Kaufberatung: 48 Port Switch, lüfterlos/leise, mit 1-2 Features als Anforderung

[Achim_S]

Normal sitzt eine Firewall im WAN und hin zum Switch ist dann der Router, also der Router quatscht mit der Firewall (oder hat die inkludiert). Zwei Firewalls passen mir daher nicht so wirklich an den Switch.

Hm, das kann ich so nicht unterschreiben. An vorderster Front steht das Gerät, das die Interneteinwahl vornimmt, also das Modem. Ein Router wie eine FritzBox ist eigentlich ein Modem mit integrierter Firewall. Wenn die Firewall nur zum WAN hin funktionieren würde, wie würde ich dann Traffic in meinem internen Netz routen? Im Firmenkontext hat man eine Border-Firewall, wie du das auch sagst, die zum WAN hin zeigt. Das liegt aber daran, dass man eine Standleitung und gar kein Modem hat.
Ich habe an vorderster Front eine FB, die die Glasfasereinwahl vornimmt, aber sonst alle Funktionen deaktiviert und allen Traffic an meine Firewall weiterleitet. Dann kann ich auf meiner Firewall genau einstellen, was alles ins interne Netzwerk soll.

Sollten wir schon verstehen, nicht dass das irgendeine Pseudo-Security ist.

Ich weiß schon selbst genau genug, was Security ist. Das darfst du mir gerne glauben, oder muss ich hier Zertifikate vorweisen, um im Forum posten zu dürfen? :-D

Ich hab mittlerweile mal mit SNMP versucht aus dem Switch auszulesen, welche Geräte angeschlossen sind. Das hat komischerweise bis zu 8 Minuten gedauert, bis die Info in SNMP gelandet ist. Ich vermute da aber noch ein anderes Problem auf meiner Seite.

Falls es jemanden interessiert:

Spoiler: Script

switchPort="21"

connectedDevices=$(snmpwalk -v3 -u snmp -l authNoPriv -a SHA -A adminadmin 192.168.0.5 iso.3.6.1.2.1.17.7.1.2.2.1.2.1 |
grep "INTEGER: $switchPort")

geraeteMIBS=$(echo $connectedDevices | sed -E 's/^.{31}(.*)$/\1/' | cut -d " " -f 1)

while IFS= read -r line; do
deviceMACLine=$(snmpwalk -v3 -u snmp -l authNoPriv -a SHA -A adminadmin 192.168.0.5 iso.3.6.1.2.1.17.7.1.2.2.1.1.1.$line
); echo "Verbundenes Gerät:"$(echo $deviceMACLine | cut -d ":" -f 2)
done <<< "$geraeteMIBS" ; date +"%H:%M:%S"

Das mit dem Emulator hatte ich zu schnell überflogen. Den werde ich morgen mal testen. Ich glaub, dann musst du auch nicht nochmal deine eigenen Geräte bemühen :-)

Danke dir!

 

[norKoeri]

An vorderster Front steht das Gerät, das die Interneteinwahl vornimmt, also das Modem

Ein Modem macht keine Internet-Einwahl. Das setzt lediglich zwei Medien um. Die Einwahl macht eigentlich die Firewall, die aber auch fast immer ein Router ist.

Ich habe an vorderster Front eine FB, die die Glasfasereinwahl vornimmt, aber sonst alle Funktionen deaktiviert

Dann hast Du eine Router-Kaskade, mit all ihren Folgen … aber selbst dann gehört der zweite Router nur mit seinem LAN an den Switch. Warum und wie Du zwei nicht hintereinander sondern parallel nutzt, will mir immer noch nicht in den Kopf. Müssten wir uns genau anschauen, also welchen Internet-Anbieter Du in welchem Land hast, welches FRITZ!Box-Modell, welche Firewalls, und wie die verschaltet sind, also z. B. ob die DHCP oder PPPoE im WAN machen.

Ich weiß schon selbst genau genug, was Security ist.

Man kann sich immer kontrollieren lassen, selbst die Erfahrensten sind schon mal falsch abgebogen. Aber wenn Du formale und/oder praktische Erfahrung in dem Bereich hast, dürfte Dein Stundensatz auch entsprechend sein. Dann würde ich mir gar keine Gedanken machen, die vier Modelle einfach kommen lassen, ausprobieren und dann privat wieder verhökern. Sind dann zwar rund 4 × 250 € Verlust – daher der Tipp mit den 8er-Switchen –, aber selbst das müsste der Stundensatz hergeben. Manchmal krankt der Kram nämlich an Kleinigkeiten. Sowohl mein Aruba Instant On 1930 als auch der CBS250 landeten wegen fast schon Nichtigkeiten in der Vorratsbox. Suche nämlich auch schon länger nach einem leisen 48+Switch. Hust.

Das mit dem Emulator hatte ich zu schnell überflogen.

Das hilft nur beim TP-Link, aber ja, das zeigt dessen Konfiguration im Modus Standalone. Du kannst Dir auch noch die Emulation des „Software Controller“ anschauen. Dort sind ein paar Switche als Beispiel drin. Dann siehst Du den Modus Controller.

 

[Achim_S]

Ein Modem macht keine Internet-Einwahl. Das setzt lediglich zwei Medien um. Die Einwahl macht eigentlich die Firewall, die aber auch fast immer ein Router ist.

True, da lag ich falsch. Das Modem moduliert das Signal, z.B. von Ethernet auf Frequenzen bei DSL.

Die Einwahl macht der Router.

Router haben meistens eine Firewall integriert, muss aber nicht.

Damals, als Internet noch neu war, wäre z.B. der heimische PC der Router gewesen, der meistens keine Firewall hatte, z.B. Windows 98 oder XP hatten meist keine default firewall.

Dann hast Du eine Router-Kaskade, mit all ihren Folgen …

Das stimmt. Es war die einfachste Möglichkeit, das Netzwerk hier umzusetzen. Vermutlich hätte ich auch die Fritzbox hinten die Firewall ziehen können, aber es hätte alles wirklich noch weiter verkompliziert. Bislang habe ich keine Schwierigkeiten mit Double NAT.

aber selbst dann gehört der zweite Router nur mit seinem LAN an den Switch. Warum und wie Du zwei nicht hintereinander sondern parallel nutzt, will mir immer noch nicht in den Kopf. Müssten wir uns genau anschauen, also welchen Internet-Anbieter Du in welchem Land hast, welches FRITZ!Box-Modell, welche Firewalls, und wie die verschaltet sind, also z. B. ob die DHCP oder PPPoE im WAN machen.

Wenn's dich so sehr interessiert, hier ist mein Netzplan:

Das dürfte dann auch triple NAT sein, weil das Glasfasermodem auch noch Sachen anstellt.

Man kann sich immer kontrollieren lassen, selbst die Erfahrensten sind schon mal falsch abgebogen. Aber wenn Du formale und/oder praktische Erfahrung in dem Bereich hast, dürfte Dein Stundensatz auch entsprechend sein. Dann würde ich mir gar keine Gedanken machen, die vier Modelle einfach kommen lassen, ausprobieren und dann privat wieder verhökern. Sind dann zwar rund 4 × 250 € Verlust – daher der Tipp mit den 8er-Switchen –, aber selbst das müsste der Stundensatz hergeben. Manchmal krankt der Kram nämlich an Kleinigkeiten. Sowohl mein Aruba Instant On 1930 als auch der CBS250 landeten wegen fast schon Nichtigkeiten in der Vorratsbox. Suche nämlich auch schon länger nach einem leisen 48+Switch. Hust.

Ich hab das Konzept mit einem Kollegen besprochen, keine Sorge ;-)
Und nur weil mein Stundensatz gut ist, heißt das nicht, dass ich mal so 'nen Tausender rauswerfen will zum Testen von Hardware ;-)

 

[norKoeri]

Damals […]

Hast Du heute noch, dass eine Firewall vergessen wird … Abgesehen davon hast Du meinen Satz nicht verstanden, Aber auch egal, denn …

keine Schwierigkeiten mit Double NAT

Wie Du in dem anderen Thread vielleicht gesehen hast, ist NAT an sich das kleinste Problem. Welchen Glasfaser-Anbieter nutzt Du in welchem Land? Problem dürfte bei Dir eher sein, dass Du vermutlich eine Doppel-Einwahl haben willst, also beide OPNsense die ganze Zeit gleichzeitig im Internet haben willst, dass Du deswegen nicht direkt an den Fiber-Anschluss kannst.

Ich hab das Konzept mit einem Kollegen besprochen.

Naja, n+1 ist schon so eine Sache, aber 1+1 … daher lieber Unendlich.

nur weil mein Stundensatz gut ist

Wenn Du privat bist, kannst Du das Rückgaberecht nutzen. Das ist genau für sowas da. Problem ist nämlich wirklich, dass diese Prosumer-Switche fiese Beschränkungen aber auch Software-Bugs haben. Selbst manche Tasten in der Web-Oberfläche machen einfach nix. Deswegen hilft nichts anders als selbst ausprobieren. Der TP-Link TL-SG3452 wäre wohl ein guter Kandidat. Soll sogar SSH bieten … Wobei von dem CLI-Handbuch eine neuere Variante zu existieren scheint … Oder Du gehst das Risiko ein und holst Dir den gebraucht … wie geschildert, ich hatte jene Software-Plattform noch nicht in der Hand.

Aruba Instant On 1930 hat kein CLI. UniFi ja, aber eigentlich nicht offiziell. CBS250 ja, aber kommt in Deiner Größe mit einem Lüfter, keine Ahnung wie gut der ist, keine Ahnung ob der gestuft ist und sogar aus geht, wenn gar nicht nötig ist.

Habe auch nochmal ein paar Datenblätter gewälzt, gäbe noch den D-Link DGS-1210-48 bzw. DGS-1210-52. Die haben seit Hardware-Version F ebenfalls keinen Lüfter mehr. CLI existiert. Davon hat Amazon jeweils einen in seinem Warehouse stehen: 228,77 €. Über Kleinanzeigen.de musst Du auf die Anordnung der SFP-Port schauen, einer in Version G … Jene Software-Plattform kommt mit schlechten Voreinstellungen … und das mit eigenen Keys für HTTPs/SSH müsste ich nachschauen.

 

[Achim_S]

Ich seh schon, du hast viel mehr Zeit zum Klugscheißen als ich :-D Ich wünsch dir ein schönes Wochenende ❤️ und danke für den Austausch!

 

[norKoeri]

D-Link DGS-1210 … das mit eigenen Keys für HTTPs/SSH müsste ich nachschauen.

Um das noch abzuschließen, falls hier jemand über eine Internet-Suche vorbeikommt:

Die Web-Oberfläche erlaubt mit sowohl den aktuellen Public-Key zu laden als auch eigene SSH-Keys einzuspielen. Für HTTPs finde ich das nicht, auch nichts im Handbuch. Auch ist dann mein -08P Hardware-Version G mit HTTPs (statt HTTP) langsam; so langsam, dass die Web-Oberfläche fast nicht mehr zu benutzen ist. Auch dann wenn ich von TLS 1.3 auf TLS 1.2 und Cipher-Suites ohne PFS zurückgehe.

„Security → Port Security“ bietet die Option der „Max Learning Address: 0-64“.

„System → Port Settings“ erlaubt über „Speed = Disabled“ einzelne Ports abzuschalten, jedenfalls über die Web-Oberfläche. CLI nicht getestet. Laut Handbuch geht das nicht direkt, sondern nur indirekt über das Hochladen einer kompletten Konfiguration. Und eine Konfiguration ist eine Binär-Datei.

D-Link wäre zwar mit 80 € gebraucht echt ein Schnapper gewesen, aber dann dürfte TP-Link wohl trotzdem die bessere Alternative sein.