[Kaufberatung] Mikrotik RB4011 / hex vs OPNsense vs ??

j1lock

Enthusiast
Thread Starter
Mitglied seit
23.11.2009
Beiträge
12
Moin,
ich steige aktuell von der klassischen AIO Fritzbox auf etwas professionelleres Equipment um. Ich habe in der Wohnung 6 Netzwerkdosen, die aber aktuell nicht alle belegt sind, einen 19" Schrank im Anschlussraum und dort einen HomeServer, der 2NICS+IPMI hat.
Das WLAN habe ich bereits auf einen TP-Link EAP245 umgestellt, einer reicht für die ganze Bude.

Als nächstes ist nun Switch und/oder Router dran. Ich brauche aktuell ca 10-11 Ports (1x WiFi AP, 1x WAN, 1-2 HomeServer, 1 IPMI + bis zu 6 Netzwerkdosen).
Anbindung ist FTTH (aktuell 400/100). Ich will perspektivisch auch die Geräte ein wenig von einander trennen mit VLANs (Gäste, IoT etc.)

Ich frage mich nun ob ich einen Router von der Stange haben will oder was selbst baue mit OPNsense/pfsense o.Ä.
Je nachdem wieviele Ports der Router hat, wird dann noch ein switch gebraucht. PoE brauche ich aktuell nur für den WLAN AP, glaube ein Injector reicht hier?

Option A - Mikrotik RB4011
+ ein Gerät und fertig
+ dank SFP+ kann aber später ein Switch dran
- Ports reichen aktuell gerade so aus
- Switch-Performance soll nicht so gut sein

Option B - Mikrotix hex + managed switch (CRS326 oder TL-SG3428)
+ausreichend Ports auch für später (Umzug Eigenheim?)
- Router ansich ist deutlich günstiger
- Stromverbrauch

Option C - selfmade OPNsense + managed switch (CRS326 oder TL-SG3428)
+ausreichend Ports auch für später (Umzug Eigenheim?)
+ cooles Spielzeug
- teuerste Variante von allen
- Perfomance ?
- Stromverbrauch

Option D - ???

Was meint ihr dazu, auch im Hinblick auf die Zukunft (schnelleres Internet, Umzug in Eigenheim, was halt noch so kommen kann)
Falls ich eine Option wähle wo ich sofort einen Switch bräuchte, würde ich wahrscheinlich einen 24-Port kaufen, einfach damits später reicht.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Das P/L zeigt ganz klar in Richtung MT.
Eine opensense wird Dich deutlich teurer zu stehen kommen.

Für 400/100 wird der Hex/Hex-S gerade so reichen. Alternative ein RB450GX4 (das Gehäuse und NT musst Du dazu bestellen und landest dann bei ca. 110EUR)
Der RB5009 ist noch noi...läuft nur mit ROS v7 und die ist eben noch nicht so stabil.
Der RB4011 sieht Kreise um Deine PFsense, auch wenn der aktuell im Switch keine Hardware-Beschleunigung für VLANs hat (ist aber in v7.1rc3 nun drin (Vorsicht: alpha-Status...muss deutlich reifen).

Für 1Gbps Ports ist der RB4011 die beste Wahl.
Wenn Du mal auf 10G im Heimnetz aufrüsten willst, dann nimm später einen CRS309 dazu.
Wenn es mit dem Hex-S/RB450GX noch ein kleiner Switch sein soll, der CSS610..der CRS326 ist aber auch keine falsche Investition.
Ich habe hier den RB4011 am CRS326 und einen CSS610 als Satellit im Homepoffice über 10G im OG über cat5e ...das NAS ist auch über 10G angebunden...10G über den CRS309 verteilt.
 
...das Gleiche gilt ja grundsätzlich auch für den MT. Nennt sich "Router on a Stick / RoaS"...der Router wird über einen Trunk-Port an den Switch angebunden.
Beim RB4011 sozusagen "eingebaut"...der hat ja 2 x je5x1Gbps und 1xSFP+ und der "Trunk" ist die interne Bridge :giggle:
 
Eine opensense wird Dich deutlich teurer zu stehen kommen.

Für 400/100 wird der Hex/Hex-S gerade so reichen. Alternative ein RB450GX4 (das Gehäuse und NT musst Du dazu bestellen und landest dann bei ca. 110EUR)
400/100 könnte ich jederzeit auf aktuell 1000/250 upgraden. Das wäre nur eine Tariffrage, meine Frau ist nur noch nicht überzeugt, dass das Not tut.
Der RB5009 ist noch noi...läuft nur mit ROS v7 und die ist eben noch nicht so stabil.
Der RB4011 sieht Kreise um Deine PFsense, auch wenn der aktuell im Switch keine Hardware-Beschleunigung für VLANs hat (ist aber in v7.1rc3 nun drin (Vorsicht: alpha-Status...muss deutlich reifen).
Ich sehe atm noch nicht so die Vorteile vom RB5009, außer die Switch-Anbindung. Wo steht denn das mit der HW-Beschleunigung in v7.1rc3? Ändert ja aber nichts an der Anbindung. Welchen Vorteil hat der sonst?
Für 1Gbps Ports ist der RB4011 die beste Wahl.
Wenn Du mal auf 10G im Heimnetz aufrüsten willst, dann nimm später einen CRS309 dazu.
Wenn es mit dem Hex-S/RB450GX noch ein kleiner Switch sein soll, der CSS610..der CRS326 ist aber auch keine falsche Investition.
Ich habe hier den RB4011 am CRS326 und einen CSS610 als Satellit im Homepoffice über 10G im OG über cat5e ...das NAS ist auch über 10G angebunden...10G über den CRS309 verteilt.
Die Notwendigkeit für 10G im kompletten Netz sehe ich noch nicht wirklich. Fürs "Backbone" also zwischen Router und Geräten aber bestimmt irgendwann mal interessant. Nen SFP+ haben ist besser als brauchen...

Betreffend Option C, hier reicht theoretisch schon ein einziger Port für die Firewall, wenn der Switch VLANs kann. Solch einen Switch würde ich mir in jedem Falle anschaffen, "smart-managed" reicht dafür.
Jo, wenn ich selbst baue, dann nur einen oder zwei Ports und nen 24er managed Switch genau. TP-Link Omada oder eben CRS326 oder so.

*Sense könntest Du auch auf dem Heimserver virtualisieren.
Weiß nicht. Da spiel ich schon viel drauf rum und Internet sollte für den Hausfrieden schon dauerhaft gehen...
 
400/100 könnte ich jederzeit auf aktuell 1000/250 upgraden. Das wäre nur eine Tariffrage, meine Frau ist nur noch nicht überzeugt, dass das Not tut.
Dann alles was ein RB4011 oder besser ist. Ein Hex schafft das nicht...ein RB450GX4 krazt da an der Grenze.

Ich sehe atm noch nicht so die Vorteile vom RB5009, außer die Switch-Anbindung. Wo steht denn das mit der HW-Beschleunigung in v7.1rc3?
..sorry, das war in der v7,1rc1: https://forum.mikrotik.com/viewtopic.php?f=1&t=152003#p874159 ... in rc3 kam HW-Offload für IPSec beim RB5009 dazu.

Ändert ja aber nichts an der Anbindung. Welchen Vorteil hat der sonst?
Der ist extrem klein, hat noch einen 2.5G - falls mal FTTH mit mehr als 1Gbps bestellt wird, ist beim RB4011 der SFP+ weg, den Du dann aber für den Uplink ins Heimnetz/zum Switch brauchst.
Er hat 1GB Flash und einen USB-Port....interessant, da gerade für v7.1rc3 auch Docker-Support drin ist.

Die Notwendigkeit für 10G im kompletten Netz sehe ich noch nicht wirklich. Fürs "Backbone" also zwischen Router und Geräten aber bestimmt irgendwann mal interessant. Nen SFP+ haben ist besser als brauchen...
:bigok:

Weiß nicht. Da spiel ich schon viel drauf rum und Internet sollte für den Hausfrieden schon dauerhaft gehen...
Genau aus dem Grund würde ich auch auf dedizierte HW gehen.
Zum Spielen habe ich auch einen MT CHR auf in einer VM oder einen Hex im Regal.
 
400/100 könnte ich jederzeit auf aktuell 1000/250 upgraden. Das wäre nur eine Tariffrage, meine Frau ist nur noch nicht überzeugt, dass das Not tut.
Spätestens wenn du einen Traffic Shaper mit Active Queue Management (FQ-Codel, CAKE ...) einsetzt, wirst du vermutlich auf absehbare Zeit keinen Bedarf mehr für 1000/250 sehen. Mit OPNsense kenn ich mich nicht aus, mit pfSense geht nur FQ-Codel, MikroTik scheint beides zu können, siehe: (FQ-Codel, CAKE).
 
Hmmm...eine Queue, egal nach welchem Algo diese gefüllt und geleert wird, muss die Pakete da drin ja irgendwo zwischenspeichern, bevor sie weitergereicht werden....dachte dafür braucht man halt den Platz (im RAM).
 
Okay, danke. Ich fasse mal zusammen, was ich hieraus mitnehme:
-Hex (s) vielleicht eine nummer zu klein im Hinblick auf 1G FTTH
-CCR2004 aufwärts liegt dann doch über meinen geplanten Budget
-bleibt bei MT eigentlich nur RB4011 oder RB5009. Da letzerer noch nicht wirklich lieferbar ist und ich aktuell bei mir aktuell noch kein FTTH schneller 1G sehe, also RB4011

Fazit: Wenn MT, dann RB4011?
Was für ne Hardware bräuchte ich denn für OPNsense @ 1GB FTTH? Wird wahrscheinlich teurer und aufwändiger. Dafür nicht so kompliziert wie ROS 🤔
 
Hmmm...eine Queue, egal nach welchem Algo diese gefüllt und geleert wird, muss die Pakete da drin ja irgendwo zwischenspeichern, bevor sie weitergereicht werden....dachte dafür braucht man halt den Platz (im RAM).
Schon (ich hab meinen Post oben korrigiert), aber in der Regel verwendet man das ja gerade mit der Absicht, dass die Queue eben nicht endlos lange wird: https://datatracker.ietf.org/doc/html/rfc8290#section-5.2.3
Was für ne Hardware bräuchte ich denn für OPNsense @ 1GB FTTH?
Intel Celeron aufwärts.
 
...also, ich für meinen Teil habe das Konzept von opnsense/pfsense (bsd) nie wirklich in den Kopf gekriegt...ROS ist Linux und für mich eher "natürlich" zu verstehen.
Für eine opnsense würde ich auch nix selbst bauen...eher sowas: link ...Celeron wäre mir zu wenig...hatte schon ne pfsense in ner VM auf nem i3-8100 -- bei nem 1Gbpos Speedtest gehen schon zwei Cores recht hoch....auf jeden Fall keinen J1900, ohne AES
 
Ein Speedtest an einer 100/40er Leitung lastet den 3867U in meiner pfSense zu 2.5 % aus. Ich kann mir nicht vorstellen, dass der mit 1G Probleme bekommt, wenn man nicht gerade mit OpenVPN / WireGuard anfängt.

Nachtrag: Mit iperf3 zwischen zwei VLANs liegt die Auslastung bei ca. 22 % (das sollte also auch mit NAT, Traffic Shaping und PPPoE noch gut für 1G reichen).
 
Zuletzt bearbeitet:
Werfe mal noch eine weitere Option in den Raum: Brocade ICX6450-24 als Switch (gabs letztens sogar Angebote für ~100 € zu) + RB5009/Qotom/Odroid H2+ als Router.
Beitrag automatisch zusammengeführt:

...also, ich für meinen Teil habe das Konzept von opnsense/pfsense (bsd) nie wirklich in den Kopf gekriegt...ROS ist Linux und für mich eher "natürlich" zu verstehen.
Für eine opnsense würde ich auch nix selbst bauen...eher sowas: link ...Celeron wäre mir zu wenig...hatte schon ne pfsense in ner VM auf nem i3-8100 -- bei nem 1Gbpos Speedtest gehen schon zwei Cores recht hoch....auf jeden Fall keinen J1900, ohne AES
Naja, hat schon ein paar Vorteile: IDS/IPS + evtl. pfBlockerNG/Adguard.
 
...schon klar, mir ging es nicht um die Features, sondern mehr um die Art&Weise "Firewall zu denken".
IDS/IPS ist ein guter Punkt, aber immer die Frage ob man das wirklich braucht. Mit ein wenig Knoff-Hoff geht das übrigens auch mit einem MT: https://forum.mikrotik.com/viewtopic.php?f=2&t=111727
Ein Vorteil einer opnsense allgemein sind dann die, einmal aufgesetzt, doch erheblich grösseren Ressourcen des Systems...ein MT hat nur einen kleinen Flash, manchmal einen USB...einen M2-Port haben nur die "Grossen"....wird noch ein Thema werden, jetzt wo Docker in der ROS 7.1rc3 unterstützt wird.
 
Mehr oder weniger komplett sinnlos, da eh > 90 % des Traffics, der ins Internet geht, verschlüsselt ist.
Was für ne Hardware bräuchte ich denn für OPNsense @ 1GB FTTH?
pfSense mit aktivem Traffic Shaping auf einem 3867U an einer simulierten 1000/200er Leitung ohne PPPoE bei bidirektionaler Volllast:
load_1000_200.png
1000/500 geht auch noch, aber dann läuft es wirklich an der Kotzgrenze. Das Maximum, was bei bidirektionaler Auslastung durch geht, liegt ohne PPPoE bei etwa 1000/750. Unidirektional gehen locker 1000 durch.
 
Mehr oder weniger komplett sinnlos, da eh > 90 % des Traffics, der ins Internet geht, verschlüsselt ist.
Ich denke diejenigen, die IDS/IPS @ Homelab einsetzen, wissen um den Umstand. Es war ja auch nur ein Beispiel für ein Feature, das MT nicht (so ohne Weiteres) bietet.

Ich setze das bei mir auch nicht (mehr) ein, externe Portscans interessieren mich nicht wirklich, und der einzige externe Service, der bei mir auch von außen erreichbar ist, ist der VPN-Endpoint.
Dafür sehe ich keinen Grund mehr, IDS/IPS einzusetzen. Man könnte es aber, wenn man dann wollte. Hätte ich z.B. eine extern erreichbare Webseite/Mailserver/Nextcloud-Instanz, würde ich vielleicht wieder drüber nachdenken.
 
...also, ich für meinen Teil habe das Konzept von opnsense/pfsense (bsd) nie wirklich in den Kopf gekriegt...ROS ist Linux und für mich eher "natürlich" zu verstehen.
...schon klar, mir ging es nicht um die Features, sondern mehr um die Art&Weise "Firewall zu denken".
pfSense ist in meinen Augen um Welten einfacher zu bedienen als RouterOS. Viel intuitiver geht es eigentlich kaum und die Benutzeroberfläche ist auch top. Da klickt man sich einmal durch und hat es verstanden. Bei MikroTik hab ich dagegen - trotz massiv viel höherem Vorwissen - zwei Tage gebraucht, bis ich mich halbwegs in der Benutzeroberfläche (WebFig) zurechtgefunden habe.
Es war ja auch nur ein Beispiel für ein Feature, das MT nicht (so ohne Weiteres) bietet.
Nächster Punkt wäre DNS. Kann RouterOS Resolver spielen?
 
pfSense ist in meinen Augen um Welten einfacher zu bedienen als RouterOS. Viel intuitiver geht es eigentlich kaum und die Benutzeroberfläche ist auch top.
...bei mir setzt es bei den Firewall Regeln einfach aus....aber vielleicht ist das auch nur mein Gehirn ;-)
Webfig ist eher simpel...dafür ist das altbacende Winbox garnicht schlecht, wenn man mal länger damit arbeitet.
Insbesondere kann man mehrere Aspekte gleichzeitig öffnen (Interfaces, Firewall Rules, Firewall NAT, Bride-Ports, ...) was in einem Web-UI nur bedingt geht. Aber ist auch Geschmackssache.

Nächster Punkt wäre DNS. Kann RouterOS Resolver spielen?
Vielleicht verstehe ich den Begriff ja falsch....kann er DNS Anfragen von internen Clients an den externen DNS weiterreichen und auch die Antwort cache-en?...Ja, klar.
 
kann er DNS Anfragen von internen Clients an den externen DNS weiterreichen und auch die Antwort cache-en?
Wenn er das tut, spielt er Forwarder.
...bei mir setzt es bei den Firewall Regeln einfach aus....aber vielleicht ist das auch nur mein Gehirn ;-)
pfSense_Firewall_Rules.png

Also ich finde, die Regel erklären sich quasi von selbst. Die hier erlaubt zum Beispiel meinem am hAP ac2 angeschlossenen Oszilloskop (DSO) ausschließlich den Zugriff auf den lokalen NTP Server der pfSense.
 
Zuletzt bearbeitet:
Wenn er das tut, spielt er Forwarder.
...nicht das wir jetzt zu OT werden....aber was ist dann der Resolver? ...nur lokale Adressen, Hairpin-NAT ??
1631627667644.png


Also ich finde, die Regel erklären sich quasi von selbst. Die hier erlaubt zum Beispiel meinem am hAP ac2 angeschlossenen Oszilloskop (DSO) ausschließlich den Zugriff auf den lokalen NTP Server der pfSense.
Hmm...jaaa....ich habe da noch andere Bilder im Kopf...ist aber schon ein paar Jahre her ;-)

Zu *Sense, man muss schon 1-3 Grundregeln lernen, aber ist das geschafft, ist es easy genug. Sicher kein Problem für @hominidae.
Ich habe noch eine opnsense VM auf dem unraid in der FeWo (ist so eine Box: https://www.ipu-system.de/produkte/ipu662.html werde ich mir im Herbst dann mal wieder anschauen....
Beitrag automatisch zusammengeführt:

...Jedem das Seine ;-)
Als ich die vor ein paar Jahren gebaut habe, hatte ich nur den ZeroTier Docker und der MT CHR lief (noch) nicht mit den i211AT NICs....BSD/*sense aber schon.
 
Ich habe noch eine opnsense VM auf dem unraid in der FeWo (ist so eine Box: https://www.ipu-system.de/produkte/ipu662.html werde ich mir im Herbst dann mal wieder anschauen....
Virtualisierung frisst natürlich, je nachdem, wie man sie umgesetzt, teils ordentlich Leistung. Ohne PCI-Passthrough der NICs wird man da mit einem Celeron wohl keine Freude mehr haben.
...Jedem das Seine ;-)
Ganz meine Meinung. ;-)
...nicht das wir jetzt zu OT werden....aber was ist dann der Resolver? ...nur lokale Adressen, Hairpin-NAT ??
Ein DNS Server, der die Namensauflösung selbst erledigt, indem er direkt mit den Root-Nameservern Kontakt aufnimmt:
 
Virtualisierung frisst natürlich, je nachdem, wie man sie umgesetzt, teils ordentlich Leistung. Ohne PCI-Passthrough der NICs wird man da mit einem Celeron keine Freude mehr haben.
Ja, ich nutze nur Pasthrough/vt-d...daher auf dem "Kleinen" pfsense, da MT-CHR die i211AT nicht erkannte..."zuhause" hatte ich den CHR mit passthrough einer i350-T4

Ein DNS Server, der die Namensauflösung selbst erledigt, indem er direkt mit den Root-Nameservern Kontakt aufnimmt:
Ja, OK, das macht der DNS im MT nicht....aber bald kommt ja Docker ;-)
 
ZeroTier, Docker und dann noch alles in einer VM, da würde ich mir schon in die Hosen scheißen, wenn ich nur daran denke, das Teil einzuschalten. :ROFLMAO:
 
Oha, hier ist ja einiges passiert, auch wenns ein bisschen OT ist :ROFLMAO:

Ich habe jetzt noch ein bisschen gestöbert und es scheint mir keine Hardware für pfSense zu geben, die a) rackmount-fähig, b) >1G Ports c) performance-technisch auf augenhöhe und gleichzeitig d) nicht teurer als ein RB4011 oder gar 5009 ist... Also wirds dann wohl MT.
 
Wie schaut denn dein Budget aus?
Habe lange einen Raspberry Pi 4 mit OpenWrt eingesetzt als ROAS an einem Managed Switch. Der hat auch meine 1000/50er Leitung + 100/40er im mwan3 gepackt + snortd und smart queuing. Nun bin ich jedoch auf einen billigen 200 Euro AM4 Athlon Build umgestiegen und habe 10G Interfaces drauf.
Als Switch gibt es echte Schlachtschiffe billig, z.B. einen Cisco Catalyst 2960S.
Jetzt sitzt mein Rpi4 nurnoch im VRRP Cluster im Falle eines Ausfalls wegen Bastelei.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh