10G Hardware Kaufberatung Firewall+Switch

[deslout!]

Hallo zusammen,

Ich gehöre seit neuem zu den glücklichen Kunden eines Fibre7-x Angebots von Init7.
Nun bin ich auf der Suche nach geeigneter Hardware. Ziel ist nicht im ganzen Haus auf 10G umzurüsten. Lediglich der Router/Firewall sollte mit 10G SFP+ Outbound angeschlossen werden.

Die Glasfaser kommt im Sicherungskasten ins Haus. In diesem Kasten befindet sich auch das Patchpanel für die Raumverteilung.
In mein Büro wurden 2 Kabel verlegt. Ich benötige einen Managed Switch um einen LACP port channel zu erstellen. Um somit im Büro 2Gig zu erreichen.

Folgende Kriterien habe ich ausserdem definiert:

• Stromverbrauch sollte sich in grenzen halten
• 1 x s2s VPN Verbindung
• LACP
• Max. 800Euro für Firewall + Switch
• Wenn möglich passiv gekühlt (nicht zwingend)
• Firewall 6-8 LAN Ports
• Switch mind. 8 Ports

Nach einiger Recherche wollte ich mein Szenario mit einer Dream Machine Pro und einem Switch von Ubiquiti realisieren.
Anscheinend schafft die UDMP aber lediglich 1Gig dank der Backplane

Ich könnt mir auch eine selfmade Lösung mit pfsense vorstellen, habe bis jetzt aber noch keine passende Hardware mit SFP+ Anschluss gefunden. Auf einen Konverter möchte ich wenn möglich verzichten.

Danke für eure Tipps und Erfahrungen
Gruss

 

[PHuV]

Wieviel 10Gibt-Lanports brauchst Du? Ich habe aktuell das ZyXEL XGS1250 Desktop Gigabit Smart Switch hier im Homeoffice stehen. Verrichtet leise seinen Dienst und ist mein aktueller P/L-Favorit für 10G Switche.

 

[Masamune2]

Weißt du was der Provider in dem Fall an Hardware mitliefern würde? 10G Router sind noch eher eine Seltenheit im privaten Bereich, spontan kenne ich da jetzt gar kein Gerät und würde zur Selbstbaulösung greifen.
Der Switch ist das kleinste Problem, da tut es quasi jeder halb-managebare der LACP kann und einen SFP+ Uplink hat.
https://geizhals.de/?cat=switchgi&xf=12885_Switch~13285_1~14846_802.1ad~658_nichtunmana

 

[deslout!]

Der Provider bringt keine Hardware empfiehlt aber einen CCR2004-1G-12S+2XS von MikroTik. Ich vermute aber, dass der ziemlich laut ist und strom frisst
Der Switch sieht schonmal sehr gut aus.

​

 

[M-X]

Vor einem PFsense / OPNsense Ansatz kann ich aktuell nur abraten. Es gibt leider noch keine bezahlbaren "All in ones" mit 10 GBE oder SFP+ Ports daher musst du dir selber eine x86 Kiste bauen mit den entsprechenden Kosten, Stromverbrauch und Platz.

Der QHora-301W ist ganz interessant. Es gibt auch schon testweise einen OpenWRT support.

 

[Tornhoof]

Ich vermute aber, dass der ziemlich laut ist und strom frisst

Damit musst du ggf bei 10gbit mit leben, praktisch alle Komponenten verbrauchen mehr Strom und werden damit wärmer als bei 1gbit.bder mikrotek Router verbraucht gute 30w. Geräte mit viel weniger wirst du schwer finden aktuell.

 

[Able]

Von Mikrotik gibt es noch den CCR2004-16G-2S+. Der hat nur 2 SFP+ Ports aber 16x Gbe. Dann kannst du dir vielleicht den Switch sparen.

Ich habe den CCR2004-1G-12S+2XS hier und mit 8 SFP+ Modulen (Fibre und DAC) sind die Lüfter die meiste Zeit aus. Bei höherer Last wird er aber schon gut hörbar. Von der Lautstärke würde ich es etwa mit einer PS4 vergleichen.

 

[deslout!]

Der CCR2004-16G-2S wäre tatsächlich eine passende alternative. Auf den Switch kann ich leider nicht verzichten, da im Büro nur 2 ETH Dosen und ca. 8 Ports benötigt werden.

Wie verhält sich der Mikrotik bei Wärme? Das Reduit ist nicht besonders gross und könnte im Sommer doch etwas warm werden.

Der QHora-301W würde auf den ersten Blick meinen Anforderungen wohl bereits genügen. Gibt es allenfalls bereits Erfahrungen damit?

 

[DonConto]

Gibt ja auch den MikroTik CRS305-1G-4S+IN mit nur 4 (+1) Ports. Lüfterlos.

 

[Able]

Der CCR2004-16G-2S wäre tatsächlich eine passende alternative. Auf den Switch kann ich leider nicht verzichten, da im Büro nur 2 ETH Dosen und ca. 8 Ports benötigt werden.

Wie verhält sich der Mikrotik bei Wärme? Das Reduit ist nicht besonders gross und könnte im Sommer doch etwas warm werden.

Kann ich leider nicht sagen, habe ihn erst seit Oktober und er hat noch keine Raumtemperaturen über 22 Grad gesehen

In meinen Augen müsste die UDMP aber auch deutlich über 1Gbit schaffen.

Gibt ja auch den MikroTik CRS305-1G-4S+IN mit nur 4 (+1) Ports. Lüfterlos.

Der kann aber selbst laut Mikrotik nur knapp 1Gbit routen und das halte ich schon für optimistisch

 

[DonConto]

Der kann aber selbst laut Mikrotik nur knapp 1Gbit routen und das halte ich schon für optimistisch

Ich gestehe dann wohl nicht richtig gelesen zu haben. Asche auf mein Haupt.

 

[Masamune2]

Der Qhora hat aber auch "nur" 10G-BaseT Ports und keine SFP+. Was kommt denn genau von deinem Provider aus der Wand? Ist da noch ein Medienconverter dazwischen? Falls nicht sprechen die XGPON oder APON?

 

[0-8-15 User]

Lediglich der Router/Firewall sollte mit 10G SFP+ Outbound angeschlossen werden.

Dann wäre der MikroTik RB5009UG+S+IN eventuell was?

 

[deslout!]

Der Qhora hat aber auch "nur" 10G-BaseT Ports und keine SFP+. Was kommt denn genau von deinem Provider aus der Wand? Ist da noch ein Medienconverter dazwischen? Falls nicht sprechen die XGPON oder APON?

Laut Provider ist folgendes SFP+ Modul kompatibel: SFP+ BIDI LR, 10 km, TX1270/RX1330 nm, LC-Simplex, Singlemode. Ein Medienconverter wird nicht benötigt.

Zusätzlich habe ich noch folgende Info gefunden:

Die Strecke zwischen dem Fiber7-Pop in der Telefonzentrale und dem Fiber7-Kunden basiert auf Gigabit-Ethernet. Das ist eine dedizierte Punkt-Punkt Verbindung, dh., jeder Fiber7-Kunde hat sein «eigenes Gigabit» und muss dieses mit niemandem teilen. Andere FTTH-Technologien, insbesondere im Ausland, basieren auf XGS-PON, wo die verfügbare Bandbreite auf mehrere Kunden aufgeteilt wird. XGS-PON kommt für Fiber7 nicht zur Anwendung.
Quelle: https://www.init7.net/de/support/faq/Fiber7-Technologie/

Beim CCR2004-16G-2S könnte ich ausserdem mit dem 2. SFP+ Port den Switch via 10Gig Kupfer verbinden und so auf die LACP Konfig verzichten.


Der MikroTik RB5009UG+S+IN kommt bei s2s VPN vermutlich an seine grenzen mit 1GB RAM. Werde ihn mir aber trotzdem mal genauer anschauen.

 

[0-8-15 User]

Der MikroTik RB5009UG+S+IN kommt bei s2s VPN vermutlich an seine grenzen mit 1GB RAM.

Dass es dabei am RAM scheitert, kann ich mir ehrlich sagt nicht vorstellen.

Beim CCR2004-16G-2S könnte ich ausserdem mit dem 2. SFP+ Port den Switch via 10Gig Kupfer verbinden und so auf die LACP Konfig verzichten.

Sowohl der ZyXEL XGS1250 als auch der MikroTik RB5009UG+S+IN haben einen 2.5G Port.

 

[deslout!]

Dass es dabei am RAM scheitert, kann ich mir ehrlich sagt nicht vorstellen.

Sowohl der ZyXEL XGS1250 als auch der MikroTik RB5009UG+S+IN haben einen 2.5G Port.

Hast Du positive Erfahrungen mit dem rb5009UG gemacht? Respektive kannst Du deine Erfahrungen teilen?

 

[0-8-15 User]

Nein, aber du könntest eventuell hier: https://www.hardwareluxx.de/community/threads/mikrotik-geräte.1164281/ mal in die Runde fragen, wie der Stand der Dinge mittlerweile ist. RouterOS 7 ist ja leider immer noch weit davon entfernt, ausgereift zu sein.

 

[deslout!]

Besten Dank für die Empfehlung @0-8-15 User . Ich werde mir das Teil testweise bestellen. Die geringe Leistungsaufnahme und passive Kühlung könnte ideal für den Einbau im Sicherungskasten sein. Wenn die Performance nicht reichen sollte, kann ich einen CCR2004-16G-2S in Erwägung ziehen.

Hast Du allenfalls Informationen zum maximalen Routing Durchsatz? habe im Netz dazu leider noch keine Tests gefunden.

 

[0-8-15 User]

Die Angaben auf der Herstellerseite kommen meiner Erfahrung nach schon in etwa hin: https://mikrotik.com/product/rb5009ug_s_in#fndtn-testresults

 

[Masamune2]

Das ist allerdings der reine Routing Durchsatz, nicht der NAT Durchsatz. Der wird mit Sicherheit niedriger liegen, wie viel kann ich nicht abschätzen.