Glaube das macht recht wenig Sinn. Immer wenn das "Sat>IP-Netzwerk" mit dem "Netzwerk für Datenverkehr (bspw. NAS)" reden muss, muss der Traffik vom einen Switch über den Switch im Router zum anderen Switch....

Warum nicht einen dicken Switch mit ausreichend Ports (oder zur Not zwei mit entsprechender Bridge/Stacking) und da alles dran. Und an den Switch dann eine Leitung zum Router. Fertig.

Wieso du die Firewall auf Ports am Router/Switch umlegen willst erschließt sich mir nicht. Die Firewall arbeitet irgendwo auf OSI Schicht 3-7. Darunter interessiert für gewöhnlich nicht.

Wenn du DMZ und Co. haben willst kannst du das auch ohne Port-Trennung. Zur Not auch mit VLAN (managed/smart managed switch).



Alles in allem frag ich mich echt was so einige an Mörder-Netzwerken mit Mörder-Traffik haben müssen um sich mit solch aufwendigen Fragen zu beschäftigen? Wir sind hier doch maximal im SOHO Bereich und damit noch weit entfernt von Enterprise Lösungen. Oder muss man hier unbedingt auch mit Kanonen auf Spatzen schießen?

Eine aktuelle Fritzbox sollte mit dem Traffik der im Heimnetzwerk anfällt eigentlich keine Probleme haben. Die darin verbaute Hardware (CPU und Netzwerkkram) kommt damit locker zurecht. Wo es vllt. eng werden könnte ist bei DeepPacketInspection und/oder aufwendigem Traffik-Shaping. Aber bei den heutigen Bandbreiten ist letzteres eher unnötig oder wird vom Gerät schon passend unterstützt.

Alles in allem:

Heimnetzwerk an auf einen einigermaßen anständigen und ausreichend großen Switch auflegen, Anbindung ans Internet: Uplink des Switch zum Router. Wer noch Server "daheim betreibt" der kann sich eine DMZ einrichten und diese ggf. durch VLAN auf dem großen Switch vom Rest trennen.
Solange IPv6 noch keinen direkten Einzug hält ist Firewall und Co. auch "fast unnötig". Wer keine Ports Forwarded hat eigtl nichts zu befürchten. Wenn IPv6 dann mal da ist, wird es wohl in den Routern eine entsprechende Firewall-Konfig-Möglichkeit geben. Und wenn nicht: Eigenen Router (IP-Cop, eigenes Linux, 'ne Barracuda, ...) statt des Provider-Routers hinstellen.

just my 5 cent

- Alex

Moin. Nein, deine Strukturierung macht nur bedingt Sinn.

1.) Die EdgeRouter sind ein Klasse Produkt - ohne Frage. Sowohl die FPGAs zum Filtern und Routen der Pakete die locker 2 Mio. Packets per Secound schaffen sind beachtlich in der Preisklasse. Auch das modifizierte Vyatta als OS Distribution bringt Leistung und Features mit, dies es im unteren Preissegment so eigentlich nicht gibt. (Flashen von alternativen Firmwares zählt hier nicht.)

2.) Schön, dass Du Dir Gedanken um die Strukturierung Deines Netzwerkes machst - machen sich nämlich die wenigsten (Heim-)Anwender.

3.) Filtern über Ports macht im SoHo Bereich eigentlich nur für DMZs Sinn in meinen Augen. - Für alles andere macht VLAN-Tagging. Macht das vielleicht auch dein WiFi-Accesspoint für Gast-WiFi? - Spätestens dann macht es Sinn Filterung wie VLAN und nicht via Port zu machen.

4.) Wieso willst Du einen Router mit PoE nehmen? Für Dich sollte eigentlich der kleine EdgeRouter (Kostenpunkt um die 99,00 €) völlig genügen, was die Leistung angeht. Dann nimm lieber noch ein managed L2/L3 Switch mit PoE.

5.) "Intelligente Switchs" machen eh, eher Sinn, da diese bereits vor dem Router Netzwerklast in die entsprechenden Netzwerksegmente Deines lokalen Netzwerkes leiten können und somit eine ganze Menge Last vom Router nehmen. (Sofern es Dir hier wirklich nur um die Performance geht. Wie ich allerdings in 1. schrieb glaube ich nicht, dass Du die Hardware mit ihrer theo. Grenze - in meinem Netlab habe ich übrigens einen höheren Durchsatz gemessen - in Deinem Haus wirklich ausreizen wirst.

6.) Interessant ist hier aber auch die folgende Frage: hast Du vor dein lokales Netzwerk zu segmentieren? - Das gebe durchaus Sinn: Hausautomation und IPSat zum Beispiel in das gleiche Segment zu legen. - Auch mit eine Segmentierung kannst Du eine ganze Menge Last aus einem Gesamtnetzwerk nehmen, in dem tatsächlich Traffic auch nur in dem bestimmten Segment bleibt. (Potentiell weniger Arbeit für Router und Switch.)

7.) Geräte wie die EdgeRouter können über das Webinterface (oder Software) nicht ihr volles Potential aussschöpfen - da musst Du dann schon auf die Routerkonsole.


Global ist Deine Frage nicht einfach pauschal zu beantworten. Jedenfalls nicht mit den Infos, welche Du uns gegeben hast. - Mit Ubiquiti holst Du Dir viel Leistung ins Haus für teilweise einen kleinen Geldbeutel, aber auch dies wird Dir nur bedingt etwas nützen, wenn die Geräte technisch überfordern oder der Rest Deiner Netzwerkinfrastruktur den Flaschenhals bilden wird. Es ist einfach schwierig eine solche Empfehlung auszusprechen oder nicht ohne Deinen Wissensstand und/oder die genauen Rahmenbedingungen zu kennen.

Halte ich für ein Gerücht. Erstens gibt es in DACH bereits ISPs die natives IPv6 ausliefern - nur so am Rande bemerkt. Zweitens können ja "heutzutage" Endkundengeräte der Provider kein vernünftiges Firewalling - da wird sich nix ändern.

Pardon für den Doppelpost.

Dass einzelne Anbieter IPv6 schon anbieten weiß ich. Aber solange die "großen ISPs" nicht bei jedem neuen Anschluss gleich IPv6 mit aufschalten, ist es noch nicht im Mainstream angekommen.

Erst dann werden Endkundengeräte wohl eine Firewall bekommen. Oder eben weiter mit NAT/internem IPv4 arbeiten :-(

IPv6 macht erst richtig Sinn wenn intern wie extern Ipv6 gesprochen wird. Und dann wird eine Firewall unabdingbar. Und wenn sich tatsächlich die Endkundengeräte dahin entwickeln dass keine brauchbare Firewall an Board ist, dann bleibt nur noch der Griff ins gut sortierte Fachregal, oder eben in die DIY Kiste mit IP-Cop oder eigenem Linux-Router/Gateway.

Full ACK, auch wenn ich perönlich vielleicht nicht IP-Cop wählen würde , sondern was mit BSD bauen

Okay, IP-Cop ist wohl eher was für den Linux-DAU. Astaro wäre eine professionellere Variante (gibt's da die Community Version noch?).

Ehrlich gefragt keine Ahnung. Alpine macht auf mich gerade einen soliden Eindruck aus der Linux Ecke. Ansonsten wenn mit Webfrontend pfsense aus der FreeBSD Ecke, auch wenn deren Basesystem mal ein Update vertragen könnte

pfsense schaut gut aus. Bieten ja sogar kommerziellen Support.

Ohne Webinterface würde ich persönlich wohl nichts wählen. Das ganze soll ja auch in 5 Jahren noch ohne nochmaliges Studium der Kommandozeilenbefehle wartbar sein.

Stimmt schon. Naja ist halt immer so ne Doku Sache. Was mühsam dich auch noch anschauen kann ist Vyatta, ein embedded Debian mit Gedöns. Steckt zum Beispiel in den EdgeRoutern drinnen.

Danke für eure Antworten, werde mich leider erst heute Abend intensiver mit euren Antworten beschäftigen können.

Richtig und wichtig sind zwei Dinge: Ich arbeite mich in die ganze Netzwerktechnik aktuell noch ein und habe mit einigen Begriffen und Funktionen noch meine Probleme. Vielleicht daher auch mein Missverständnis des Routers in meiner Anwendungsart?! Aber: Ich bin seit 14 Jahren Linuxuser und bin froh, wenn ich Dinge per Konsole regeln darf/kann. Webfrontend ist daher für mich absolut unwichtig. Zudem komme ich mit iptables recht brauchbar zurecht, so dass ich auf Basis dessen meine Firewall stricken will.

Zum Thema, was ich habe...

-Neubau wird mit CAT5 ausgestattet. Ich sehe bei den eher kurzen Leitungslängen den Bedarf von CAT6- oder CAT7-Kabeln nicht, ist vielleicht auch ne Einstellungssache.
-WLan wird mittels Unifi Pro bereit gestellt (pro Stockwerk 1 Access-Point) und ein Unifi Outdoor für den Garten
-VOIP findet statt über Gigaset N510 IP Pro und autark vom Router

Was mir Sorgen macht wäre ein Szenario, was eventuell nicht selten eintreten könnte: Wir schauen TV, am besten in HD. Am Tag waren meine Frau und ich wieder auf Fototour, haben jeder 2-3 GB RAWs, die auf den Server geladen werden, anschließend bearbeitet, etc. und am Ende kommt noch n Anruf rein. Ich möchte durch meine Variante der verschiedenen Netzwerke im Haus verhindern, dass ich entweder kein TV-Bild mehr habe oder die Telefonverbindung abbricht oder der Datenverkehr zu Server sich reduziert.
Daher war meine Idee, ich trenne die Netze klar nach ihrer Verwendung, damit jeweils der volle Datenverkehr eines Netzwerkes ohne Einschränkung funktioniert....

LG

Kann deine Bedenken nicht unbedingt teilen.

HD TV via LAN kostet so 1-2MB/sek. Mehr nicht.
Telefonieren liegt bei nicht mehr als sagen wir mal 300kbyte/sek.

Wenn du auf deinem CAT5 Kabel Gigabit fährst, hast du im Worst-Cast noch irgendwas über 97MB/sek für deine 2x 2-3GByte RAW Files über.

Das Backend eines einigermaßen aktuellen Gigabit-Switches ist ausreichend groß damit es da keine sich auf die einzelnen Dienste/Aktionen negativ auswirkenden Latenzen gibt.

Selbst in einem 100Mbit Netzwerk dürfte das mit mittelpreisiger Hardware (und mittelpreisige Switches mit 100Mbit bekommst du schon für "'n 'Appl und 'n Ei'") keine Einschränkungen (mal von der etwas schlechteren File-Kopier-Performance) geben.

- Alex

Hi Jann,

kein Ding (und so). Wenn Dir Console zusagt, würde ich Dir empfehlen (rein von der Benutzung her) einen von den EdgeRoutern zu nehmen -> embedded Debian + Vyatta script wrapper. Vorgesehen ist hier allerdings kein direkter Zugriff auf iptables sondern halt die Vyatta-Konsole. Lässt sich an sich, eine ganze Menge mit machen. Ansonsten machen die EdgeRouter halt das meiste in Software bis auf Packet-Filtering, welches durch den verbauten FPGA gemacht wird. (Ist auch der Grund warum die so nen guten Durchsatz haben, bei vergleichsweise geringem Hardwareeinsatz.)

Für VoIP ist Traffic Shaping generell (ersteinmal) der richtige Ansatz, da Du eine Bandbreitengarantierung haben möchtest. Allerdings verbrät jetzt VoIP während eines Telefonates auch nicht so viel Bandbreite, es sei denn es ist VoIP mit Video.

Sinnvoll wäre hier eine Aufteilung in VLANs und diesen VLANs einzeln Bandbreitenzusicherungen zu zu sichern.

Anmerkung: Ich kann mir gerade nur schwer vorstellen, dass 1000BaseT "Backbone" da ernsthafte Probleme auftreten sollten.

Nein, wirklich nicht.

Aktuell haben wir daheim einen Wildwuchs aus Telekom Speedport im Keller,

8-Port Gigabit Switch (unmanaged) von Allnet wo alles zusammen läuft und auf den Speedport geht, 2x Linksys WRT54GL 100Mbit AccessPoint über 2 Stockwerke verteilt und 1x Billigheimer-8-Port Gigabit-Switch in meinem Büro.

Wir telefonieren ausschließlich über VoIP, nutzen Videostreaming in FullHD vom Debian DIY-NAS, sowie mehrfach VirtualBox Instanzen (am Desktop, am Laptop, ...), welche über NFS vom NAS geladen werden. Und daneben dann noch Filetransfers von/zum NAS.

Weder kann ich von Latenzproblemen beim telefonieren berichten, noch zickt der Videostream. Läuft alles zuverlässig und fehlerfrei. Und das ohne teuren managed Gigabit-Switch oder irgendwelchen großen Überlegungen bzgl. Aufbau des Netzwerks.

Netzwerkteilnehmer (inkl. WLAN-Teilnehmer) haben wir übrigens irgendwas um die 40 Stück....

Im gerade entstehenden Eigenheim wird's dann etwas aufgeräumter und es wird keinen Wildwuchs mehr geben. Nicht weil das bessere Performance bringen könnte. Nein. Um's einfacher und aufgeräumter zu haben.

@Jann haben Dir bisher die Antworten geholfen?