FritzBox mit einzelnen Komponenten ablösen (VPN/IPS/WLAN, etc.)

[jan.web]

Hallo liebe Forengemeinde,

ich habe bisher einige Seiten gewälzt und bin nicht ganz schlüssig, welche Komponenten nun eine Fritzbox besser ersetzen können.

Aktuell betreibe ich noch eine Fritz 7490, das WLAN wird allerdings von einem Unifi AP Pro bereitgestellt, dessen Controller in einem Docker Container läuft. Ich hatte zunächst darauf spekuliert die Routingfunktion mit einem USG von Ubiquiti abzubilden, muss aber feststellen, dass dieser aufgrund seines Alters IPS bei 100MBit nicht leisten kann und dass der Nachfolger, die UDM mit 300€ doch recht teuer ist (aber früher oder später komplett im Controller integriert sein wird).

Stattdessen hatte ich mir dann pfSense angesehen und festgestellt, dass man auch hier recht potente Hardware beibringen muss, um 100MBit IPS realisieren zu können (>150€).

Der aktuell verwendete HP Switch hat leider kein IGMPv3 Multicast, daher sind die Entertain Receiver aktuell direkt an der 7490, auch das würde ich entsprechend gerne ändern. Hat jemand eine günstige Empfehlung? Potentiell auch mit PoE auf einigen Ports? Die Unifi Switches sind ja preislich eher unattraktiv?

Gibt es da draußen im CB Universum Leute, die eine ähnliche Infrastruktur betreiben und mit welcher Hardware?

Folgendes könnte ich mir z.B. vorstellen (wobei ich den WLAN AP ja schon in Betrieb habe):

Modem: Draytek Vigor 130 165 oder ALLNET ALL-MC115 (Danke CadillacMan/Razzer)
Router: pfSense
Switch?: mind. 24 port (IGMPv3 Multicast support)
DECT IP Basdis: Gigaset?
WLAN AP: Unifi AP Pro

Danke für Lesetipps und einen Erfahrungsaustausch!

Zur beantwortung der Warum Frage:

• Interesse
• IPS/DPI
• Netzwerksegregation (VLANs)

 

[benneq]

Die erste Frage sollte lauten: Warum? An welcher Stelle mangelt es der FritzBox?

Ohne zu wissen was du wofür und warum brauchst, kann dir auch keiner irgendwas empfehlen.

 

[-Overlord-]

Sieht mir gut aus dein Setup - pFsense und Unifi betreibe ich auch! Vom Draytek hab ich bisher auch nur Gutes gehört.

pfSense CPU muss nur potent sein wenn du viele VPN Tunnel machen möchtest bzw. viel mit Verschlüsselung arbeitest

 

[derchris]

Die erste Frage sollte lauten: Warum? An welcher Stelle mangelt es der FritzBox?

1. Das VPN ist langsam
2. keine VLAN Unterstützung
3. keine richtige Firewall
4. kein Enterprise WPA2
5. kein Radius
6. ...

aber das waren nur meine Gründe.

 

[-Overlord-]

1. Das VPN ist langsam
2. keine VLAN Unterstützung
3. keine richtige Firewall
4. kein Enterprise WPA2
5. kein Radius
6. ...

aber das waren nur meine Gründe.

Und das WLAN is madig - das kam bei mir noch hinzu. Da war nur eine Wand zwischen, aber das hat gereicht sodass ich im Schlafzimmer nur 1 MBit hatte. Dann Unifi hin und schon waren es 30 MBit

 

[derchris]

Und das WLAN is madig - das kam bei mir noch hinzu.

... stimmt, das war der Hauptgrund.

 

[TheCadillacMan]

Alternativ zu pfSense auch ist OPNsense ganz interessant. Gleiche Basis, hat eine etwas schlechter Oberfläche (persönliche Präferenz) wird aber aktiver entwickelt.

Für VPN-Performance auf eine CPU AES-NI-Support achten. Bei OpenVPN bringt das mit AES-GCM bessere Performance.
Zu den Anforderungen für IPS kann ich nichts sagen, weil ich das nicht nutze.

Als Modem das Draytek nehmen. Besser noch das Vigor 165, das auch Super Vectoring unterstützt, wenn du das mal brauchst.
Als DECT-Basis kannst du auch die FritzBox als IP-Client weiter betreiben.

 

[benneq]

@derchris @-Overlord- Eure Argumente in AVMs und Gottes Ohr!
Aber als der Thread eröffnet wurde, war nichts dergleichen bekannt. Es klang eher nach "hab ich irgendwo mal gehört, dass das besser sei, also will ich das auch".
Natürlich geht's immer noch besser. Allerdings bringt das halt auch nur was, wenn man es auch nutzen kann bzw. irgendwelche Vorteile daraus ziehen kann. Und dazu wurde halt überhaupt nichts gesagt.
Hobby und Interesse ist aber selbstverständlich auch ein valides Argument. Wenn man Bock drauf hat, soll man es machen. Gar keine Frage.

 

[-Razzer-]

Würde auch den Vigor 165 nehmen, da bist du auf der sicheren Seite. Hatte lange den 130 im Einsatz bin aber kürzlich gewechselt auf den 165 da ich 250 MBit DSL nutzen wollte und der kleinere das nicht unterstützt.

 

[jan.web]

Alternativ zu pfSense auch ist OPNsense ganz interessant. Gleiche Basis, hat eine etwas schlechter Oberfläche (persönliche Präferenz) wird aber aktiver entwickelt.

Für VPN-Performance auf eine CPU AES-NI-Support achten. Bei OpenVPN bringt das mit AES-GCM bessere Performance.
Zu den Anforderungen für IPS kann ich nichts sagen, weil ich das nicht nutze.

D.h. Du hast OPNsense in 'Betrieb? Auf welcher Hardware? ein APU oder andere kleine Appliance? Selbstbau?

Als DECT-Basis kannst du auch die FritzBox als IP-Client weiter betreiben.

Die ist aber so riesig und die Reichweite ist auch nicht so der Hit. Im letzten Zimmer habe ich kaum DECT Empfang. ;-/

Ergänzung (23. April 2020)

1. Das VPN ist langsam
2. keine VLAN Unterstützung
3. keine richtige Firewall
4. kein Enterprise WPA2
5. kein Radius
6. ...

aber das waren nur meine Gründe.

Und was betreibst Du jetzt stattdfessen?

 

[derchris]

Und was betreibst Du jetzt stattdfessen?

das da Für DECT nehme ich ein GigaSet N510 IP Pro mit passenden Pro Handteilen.

 

[jan.web]

das da Für DECT nehme ich ein GigaSet N510 IP Pro mit passenden Pro Handteilen.

Danke für den Hinweis. Das Thema Switch muss ich dann auch angehen, wg. IGMPv3 Multicast Support. Habe ich oben hinzugefügt.

 

[Raijin]

Stattdessen hatte ich mir dann pfSense angesehen und festgestellt, dass man auch hier recht potente Hardware beibringen muss, um 100MBit IPS realisieren zu können (>150€).

Und wie groß bzw. dann eher klein ist dann dein Budget? Ich meine, heute sprichst du von 100 Mbit/s mit IPS und morgen, nächste Woche, in einem halben Jahr, irgendwann hast du dann aber plötzlich 250 Mbit/s und merkst, dass deine Low-Budget-Firewall das nicht mehr packt? Klar, 300€ sind ein Batzen Geld, aber 150-200€ wirst du in meinen Augen schon in die Hand nehmen müssen, wenn du wenigstens ein Mindestmaß an Erweiterungspotential haben willst.

Ich weiß zwar nicht welche Hardware du dir konkret angeschaut hast, aber mit einer 50€ Firewall wirst du noch schneller an die Grenzen stoßen und den Kauf eher früher als später bereuen.


Was den Switch angeht habe ich selbst einen JGS524E von Netgear im Einsatz, auch mit MagentaTV. Der läuft einwandfrei. Es gibt auch eine PoE-Variante davon, aber Netgear verfolgt bei PoE eine seltsame Strategie: Bis auf wenige Ausnahmen (dann eher in Richtung Business-Modelle) bieten sie alle nur PoE 802.3af, aber kein PoE+ 802.3at. Das ist zwar kein Beinbruch, weil die meisten Geräte mit PoE laufen, aber es reicht ja, dass man ein Gerät hat, das zwingend PoE+ benötigt....

Beim Telefon setze ich bei mir und bei meinen Eltern eine Go-Box 100 von Gigaset ein, zB als Set C430A GO @ 65€. Einzelkauf der GO-Box lohnt nicht (~50€). Bei mir habe ich dort 4 Mobilteile dran, bei meinen Eltern ganze 6, darunter ein uraltes.

 

[TheCadillacMan]

D.h. Du hast OPNsense in 'Betrieb? Auf welcher Hardware? ein APU oder andere kleine Appliance? Selbstbau?

Ich hatte OPNsense mal für einige Zeit für ein Projekt laufen. Da es ein Fork von pfSense ist unterscheiden sich die Hardware-Anforderungen nicht besonders.
Bei pfSense ist die Oberfläche wie gesagt etwas polierter aber OPNsense entwickelt sich deutlich schneller weiter (z. B. mit Wireguard-Support). Mit beiden macht man nichts großartig falsch.

Aktuell betreue ich zwei pfSense-Instanzen (eine als VM auf ESXi und eine auf einer APU4C4). Für eine Neuinstallation würde ich vermutlich OPNsense nehmen aber eine Migration lohnt sich für mich zur Zeit nicht.

 

[jan.web]

Ich danke Euch für Euer Feedback! Ich glaube ich werde mich dann mal im ersten Schritt pfsense und OPNsense installieren und mir beides ansehen. Mal schauen ob das nur in einer VM geht oder ob es auch Docker images gibt.

Danach werde ich mir dann wahrscheinlich eine APU zulegen und das Gewählte dort installieren. Wegen IGMPv3 muss ich meine Entertain Receiver dann direkt an die APU stecken, da mein Switch das Multicast leider auch nicht beherrscht und ich nicht nur dafür einen neuen Switch kaufen möchte. Ich habe mich nach den Vigors 130 und 165 umgesehen. Für das 165 gibt es ja leider quasi keinen Gebrauchtmarkt, also schieße ich dass dann neu. Die Fritz bleibt wahrscheinlich erstmal als IP Client für die Telefonie.

 

[flo222]

Ansonsten ist abwarten vielleicht noch eine Option. Die UDM ist nicht der Nachfolger der USGs, hier soll es Nachfolger geben, aber das genaue Datum steht noch nicht fest. Für mich ist die UDM irgendwie mehr die professionelle Variante einer FritzBox ohne Modem, quasi All-in-One auf einem hohen Level. Wenn Du also auf spezialisierte Geräte setzen willst, würde ich nicht zwingend zur UDM greifen.

 

[jan.web]

Hallo zusammen, ich bin nun nach Recherche zu einer Unifi Alternative USG/UDM auf die Produkte der Firma Mikrotik gestoßen. Es gab vor einiger Zeit wohl mal eine Sicherheitslücke in den Teilen, die mittlerweile wohl selbsttredend geschlossen ist. Generell glänzen die Geräte wohl mit hohem Funktionsumfang bei kleinem Preis.
Ohne grundsätzliche Kenntnis von Netztopologien sollte man sich da aber wohl nicht dran wagen. Hat hier jemand Erfahrung mit den Geräten?

 

[benneq]

Ohne grundsätzliche Kenntnis von Netztopologien sollte man sich da aber wohl nicht dran wagen. Hat hier jemand Erfahrung mit den Geräten?

Je nach dem was man vorhat, gilt das aber für die Netzwerk Hardware von ALLEN Herstellern.

 

[jan.web]

Wie bereits beschrieben möchte ich meine Verkehtre segregieren, eine anständige Firewall haben und einige WLAN APs betreiben. Allem Anschein nach geht dies mit den Mikrotik Geräten zu einem deutlich überschaubareren Kurs, als mit Unifi. Der USG ist perspektivisch zu schwach und die Dream Machine total überteuert. Von den Preisen der Ubiquiti Switches ganz zu schweigen.

Ich glaube ich hole mir mal den hex s und einen wap ac und schaue mir das einmal an.

 

[jan.web]

Update:
Nachdem es bei UBQT ein Angebot gab, habe ich die Dreammachine Pro ausprobiert. Was soll ich sagen. eigentlich ein klasse Gerät, zwar noch mit einigen Kinderkrankheiten, aber in den Grundfunktionen sehr solide.

Während die USG noch mittels Workaround dazu zu bringen war, IGMPv3 für Magenta TV ordentlich zu behandeln, so unterstützt die UDM Pro es weder werkseitig, noch funktioniert der Workaround der USG, also werde ich Unifi nun gänzlich aus meinem Netz werfen.

Vectoring wird von einem Vigor 166 bedient, danke für den Hint!

Würde auch den Vigor 165 nehmen, da bist du auf der sicheren Seite. Hatte lange den 130 im Einsatz bin aber kürzlich gewechselt auf den 165 da ich 250 MBit DSL nutzen wollte und der kleinere das nicht unterstützt.

IP Telefonie über Gigaset Box, genau die hier. Danke für den Tipp!

Beim Telefon setze ich bei mir und bei meinen Eltern eine Go-Box 100 von Gigaset ein, zB als Set C430A GO @ 65€. Einzelkauf der GO-Box lohnt nicht (~50€). Bei mir habe ich dort 4 Mobilteile dran, bei meinen Eltern ganze 6, darunter ein uraltes.

Die Suche nach einem Router beginnt nun wieder von Neuem. Bei den Mikrotik stört mich der hohe manuelle Aufwand. Allem Anschein nach gibt es in dem Segment von UBQT - oder darunter eben Mikrotik - aber nicht wirklich Konkurrenz, die eben alle Segmente von Routing über APs hin zu Switching zu einem annehmbaren Preis bedient. Vor TP-Link habe ich irgendwie Angst...