Ich empfehle da eigentlich immer die drei gleichen Marken:

• AVM: Einfach und für den Otto-Normalnutzer gut vorkonfiguriert, funktioniert.
• Ubiquity: Auch Klickibunti aber mit mehr inhaltlicher Tiefe, nettes Ökosystem mit allen Vor- und Nachteilen.
• MikroTik: Schmerzhaft zu konfigurieren, absolutes Profi-Equipment (von den Möglichkeiten her), attraktive Preise, aber steile Lernkurve und große Fallhöhe wenn man keine Ahnung hat.

Falls du nicht den letzten Euro umdrehen musst / willst, empfehle ich (sowieso) OPNsense auf einem APU bzw. IPU Board:

• APU: https://www.apu-board.de
• IPU: https://www.ipu-system.de/index.html

Das Problem: Sobald du routest hast du wieder EIN Netzwerk. Du musst also entsprechend überwachen WAS du überhaupt routest. Das ist typischerweise die Aufgabe einer Firewall. Du brauchst also einen Router UND eine Firewall. Das ist häufig in einem Gerät vereint. Nur ein einfacher Switch, der auch Routen kann, hat häufig keine Firewall.

Den geringsten Stromverbrauch wirst du mit einem lüfterlosen APU-Board bekommen (oder einem MikroTik Switch, zumindest sollen die Verbrauchsangaben des Herstellers realistisch sein), den geringsten Konfigurationsaufwand vermutlich mit Ubiquity.

An deiner Stelle würde ich ein paar mehr EUR für eine ordentliche Hardware hinlegen (siehe APU / IPU) und dann dort OPNsense aufspielen. Das ist der beste Kompromiss zwischen Stromverbrauch und Konfigurationsaufwand.

Falls du ein preiswertes aber mächtiges Ökosystem haben willst (auch mit SFP+, Access Points usw.) dann kaufe alles von MikroTik. Da bekommst du auch eine Firewall mit umgesetzt, allerdings keine IPS - aber da prophezeihe ich dir Kopfschmerzen bei der Konfiguration. Auf der MikroTik Seite kannst du dich aber in eine Demo-Appliance von "RouterOS" einloggen, dann siehst du schon was dich erwartet.

Danke für den Hinweis - das verstehe ich (glaube ich zumindest) und beantwortet ein wenig das, was mir die ganze Zeit im Hinterkopf "schwirrt" ... wie kann ich die Netze einerseits trennen, andererseits aber dennoch auf entsprechende Ressourcen (im VLAN1) zugreifen. Das bedeutet, ich muss jeden Dienst (ggf. Port) in der Firewall manuell frei geben - oder gibt es da entsprechende Profile (sorry für die vielleicht blöde Frage)?
​

Die Dinger sind wirklich sparsam!

Das glaube ich Dir gerne und darum hatte ich vorher auch (bewusst) nicht bei MikroTik geschaut.

Vielen Dank nochmals - das hilft mir schon mal weiter!

Viele Grüße,

Stefan

Ja.

Jein, du kannst bspw. AdGuard o.ä. nutzen, da gibt es schon voreingestellte "Profile". Ich mache das aus Prinzip aber manuell, da ich auf der OPNsense ja schon einen eigenen DNS Resolver laufen lassen kann (inkl. DNS-Blocking) - warum sollte man dann die DNS-Requests an Dritte schicken? Ebenso gibt es IP Blocklisten, die sich dynamisch updaten. Die "Whitelists" wirst du aber überwiegend manuell machen müssen. Grundsätzlich ist der Ansatz bei Firewalls immer: alles blockieren und dann schauen was nicht mehr funktioniert. Das dann minimalinvasiv durch bspw. Durchlassen von Netzwerkverkehr gangbar machen. Ist eine zeitintensive Geschichte bis mal alles läuft aber erhöhte Sicherheit gibt es eben nicht einfach so.

Ich werfe zusätzlich noch OpenWRT ein. Meiner Meinung nach ein gute Kompromis für den "gehobenen Heimgebrauch" - kann mehr als eine Fritzbox (abgesehen von Modem und Telefonanlage!), kommt mir stabiler vor als das was Ubiquiti auf dem Markt wirft, dort reifen lässt und dann doch überraschend wieder abkündigt, und ist relativ leicht einzurichten (Anleitungen reichlich im Netz, recht große Community).