Router für VLAN

[ernie22]

Hallo,

ich habe einen Kabelanschluss bei Vodafone und nutze derzeit die Vodafone Station als Router inklusive einem 8 Port Switch für diverse Netzwerksteckdosen. Die W-Lan Abdeckung in meiner 4-Zimmerwohnung ist gut. Leider ist der Vodafone Router in den Einstellmöglichkeiten sehr eingeschränkt. Daher möchte ich mir einen eigenen Router zulegen. Anfangs dachte ich an eine Fritzbox, bis ich festgestellt habe, dass die Fritzbox kein VLAN beherrscht. Jetzt bin ich auf der Suche nach Alternativen.
Was ich im Netzwerk habe:

• PC, Smartphone und Tablet und NAS
• Laptop fürs Homeoffice
• Fernseher, Saugroboter, 3d Drucker
• einen kleinen Proxmox Homeserver für Pi-hole, NextCloud und Homeassistant (noch im Experimentierstatus )
• Gäte WLan

Ich habe aktuell nicht vor den Homeserver von außen erreichbar zu machen.
Ich kenne mich (noch) nicht besonders gut mit Netzwerken aus, bin aber bereit mit da einzuarbeiten. Als erstes möchte ich Pi-hole als DNS Server verwenden. Danach würde ich gerne mein Netzwerk in VLANs unterteilen um den IoT Geräten über die Firewall den Zugriff auf mein PC etc. zu blockieren. Das Smartphone soll Zugriff auf mein Smarthome bekommen, aber der Zugriff in umgekehrter Richtung soll blockiert werden.
Ich möchte den Vodafone Router im Bridge Modus betreiben und dahinter meinen eigenen Router schalten.
Mein Wunsch wäre ein Router der zum Start plug an play und sicher ist (so etwas wie OpenWrt One scheidet da wohl aus) und nach und nach an meine Bedürfnisse angepasst werden kann.
Bei der Recherche bin ich auf den Ubiquiti Dream Router 7 gestoßen, der mit dem passenden Switch das erfüllen könnte?

Jetzt meine Frage: ist Ubiquiti eine gute Wahl für meine Anforderungen?
Gibt es bessere Alternativen die ihr mir empfehlen könnt?

 

[Col. Jessep]

Hallo ernie,

ich habe ein ähnliches Setup:

ArbeitsPC, Privater PC, Smartphones, Tablets und einen Unraid Server mit piHole

Ich habe seit Drei Wochen den ASUS ZenBT8 mit einfachen getrennten VLANs für normal, Arbeit und IoT.

Einfach einzustellen, alles in Deutsch, und gute Qualität.

 

[Joe Dalton]

Moin,

die Gedanken zur Segmentierung sind gut und schön, aber Du wirst noch über div. Fallstricke stolpern - gerade bei Smarthome.

Da Du schon einen Server betreiben willst, könntest Du dort eine virtuelle Firewall betreiben (je nach Design und Konfiguration des Netzes nicht performant, aber ausreichend zum Üben). Danach kannst Du Dir entweder einen Layer3-Switch (Routing und meinetwegen ACLs) oder Dir eine (bezahlbare) HW-Firewall kaufen.

Ich würde erstmal kleine Brötchen backen, lernen und dann schauen, was gebraucht wird.

btw: Ich betreibe meine Fritz!Box als Router vor der Firewall. Sollte letztere Mal abrauchen, bin ich immer noch online, ohne großartig was machen zu müssen. Du hast zu Hause i.d.R. keine redundanten Komponenten, daher würde ich das Netz relativ einfach und robust halten.

 

[gaym0r]

(je nach Design und Konfiguration des Netzes nicht performant, aber ausreichend zum Üben).

Och, selbst mit alter bzw. langsamer Hardware perfomt zB OpnSense ganz gut und man kriegt 1 GbE ziemlich easy ausgelastet.

 

[blablub1212]

Als Alternative zur FRITZ!Box: https://eu.store.ui.com/eu/en/products/udm-pro

Kaum teurer und kann VLANs, Firewall etc. Wenn man die das erste mal anschaltet, dann ist in der Firewall auch alles geblockt und somit dein Netzwerk vor Angriffen aus dem Internet „geschützt“ und „sicher“.

 

[-=Azrael=-]

Ubiquiti Dream Router 7

Kann man machen, oder man geht auf PF/OPNSense, die bieten beide weitaus mehr Möglichkeiten, ob man diese braucht ist eine andere Frage.

Je nachdem was du als Proxmox laufen hast, kann man auch hier PF/OPNSense laufen lassen, PCIe Passthrough für die NIC deiner Wahl(1G/10G/25G whatever) und fertig ist die Laube.

Alternativ kann man auch sowas hier nutzen: https://www.ram-koenig.de/gigabyte-mj11-ec1-amd-epyc-3151-mini-itx-inkl-atx-adapter
Bietet IPMI, 2 NICs, slimSAS womit man dann mittels entsprechendem Adapter ein PCIe Port realisieren kann, falls man mehr als 1G bzw. mehr NIC Ports braucht.

Ein Layer 3 Switch ist overkill, ein managed Layer 2 Switch + Router ist für eine one armed bzw. Router on a Stick config ausreichend.
Du musst hier weder hunderte von Hosts bedienen, noch wirst du signifikanten Inter-VLAN Traffic haben.

 

[Luftgucker]

Lern und Basteldrang ist natürlich lobenswert aber ein UDR7 hat einen permanent laufenden Lüfter und braucht zwischen 12-24 Watt. Ohne Not würde ich mir das nicht antun.

 

[CubeID]

Bin kürzlich selber fast komplett von meiner FB6591 auf ein UCG Max + AP umgestiegen.
Bis vermutlich/hoffentlich 2026 GF kommt (kommen soll), lass ich die FB noch im „normalen“ Modus laufen (nicht Bridge Mode), und nutze das VPN (WG Server und WG Site2Site) sowie die Telefonie über sie. Und das Kabelmodem - Umstellung auf ein reines Kabelmodem lohnt sich finanziell nicht.

Den UDR7 fand ich eigentlich auch interessant, der Lüfter ist für mich allerdings ein No-Go (wurde bei kürzlichen Reviews auf YT moniert) und die WLAN Leistung scheint auch nicht sooo der Hit im Vergleich zu den größeren Fritzboxen zu sein.
Ja, der UCG Max hat auch einen Lüfter drin, der im Gegensatz zu dem im UDR7 nicht immer läuft. Mein UCG Max liegt meist zwischen 50 und 65°. Das UCG Max gönnt sich um die 6-8W, der U7 In-Wall 6-7W.

Wenn es rein ums Netzwerkthema geht würde das UCG Ultra reichen, den 2,5G Port kann man zum Uplink von WAN auf LAN wechseln, IMO super P/L - nicht nur für den Einstieg sofern man mit 1G für den Internetanschluss leben kann.
Ich werde mich in nächster Zeit noch weiter mit der Segmentierung der verschiedenen Netze/Geräte und passenden Firewallregeln beschäftigen. Zum Reinkommen hat es bei mir kurz gebraucht, bin mit Infrastruktur/Netzwerk/Firewall aber durchaus (sehr) vertraut - Netzwerk und Firewall machen schon Laune bei Unifi 🤓
Ein Kumpel hatte es mit DIY und Opensense/PFSense probiert, wahrscheinlich leider der Hardware geschuldet nicht 100% stabil, weshalb er auch ein UCG umgeschwenkt hat. Damit ist er jetzt auch sehr happy.

 

[ernie22]

Vielen Dank für die bisherigen Beiträge. Ich muss mich wohl noch mehr damit beschäftigen.
Mein Ziel ist ja einen Router zu haben, der nach der Inbetriebnahme erst mal funktioniert und sicher ist. Er soll aber alles an Bord haben damit ich nach und nach mein Netzwerk segmentieren und erweitern und mit der Firewall auch absichern kann.

 

[hildefeuer]

Cudy WR3000S mit OpenWRT drauf ist derzeit der günstigste Wifi6 Router mit VLAN. Die Software wird wohl noch einige Jahre supportet.
Ich habe hier einen DGN3500B mit OpenWRT drauf aus 2009. Der wird auch noch supportet.

 

[Col. Jessep]

Hier der Link zu meinem ASUS Router

https://www.asus.com/networking-iot...system/zenwifi-wifi-systems/asus-zenwifi-bt8/

 

[norKoeri]

ein Router der zum Start plug an play und sicher ist (so etwas wie OpenWrt One scheidet da wohl aus)

OpenWrt und OPNsense haben inzwischen auch erkannt, was „gute“ Voreinstellungen sind. Daher weiß ich nicht genau, woher dieser Vorbehalt kommt bzw. was Du gelesen hast, dass dem anders sei. Hast Du für uns irgendeine (Deiner) Quellen? Vielleicht irgendein Missverständnis, was man dann auflösen kann.

mein Netzwerk in VLANs unterteilen um den IoT Geräten über die Firewall den Zugriff auf mein PC etc. zu blockieren. Das Smartphone soll Zugriff auf mein Smarthome bekommen, aber der Zugriff in umgekehrter Richtung soll blockiert werden.

Für den Start wäre auch mein Tipp mit mehreren Heim-Segmenten anstatt mit Regel-basiertem Zugang zu arbeiten. Was für ein Smart-Home hast Du überhaupt, also welche Technologie bzw. Hersteller bzw. Produkte?

mit dem passenden Switch

Was genau schwebt Dir beim Switch vor? Wenn Du auch verkabelte Clients hast, die isoliert werden sollen, muss man beim Switch genau aufpassen.

 

[andredc]

ich würd nen dreamrouter 7 nehmen und falls man mehr ports braucht noch nen flex mini oder flex mini 2.5G

 

[ernie22]

OpenWrt und OPNsense haben inzwischen auch erkannt, was „gute“ Voreinstellungen sind. Daher weiß ich nicht genau, woher dieser Vorbehalt kommt bzw. was Du gelesen hast, dass dem anders sei. Hast Du für uns irgendeine (Deiner) Quellen? Vielleicht irgendein Missverständnis, was man dann auflösen kann.

Das war mein Eindruck, den ich beim studium diverser Beiträge gewonnen habe. Falls dem nicht so ist muss ich mich mir das nochmal anschauen.

Für den Start wäre auch mein Tipp mit mehreren Heim-Segmenten anstatt mit Regel-basiertem Zugang zu arbeiten. Was für ein Smart-Home hast Du überhaupt, also welche Technologie bzw. Hersteller bzw. Produkte?

Homeassistant, aber da stehe ich auch noch am Anfang. Überwiegen möchte ich da auf zigbee Geräte setzen, ich habe aber auch einige W-Lan Geräte.

Was genau schwebt Dir beim Switch vor? Wenn Du auch verkabelte Clients hast, die isoliert werden sollen, muss man beim Switch genau aufpassen.

Aktuell habe ich einen unmanaged Switch an dem mein NAS, mein PC mein beruflich genutztes Notebook und mein Fernseher und hängt. Mein homeserver möchte ich auch am Lan haben.

Ergänzung (Montag um 17:23)

Hier der Link zu meinem ASUS Router

https://www.asus.com/networking-iot...system/zenwifi-wifi-systems/asus-zenwifi-bt8/

Den schaue ich mir auch noch genauer an.