Asus Setup behalten oder ersetzen?

[roberto_blanco]

Hallo zusammen,

Mittlerweile tummeln sich in unserem Heimnetzwerk über 80 Geräte und die Zahl an IoT Geräten nimmt stetig zu. Aktuell betreibe ich alles im selben Netz, allerdings stört mich das schon länger und daher möchte ich nun mein Netzwerk endlich in verschiedene Segmente unterteilen.

Mein aktuelles Setup sieht folgendermassen aus:

Leitung:
100/100 Mbit (wobei nach Ablauf der Mindestvertragsdauer in einem halben Jahr ein Umstieg auf ne schnellere Leitung geplant ist)

Modem:
Zyxel XMG3927 (UG)
Dieses ist als Bridge konfiguriert und ersetzt den Router unseres Providers Sunrise, welcher keinen Bridgemodus und nur sehr wenige Konfigurationsmöglichkeiten zulässt. (Die Schweiz ist da leider etwas kompliziert...)

Router:
ASUS RT-AC88U mit Merlin FW (UG)

AP:
ASUS AC67U (1x EG und 1x OG)


Der Asus-Router lässt zwar die Einrichtung mehrerer Gast-Wlans zu, allerdings können die APs weder mehr als die 3 bereits bestehenden SSIDs (LAN 2.4G/5G, Gast 2.4G) noch VLAN an den Ports.

Meine erste Überlegung war deshalb die beiden APs zu ersetzen, im EG (wo LAN Ports benötigt werden) zusätzlich einen managed Switch hinzustellen und den Router mit OpenWRT zu flashen um VLAN und Routing konfigurieren zu können.

Ich bin kein grosser Freund von Cloud-Anbindung, daher kommt für mich das System von Ubiquiti eigentlich nicht in Frage. Als AP hatte ich daher für jedes Stockwerk (ca. 66m2 => 12x5,5m) einen TP-Link EAP650 ins Auge gefasst und dazu für's EG einen managed Switch für die kabelgebunden Geräte im Wohnzimmer. Den Controller für die EAPs würde ich in einem Dockercontainer laufen lassen.

Nun habe ich aber gelesen, dass mein Asus-Router unter OpenWRT einige Macken hat. Da ich beruflich viel im Ausland unterwegs bin, bin ich aber auf ein stabiles und mackenfreies Netzwerk zuhause angewiesen, ansonsten verstösst mich meine Familie! ;-) Zudem unterstützt der AC88U kein Wireguard, welches ich eigentlich gerne anstelle von OpenVPN vom Ausland aus nutzen würde (was ich vermutlich auch durch einen Container lösen könnte, aber direkt am Router wäre es mir lieber). All dies führt mich nun zur Frage, ob ich nicht besser gleich das ganze Setup ersetzen soll.

Gibt es irgendeine zuverlässige Lösung um ohne grosses Gebastel mein bestehendes System weiter zu verwenden oder wäre eine Neuanschaffung tatsächlich das Sinnvollste?

Im EG habe ich leider keine Möglichkeit den EAP650 an der Decke zu montieren, da wir eine schalldämmende Decke haben, sprich eine Art Tuch welches über Isoliermaterial gespannt ist und wo man nicht einfach so reinbohren kann. Sollte die Abdeckung trotzdem für das ganze Stockwerk reichen wenn ich den AP auf dem Sideboard im (mehr oder weniger hindernisfreien) offenen Wohnzimmer platziere?

Welcher Router würde sich denn dazu empfehlen? Ich hatte den ER-X und den MikroTik hEX S angeschaut. Und dazu ein nachgelagerter managed Switch. Mit einem Wlan-Router könnte ich zwar im UG einen 3. AP überflüssig machen, aber vermutlich macht es mehr Sinn bei einem System für's Wlan zu bleiben oder?

Als Switch, wäre da z.B. ein TP-Link TL-SG108E zu empfehlen?

Ich wäre echt dankbar für ein paar Tipps...

Vielen Dank,
Rob

 

[Zero_Official]

ein TL-SG108E ist nich richtig managebar, kann nicht vlan routen da gibt es bessere von TPlink.

ein EAP650 kann auch keine Vlans.

Ich würde einen TL-SG2210P V5 und EAP225/245 nehmen. somt kannst du Vlans Erstellen und routen
und POE für AP's.

​

 

[Raijin]

ein TL-SG108E ist nich richtig managebar, kann nicht vlan routen da gibt es bessere von TPlink.

Naja, Inter-VLAN-Routing ist in einem Heimnetzwerk bis auf sehr wenige Ausnahmen vernachlässigbar. Wenn man günstig an einen L3-Switch rankommt, ok, aber einfach nur .. .. weil .. ist Geldverschwendung. Otto Normal wird in 999 von 1000 Fällen keinen Unterschied merken ob der Switch nun direkt die VLANs routet oder ob er über den Uplink zum Router und zurückgeht. In einem Heimnetzwerk hat man eher selten dauerhafte Parallelauslastung mehrerer Clients.

ein EAP650 kann auch keine Vlans.

Laut Datenblatt unterstützt der EAP650 VLANs ebenso wie die von dir genannten EAP225/245.

Ich bin kein grosser Freund von Cloud-Anbindung, daher kommt für mich das System von Ubiquiti eigentlich nicht in Frage.

Cloud-Anbindung ist nur bei Controllern auf Ubiquiti-Hardware (zB CloudKey) Voraussetzung - und selbst da bin ich mir nicht sicher, ob das immer noch gilt, weil es sehr viel Kritik gab und Ubiquiti zumindest geneigt war, einzulenken. Installierst du den Unifi-Controller jedoch auf einem NAS, einem PI oder einem PC, brauchst du nach wie vor keinen Cloud-Account. Das sollte also kein Ausschlusskriterium sein. Omada von TP-Link ist aber auch eine valide Alternative, wenn dir das besser gefällt.

Nun habe ich aber gelesen, dass mein Asus-Router unter OpenWRT einige Macken hat.

Das ist (leider) relativ häufig der Fall. OpenWRT ist eben eine alternative Firmware, die mit allen möglichen Hardwaresystemen und -revisionen klarkommen muss. Da kann es eben passieren, dass Wifi 6 nicht funktioniert, das Modem nicht unterstützt wird oder oder oder. OpenWRT ist super, aber eben nicht unbedingt für jede Hardware 100%ig geeignet.

Welcher Router würde sich denn dazu empfehlen? Ich hatte den ER-X und den MikroTik hEX S angeschaut. Und dazu ein nachgelagerter managed Switch. Mit einem Wlan-Router könnte ich zwar im UG einen 3. AP überflüssig machen, aber vermutlich macht es mehr Sinn bei einem System für's Wlan zu bleiben oder?

Die EdgeRouter und MikroTiks sind schon relativ komplex bei der Konfiguration. Ein gewisses KnowHow wird daher vorausgesetzt. Nicht wenige sind beispielsweise von der etwas .. .. rustikalen Oberfläche eines MikroTiks erstmal erschlagen und finden sich angesichts der vielen Funktionen, von denen man womöglich noch nie gehört hat, nicht zurecht. Bei den EdgeRoutern ist es eher so, dass die GUI relativ schlank ist, aber dafür bei vielen erweiterten Einstellungen doch eher zur Konfiguration über die Konsole / ssh geraten wird.

Der ER-X im Speziellen hat zudem einen Nachteil, der @Ichtiander 's Empfehlung zu einem L3-Switch mehr in den Fokus rückt. Er kann nämlich nur 1 Gbit/s kombiniert in Up- und Download routen. Bei überdurchschnittlichem Traffic zwischen den VLANs ist dann gar nicht mal der Uplink zum Router unbedingt das Problem, sondern der ER-X selbst. Auch da muss man aber abwägen wie hoch das Trafficaufkommen überhaupt sein wird. Ich setze den ER-X selbst ein und mein Netzwerk ist berufs- .. ... .. und forenbedingt .. .. sagen wir mal ... komplexer als das so mancher Firma

Mittlerweile tummeln sich in unserem Heimnetzwerk über 80 Geräte und die Zahl an IoT Geräten nimmt stetig zu. Aktuell betreibe ich alles im selben Netz, allerdings stört mich das schon länger und daher möchte ich nun mein Netzwerk endlich in verschiedene Segmente unterteilen.

Generell solltest du dir gut überlegen wie groß du das aufziehen willst. Gerade IoT ist in komplexen Netzwerken nicht ganz unproblematisch (Stichwort: Broadcasts). Die tolle Smartphone-App für die smarte Heizung funktioniert in vielen Fällen nicht, wenn Smartphone und Thermostat (oder ggfs Bridge) nicht im selben Netzwerk liegen. Die App sagt dann einfach "Heizung nicht gefunden". Man müsste sich entweder ständig ins andere WLAN und das dortige VLAN umloggen oder aber man bastelt sich ein Broadcast-Relay... Einige IoT-/SmartHome-Systeme wie zB Philips Hue können jedoch auch Netzwerkgrenzen überschreiten und funktionieren in so einem Setup. Alternativ: Universelle SmartHome-Zentralen wie OpenHAB, o.ä., mit denen das in der Regel auch klappt.

Bei Netzwerken mit VLANs gilt aber die allgemeine Regel aus der Informatik: Das KISS-Prinzip
Weniger ist manchmal mehr.

 

[roberto_blanco]

Erstmal danke für deine Antwort.

ein EAP650 kann auch keine Vlans.

Wie kommst du darauf, dass der EAP650 keine VLANs kann? Gemäss https://www.tp-link.com/de/business-networking/omada-sdn-access-point/eap650/#specifications kann der EAP650 sowohl "Multiple SSIDs (Up to 16 SSIDs, 8 for each band)", wie auch "SSID to VLAN Mapping". Also genauso wie der EAP245.

Ich würde einen TL-SG2210P V5 und EAP225/245 nehmen. somt kannst du Vlans Erstellen und routen
und POE für AP's.

Der EAP245 sieht auch interessant aus. Allerdings würde ich damit meine aktuellen AC1900 APs durch AC1750 APs ersetzen. Wäre es da nicht sinnvoller auf den AX3000er EAP650 zu setzen? Klar, der Preisunterschied pro Gerät ist ca. 40-50 Euro und aktuell haben wir erst 1 WiFi6 fähiges Gerät. Aber der 650er ist ein neu herausgekommen und im Hinblick auf die Zukunft hätte ich damit dann erstmal für lange Zeit Ruhe, oder nicht?

ein TL-SG108E ist nich richtig managebar, kann nicht vlan routen

Wie meinst du das, dass er nicht richtig managebar ist? Gemäss https://www.tp-link.com/de/business-networking/easy-smart-switch/tl-sg108e/#specifications kann er durchaus "Supports up to 32 VLANs simultaneously (out of 4K VLAN IDs) MTU/Port/Tag VLAN".


[EDIT] Da hat sich meine Antwort gerade mit derjenigen von @Raijin überschnitten...

 

[Zero_Official]

@Raijin @roberto_blanco
Sorry! habe den mit RE650 verwechselt, den ich im Betrieb habe....

PS
ich vermisse Layer 3 funktionen bei dem Switch, klarr kann der TL108E Vlans im Layer 2 Modus aber kein routing zwischen.

PS2
mit Dem 108E Switsch müsste der ERX Routen im Lan/Vlan übernehmen was den zum Flaschehals macht wie der Rajijin schon sagte.

 

[roberto_blanco]

@Raijin Vielen Dank für deine ausführliche Antwort!!

Installierst du den Unifi-Controller jedoch auf einem NAS, einem PI oder einem PC, brauchst du nach wie vor keinen Cloud-Account. Das sollte also kein Ausschlusskriterium sein. Omada von TP-Link ist aber auch eine valide Alternative, wenn dir das besser gefällt.

Ich hatte das nirgends rausgelesen, dass sich der Unifi-Controller ebenfalls lokal installieren lässt. Das wirft natürlich wieder ein anderes Licht auf die Geschichte! In diesem Fall wäre dann der UAP 6 Pro das Produkt der Wahl? Gibt es in Punkto Zuverlässigkeit Erfahrungen zwischen TP-Link und Ubiquiti?

OpenWRT ist super, aber eben nicht unbedingt für jede Hardware 100%ig geeignet.

Ja, das ist dann wohl der Todesstoss für meinen AC88U mit welchem ich sonst eigentlich sehr zufrieden bin...

Die EdgeRouter und MikroTiks sind schon relativ komplex bei der Konfiguration. Ein gewisses KnowHow wird daher vorausgesetzt. Nicht wenige sind beispielsweise von der etwas .. .. rustikalen Oberfläche eines MikroTiks erstmal erschlagen und finden sich angesichts der vielen Funktionen, von denen man womöglich noch nie gehört hat, nicht zurecht. Bei den EdgeRoutern ist es eher so, dass die GUI relativ schlank ist, aber dafür bei vielen erweiterten Einstellungen doch eher zur Konfiguration über die Konsole / ssh geraten wird.

Mit Konsole/SSH habe ich grundsätzlich kein Problem, ebensowenig mit dem reinfriemeln. Für den MikroTik HEX S spricht allerdings, dass er Wireguard unterstützt. Allerdings ist das Teil aktuell nirgends an Lager. Zumindest nicht zu vernünftigen Preisen... Gäbe es noch andere Alternativen?

Bei überdurchschnittlichem Traffic zwischen den VLANs ist dann gar nicht mal der Uplink zum Router unbedingt das Problem, sondern der ER-X selbst.

Was heisst für dich "überdurchschnittlich"? Wir haben manchmal - neben dem IoT Traffic - 2, ganz selten 3 parallele Streams (Netflix/Zattoo/YouTube) und zudem läuft das Telefon über SIP. Die Kids zocken nur auf ihren Handys, aber dann laufen zeitgleich nicht 3 parallele Streams. Zumindest noch nicht ;-) Das würde ich jetzt also nicht als "übermässig" bezeichnen...

Generell solltest du dir gut überlegen wie groß du das aufziehen willst. Gerade IoT ist in komplexen Netzwerken nicht ganz unproblematisch (Stichwort: Broadcasts). Die tolle Smartphone-App für die smarte Heizung funktioniert in vielen Fällen nicht, wenn Smartphone und Thermostat (oder ggfs Bridge) nicht im selben Netzwerk liegen.

Die Broadcast-Problematik ist mir klar. Habe ich mit AI-Mesh teilweise jetzt schon, daher senden z.B meine Shellys über MQTT. Ich verwende ioBroker, welches auch als Slave-Instanz in einem anderen VLAN laufen und per Routing mit der Master-Instanz verbunden werden könnte. Zur Steuerung verwende ich eine eigens programmierte Android-App. Einzig für die Nuki-Schlösser verwende ich die native App. Diese möchte ich allerdings auch nicht unbedingt im gleichen Netz wie die restlichen IoT Devices haben, da muss ich noch schauen wie ich das löse...

Bei Netzwerken mit VLANs gilt aber die allgemeine Regel aus der Informatik: Das KISS-Prinzip
Weniger ist manchmal mehr.

Von KISS bin ich auch ein Freund. Allerdings möchte ich die IoT Geräte definitiv isoliert haben und zudem habe ich einen kleinen Heimserver laufen, welcher ein-zwei Dienste exposen soll. Diese möchte ich auch unbedingt vom Heimnetz trennen!

Ergänzung (25. Oktober 2022)

ich vermisse Layer 3 funktionen bei dem Switch, klarr kann der TL108E Vlans im Layer 2 Modus aber kein routing zwischen.

D.h. der Switch würde das Routing anstelle des Routers übernehmen? Was ist der Vorteil davon?

 

[Zero_Official]

D.h. der Switch würde das Routing anstelle des Routers übernehmen? Was ist der Vorteil davon?

Dies würde den eigentlichen Router entlasten, die Packete zwischen Vlans werden innerhalb vom Switch geroutet und müssen nicht über den Router gehen.... und du brauchst keinen Vlan fähigen Router.
du kannst Defauft Gateway auf dem Switch erstellen/deklarieren und Statische Routen zu den Vlans im Router
erstellen.

PS
Switch routet nur zwischen Vlans oder Subnetzen statisch und ersetzt keinen Dynamischen Router.
Wie Asus Fritzbox etc.

PS2
auf dem Switch kannst du zugriffs ACL's erstellen und den Traffik denentsprechen regeln zb deine IoT devices
absichern.... dafür wäre zb. ein übiquiti ER-4 prädestiniert.

 

[Raijin]

Omada und Unifi sind durchaus zu vergleichen. Es ist weitestgehend Geschmackssache. Die Bedienung ist ähnlich, Omada sieht fast aus wie ein Unifi-Klon. Wenn es dennoch Unifi werden sollte, würde ich zum U6 Pro raten. Der U6 Lite ist wenig empfehlenswert, weil er auf 2,4 GHz kein Wifi 6 unterstützt. Den Unifi-Controller gibt es sogar fertig als Docker-Container, er muss also auf einem geeigneten NAS oder Server mit Docker-Unterstützung im eigentlichen Sinne nicht mal installiert werden. Container laden, starten, einloggen, APs adopten, einstellen, fertig.

Wenn du eh schon einen Server für andere Dinge nutzt, kannst du WireGuard ebenfalls dort einrichten und bist nicht auf einen WireGuard-fähigen Router angewiesen.

Was heisst für dich "überdurchschnittlich"?

Damit meine ich Anwendungsfälle, die über das übliche Streamen, Zocken und gelegentliche Runterladen hinausgehen. Ein herkömmliches Netzwerk läuft mit 1 Gbit/s, was 125 MByte/s (brutto) entspricht. Wenn jetzt mehrere Systeme parallel große Datenmengen aus dem Internet bzw. vom NAS laden, kann ein Uplink vom Switch zum Router überlastet werden, wenn dieser eben nur besagte 1 Gbit/s liefert und man vielleicht auch 1 Gbit/s Internet hat. Die Frage ist dann nur wie häufig das vorkommt und ob es gleich ein Weltuntergang ist, wenn man in diesen Fällen temporär auf etwas Bandbreite verzichten muss. Sieh es so: Ein 3-Personen-Haushalt hat 2 Toiletten. Wenn alle 3 müssen, guckt einer dumm aus der Wäsche und muss warten. Passiert das 1x im Monat, ist das kein Weltuntergang, aber sind 2 der 3 inkontinent und leben auf dem Klo, hat der 3. echt die buchstäbliche Arschkarte und ein Dixie-Klo im Garten gewinnt an Charme

Streaming ist da im übrigen weitestgehend außen vor, weil ein Stream meistens <20 Mbit/s braucht, also grob 3,5 MByte/s.

Layer3-Switches mit Inter-VLAN-Routing kommen erst dann wirklich zum Tragen, wenn man ein stark kaskadiertes Netzwerk hat wie es eher in Firmen der Fall ist. Dort gibt es eben einen zentralen Switch, von dem Switches in andere Gebäude abgehen, von denen wiederum Switches in die Etagen gehen. Hängen an so einem Etagen-Switch nun ein PC und ein Server direkt nebeneinander, aber in verschiedenen VLANs, müsste die Verbindung ohne L3-Switches eben den kompletten Weg zum Router hochgehen und denselben Weg wieder zurück. Das passiert dann bei einem Dutzend PCs gleichzeitig, die Uplinks sind überlastet (mal von Uplinks mit 10 Gbit/s und mehr oder auch LAG mal abgesehen) und der Router im Hauptgebäude denkt sich "Was nervt ihr mich, wenn ihr mit eurem verdammten Portnachbarn verbinden wollt?!?". Mit Inter-VLAN-Routing könnte der Etagen-Switch direkt von Port 12 auf Port 13 switchen, obwohl sie in verschiedenen VLANs liegen, und der Router würde davon nicht mal etwas mitbekommen. In so einem Szenario wird deutlich welchen Nutzen das haben kann, weil das Routing "abgekürzt" wird. In einem Heimnetzwerk mit flacher Infrastruktur - zB nur 1 Switch und ein Router - ist der Nutzen hingegen überschaubar und in meinen Augen bestenfalls mess-, aber selten spürbar. Und selbst wenn stellt sich dann eben wieder die Frage wie oft das in der Praxis tatsächlich vorkommt...

Von KISS bin ich auch ein Freund. Allerdings möchte ich die IoT Geräte definitiv isoliert haben und zudem habe ich einen kleinen Heimserver laufen, welcher ein-zwei Dienste exposen soll. Diese möchte ich auch unbedingt vom Heimnetz trennen!

Vollkommen legitim. Nicht selten kommen in solchen Threads dann aber Ideen mit einem Dutzend VLANs und am Ende macht man die Firewall zwischen den VLANs aus purer Verzweiflung mit "allow any:any" komplett auf, weil andauernd irgendwas nicht funktioniert - dann kann man sich den Rotz aber direkt sparen

 

[roberto_blanco]

@Ichtiander & @Raijin Herzlichen Dank für eure ausführlichen Erklärungen bezüglich L3 Switch. Insbesondere der Vergleich mit dem Klo ist top verständlich!

Omada und Unifi sind durchaus zu vergleichen. Es ist weitestgehend Geschmackssache.

Leider ist mein Geschmack hier nur zweitrangig... Entscheidend ist der Geschmack meiner besseren Hälfte und die findet eindeutig klein und unscheinbar besser Wenn also beide mehr oder weniger gleichwertig sind wird's wohl der TP-Link, da etwas kleiner als der U6 Pro. Zumal dieser auch preislich ca. 50€/Stk unter dem Unifi liegt.

den Unifi-Controller gibt es sogar fertig als Docker-Container

Hab ich inzwischen gefunden, danke! Für Omada gibt's den Controller auch für Docker.

Wenn du eh schon einen Server für andere Dinge nutzt, kannst du WireGuard ebenfalls dort einrichten und bist nicht auf einen WireGuard-fähigen Router angewiesen.

Ich habe einfach Bedenken, dass sich der Server aus irgendeinem Grund aufhängen könnte wenn ich beruflich im Ausland bin und ich dann nicht mehr in mein Heimnetz komme. Daher wäre mir Wireguard auf dem Router eigentlich lieber. Aber klar, ich könnte auch Wireguard auf dem Server einrichten und als Backup auf dem Router OpenVPN konfigurieren. Das wäre natürlich auch eine Option.

Nicht selten kommen in solchen Threads dann aber Ideen mit einem Dutzend VLANs und am Ende macht man die Firewall zwischen den VLANs aus purer Verzweiflung mit "allow any:any" komplett auf, weil andauernd irgendwas nicht funktioniert - dann kann man sich den Rotz aber direkt sparen

Keine Sorge, da habe ich zu viel Respekt vor, als dass ich leichtfertig mein Netzwerk freilegen würde!


Bezüglich Switch:
Also wie ich das verstehe würde für meine Heimanwenderzwecke ein L2 Switch reichen? Aktuell habe ich keine anderen PoE-Geräte, es wären also nur die APs zu versorgen. Macht es da trotzdem Sinn, PoE-Switches zu nehmen oder würde z.B. der TL-SG108E reichen und ich hol mir einfach 3 PoE-Injektoren?

Bezügl. Router:
Dann wären also MikroTik HEX S oder ER-X beide für meine Zwecke ausreichend oder besser den ER-4? Was ist mit dem TP-LINK ER605, wäre dieser auch eine Option?

 

[Raijin]

Ich habe einfach Bedenken, dass sich der Server aus irgendeinem Grund aufhängen könnte wenn ich beruflich im Ausland bin und ich dann nicht mehr in mein Heimnetz komme.

Das kann dir auch mit dem Router passieren. Und vor allem: Was bringt es dir, wenn das VPN auf dem Router zwar noch funktioniert, aber der Server im Heimnetzwerk down ist? Ich hätte gedacht genau um diesen Zugriff geht's dabei? Oder willst du von unterwegs über das Heimnetzwerk ins Internet?

Also wie ich das verstehe würde für meine Heimanwenderzwecke ein L2 Switch reichen?

Meiner Meinung nach ja, aber @Ichtiander 's Meinung nach nicht

Ich hab's auch nicht anders, aber mein Netzwerk ist berufs- und forenbedingt ziemlich komplex. Allerdings bin ich eben auch allein und parallele Last ist da eher selten ein Thema

Aktuell habe ich keine anderen PoE-Geräte, es wären also nur die APs zu versorgen. Macht es da trotzdem Sinn, PoE-Switches zu nehmen oder würde z.B. der TL-SG108E reichen und ich hol mir einfach 3 PoE-Injektoren?

3 PoE-Verbraucher sind oftmals so die Grenze de Praktikablen, weil jeder Injektor auch eine Steckdose braucht und natürlich auch mit 2x LAN (eins rein, eins raus) angeschlossen werden muss. Das kann insbesondere in beengten Umgebungen sehr fummelig werden.

Smarte PoE-Switches (also solche, die eben auch VLANs unterstützen) haben darüber hinaus den Vorteil, dass man über die Weboberfläche in der Regel die PoE-Ports ein- und ausschalten kann. Sowas ist hilfreich, wenn sich ein PoE-Gerät aufgehängt hat und man aus der Ferne via PoE einen Neustart auslösen kann. Bei Injektoren müsste man in den Technikraum gehen und den Stecker ziehen. Nichts weltbewegendes, aber manchmal schon recht praktisch.

Zunächst solltest du aber nachsehen ob den APs eventuell schon ein Injektor beiliegt. Manchmal sind sie Teil des Lieferumfangs. So war es zumindest bei der Wifi 5 Generation der APs von Unifi, bei den U6ern bin ich mir nicht sicher.

Dann wären also MikroTik HEX S oder ER-X beide für meine Zwecke ausreichend oder besser den ER-4? Was ist mit dem TP-LINK ER605, wäre dieser auch eine Option?

Alle vier kommen in Frage. Der ER605 hat natürlich den Vorteil, dass er sich in den Omada-Controller [*] einfügt, während die MikroTik und EdgeRouter autark konfiguriert werden. Wie gut der ER605 ist, keine Ahnung, ich hatte noch nie einen in der Hand. Bei den anderen würde ich tendenziell so sortieren: ER-X < hEX S < ER-4

[*] Just in case: Die EdgeRouter sind zwar ebenfalls von Ubiquiti wie das Unifi-System, aber es ist eine andere Produktserie. Somit sind die EdgeRouter nicht in den Unifi-Controller integriert. Das Unifi-Pendant wäre zB das USG.

 

[Zero_Official]

Meiner Meinung nach ja, aber @Ichtiander 's Meinung nach nicht

klar kann man ohne Layer 3 Switch auskommen..... aber es ist eine Krücke wenn man mit statische Routen arbeitet, ausserdem gerade bei TPlink sind die Layer 2+(L3) switch fürn appel und ei zu haben.

Ich habe mal viel Lehrgeld bezahlt um zum Schluss zu kommen das man es Richtig machen muss weil nach einer Zeit vermisst man dieses oder jenes.

 

[roberto_blanco]

Was bringt es dir, wenn das VPN auf dem Router zwar noch funktioniert, aber der Server im Heimnetzwerk down ist? Ich hätte gedacht genau um diesen Zugriff geht's dabei? Oder willst du von unterwegs über das Heimnetzwerk ins Internet?

Zum Einen nutze ich die Verbindung zum Heimnetzwerk um u.a. - Achtung, gaaanz wichtig!!! - über Zattoo die Spiele der Schweizer Fussball-Nationalmannschaft schauen zu können wenn ich im Ausland bin Zum Anderen habe ich, neben dem Server, auch noch andere Geräte im Heimnetzwerk (z.B. ein paar RPi's) die ich erreichen können möchte.

Smarte PoE-Switches (also solche, die eben auch VLANs unterstützen) haben darüber hinaus den Vorteil, dass man über die Weboberfläche in der Regel die PoE-Ports ein- und ausschalten kann. Sowas ist hilfreich, wenn sich ein PoE-Gerät aufgehängt hat und man aus der Ferne via PoE einen Neustart auslösen kann.

Das ist natürlich ein sehr starkes Argument für einen Smarten PoE-Switch!! So wie ich das sehe, lassen sich bei den "billigen" TP-Link-Switches die einzelnen PoE-Ports nicht über's Webinterface schalten. Das würde dann also für den von @Ichtiander genannten TL-SG2210P V5 sprechen. Oder für eine andere Marke Switch (z.B. Zyxel GS1200-8HPv2 oder NETGEAR GS308EP), die wären etwas billiger. Allerdings ist die Möglichkeit, alles im Omada Controller managen zu können natürlich schon sehr nice...

Unser Haus verfügt leider nur über eine CAT5e-Verkabelung. Die Distanz vom Switch im UG via Dose im OG zum AP wäre grob geschätzt ca. 30 Meter. Sind da Probleme zu erwarten bezügl. PoE? (Ich weiss, theoretisch ist die max. Distanz auf 100m festgelegt). Das Portemonnaie würde sich natürlich freuen, wenn ich für's OG keinen Switch mehr bräuchte

Im EG habe ich leider nur 1 LAN-Dose und würde PoE (zumindest bis jetzt) nur für den AP benötigen. Gibt es irgendeine Möglichkeit den AP über PoE vom Switch aus dem UG zu versorgen und zusätzlich einen Switch (bräuchte lediglich 5 Ports) anzuschliessen? Oder benötige ich im EG einen zweiten PoE Switch? PoE Switch hinter PoE Switch ist kein Problem, nehme ich an?! Alternativ wäre ein L2 Switch und PoE-Injektor für den AP auch möglich?

Zunächst solltest du aber nachsehen ob den APs eventuell schon ein Injektor beiliegt. Manchmal sind sie Teil des Lieferumfangs. So war es zumindest bei der Wifi 5 Generation der APs von Unifi, bei den U6ern bin ich mir nicht sicher.

Ne, Injektor ist leider keiner dabei. Auch beim U6 Pro übrigens nicht.

Wie gut der ER605 ist, keine Ahnung, ich hatte noch nie einen in der Hand.

Habe gerade ein bisschen dazu recherchiert. Gerade in Bezug auf VLAN-Einrichtung scheint er alles andere als zu überzeugen. Somit wohl kein Thema.

Bei den anderen würde ich tendenziell so sortieren: ER-X < hEX S < ER-4

Der Einzige aktuell verfügbare Router, sowohl in der Schweiz als auch in Deutschland, scheint der ER-X zu sein... Der MikroTik hEX S und der ER-4 sind momentan nicht lieferbar. Gibt es sonstige Alternativen? Ich hätte hier noch einen RPi4 2GB rumliegen, den ich entbehren könnte. Wäre es evtl. eine Option diesen mit OpenWRT als Router zu nutzen bis der hEX od. ER-4 wieder lieferbar sind? Oder ist das zu viel Bastelei? Eigentlich sträuben sich mir schon beim Gedanken daran, einen USB-Lan-Adapter am Pi nutzen zu müssen, die Nackenhaare...

 

[Zero_Official]

Zum Einen nutze ich die Verbindung zum Heimnetzwerk um u.a. - Achtung, gaaanz wichtig!!! - über Zattoo die Spiele der Schweizer Fussball-Nationalmannschaft schauen zu können wenn ich im Ausland bin Zum Anderen habe ich, neben dem Server, auch noch andere Geräte im Heimnetzwerk (z.B. ein paar RPi's) die ich erreichen können möchte.

für sowas nutze ich zb. Synology OpenVPN Funktion mit lokalem Netzwerk zugriff, so habe im Urlaub sogar eigenes TV gestreamt von meinem Sat>ip server.....
ja kommt auf die Bandbreite an und manche Touris haben in die Röhre geguckt.

 

[Raijin]

Unser Haus verfügt leider nur über eine CAT5e-Verkabelung.

Cat5(e) ist vollkommen in Ordnung. Für PoE reicht es aus und damit sind sogar auf bis zu ~30 Meter noch 10 Gbit/s möglich - inoffiziell und geschirmtes Kabel vorausgesetzt. Offiziell ist Cat5(e) nicht für 10 Gbit/s spezifiziert, aber Theorie und Praxis sind eben zwei Paar Schuhe.

Gerade in Bezug auf VLAN-Einrichtung scheint er alles andere als zu überzeugen.

Solche Aussagen sind wenig belastbar. Ich hab den ER605 zwar selbst nicht benutzt - ebenso wie das gesamte Omada-System - aber da musst du dann schon genauer werden und ggfs einen Link posten. Prinzipiell sind VLANs kein Hexenwerk. Auf ein physisches Interface werden virtuelle Interfaces gelegt und jedem wird eine VLAN-ID zugewiesen. DHCP-Server dazu und aus die Maus. Für Firewall und Co ist es unerheblich ob das nun ein VLAN- oder ein LAN-Interface ist.

Der Einzige aktuell verfügbare Router, sowohl in der Schweiz als auch in Deutschland, scheint der ER-X zu sein...

Wie gesagt, der ER-X hat eine handfeste Schwachstelle, weil sein Routingdurchsatz bei 1 Gbit/s begrenzt ist. Das kann in Phasen hoher Netzwerklast spürbar sein, muss es aber nicht.

Man beachte den throughput bei 1518er packets. Bei den 64 byte Paketen schlägt er den älteren Bruder aufgrund der besseren CPU (880 vs 500 MHz). Versteh mich nicht falsch, ich mag den ER-X und setze ihn sowohl privat wie auch beruflich ein - ebenso wie den MikroTik hEX (ohne S) und auch den ER-4. Klarer Favorit unter den dreien ist der ER-4, aber auch der teuerste - und scheinbar auch nicht lieferbar. Das rückt @Ichtiander 's TL-SG2210P in ein anderes Licht, wobei ich dessen Routingfähigkeiten nicht einschätzen kann und gerade auch keine Lust habe, das zu Recherchieren.


Wie auch immer, ich denke es ist alles gesagt. Die Wege sind aufgezeigt, Argumente wurden ausgetauscht. Die Entscheidung musst du selbst treffen. Es gibt keinen richtigen oder falschen Weg. Alles weitere driftet daher in Grundsatzdiskussionen und persönliche Präferenzen ab. Spring ins kalte Wasser und bestell eben das, was zur Zeit lieferbar ist und in dein Budget passt. Wenn wirklich alle Stricke reißen, kannst du das Rückgaberecht in Anspruch nehmen, wenngleich ich sowas nur ungern schreibe.

 

[roberto_blanco]

Solche Aussagen sind wenig belastbar. Ich hab den ER605 zwar selbst nicht benutzt - ebenso wie das gesamte Omada-System - aber da musst du dann schon genauer werden und ggfs einen Link posten.

z.B.:
https://community.tp-link.com/en/business/forum/topic/249482
https://www.reddit.com/r/HomeNetwor...ikrotik_hex_s_edgerouter_x_or_tp_link_tlr605/

Das rückt @Ichtiander 's TL-SG2210P in ein anderes Licht

Mit anderen Worten, für alle Geräte die am Switch hängen das Routing über den TL-SG2210P machen anstatt über den ER-X?!

Wie auch immer, ich denke es ist alles gesagt

Fast...

Im EG habe ich leider nur 1 LAN-Dose und würde PoE (zumindest bis jetzt) nur für den AP benötigen. Gibt es irgendeine Möglichkeit den AP über PoE vom Switch aus dem UG zu versorgen und zusätzlich einen Switch (bräuchte lediglich 5 Ports) anzuschliessen? Oder benötige ich im EG einen zweiten PoE Switch? PoE Switch hinter PoE Switch ist kein Problem, nehme ich an?! Alternativ wäre ein L2 Switch und PoE-Injektor für den AP auch möglich?

Gibt es da ne Möglichkeit?

Wie auch immer, ich denke es ist alles gesagt. Die Wege sind aufgezeigt, Argumente wurden ausgetauscht. Die Entscheidung musst du selbst treffen. Es gibt keinen richtigen oder falschen Weg.

Vielen Dank für die zahlreichen Erklärungen und Inputs!! Ich denke, ich werde mir mal einen ER-X, den SG2210P und einen EAP650 bestellen und testen. Sollte ich damit total unglücklich sein, gehe ich (ebenfalls ungern) den von dir genannten Weg...

 

[Raijin]

Im EG habe ich leider nur 1 LAN-Dose und würde PoE (zumindest bis jetzt) nur für den AP benötigen. Gibt es irgendeine Möglichkeit den AP über PoE vom Switch aus dem UG zu versorgen und zusätzlich einen Switch (bräuchte lediglich 5 Ports) anzuschliessen? Oder benötige ich im EG einen zweiten PoE Switch? PoE Switch hinter PoE Switch ist kein Problem, nehme ich an?! Alternativ wäre ein L2 Switch und PoE-Injektor für den AP auch möglich?

Es gibt Switches mit PoE-Passthrough. Sie haben meistens 3 PoE Ports, von denen sie über einen selbst mit PoE versorgt werden (PoE PD) und über die anderen beiden Ports (PoE PSE) können weitere PoE-Verbraucher versorgt werden. Dem sind aber enge Grenzen bei der Leistung gesetzt, weil der Switch ja selbst Energie benötigt und somit nur einen Teil dessen weitergeben kann, was an seinem Versorgungseingang ankommt.


Ein beliebiges Beispiel von geizhals: TRENDnet TPE-P520
Dieser Switch wird mit PoE+ (802.3at / max 30 Watt brutto) versorgt und bietet seinerseits 2 Ports mit PoE (802.3af / max 15 Watt brutto). Das geht so natürlich nicht auf, weil der Switch selbst natürlich auch ein paar Watt benötigt. 30 Watt in und 2x 15 Watt out funktioniert also nicht. Deswegen hat dieser Switch nur ein PoE-Budget von 18 Watt. Die beiden PoE-Ausgänge können also nur insgesamt mit 18 Watt bedient werden, zB ein Class3-Verbraucher mit 15 Watt brutto und ein Class2-Verbraucher mit <4 Watt

Braucht man mehr PoE-Ausgänge oder mehr Leistung an diesen, muss der PoE-Passthrough-Switch mit PoE++ (802.3bt / max 100 Watt brutto) versorgt werden. Dann hat er auch ein höheres PoE-Budget zur Verfügung.


Wenn du nur 1 Dose hast, dort aber sowohl einen AP mit PoE als auch weitere Geräte (mit/ohne PoE) anschließen möchtest, hast du folgende Möglichkeiten:

1)
PoE-Switch --PoE--> Dose --PoE--> PoE-Passthrough-Switch ==PoE/ohnePoE==> AP/weitere Geräte

2)
Switch ----> Dose ----> PoE-Switch ==PoE/ohnePoE==> AP/weitere Geräte


Es stellt sich daher die Frage ob der Switch an der Dose unbedingt selbst via PoE betrieben werden muss oder ob man ihn einfach an eine Steckdose in der Nähe hängt. PoE-Passthrough-Switches setzt man üblicherweise dort ein wo keine Steckdosen in Reichweite sind, beispielsweise auf dem unausgebauten Dachboden, der Gartenlaube oder dergleichen. Wenn sich neben der Dose eine (freie) Steckdose befindet, besteht kein zwingender Grund für einen PoE-betriebenen Switch.

 

[roberto_blanco]

Es stellt sich daher die Frage ob der Switch an der Dose unbedingt selbst via PoE betrieben werden muss oder ob man ihn einfach an eine Steckdose in der Nähe hängt.

An eine Steckdose scheint in der Tat das Einfachste zu sein. Alles Andere wird dann ein Gebastel... Habe mir nun 2 TP-Link TL-SG2008P Switches bestellt. Im Vergleich zum 2210P hat der zwar nur 4 PoE Ports, 16 anstatt 20 Gbps Switching Capacity und ne etwas niedrigere Packet Forwarding Rate, aber das reicht für meine Bedürfnisse vollkommen aus denke ich. Dafür spare ich ein paar €.

Ich hab den ER605 zwar selbst nicht benutzt - ebenso wie das gesamte Omada-System - aber da musst du dann schon genauer werden und ggfs einen Link posten.

Nach längerer Recherche habe ich nun festgestellt, dass es vom ER605 eine V1 und eine V2 gibt. Der V1 hatte wohl einige Schwachstellen (u.a. kein DHCP Relay). V2 ist in diesem Jahr neu rausgekommen und bringt gemäss dieser TP-Link Seite zahlreiche Verbesserungen. In der Produktbeschreibung auf Amazon ist zwar noch die V1 abgebildet, allerdings scheint bei neueren Bestellungen die V2 ausgeliefert worden zu sein. Ich habe mir jetzt mal einfach auf gut Glück einen ER605 bestellt und hoffe dass ich die V2 bekomme, ansonsten geht der eben wieder zurück und ich hol mir woanders die V2

Dazu habe ich mir mal einen EAP650 bestellt, damit ich mal testen kann, ob er stark genug ist um ein Stockwerk abzudecken. Ansonsten würde ich evt. auf den 660er gehen...

 

[bender_]

Dazu habe ich mir mal einen EAP650 bestellt, damit ich mal testen kann, ob er stark genug ist um ein Stockwerk abzudecken. Ansonsten würde ich evt. auf den 660er gehen...

Lieber den 670 als Alternative. Der 660er ist eher für viele Clients als für mehr Speed gedacht.
Die Abdeckung lässt sich durch andere Modelle nicht signifikant verbessern - das geht nur durch andere Positionierung und/oder Erhöhung der Anzahl an APs.
Durch mehr Streams kann der 670er aber sehr wahrscheinlich besseren Durchsatz bei gleicher Signalstärke als der 650er erreichen, wenn Du das damit meinst, dass ein AP "stark genug ist um ein Stockwerk abzudecken".

 

[roberto_blanco]

Lieber den 670 als Alternative. Der 660er ist eher für viele Clients als für mehr Speed gedacht.
Die Abdeckung lässt sich durch andere Modelle nicht signifikant verbessern - das geht nur durch andere Positionierung und/oder Erhöhung der Anzahl an APs.

Alles klar, danke für den Hinweis!

Ich habe mir jetzt mal einfach auf gut Glück einen ER605 bestellt

Habe mir jetzt mal den Omada Controller in einem Docker Container installiert und ein bisschen damit rumgespielt. Mit Erschrecken habe ich allerdings festgestellt, dass es für den ER605 anscheinend keine Möglichkeit gibt Option 60 am WAN-Interface zu konfigurieren (das geht nur für LAN). Damit wäre der Router für mich nutzlos, da mein Schweizer Provider Option 60 verlangt. Nach bisheriger Recherche bestätigt TP-Link, dass dies nicht tatsächlich so ist und einen Workaround, um dies vielleicht im Shell anzupassen, habe ich bisher nirgends gefunden. Somit müsste ich wohl doch erstmal zum ER-X greifen...

 

[roberto_blanco]

Mit Erschrecken habe ich allerdings festgestellt, dass es für den ER605 anscheinend keine Möglichkeit gibt Option 60 am WAN-Interface zu konfigurieren (das geht nur für LAN). Damit wäre der Router für mich nutzlos, da mein Schweizer Provider Option 60 verlangt

Nachdem ich jetzt etwas über dieses Problem nachgedacht habe: Grundsätzlich wäre es ja schon top, wenn ich Router, Switches und APs alle mit dem Omada Controller steuern könnte. Nun kam mir die Idee, dass ich meinen Zyxel XMG3927 G.fast-Router, welchen ich ja aktuell als Bridge nutze, wieder zum Router umkonfigurieren könnte um die WAN-Verbindung herzustellen. Dann ne DMZ auf den TP-Link ER605 dahinter und diesen das Routing übernehmen lassen.

Spricht da was dagegen, ausser dass der Zyxel die WAN IP wohl nicht an den ER605 durchreichen wird? Der Zyxel blockt ja dann gar nix zum/vom TP-Link, so dass auch meine SIP-Clients dahinter ganz normal funktionieren sollten, richtig? Und wenn ich DynDns auf dem Zyxel einrichte müssten OpenVPN-Verbindungen direkt an den VPN-Server im TP-Link weitergereicht werden, oder?!

Habe ich irgendwelche gravierenden Nachteile durch diese Konfiguration die es rechtfertigen würden, doch den ER-X (bei welchem DHCP Option 60 konfiguriert werden kann), anstelle des ER605 zu nehmen?