Empfehlung WiFi-Router (VLAN, WireGuard, etc.)

[x.treme]

Hall zusammen,

ich bin auf der Suche nach einem neuen WiFi-Router - meine FritzBox 7590 soll dann zukünftig nur noch als DSL-Modem fungieren.

Neben den üblichen Anforderungen (gute WiFi6 5Ghz/2.4Ghz Performance, zuverlässig, etc.) suche ich insb einen Router mit erweiterten Netzwerk-Funktionalitäten.

• Einrichten von VLAN (Tagged und Untagged) für die Lan-Ports
• Einrichten von getrennten SSID (Privat, IoT, Guest)
• Firewall-Funktionen (um Zugriff zwischen den einzelnen Netzen zu steuern)
• WireGuard (e.g. WireGuard auch als Gateway für ein Netzwerk)

Was könnt ihr hier empfehlen?

 

[paokara]

Guten Morgen

Schau dir mal den Flint 2 von gl.inet an: https://www.gl-inet.com/products/gl-mt6000/

Als Alternative laesst sich auch das normale OpenWRT auf den Router flashen. Mit OpenWRT sollten alle deine Punkte umsetzbar sein (beim Letzten bin ich mir aber nicht ganz sicher).

Viele Gruesse

 

[cbtaste420]

Was könnt ihr hier empfehlen?

OpenWrt auf Filogic Hardware. Wie von @paokara vorgeschlagen der MT6000, wenn 2.5Gbit/s benötigt werden. Sonst gibt es auch noch günstige Alternativen. Ich empfehle Cudy, z.B. https://geizhals.de/cudy-wr3000-a2956327.html , von OpenWrt werden noch weitere unterstützt, da ist die Installation aber teilweise hakelig.

 

[tdbr]

RouterOS, Mikrotik hAP ax3. Mache damit alles was du vor hast.

 

[redjack1000]

meine FritzBox 7590 soll dann zukünftig nur noch als DSL-Modem fungieren

Eine Fritzbox, kann nicht nur als Modem eingesetzt werden.

CU
redjack

 

[cbtaste420]

Eine Fritzbox, kann nicht nur als Modem eingesetzt werden.

Kommt drauf an, die Boxen können PPPoE-Passthrough, wenn die Box dafür selber kein Internetverbindung benötigt, sollte es gehen. Damit kann die FB allerdings auch keine Telefonie mehr. Müsste der TE klarstellen, ob Router oder Modem gemeint ist bzw. welches Gerät die PPP-Session aufbauen soll.

 

[x.treme]

Es ist Router-Kaskade damit gemeint, der neue wird hinter die FritzBox geschaltet.

Bzgl. Gl-Inet und Cudy: Beide sind ja in HongKong/China ansässig.

Sollte man da "bedenken" haben bzgl. Backdoors etc., gerade wenn's der zentrale Netzwerkknoten ist ...
Oder kann man festhalten, dass insb. GL-Inet bei der OpenWRT-Community so beliebt ist, dass es aufgefallen wäre, wenn da irgendwelche Auffällgkeiten wären (Hardware/Boot-Loader)? (vlt. paranoid, aber der Router soll ja z.B. gerade meine chinesischen IoT-Geräte das Nach-Hause-Telefonieren unterbinden )

 

[norKoeri]

Was könnt ihr hier empfehlen?

Hast Du doch schon, jedenfalls wenn Du auf das dritte Heimsegment verzichten könntest und stattdessen die Web-Sperren benutzt.

aufgefallen wäre

Das eher nicht, dafür sind zuviele Blobs in der Firmware. Aber ich würde nicht gezielt einen GL.iNet nehmen, oder kann deren eigene Web-Oberfläche inzwischen mehrere Heimsegemente? Du nimmst irgendeinen OpenWrt fähigen WLAN-Router – vielleicht ist es ein Cudy oder GL.iNet – und Du spielst dann direkt OpenWrt drauf.

FritzBox 7590 soll dann zukünftig nur noch als DSL-Modem fungieren

Ist zu Schade dafür, auch weil reine DSL-Modems so günstig sind … zu PPPoE-Passthrough, siehe hier …

Mikrotik hAP ax3

@x.treme spricht was gegen den Vorschlag, also bei MikroTik den

a) hAP ax lite (kein 5 GHz-WLAN),​

b) hAP ax² oder​

c) hAP ax³?​

neuen WiFi-Router

Mehrere Heimsegmente und WireGuard, puh, angeblich ginge auch Keenetic, aber noch nie probiert. Warum nicht selbst einen Router basteln, also einen betagten Computer mit PCI-Interface, dort dann zwei Ethernet-Schnittstellen dran und OPNsense drauf? Dann noch ein WLAN-Access-Point extra kaufen. Hast Du eigentlich nur die FRITZ!Box oder noch mehr in Deinem Heimnetz, also WLAN-Access-Points bzw. -Repeater? Irgendwelche Anforderungen an DECT-Telefonie? Welchen Internet-Anbieter nutzt Du überhaupt, in welchem Land?

 

[x.treme]

Hast Du doch schon, jedenfalls wenn Du auf das dritte Heimsegment verzichten könntest und stattdessen die Web-Sperren benutzt.

Das Gäste-WLAN bei der FritzBox ist leider zu kastriert (nur globale Regel aber nicht auf Gerätebasis, kein separater DNS-Server, keine feste IP-Adressen via DHCP, DHCP nicht deaktivierbar etc.) und damit leider als IoT-Netz für mich unbrauchbar.

Das eher nicht, dafür sind zuviele Blobs in der Firmware. Aber ich würde nicht gezielt einen GL.iNet nehmen, oder kann deren eigene Web-Oberfläche inzwischen mehrere Heimsegemente?

Auch beim GL.iNet würde ich natürlich nicht die eigene Oberfläche nehmen sondern gleich Vanilla OpenWRT drauf installieren - vorteil bei GL.iNet ist halt, dass das Aufspielen von OpenWRT ohne gefrickel möglich ist

@x.treme spricht was gegen den Vorschlag, also bei MikroTik den

c) hAP ax³?​

MikroTik hatte ich in der Tat noch nicht vorher auf dem Schirm gehabt - klingt erstmal echt spannend. WiFi-Performance muss ich mir da noch anschauen, ist halt AX1800 vs AX6000 beim Flint2.

Mehrere Heimsegmente und WireGuard, puh, angeblich ginge auch Keenetic, aber noch nie probiert. Warum nicht selbst einen Router basteln, also einen betagten Computer mit PCI-Interface, dort dann zwei Ethernet-Schnittstellen dran und OPNsense drauf? Dann noch ein WLAN-Access-Point extra kaufen. Hast Du eigentlich nur die FRITZ!Box oder noch mehr in Deinem Heimnetz, also WLAN-Access-Points bzw. -Repeater? Irgendwelche Anforderungen an DECT-Telefonie? Welchen Internet-Anbieter nutzt Du überhaupt, in welchem Land?

Habe sogar derzeit einen Dell WYSE 5070 mit OpenSense am laufen, den ich hier ersetzen will
Für mehrere getrennte Netze über ein Ethernet-Interface (neben WAN) brauche ich halt trotzudem einen WLAN-Access-Point der VLAN und mehrere SSID unterstützt - somit keine FirtzBox. Und dann kann ich mir auch gleich einen "richtigen" Router holen, der meine OpenSense-Lösung gleich mit ersetzt.

Keine Anforderungen an DECT. VDSL250 in Deutschland. Derzeit reiche ich ein IPv6-Präfix via FritzBox an OpenSense weiter. Das wäre dann auch der Plan beim neuen Router.

 

[norKoeri]

Das Gäste-WLAN bei der FritzBox ist leider zu kastriert (nur globale Regel aber nicht auf Gerätebasis, kein separater DNS-Server, keine feste IP-Adressen via DHCP, DHCP nicht deaktivierbar etc.) und damit leider als IoT-Netz für mich unbrauchbar.

Ich dachte eher anders herum, das IoT ins normale Netz und dort die Web-Sperren.

ist halt AX1800 vs AX6000 beim Flint2

Daher den MikroTik hAP ax lite und dann WLAN extra dran.

dann kann ich mir auch gleich einen "richtigen" Router holen, der meine OpenSense-Lösung gleich mit ersetzt.

Was genau willst Du dadurch gewinnen? Sehe gerade den Vorteil nicht.

brauche ich halt trotzudem einen WLAN-Access-Point der VLAN und mehrere SSID unterstützt

Bekommst Du für 25 €, falls es ums Geld geht. Oder meinst Du die laufenden Kosten, oder den Platz/Optik in der Wohnung? Stehe gerade wirklich auf dem Schlau, warum man von OPNsense zu OpenWrt oder gar zu einer Black-Box will.

Dell WYSE 5070

Könntest dort auch irgendeine WLAN-Karte einbauen – falls diejenige Schnittstelle noch frei ist. Dann macht OPNsense für Dich das mit der Multi-SSID.

 

[cbtaste420]

Bzgl. Gl-Inet und Cudy: Beide sind ja in HongKong/China ansässig.

TP-Link bspw. auch.

 

[x.treme]

Ich dachte eher anders herum, das IoT ins normale Netz und dort die Web-Sperren.

Dann geht der komplette Netzwerk-Traffic des dahintergeschalteten Routers an den IoT-Geräten vorbei (der muss ja auch ins FritzBox-Lan, da das Gäste-LAN kein IPv6-Präfix unterstützt(, und diese könnten z.B. DNS-Requests und HTTP sniffen im worst case szenario. Nicht ganz ideal.

Was genau willst Du dadurch gewinnen? Sehe gerade den Vorteil nicht.

Ich brauche so oder so einen neuen Router, da die FritzBox nicht mehrere SSID und VLANs unterstützt, und den Dell Wyse als WLAN-AP umzubauen kaum klappen wird (OpenSense ist extrem wählerisch was WiFi-Adapter anbelangt, die gehen fast nur im Client-Modus aber nicht als AP).

Und wenn ich sowieso einen neuen Router brauche der VLAN/SSID/WLAN6/AX6000/2.5G unterstützt, liege ich da eh schnell bei > 100€, und dann kann ich ein 2-Geräte-Setup dann auch gleich in ein 1-Geräte-Setup reduzieren (ja die OpenSense-Oberfläche ist inutitiver, OpenWRT kann aber den benötigten Funktionsumfang (Firewall-Regeln + WireGuard) 1:1 replizieren.

Ergänzung (19. August 2024)

TP-Link bspw. auch.

Produziert wird das meiste ja eh in China Am Ende geht es um einen sinnvollen Kompromiss, ich vermute der Angriffsvektor ein sauber installiertes OpenWRT via UBoot/Hardware zu manipulieren ist vmtl. eher unwahrscheinlich

 

[tdbr]

Wenn du nen hAP ax3 nimmst gibt es dazu cAP ax. Alternativ kannst du UniFi wlan benutzen und deren Controller auf dem Mikrotik Router in docker laufen lassen.

Letzte Woche nen cAP ax verbaut. CAPsMANv2 (WLAN Management) willst du schon haben wenn du Mikrotik nimmst. Unter hap ax3 würde ich deswegen nicht nehmen.

AP installation war Konfiguration zurücksetzen und Capsmode setzen fertig. Alle SSIDs da und Roaming läuft.

Bin jetzt bei 2x hAP ax³ und 1x cAP ax.
hAP (Wohnzimmer) -> hAP (Büro) -> cAP (Flur Oben)

 

[norKoeri]

Dann geht der komplette Netzwerk-Traffic des dahintergeschalteten Routers an den IoT-Geräten vorbei (der muss ja auch ins FritzBox-Lan, da das Gäste-LAN kein IPv6-Präfix unterstützt(, und diese könnten z.B. DNS-Requests und HTTP sniffen im worst case szenario. Nicht ganz ideal.

Ich meinte allein die FRITZ!Box und alle IoT-Geräte in deren Heimnetz. Dort dann jedes IoT-Gerät einzeln sperren.

dann kann ich ein 2-Geräte-Setup dann auch gleich in ein 1-Geräte-Setup reduzieren

Mit welchem Vorteil, dem Multi-Gig-Port für was genau? Hier stehe ich auf dem Schlauch. WLAN-Access-Points über LAN mit Multi-SSID bekommest wie geschildert schon für 25 €.

den Dell Wyse als WLAN-AP umzubauen kaum klappen wird (OpenSense ist extrem wählerisch was WiFi-Adapter anbelangt, die gehen fast nur im Client-Modus aber nicht als AP).

Hier würde ich mit deren Community besprechen, was aktuell günstig ist. Dürfte meine obige Lösung über LAN für 25 € nochmals schlagen.

 

[Bob.Dig]

OpenWRT kann aber den benötigten Funktionsumfang (Firewall-Regeln + WireGuard) 1:1 replizieren.

Dann frag doch nächstes mal gleich nach dem besten Router für OpenWRT. 😉
Immer ein interessantes Thema.

Ich selbst würde an OpenWRT verzweifeln und nutze lieber eine Sense + AP/WiFi-Router.

 

[x.treme]

Ist jetzt erstmal der Flint 2 für 135€ geworden. Mal schauen wie gut ich mit OpenWRT klar komme, ansonsten nutze ich ihn in Kombination mit meiner OpnSense-VM auf Proxmox. AX6000, hoher WireGuard-Speed und 2x 2.5G haben den Ausschlag geben.

Ist jetzt aber eh erstmal nur ne temporäre Lösung, sobald dann WiFi7 weiter verbreitet ist schaue ich ob ich auf MikroTik / Ubiquiti / etc. umsteige.