Sicherheit Ethernet Anschluss Outdoor

[hominidae]

Ich denke, ein managebarer Switch hinter der Fritzbox reicht da aus. Bei mir hängt meim ganzes LAN an einem Switch. Nur Homematic hängt direkt an der FB. (War aus Gründen der USV so gewählt. Muss ich aber auch mal überdenken)

Nur für die Netz-Trennung. Wenn Du Inter-(V)LAN Routing brauchst, dann brauchst Du ne Firewall.
Selbst ein L3 Switch hat für sowas i.d.R. eine zu kleine CPU.
In der richtigen Kombination kann aber der L3-Switch mit Hardware-Beschleunigung den Router entlasten...der muss dann nicht so viel Bumms haben um 1G oder gar 10G Traffik zwischen Netzen zu routen.

[derNeueDet]

Bei 10G bin ich nicht. Liegt zwar Cat-7 in die einzelnen Zimmer, aber nur Gigabit fähige Switches. Der zentrale im Keller hätte 2x10G Uplinks, aber da bin ich weit davon entfernt, das zu nutzen.

Muss mir mal die Router anschauen die du hast.
Wer 2 Fritz Boxen hat kann übrigens auch über eine Kaskade dann 2 getrennte Gästenetze (VLANs) bauen.

VG
Det

[hominidae]

...ich habe nur CAT5e, aber auch da gehen 10G, mit den richtigen Tranceivern bis 30m.
Mit Corona und HomeOffice/Schooling für insgesamt 4 Personen simultan musste ich massiv aufrüsten um den WAF zu halten
zum Glück hat das FA alles brav akzeptiert, dank Corona-Verordnung

Mikrotik haben eine Lernkurve. RouterOS ist ein Linux, aber der Support und die Doku ist gut: https://help.mikrotik.com/docs/
Das beste ist der Firmware Support...ich habe noch Mikrotiks, die vor 12 Jahren mit v3 von RouterOS ausgeliefert wurden und heute von der neuesten v7 immer noch supported werden.
Schau Dir auch die Switche an...die CRS-Versionen haben auch RouterOS an Bord, die CSS Versionen nur das einfache SwitchOS.
Gerade die neueren, ab CRS3xx und Router RB4011/5009 haben Switch-Chips, deren L3 HW-Beschleunigung mit v7 nun aktiviert wurde.

Edit: bis 400/450Mbps I-net reicht auch ein Hex-S: https://mikrotik.com/product/hex_s

[derNeueDet]

Das hat bei mit mit 3 Personen auch mit meiner 100/40Mbit DSL Leitung funktioniert.

Switches setze ich überall die kleinen TP Link ein, allerdings die managed Varianten TL-SG105E oderTL-SG108E . Im Keller im Schrank ist ein 24 Port TL-SG3424.

VLAN fähig sind die auch alle. Der 24 Port ist schon seit 16 Jahren im Schrank. Hab damals beim Hausbau aus allen Zimmern je 2 Cat-7 Kabel in den Keller zum Schrank gezogen.

Mal schauen, ob ich mal noch einen Router dazu baue um mehr VLANs zu bekommen.

Danke für die Tipps.

VG
Det

[tux75at]

Die openWB kommt nicht ins Heimnetz. Das Heimnetz kommt ins Netz der openWB.
Das sind zwei verschiedene Richtungen, des Verbindungsaufbaus. Die Firewall im Router passt da drauf auf.
VLANs alleine reichen nicht, ich dachte allerdings das wäre klar gewesen...man braucht auch eine entsprechende Firewall.

Mit einer Fritzbox geht das nicht, die kann keine VLANs...allerdings, wenn man das Gastnetz dafür nutzt geht es auch damit...nur sind dann alle Gäste in einem Netz.

Da kannst du recht haben, ich habe mich noch nicht damit befasst, meine HW kann das, die Firewall, die ich einsetze sollte es auch unterstützen. Wenn ich Zeit habe, befasse ich mich damit genauer.

Bisher habe ich den bedarf noch nicht gesehen, es ist zwar möglich, aber wer setzt sich in ein Carport und versucht sich dort reinzuhaken? noch dazu wenn ihn die Nachbarn dabei sehen könnten

[rleidner]

Interessantes Thema.

Ich habe außer der Fritzbox mehrere managed switches installiert und das Thema VLAN auf der todo-Liste.
Internet läuft momentan noch via T-DSL, bald FTTH (Deutsche Glasfaser).

Ich sehe mir aktuell den Mikrotik hAP ac³ genauer an: https://mikrotik.com/product/hap_ac3
Der soll hinter der FB für LAN/WLAN,VLANs, Firewall sorgen,
Auf der FB würde dann nur die Telefonie bleiben.

Kann das funktionieren?

[hominidae]

Ja, natürlich kann das funktionieren...aber das ac WLAN von MT ist eher so semi. OK, wenn Du nur einen AP willst, sonst wird es etwas komplexer um da was rauszukitzeln. ich habe von denen einige am Start und komme auf 400-600Mbps über Wifi (5GHz).
Ansonsten, für so einen AiO schaue Dir auch die neuen ax-Modelle an.
Im aktuellen RouterOS v7 kannst du ac- und ax-Modelle, wenn zentral (das Tool heisst capsman in RouterOS) verwaltet (derzeit noch) nicht mischen.

Ich würde für mehr als einen AP einen Ethernet Router von MT empfehlen, WiFi-APs dann eher von ner anderen Marke.
Da gibt es deutlich performanteres, allerdings ist da auch der HW/FW-Support eher endlich....allein Unifi kann da (noch, zumindest die letzten 5 Jahre) mithalten, aber die habe ich ausgelistet, da die gerne das Mithören in der Cloud aktivieren (muss man aktiv ausschalten, nicht einschalten/erlauben...das lässt tief blicken).

Edit: es wird hier aber langsam off-topic, oder?
Für Mikrotik Geräte gibt es einen eigenen Faden im Luxx: https://www.hardwareluxx.de/community/t ... t-29836763 ...übrigens gerade mit nem interessanten Link zu VLANs unter ROS.
Die "Bibel" ist hier: https://forum.mikrotik.com/viewtopic.php?f=13&t=143620

[rleidner]

Danke für die Hinweise und LInks - sehr hilfreich!
Ich werde dort weiterlesen.

[LutzB]

Ich sehe mir aktuell den Mikrotik hAP ac³ genauer an: https://mikrotik.com/product/hap_ac3
Der soll hinter der FB für LAN/WLAN,VLANs, Firewall sorgen,
Auf der FB würde dann nur die Telefonie bleiben.

Kann das funktionieren?

Das wird sicher funktionieren, ist aber wegen dem doppelten NAT nicht schön. Nach Möglichkeit ein dummes Modem vor den Router packen. Kenne mich mit Glasfaseranschlüssen leider nicht aus.

Hier (Vodafone Kabel) läuft deren Router im Bridge Modus und direkt dahinter eine OpnSense Installation. Der "Router" ist dann quasi nur Docsis Modem und Telefonanschluss. Der Rest liegt hinter der Firewall in verschiedenen VLans.

[hominidae]

Das wird sicher funktionieren, ist aber wegen dem doppelten NAT nicht schön. Nach Möglichkeit ein dummes Modem vor den Router packen. Kenne mich mit Glasfaseranschlüssen leider nicht aus.

da eine Fritz immer NAT macht, kann man das NAT im Router dahinter auf WAN auch weglassen und den Overhead reduzieren und noch den Router in der Fritz als "Exposed Host" eintragen.
Ein Glasfaser-Anschluss braucht kein Modem, sondern nur einen Medienkonverter, der vom Provider normalerweise gestellt wird. Bis 1G sind es meist RJ45/LAN, darüber meist SFP+ Interfaces. Einwahl, wie bei DSL i.d.R. mittels ppoe...das kann den Router schon fordern, weil die Implementierung nicht multi-threaded ist, also nur auf einem CPU-Kern läuft.