Neues Netzwerk im Haus - Aufbau so sinnvoll? Bitte um HW-Empfehlung

[eehm]

Nach dem Umzug habe ich im Keller alles nur so notdürftig zusammengesteckt um im Haus überhaupt mal Internet zu haben. Jetzt muss ich mit neuen Erkenntnissen die Geschichte langsam überarbeiten.
Gut daran war, dass ich den Bedarf inzwischen besser beziffern kann. Es müssen definitiv nicht alle Doppelnetzwerkdosen versorgt werden.

Zu versorgen wären:

• 16 Ports für Netzwerkdosen (1- oder 2-fach belegt)
• 2 Ports für IP-Kameras (PoE)
• 3 Ports für Access-Points (je Geschoss einer an der Wand)

Mögliche Netzaufteilung:

• privates Netz (VLAN ID 10): Geräten denen man weitgehend vertraut (PC, Notebook, NAS, usw.)
• IoT (VLAN ID 20): SmartTV und ähnliches um das besser zu reglementieren.
• Gastnetz (VLAN ID 30): nur Web und Mail
• DMZ (VLAN ID 40): Geräte die ich von außen erreichen muss (z.B. Server, IP-Kameras, usw.)

Dir größten Fragen und Probleme:

1. Mit einer Fritz-Box wird das wohl leider nicht möglich sein, weil sie kleine VLANs beherrscht?
2. Eine weitere Frage ist, ob es Sinn macht verschiedene Switches zu verwenden oder für die 2 PoE Ports Injektoren zu nutzen?
3. Es wird wahrscheinlich zwangsläufig ein konfigurierbarer Router nötig sein. Gibt es hier etwas gutes und recht einfach zu konfigurierbares von der Stange oder muss es schon in Richtung pfSense gehen?
4. Meine größte Sorge und warum ich immer noch keine IP-Kamera angeschlossen habe ist, dass ich immer noch nicht den sinnvollsten Weg gefunden habe es von den anderen Netzen zu abzusichern.
   • Ist der Ansatz die IP-Kameras mit dem Server in eine DMZ (VLAN ID 40) zu packen sinnvoll oder eine Katastrophe?
   • Und wie komme ich dann am besten und sicher von meinem privaten Netz (VLAN ID 10) auf die Kameras (VLAN ID 40)?
5. Welchen Router würdet ihr verwenden und kann ich diesen zur "doppelten" Sicherheit hinter die Fritzbox schalten?

 

[hominidae]

Mit einer Fritz-Box wird das wohl leider nicht möglich sein, weil sie kleine VLANs beherrscht?

Nein, das geht mit einer Fritte nicht.
Welches I-Net hat Du denn? DSL. Kabel, Glasfaser?

Eine weitere Frage ist, ob es Sinn macht verschiedene Switches zu verwenden oder für die 2 PoE Ports Injektoren zu nutzen?

Nein, getrennte Switche machen keinen Sinn...auch werden die 3 APs mittels PoE versorgt werden wollen, oder?

Es wird wahrscheinlich zwangsläufig ein konfigurierbarer Router nötig sein. Gibt es hier etwas gutes und recht einfach zu konfigurierbares von der Stange oder muss es schon in Richtung pfSense gehen?

Ja.....Sense muss nicht sein, alternative, mit VLAN Support, ist zB openWRT
Ich würde ja Mikrotik empfehlen, aber das ist nicht einfach....zumindest nicht, ohne Lernkurve.

Meine größte Sorge und warum ich immer noch keine IP-Kamera angeschlossen habe ist, dass ich immer noch nicht den sinnvollsten Weg gefunden habe es von den anderen Netzen zu abzusichern.

• Ist der Ansatz die IP-Kameras mit dem Server in eine DMZ (VLAN ID 40) zu packen sinnvoll oder eine Katastrophe?

Nö, ist kein falscher Ansatz...wobei die Sorge bei Dir dann was ist? Ich hätte da eher Sorge bei Gast und IoT.
DMZ, ja OK...aber für welchen Zweck genau? Ein Wireguard-VPN für Zugrff von remote auf Deine Services im Heim tut es doch auch.

• Und wie komme ich dann am besten und sicher von meinem privaten Netz (VLAN ID 10) auf die Kameras (VLAN ID 40)?

Das stellst Du in der Firewall des Routers ein.
Aber, wie gesagt, was willst Du dabei konkret absichern?
Eigentlich willst Du das Gast, Kiind, IoT, etcpp nicht auf Dein privates und das IP-Cam Netz zugreifen können, aber zB ins I-Net gehen dürfen.

 

[eehm]

Welches I-Net hat Du denn? DSL. Kabel, Glasfaser?

VDSL 250Mbit (O2)

die 3 APs mittels PoE versorgt werden wollen, oder?

Genau, sorry das hätte ich schreiben sollen. PoE finde ich da auch beim Ausprobieren und mal umstecken einfacher als Netzteil.

Ja.....Sense muss nicht sein, alternative, mit VLAN Support, ist zB openWRT
Ich würde ja Mikrotik empfehlen, aber das ist nicht einfach....zumindest nicht, ohne Lernkurve.

Welchen Mikrotik würdest du da empfehlen? Dann kann ich mir hier mal Videos dazu ansehen?
Und was wäre eine gute Plattform um eine Sense möglich einfach einzurichten?

Nö, ist kein falscher Ansatz...wobei die Sorge bei Dir dann was ist? Ich hätte da eher Sorge bei Gast und IoT.

Ich möchte vermeiden, dass sich theoretisch außen an den Anschlüssen jemand anschließen könnte nach dem abschrauben der Kamera und in ein privates Netz (VLAN ID 10) gelangen könnte.

DMZ, ja OK...aber für welchen Zweck genau? Ein Wireguard-VPN für Zugrff von remote auf Deine Services im Heim tut es doch auch.

Dann hier satt DMZ ggf. doch besser VPN. Hier werde ich mich noch einlesen!

Das stellst Du in der Firewall des Routers ein.

OK, wenn ich einen Router mit Firewall habe, dann geht das wohl.
Die Frage war eher mehr für den Fall gestellt, wie man es beim Einsatz mit nur einer Fritz Box machen könnte. Aber das kann man wohl eh vergessen. Mit der Fritz Box exklusiv wird das wohl nichts!

 

[hominidae]

VDSL 250Mbit (O2)

OK, das ist jetzt keine grosse Anforderung.
...kann man den O2 Router in Modem-Only Mode versetzen...oder ist es eh ne Fritz, wegen Telefonie?

Genau, sorry das hätte ich schreiben sollen. PoE finde ich da auch beim Ausprobieren und mal umstecken einfacher als Netzteil.

PoE Injektoren gibt es auch "grösser", am Stück zB: https://geizhals.de/inline-desktop-gigabit-poe-injektor-32308h-a1859949.html
Wobei der auch "nur" mittels Stecker zu bedienen geht...PoE in einem managed Switch kann man vom Sofa aus ein/ausschalten.

Welchen Mikrotik würdest du da empfehlen? Dann kann ich mir hier mal Videos dazu ansehen?

...für unter 400Mbit geht schon ein Hex bzw. Hex-S (https://geizhals.de/mikrotik-routerboard-hex-s-rb760igs-a1923211.html) für etwas mehr Bumms ein Routerboard RB450Gx4 (da braucht man aber noch ein Gehäuse und ein NT dazu ...schätze zusammen 110-120EUR)
Videos des Geräts selbst spielen keine Rolle...Du mussst Dir RouterOS anschauen/lernen.
Alles was man für den Start braucht findet man hier: https://help.mikrotik.com/docs/
Die "Bibel" für VLANs: https://forum.mikrotik.com/viewtopic.php?f=13&t=143620

Und was wäre eine gute Plattform um eine Sense möglich einfach einzurichten?

...da würde ich so sowas raten: https://www.ipu-system.de/
Wird aber um ein Vielfaches teurer....achte darauf das die CPU AES-NI Hardware-Beschleunigung hat, fürs VPN.

Ich möchte vermeiden, dass sich theoretisch außen an den Anschlüssen jemand anschließen könnte nach dem abschrauben der Kamera und in ein privates Netz (VLAN ID 10) gelangen könnte.

Ja, guter Punkt...wobei man da auch etwas scripten könnte, wenn der Port dabei ml ausgeht, bleibt er aus...

Dann hier satt DMZ ggf. doch besser VPN. Hier werde ich mich noch einlesen!

Wie gesagt Wireguard ist das Stichwort...hat RouterOS seit v7 automagisch an Bord...läuft gut.

OK, wenn ich einen Router mit Firewall habe, dann geht das wohl.
Die Frage war eher mehr für den Fall gestellt, wie man es beim Einsatz mit nur einer Fritz Box machen könnte. Aber das kann man wohl eh vergessen. Mit der Fritz Box exklusiv wird das wohl nichts!

Ja, eben....ein richtiger Router.
Mit der Fritz wird das nix. Wenn Du die als Modem/Telefonserver misbrauchen mussst/willst, stellst Du dann den neuen, echten Router als "Exposed Host" ein...dann ist die Firewall der Fritz erstmal aussen vor - NAT bleibt aber an und man könnte dann sogar aufs NAT in Richtung WAN beim eigentlich ausschalten.

Wenn Du eine Fritz nicht brauchst, dann kannst Du Dir ein normales VDSL Modem holen.
Es gibt sowas sogar in SFP Ausführung (würde zB in einem Hex-S laufen): https://www.mikrotik-shop.de/Interfaces/SFP/Kupfer/SFP-VDSL2-Modem-Telco::2192.html ...ob das an O2 geht, weiss ich nicht.
Kannst evtl. mal hier im Mikrotik Faden fragen, ob sowas im Einsatz ist....

 

[Zeitmangel]

Ich würde ja Mikrotik empfehlen, aber das ist nicht einfach....zumindest nicht, ohne Lernkurve.

Gibt es überhaupt, Scalper mal abgesehen, von denen wieder Geräte zu kaufen?

 

[hominidae]

Ja, es kommt in diesen Zeiten immer noch auf das jeweilige Modell an......der Hex-S, der für den TE sicher ausreichend ist, ist hier verfügbar: https://www.getic.de/product/routerboard-hex-s
Der Shop ist übrigens gut...schon viel Mtiks da gekauft (ehemals eurodk.de - nur neuer Name)...die Verfügbarkeitsprognose, für Dinge die nicht an Lager sind, stimmt auch meist gut.

 

[eehm]

...kann man den O2 Router in Modem-Only Mode versetzen...oder ist es eh ne Fritz, wegen Telefonie?

Den habe ich nicht. Aktuell habe ich meine Fritz Box da dran. Ich befürchte aber fast, dass man sie für Telefonie so und so benötigen wird
Also werde ich um eine Router Kaskade nicht herum kommen.
Gibt es eigentlich noch Anbieter bei denen man keine Fritzbox oder ihr eigenes Geräte für Telefonie benötigt?

...da würde ich so sowas raten: https://www.ipu-system.de/
Wird aber um ein Vielfaches teurer....achte darauf das die CPU AES-NI Hardware-Beschleunigung hat, fürs VPN.

Hätte ich den einen Vorteil gegenüber der Lösung mit dem Mikrotik?
Vor allem was wäre den intuitiver und leichter von beiden zu konfigurieren?
Und könnte ich auch die kleineste Box für eine pfSense nehmen, wenn sie schon AES-NI hat oder sollte man hier nicht wegen 100 Euro mehr oder weniger sparen und etwas performanteres wählen?

 

[hominidae]

Gibt es eigentlich noch Anbieter bei denen man keine Fritzbox oder ihr eigenes Geräte für Telefonie benötigt?

theoretisch gibt es auch da Router-Freiheit.
Man kann eine SIP-Telefonbasis für DECT nutzen, zB ein Gigaset 100 -> https://geizhals.de/gigaset-go-box-100-basisstation-a1898593.html der Provider muss die SIP-Einwahldaten dafür rausrücken.
Hat man Kabel-Inet, ist am "Kabelmodem" auch ein analoger Telefon-Port (sogar zwei, aber man bekommt als Neukunde nur einen freigeschaltet), in den die Gigaset auch angeschlossen werden kann.
...insofern ist eine Kaskade kein Muss.

Hätte ich den einen Vorteil gegenüber der Lösung mit dem Mikrotik?
Vor allem was wäre den intuitiver und leichter von beiden zu konfigurieren?

Das ist wirklich eine philosophische Frage.
Ein fertiger Mikrotik hat RouterOS an Bord (inkl. Lizenz). Das andere ist ein Mini-PC, auf den man erstmal das OS installieren muss.

Der Mini-PC ist flexibler...man kann jedes Router/Firewall-OS installeren, das X86/x86-64 kompatibel ist (OPNsense/PFsense, IPCop, openWRT, uvm...sogar Mikrotik RouterOS - ich nutze so ein Teil in der FeWo als NAS mit einer Miktrotik RouterOS VM - die SW-Lizenz dafür muss man aber mit etwa 35EUR kaufen).

Einrichten muss man dann aber beides...wer keine Ahnung hat von Netzwerken und Grundlagen einer Firewall und glaubt mit ein paar YT-Videos klarzukommen ist mMn mit Mikrotik und Sense oder openWRT schlecht beraten, denn das risiko die Firewall falsch zu konfigurieren nimmt einem kein YT-Video ab...da wird auch viel Mist gezeigt.

Mikrotik ist Linux basiert, Sense ist freeBSD basiert...der Aufbau der Firewall ist auf logischer Ebene gleich, aber in den Systemen grundverschieden.
Ich persönlich komme mit Mikrotik super klar, aber eben nicht gut mit Sense oder openWRT.
Die oben gezeigt Help-Seite von MT gibt mMn genug Hilfestellung um ein sicheres Basissystem from Scratch schnell herzustellen....gleiches gilt auch für Sense und openWRT.
Bei VLANs usw geht es dann aber los.
Vorteil von Mikrotik: es gibt auch Switche, die RouterOS an Bord haben ( CRS-Modelle)...das Konzept ist dann für Router und Switch gleich anwendbar.
...my 2 cents.

Und könnte ich auch die kleineste Box für eine pfSense nehmen, wenn sie schon AES-NI hat oder sollte man hier nicht wegen 100 Euro mehr oder weniger sparen und etwas performanteres wählen?

Ja, natürlich...wenn genug LAN-Ports (4+) dabei sind, geht das schon.
Was den Dingern aber, im Gegensatz zu einem (der besseren Modelle) bei Mikrotik fehlt, ist ein Switch-Chip zur HW-Beschleunigung der LAN-Ports...auf diesem PC muss immer alles durch die CPU.
Zu lahm sollte sie also nicht sein und man braucht eben mehr RAM...Sense ist da deutlich hungriger als RouterOS.
Ein Mikrotik RB5009 für knapp 220EUR schlägt Performance seitig, einen Mini-PC mit i5 bei VLANs und Inter-VLAN-Traffic wahrscheinlich schon deutlich und kann schon mit SFP+ auch in eine 10G Infrastruktur integrieren....kostet aber eher 400EUR weniger.
Edit: ...und nicht vergessen, dass so ein Mini-PC auch etwa 10-20W verbraucht, der RB5009 etwa 5-15W (ohne PoE-Out)..Kleinvieh macht auch Mist.

 

[eehm]

...insofern ist eine Kaskade kein Muss.

Aber ein großer Nachteil ist die Kaskade bis auf den Stromverbrauch nicht oder sollte man die Kaskade verhindern wenn irgendwie möglich?

Mikrotik ist Linux basiert, Sense ist freeBSD basiert...der Aufbau der Firewall ist auf logischer Ebene gleich, aber in den Systemen grundverschieden.
Ich persönlich komme mit Mikrotik super klar, aber eben nicht gut mit Sense oder openWRT.

Sicherheitstechnisch nehmen sich die beiden Systeme für den Privatgebrauch wahrscheinlich überhaupt nichts?

Vorteil von Mikrotik: es gibt auch Switche, die RouterOS an Bord haben ( CRS-Modelle)...das Konzept ist dann für Router und Switch gleich anwendbar.
...my 2 cents.

Heißt, wenn es am Ende ein Mikrotik Router wird, dann würde sich ein entsprechender Router anbieten?

Zu lahm sollte sie also nicht sein und man braucht eben mehr RAM...Sense ist da deutlich hungriger als RouterOS.
Ein Mikrotik RB5009 für knapp 220EUR schlägt Performance seitig, einen Mini-PC mit i5 bei VLANs und Inter-VLAN-Traffic wahrscheinlich schon deutlich und kann schon mit SFP+ auch in eine 10G Infrastruktur integrieren....kostet aber eher 400EUR weniger.

Wie viel RAM sollte es bei Sense in etwa sein? Reichen 4 GB oder mindestens 8 GB?
Ein RB5009 wäre für meinen Zweck aber sinnfrei und der Hex-S macht im Privatgebrauch das selbe?

 

[hominidae]

Aber ein großer Nachteil ist die Kaskade bis auf den Stromverbrauch nicht oder sollte man die Kaskade verhindern wenn irgendwie möglich?

Nein, das ist aus Sicht des Clients, der vom Heim/Gast/... ins I-net will kein Problem.
Wenn Du DSL-Lite bei O2 hast, also keine echte IPv4 kann es evtl. nochmal etwas aufwendiger werden ein VPN bzw Zugriff auf DMZ - aber das ist auch ohne Kaskade eine Herausforderung.

Sicherheitstechnisch nehmen sich die beiden Systeme für den Privatgebrauch wahrscheinlich überhaupt nichts?

Nein, für den Hausgebrauch nicht. Eine Sense bietet einfacheere Möglichkeiten eines IDS/IPS aber das braucht man eben für den Hausgebrauch nicht.

Heißt, wenn es am Ende ein Mikrotik Router wird, dann würde sich ein entsprechender Router anbieten?

...dann muss man eben nur ein Konzept lernen, wenn es aus einem Hause kommt.

Wie viel RAM sollte es bei Sense in etwa sein? Reichen 4 GB oder mindestens 8 GB?
Ein RB5009 wäre für meinen Zweck aber sinnfrei und der Hex-S macht im Privatgebrauch das selbe?

Ich denke 4GB reichen...die Mindestanforderung sind, glaube ich, 2GB ... ich würde je LAN/WAN Interface aber zusehen ein echtes Kernchen bereitzuhalten, damit das Routing mit GBit-Geschwindigkeit gut klappt, bei VLANs.

Der RB5009 hat einfach bessere Hardware und wenn Du mal schnelleres I-Net willst, ist beim Hex-S bei ca. 400Mbit/sec Schluss.
Ein RB4011 oder RB5009 schaffen locker auch 1Gbps.
Vom RB5009 gibt es ein Modell das auch PoE kann...und der hat ja einen schon guten Switch mit 8 Ports plus 1xSFP+ drin.

 

[eehm]

Der RB5009 hat einfach bessere Hardware und wenn Du mal schnelleres I-Net willst, ist beim Hex-S bei ca. 400Mbit/sec Schluss.
Ein RB4011 oder RB5009 schaffen locker auch 1Gbps.
Vom RB5009 gibt es ein Modell das auch PoE kann...und der hat ja einen schon guten Switch mit 8 Ports plus 1xSFP+ drin.

OK, dann wäre das wohl zukunftsicherer.

Weil ich auch nach den Mikrotik Switches geschaut habe, fand ich diesen hier sehr interessant.
Switch CRS328 Dual Boot, 24x RJ-45, 4x SFP+, 450W PoE+
Dieser hier läuft sogar mit Router OS und wäre dann ein managed L3-Switch. Ich finde für den Preis echt sehr attraktiv.
Ist dann der separate Router überhaupt noch sinnvoll oder nötig?
Oder wäre das dann in Kombination mit der Fritz-Box ein "stimmiges" Packet?

 

[hominidae]

Weil ich auch nach den Mikrotik Switches geschaut habe, fand ich diesen hier sehr interessant.
Switch CRS328 Dual Boot, 24x RJ-45, 4x SFP+, 450W PoE+
Dieser hier läuft sogar mit Router OS und wäre dann ein managed L3-Switch. Ich finde für den Preis echt sehr attraktiv.
Ist dann der separate Router überhaupt noch sinnvoll oder nötig?

..das ist natürlich schon einer mit 24x PoE....bedenke, dass der reichlich Lüfter hat und die auch benutzen wird ;-)
Ja, der hat, wie alle CRS-Modelle, RouterOS an Bord. Die CPU ist aber viel schwachbrüstiger als in einem RB5009.
Der wird das ganze Inter-VLAN Routing vorm Router abfangen und könnte sogar allein mit Deinem 250Mbps I-Net klarkommen, aber nicht mehr. VPN wird auch lahm sein.
Es ist ein Switch, kein Router - hardware-seitig.

Ich würde, wenn PoE integriert sein muss, eher den RB5009UPr+S+IN mit einen CRS326-24 kombinieren....beide sind leise, weil passiv.
Ein Port des RB5009 kann auch 2.5G...evtl. sinnvoll für einen WiFi6E AP.
Edit: beide kannst Du dann mit einem kurzen DAC Kabel via 10G/SFP+ verbinden.....Edit2: sowas:

Beitrag automatisch zusammengeführt: 01.01.2023

...Du solltest Dir aber auch mal, zur Integration der APs evtl. mal andere Komplett-Pakete ansehen...UniFi ist zwar nicht mein Ding, aber Viele mögen es.

 

[eehm]

...Du solltest Dir aber auch mal, zur Integration der APs evtl. mal andere Komplett-Pakete ansehen...UniFi ist zwar nicht mein Ding, aber Viele mögen es.

Danke für den Hinweis. Das werde ich mir noch genauer ansehen.
Gibt es eigentlich bei RouterOS die Möglichkeit einen Radiusserver aufzusetzten und direkt auf dem Router laufen zu lassen? Dann wäre ich auch alle Sicherheitsbedenken bezüglich der IP-Kameras los!
Oder geht das nur mit Freeradius wie es z.B. in OPNSense integrierbar ist?

 

[hominidae]

Mit RouterOS v7 gibt es Docker...da kannst Du einen RADIUS Server installieren...wie gut das auf dem kleinen RB5009 mit USB oder auf den eigenen NAND/RAM läuft kann ich nicht agen....ich habe alle Docker auf meinem NAS....die grossen CCR von Mikrotik haben nen M2 Slot für ne NVME und weit mehr RAM....da fluppt das sicher besser.

Edit: es gibt aber auch DAS: https://help.mikrotik.com/docs/display/ROS/User Manager

 

[sch4kal]

Ich rate bei o2 DSL sehr stark von RouterOS/Mikrotik ab, da dieses leider nicht ootb mit dynamischen IPv6-Präfixen und deren Erneuerung im LAN klar kommt.
Und da du bei o2 einen 24h Disconnect hast, bekommst du auch jedes Mal ein neues Präfix zugewiesen.

 

[eehm]

Und da du bei o2 einen 24h Disconnect hast, bekommst du auch jedes Mal ein neues Präfix zugewiesen.

Danke für den Hinweis!
Ich könnte den Anschluss theoretisch kündigen (ohne Laufzeit abgeschlossen).
Wär hier ein anderer Anbieter dann besser oder gibt es den idealen Anbieter schon lange nicht mehr?
Einen Business-DSL möchte ich nicht monatlich bezahlen

 

[hominidae]

naja, der Hinweis galt jetzt zu ipv6. Wenn Du die Fritz als "WAN-Router" behälst, hast Du damit kein Problem mehr an WAN...ob Du ipv6 im Heimnetz brauchst musst Du selbst wissen.

Ich rate bei o2 DSL sehr stark von RouterOS/Mikrotik ab, da dieses leider nicht ootb mit dynamischen IPv6-Präfixen und deren Erneuerung im LAN klar kommt.
Und da du bei o2 einen 24h Disconnect hast, bekommst du auch jedes Mal ein neues Präfix zugewiesen.

...ist das mit ROSv7 immer noch nicht gelöst? Ich habe es an einem Kabel-Inet bei VF irgendwann mal ausprobiert und hatte keine Probleme immer wieder einen Präfix "abzuholen" und den im LAN für Clients bereitzustellen,
Ich nutze ipv6 aber garnicht, daher habe ich es gelassen (echte ipv4).

Wär hier ein anderer Anbieter dann besser oder gibt es den idealen Anbieter schon lange nicht mehr?

Ein Kabel-Inet Anbieter, bei dem Du das "Modem" in den Bridge-Mode schalten kannst (VF im Ex-Kabel-Deutschland Gebiet...ob es im Ex-Unitymedia Gebiet inzwischen geht, weiss ich nicht). Dann eben eine Gigaset 100 Basis für den analogen Telefonie-Port des Kabel-Modems und fertig.

 

[sch4kal]

naja, der Hinweis galt jetzt zu ipv6. Wenn Du die Fritz als "WAN-Router" behälst, hast Du damit kein Problem mehr an WAN...ob Du ipv6 im Heimnetz brauchst musst Du selbst wissen.


...ist das mit ROSv7 immer noch nicht gelöst? Ich habe es an einem Kabel-Inet bei VF irgendwann mal ausprobiert und hatte keine Probleme immer wieder einen Präfix "abzuholen" und den im LAN für Clients bereitzustellen,
Ich nutze ipv6 aber garnicht, daher habe ich es gelassen (echte ipv4).

Das Problem ist denen seit 2013 bekannt.
Es wird für das abgelaufene Prefix kein RA mit lifetime 0 gesendet…die Endgeräte müssen daher selbst irgendwann ein neues Prefix anfordern und senden daher solange mit dem invaliden Vorgängerprefix.
Manche im MT Forum schieben das natürlich auf die deutschen Provider. Nach RIPE BCP sollte es bei der Verteilung von IPv6 Präfixen via PD keine dynamischen Prefixe geben, eben genau aus solchen Gründen.
Aber selbst Fritzboxen haben das sauber implementiert, also ein klassisches Henne-Ei Problem.

 

[hominidae]

Es wird für das abgelaufene Prefix kein RA mit lifetime 0 gesendet…die Endgeräte müssen daher selbst irgendwann ein neues Prefix anfordern und senden daher solange mit dem invaliden Vorgängerprefix.

Ah...ok, Aber bei Zwangstrennung jede Nacht hat das mein MT aber erkannt und sich den Prefix "neu" geholt....ich nehme an, die Lifetime Seitens des Provider war hier >24h...schlecht, wenn es wei O2 weniger ist.

 

[sch4kal]

Ah...ok, Aber bei Zwangstrennung jede Nacht hat das mein MT aber erkannt und sich den Prefix "neu" geholt....ich nehme an, die Lifetime Seitens des Provider war hier >24h...schlecht, wenn es wei O2 weniger ist.

RouterOS muss das LAN-seitig machen, das macht es aber nicht. Die WAN-Schnittstelle ist da nicht das Problem.

 

[hominidae]

...habs gefunden...Problem und Workaround ist wohl hier in dem Fadem im MT Forum beschrieben: https://forum.mikrotik.com/viewtopic.php?p=972852&hilit=ipv6+lifetime#p951325

 

[eehm]

...habs gefunden...Problem und Workaround ist wohl hier in dem Fadem im MT Forum beschrieben: https://forum.mikrotik.com/viewtopic.php?p=972852&hilit=ipv6+lifetime#p951325

Danke, habe da jetzt mal gelesen, aber das traue ich mir nicht wirklich zu.
Beim Internetzugang werde ich wohl bei der Fritz-Box bleiben. Das funktioniert dann einfach und auch das Telefon geht.

Auch habe ich jetzt viele Switches versucht zu vergleichen.
Es scheint als, dass die Preise für auf dem Papier ähnliche Leistungen stark auseinandergehen.

Gefühlt ist das Preisgefüge so:
Cisco
Aruba
Mikrotik
Ubiquiti
ZyXEL
TP-Link

Würdet ihr von den Marken manche aus gewissen Gründen ausschließen oder sind die soweit alle OK?
Haben die teuren dann im Durchschnitt längeren FW-Support oder ist der Unterschied im Preis nur US-Firma und China-Firma?

 

[hominidae]

Bei manchen 4men musst Du aufpassen, ob die auch lokal oder (nur noch) über Cloud gehen....Geschmacksache.
In Bezug auf Support, zumindest bei den CRS-Modellen bei Mikrotik kann ich nur sagen, dass der einfach gigantisch lang ist...habe hier noch Geräte, die mit V3 von RouterOS gestartet/ausgeliefert wurden und nun, ca. 8 Jahre später auch mit V7 laufen.
Dabei sind dann immer auch die "neuen" Features, also nicht nur Security-Patches.
Das findest Du selbst bei Cisco und Aruba (exHP) nicht und die sind klar im Enterprise Segment.
...ich weiss, ich bin ein MT Fanboy ;-)

Wenn Du bei der Fritz bleibst ist eben die Frage, ob Du ipv6 im Heimnetz brauchst und ob der MT eben daher rausfällt.
Evtl. mal die 60EUR für den Hex-S riskieren ;-)

 

[TheBigG]

Die Frage ob man IPv6 braucht stellt sich heutzutage eigentlich nicht mehr wirklich. Hersteller die das nach 25 Jahren nicht auf die Reihe bekommen haben sind nicht über den Weg zu trauen, siehe z.B. TP-Link mit ihren Omada Routern.
Für den Router kann man eher mit sowas gehen, https://www.amazon.de/FriendlyElec-Mini-Router-Ethernet-Ports-RAM-Metallgehäuse/dp/B0B58ML113 falls der Anbieter irgendwann den Support einstellt kann man das OpenWRT einfach selbst bauen und hat so selbst in 20 Jahren noch ein aktuelles OpenWRT.

 

[hominidae]

Die Frage ob man IPv6 braucht stellt sich heutzutage eigentlich nicht mehr wirklich.

...ich weiss nicht, das Thema scheint recht undurchsichtig zu sein. Als ich vor 20 Jahren unser Haus mit Netzwerk gebaut habe, hiess es schon IPv6 sei die Zukunft und ipv4 wäre tot.
Ich habe heute aber immer noch drei I-Net Zugänge mit echter, öffentlicher IPv4 (2x WAN und 1x VPS - ohne Aufpreis) und keinen Bedarf für ipv6 im Heimnetz.

 

[eehm]

Dabei sind dann immer auch die "neuen" Features, also nicht nur Security-Patches.
Das findest Du selbst bei Cisco und Aruba (exHP) nicht und die sind klar im Enterprise Segment.
...ich weiss, ich bin ein MT Fanboy ;-)

Danke für das teilen dieser Erfahrung.
Ich finde nicht, dass das jetzt was mit Fanboy zu tun hat. Der Supportzeitraum sind ja Tatsachen!

Wenn Du bei der Fritz bleibst ist eben die Frage, ob Du ipv6 im Heimnetz brauchst und ob der MT eben daher rausfällt.
Evtl. mal die 60EUR für den Hex-S riskieren ;-)

Also das Problem mit ipv6 bezieht sich nur auf die Mikrotik-Router.
Die Switches machen das doch bestimmt ohne Probleme mit?

 

[hominidae]

Danke für das teilen dieser Erfahrung.
Ich finde nicht, dass das jetzt was mit Fanboy zu tun hat. Der Supportzeitraum sind ja Tatsachen!

Ja, aber man muss fairerweise sagen, dass die auch nicht zugesichert sind. Neuere, modernere Hardware der Router wird zB nur noch mit V7 ausgeliefert und ein downgrade ist da nicht mehr möglich.
bei den "normalen" Switches, kenne ich Updates nur während des ersten Jahres der Veröffentlichung...oft auch beschränkt auf Hardware-Revisionen.
Unifi, weil mit zentraler Controller-Software "hielt" da auch länger, zumindest was ich von APs kenne.

Also das Problem mit ipv6 bezieht sich nur auf die Mikrotik-Router.
Die Switches machen das doch bestimmt ohne Probleme mit?

...offensichtlich gibt es noch andere Kandidaten mit Problemen, wie oben von @TheBigG lesen (TP-Link Omada?).
Ob das exakte Problem z.B. mit einer Fritz als IPv6 Delegate für die internen Clients (ob MT-Router, MT-Switch, Host) gelöst ist, kann ich mangels Erfahrung nicht sagen.
Der oben gezeigte workaround ist aber wohl einfach zu applizieren....und auch für ROSv7, also aktuell, wie es scheint.

 

[TheBigG]

...ich weiss nicht, das Thema scheint recht undurchsichtig zu sein. Als ich vor 20 Jahren unser Haus mit Netzwerk gebaut habe, hiess es schon IPv6 sei die Zukunft und ipv4 wäre tot.
Ich habe heute aber immer noch drei I-Net Zugänge mit echter, öffentlicher IPv4 (2x WAN und 1x VPS - ohne Aufpreis) und keinen Bedarf für ipv6 im Heimnetz.

Sobald irgendwer der nicht die DTAG bei dir FTTH ausbaut hat sich das allerdings erledigt, es gibt schlicht nicht genug IPv4 space, und die neueren Anbieter haben keine andere Wahl als CG-NAT mit nativen IPv6 zu machen und auch im Hostingbereich wollen viele große Anbieter für IPv4 Konnektivität mittlerweile extra Geld. Für die paar Hansel die kein IPv6 haben lohnt es sich für kleinere Webseiten schlicht nicht den Aufpreis für IPv4 zu zahlen und da bist dann halt außen vor und hast keinen Zugriff auf die Angebote.
Daher jetzt in ein Setup zu investieren das nicht mit IPv6 klar kommt halte ich für Geldverbrennung.

...offensichtlich gibt es noch andere Kandidaten mit Problemen, wie oben von @TheBigG lesen (TP-Link Omada?).
Ob das exakte Problem z.B. mit einer Fritz als IPv6 Delegate für die internen Clients (ob MT-Router, MT-Switch, Host) gelöst ist, kann ich mangels Erfahrung nicht sagen.
Der oben gezeigte workaround ist aber wohl einfach zu applizieren....und auch für ROSv7, also aktuell, wie es scheint.

TP-Link hat ein anderes Problem. Die haben schlicht keine Firewall für IPv6 implementiert und das komplette LAN hängt deshalb direkt im Internet.

 

[hominidae]

Sobald irgendwer der nicht die DTAG bei dir FTTH ausbaut hat sich das allerdings erledigt,

....da mache ich mir hier auf dem Lande keine Sorgen...ich weiss, warum ich zwei WAN habe (Kabel + LTE) denn DSL gibt es hier nicht mal und FTH auch schon gar nicht ;-)
Und auch das war schon vor 20 Jahren so, als das Haus gebaut wurde.

Beitrag automatisch zusammengeführt: 04.01.2023

TP-Link hat ein anderes Problem. Die haben schlicht keine Firewall für IPv6 implementiert und das komplette LAN hängt deshalb direkt im Internet.

Beitrag automatisch zusammengeführt: 04.01.2023

Also das Problem mit ipv6 bezieht sich nur auf die Mikrotik-Router.

...wenn Du mit MT Router und Switch liebäugelst solltest Du evtl. mal hier im MT-Faden fragen, ob da echte Erfahrung vorliegt -> https://www.hardwareluxx.de/community/threads/mikrotik-geräte.1164281/ denn ich bin da leider raus.

 

[TheBigG]

....da mache ich mir hier auf dem Lande keine Sorgen...ich weiss, warum ich zwei WAN habe (Kabel + LTE) denn DSL gibt es hier nicht mal und FTH auch schon gar nicht ;-)
Und auch das war schon vor 20 Jahren so, als das Haus gebaut wurde.

Falls der Kabelanschluss von Vodafone ist wird da mittelfristig DS-Lite auf dich zukommen und LTE gibt es sowieso nicht ohne CG-NAT, dafür haben alle 3 Anbieter mittlerweile Natives IPv6 im Mobilfunk und nur weil du IPv6 verweigerst gilt das nicht für den Rest der Welt, du wirst mit der Zeit halt mehr und mehr nicht mehr nutzen können.