gehst (was nicht negativ wäre), lass die Finger weg.
Im Zweifel dann halt eine zwei Leitungen ziehen, oder halt verzichten....

 

[PackElend]

Wenn du nicht gerade regelmäßig in BDSM-Clubs gehst (was nicht negativ wäre), lass die Finger weg.

BDSM = Sadomasochismus

 

[underclocker2k4]

genau

 

[martingo]

@underclocker2k4 meinte damit (wahrscheinlich), dass es wohl eine Qual wäre, dort Kunde zu sein und wenn Du nicht darauf stehst, vom Dienstleister gequält zu werden, eine andere Alternative wohl besser wäre.

Ich persönlich kenne den Dienstleister nicht und kann nicht über diesen urteilen.

 

[PStran]

Was liest du denn für eine L3 Performance aus der Tabelle ab?

Keine konkrete. Aber dass sich die Leistung abhängig von Paketgröße und Umfang der Regeln ändert. Man bekommt eine Ahnung, in welche Richtung das geht.

 

[underclocker2k4]

@martingo
Nein, es geht um die Technik.

https://www.bks.ch/wAssets/docs/downloads-de/kataloge/20170907_HomeNet-Manual-2017.pdf

Sowas würde ich nur unter Zwang machen.

@PStran
Das ist auch völlig normal. Kaum ein 08/15 Router macht bei minimalframes noch linespeed. Das ist ein grundsätzliches Problem von Softwareroutern.
Ich glaube aber auch nicht, dass der homeuser großartig minimalframes hat, wenn er in Richtung linespeed geht. Wenn dann eher mit Maximalframes, und da sind wir, je Dienst, bei bis zu 2Gb/s, was mehr als 1Gb/s ist.

 

[PStran]

Allerdings kann ich das bei iperf-Tests nicht nachvollziehen. Wobei, wenn ich so drüber nachdenke kann es sein, dass ich einen Fehler im Test hatte. Da muss ich nochmal ran.

Was ich auf jeden Fall sagen kann, ist, dass die MT-Kisten für IPv6 kein fastpath beherrschen. Hier komme ich mit dem cAP ac auf ~250 Mbit/s. Das verhält sich bei unterschiedlichen Zielen genau gleich. Wenn man also IPv6 nutzen und MT einsetzen möchte, braucht man einen Router mit mehr CPU-Power.

 

[PackElend]

reicht mir hiefür ein hEX S oder muss ein CCR1009 her?

Davon würde ich nicht ausgehen: https://mikrotik.com/product/hex_s#fndtn-testresults
Aber man kann den hEX S als Ausfallsicherung in der Hinterhand halten, auf die man im Fehlerfall wechselt und an der man vielleicht auch mal eine Konfiguration testen kann.

Spoiler: Für die, die hier so aus Neugier so mitlesen aber mit den Testergebnissen etwas überfordert sind.

64 und 1518 ist das kleinste und das grösste erlaubte Datenpaket, siehe Datenframe – Wikipedia.
Die 512 bytes sind relevant für ein Gigabit Netzwerk, siehe Why is the minimum ethernet frame 64 bytes? - Stack Overflow, bzw. Why is the minimum ethernet frame 64 bytes? - Stack Overflow (inkl. Gigabit Ethernet
Die Beschränkung des Durchsatzes ergibt sich der maximalen Anzahl an Datenframe, welche pro Sekunde bearbeitet werden können. Beim hEX S heisst das zum Beispiel für Routing, 25 ip filter rules = 93.8 kpps (1000 x packages per second) à 64 bytes = 93.8 * 1000 * 64 * 8 bits = 48'025'600 bit / Sekunde = 48.0 Mbps

Mein Projekt wird im ein Gbit-Netzwerk mit wohl nicht mehr als 10 Routing Regeln, da sollte es mit den Testergebnissen reichen aber es kommen noch Firewall-Regeln dazu, was dann an der Reserve knappert.
Mal schauen ob ich gleich mit dem CCR1009-7G-1C-PC (amazon) loslege oder es erst mit dem hEX S (amazon) probiere. Mit dem jetzigen Nutzungsverhalten ist es unwahrscheinlich das pro Wohnung mehr 30 MBit/s abgerufen werden. Aufrüsten kann später noch immer und hätte dann noch ein Reservegerät.
Es hätte noch den RB3011UiAS-RM (amazon) und RB4011iGS+RM (amazon) aber ist der Preisanstieg von diesen auf den CCR gefühlt nicht mehr so heftig wie vom hEx S auf diese.

Da muss ich nochmal ran.

bin mal gespannt auf das Ergebnis


Ich habe nur ein Frage zu den Tests auf https://mikrotik.com, da steht

all port test

. Ist hiermit der Durchsatz durch das ganze Gerät gemeint, sprich die Zahlen muss man nochmal durch die genutzte Anzahl an Port teilen (gleichmässige Verteilung angenommen) ?
Sonst wären es der Durchsatz der pro Port möglich ist, wenn alle Ports verwendet werden. Beim Beispiel im Spoiler würden dann ( 1x SFP + 5 x RJ45) * 48 Mbbs = 288 Mbbs über die CPU laufen?

danke

 

[hominidae]

bzgl. MT-Testresults:

Im Prinzip ja, aber das ist ein Test um die Hardware der MT zu vergleichen, will sagen die Angabe für 64bit-Pakete ist nicht sehr real. Die Angabe für 25 ip-Filter Rules heisst auch, dass diese im OS durchlaufen werden, bevor das Paket entweder in den Input/forward/drop geht.
Real, für eine standard SoHo FW-Installation ist, dass da 13 Regeln drin sind und das Paket nach 3-5 Rules "durch" ist.

Ich habe hier einen RB4011 und 1GBit Internet....die CPU-Last. zB bei einem Speedtest vom NAS aus (das ist mit 4x1Gbit bonded NIC an einem CRS326-Switch und dieser mit einem 10G-Fiber am RB4011) ist faktisch nicht zu sehen (nur eine der 4 CPUs des RB4011 geht dabei mal auf 1% Last hoch) während der speedtest mit 965mBit im NAS durchläuft.

 

[PackElend]

ich möchte zumindest für meinen Teil mal das Ergebnis teilen:

1. CCR1009-7G-1C-PC, 7x Gigabit Ethernet, 1x Combo port (SFP or Gigabit Ethernet), 9 cores x 1GHz CPU, 1GB RAM
2. CRS328-4C-20S-4S+RM, Smart Switch, 20 x SFP cages, 4 x SFP+ cages, 4 x Combo ports (Gigabit Ethernet or SFP)
3. CRS328-24P-4S+RM, 24 port Gigabit Ethernet router/switch with four 10Gbps SFP+ ports in 1U rackmount case, Dual Boot and PoE output, 500W
4. hEX PoE, 5x Gigabit Ethernet with PoE output for four ports, SFP, USB, 800MHz CPU, 128MB RAM
5. MikroTik Routers and Wireless - Products: hEX S
6. MikroTik Routers and Wireless - Products: cAP ac
7. MikroTik Routers and Wireless - Products: hAP ac³
8. diverse 2N - The Global Market Leader in IP Intercoms - 2N Geräte

Der ganze Aufbau, falls jemand mehr wissen möchte, ist auch hier dokumentiert:

1. PackElend/MikroTik (github.com)
2. MikroTik RouterOS: (dämliche) Frage wie DNS Abfragen weitergeleitet werden DCHP DNS Einstellungen - Administrator
3. cascaded core network CCR-CRS-CRS with satellite swichtes+APs - an attempt of a guide from A-Z - MikroTik

Danke für die Unterstützung und noch einen schönen Sonntag.