Welchen Router und Modem kaufen

[Bogeyman]

Hallo ich stehe zur Zeit vor dem Problem dass ich ein Router und ein Modem benötige aber nicht weiß welches Gerät ich nehmen soll.

WLAN läuft über APs und DECT läuft ebenfalls über eine eigene VOIP Telefonanlage.
Modem und Router soll in den Keller in einen entsprechenden Rack, WLAN und DECT Funktionen oder alles was mit Funk zu tun hat wäre dementsprechend eh nutzlos.

Möchte später eine DMZ bzw. ein Subnetz getrennt von meinem Heimnetz einrichten können um dort einen Server zu betreiben der vom Internet aus erreichbar ist, sich aber aus Sicherheitsgründen nicht in meinem Heimnetzwerk befinden soll.
Ferner möchte ich später nicht viel am Netzwerk umstellen müssen nur weil man den Internetanbieter wechselt. Das war damals immer ein Krapf weil man diese "tollen" AiO Geräte dann bekommen hat und damit gleich DHCP Server etc. mit gewechselt hat.
Habe auch ein Smarthome mit KNX, hier will ich später ebenso mit VLANs trennen aus Sicherheitsgründen.
Zumindest der Router sollte dann schon die notwendigen Funktionen mitbringen.
Der WLAN AP ist von Ubiquiti. Dort gibt es eine Software mit der man das komplette Netzwerk verwalten kann (wenn man mehrere Geräte des Herstellers hat).
Welche Geräte kämen denn in die engere Auswahl?

Bin bislang über folgende Geräte und Hersteller gestolpert:
MikroTik
Ubiquiti
Allnet ALL-MC115VDSL2
Draytek Vigor 130 Router

Anschluss Momentan VDSL 50Mbit bei der Telekom. Telefon über VOIP.
Router sollte in meinen Augen 1Gbit können weil er ansonsten beim nächsten upgrade der Internetverbindung ja schon zu lahm wäre.

 

[chrigu]

dmz auf gar keinen fall. so wäre der server nackt "ja sogar ohne haut" im internet.
vigor ist bekannt dafür, dass die vlan ports einzeln eingestellt werden können. auf die schneller im internet gefunden http://www.2-com.de/de/support/anle...-den-draytek-vigor-routern-2920-2850-und-2830

 

[Bogeyman]

Ja DMZ ist der falsche begriff. Meinte halt ein zweites Netzwerk sodass man in diesem Netzwerk kein Zugriff aufs interne Heimnetz hat.
Datentransfer dann per FTP oder WebDAV. SMB wäre zu riskant nehme ich an?

Ich denke mit einer Fritzbox wäre ich nicht so gut beraten?

 

[chrigu]

eine fritzbox kann kein vlan.
datentransfer per sftp wenn nötig (ftp kann jeder deine daten sehen) sonst von extern zu intern unbedingt über vpn, dann ist auch smb sicher.

 

[Bogeyman]

ok aber welchen Router und Modem sollte ich nun nehmen. Muss ich dann die Ports einfach entsprechend entweder in das eine (Heimnetz) oder in das andere (SFTP, WebDav) Netzwerk leiten?
Also :21 und :80 dann nach 192.168.254.2 (Server/NAS) und mein Heimnetzwerk ist dann 192.168.0.1-254.
Wäre das ausreichend sicher?

 

[snaxilian]

dmz auf gar keinen fall. so wäre der server nackt "ja sogar ohne haut" im internet.

Da muss ich dich leider korrigieren. Eine DMZ im Netzwerk bezeichnet einfach einfach nur ein weiteres Subnetz, was eben nicht direkt im "internen" Netz steht aber auch nicht mit'm nackten Arsch im Internet hängt. Was du meinst, nannte sich noch früher in Routern exposed host und irgendwann kam dieser Unsinn auf, das DMZ zu nennen.

Ja DMZ ist der falsche begriff. Meinte halt ein zweites Netzwerk sodass man in diesem Netzwerk kein Zugriff aufs interne Heimnetz hat.
Datentransfer dann per FTP oder WebDAV. SMB wäre zu riskant nehme ich an?

Ich denke mit einer Fritzbox wäre ich nicht so gut beraten?

DMZ ist genau der richtige Begriff. Ein extra (oft vorgelagertes) Netz zwischen/neben dem eigentlichen LAN und dem WAN, also Internet idR. Was du suchst/benötigst, wäre ein Modem, da wird oft das Vigor empfohlen, das kann man auch als reines Modem betreiben und dazu eine Freiwall/Router-Lösung mit mindestens 3 NICs oder falls schon ein VLAN-fähiger Switch vorhanden ist ein Gerät mit 2 NICs. Dann wird die Einrichtung nur halt etwas komplexer, da auf LAN1 das Modem rein kommt, auf LAN2 du aber direkt mindestens VLAN konfigurieren musst für dein internes Netz und deine DMZ und anschließend das Routing zwischen den beiden Netzen an den VLAN-Interfaces und nicht mehr den physikalischen NICs.

Deine Annahme ist korrekt, dass eine Fritzbox deine Anforderungen nicht erfüllt. Als Hardware mit 3 NICs könntest du dir von PC-Engines die APU2C2/4 mal ansehen, gibt auch einige deutsche Händler, die die Geräte gleich als Bundle mit einem Gehäuse anbieten. Wenn ein VLAN-fähiger Switch vorhanden ist und du eine Lösung mit 2 NICs möchtest, wäre unter anderem die Zotac ZBOX CI323 nano eine Option. Dazu 2-4 GB RAM und eine alte Notebook-HDD und gut ist.

Als "Software" dazu ist PFSense eine gute Wahl. Basierend auf FreeBSD ist PFSense direkt als Firewall Lösung ausgelegt und kann auch ausschließlich per WebGUI konfiguriert werden. Über installierbare Erweiterungen kannst du daraus auch gleich zusätzlich einen VPN-Server machen oder einen Proxy oder anderes. In dem Fall sollte man ggf. darüber nachdenken, die HDD durch eine SSD zu ersetzen, wenn viele Leute daran hängen und der Proxy dementsprechend viel cachen uva auch ausliefern soll/muss.
Soll es Linux sein, ist ggf. IPCop/IPFire einen Blick wärt und der Vollständigkeit halber noch von Sophos deren UTM Home ist für Privatanwender auch kostenlos. Laut kurzer Google-Recherche kann dies wohl auch mit VLANs umgehen, sonst hab ich dazu keine Meinung, da damit noch keinen direkten Kontakt gehabt habe.

ok aber welchen Router und Modem sollte ich nun nehmen. Muss ich dann die Ports einfach entsprechend entweder in das eine (Heimnetz) oder in das andere (SFTP, WebDav) Netzwerk leiten?
Also :21 und :80 dann nach 192.168.254.2 (Server/NAS) und mein Heimnetzwerk ist dann 192.168.0.1-254.
Wäre das ausreichend sicher?

Soll dein NAS auch aus dem Internet erreichbar sein? Dann nein.
Befinden sich innerhalb deines internen Netzwerks Leute oder Geräte ("Smart Home" oder auch: the internet of ̶t̶̶h̶̶i̶̶n̶̶g̶̶s̶ shit) denen du nicht traust? Dann nein.
Werden Gäste (zukünftig) per Ubiquiti AP in ein extra Gäste-Netz mit separatem VLAN gesperrt? Dann vielleicht...

Generell solltest du bzw jeder davon absehen unverschlüsselte Kommunikationswege zu benutzen sofern es einfache Alternativen gibt. Zum Dateitransfer kannst du z.B. entweder FTPS (FTP oder SSL) oder SFTP (Secure FTP - per SSH) nutzen. WebDAV kann man auch ohne weiteres verschlüsselt über SSL/TLS nutzen.
Die beste Transportverschlüsselung bringt jedoch nichts, wenn nicht ausreichend sichere (ergo lange) Kennwörter verwendet werden, dies aber nur als Tipp am Rande.

Das Thema Routing und Firewalling und ob du eine Portweiterleitung vom LAN in die DMZ benötigst, klärt wunderbar das Handbuch der gewählten Firewall-/Routing-Lösung deiner Wahl oder am ehesten ein nur darauf spezialisiertes Forum eher. Ich müsste aktuell selber mehr raten als wissen.

Was mir gerade noch einfällt: Da ihr ja bereits Ubiquiti Equipment habt, warum nicht dem EdgeRouter Lite eine Chance geben? Günstiger als eine Selbstbau-Lösung und vmtl einfacher alles einzurichten. Einziger Nachteil der EdgeRouter: Nicht zentral über den UniFi Controller managebar, was aber zu verkraften sein sollte. Alternativ gibt's zwar das Security Gateway das zwar in den UniFi mit rein geht aber teurer ist und zumindest vor etwas über nem halben Jahr ging VLAN Konfiguration noch nicht per Gui sondern nur per CLI wenn ich mich richtig erinnere. Mag aber inzwischen anders sein

 

[Bogeyman]

Das NAS soll auch aus dem Internet erreichbar sein. Deswegen wollte ich es ja in ein eigenes Netz packen. Ein zweites NAS/Server ist im internen Netzwerk dann für Backups, Multimediaarchiv usw.
Sollte man die beiden Netzwerke dann "nebeneinander" betreiben oder das Heimnetzwerk hinter dem Netz mit dem öffentlichen NAS?
Ein Gastnetzwerk für Gäste soll vom Heimnetz seperariert sein. Eventuell mache ich den ganzen "Smarthome" Kram auch noch in ein eigenes Netzwerk. Momenten brauch das eh noch keine Verbindung zum Internet, das einzige was es aus dem Internet benötigt wäre die Uhrzeit.

Ein VLAN Switch ist noch nicht vorhanden ich denke aber um so einen komme ich eh nicht drum herum.

Als Modems sehe ich irgendwie nur Allnet ALL-MC115VDSL2 und
Draytek Vigor 130 Router beide etwa 100euro und für ein simples Modem in meinen Augen recht viel.
Würde es Sinn machen eine Fritzbox zu nehmen (wegen dem Preis) und dahinter einfach einen zweiten (Hardware)Router zu betreiben? Dann hätte man doch schonmal die "DMZ" für ein NAS

 

[snaxilian]

Ob man jetzt die DMZ und LAN hinter oder nebeneinander betrachtet ist "egal", da es aus Netzwerk-Sicht kein neben- und hintereinander gibt zumindest nicht in dem Konstrukt, wie du es vor hast. Spannend wird es erst, wenn man mehrere DMZs nutzt, denn DMZ bedeutet umgangssprachlich wenn man einen Netzwerk- oder Firewalladmin fragt ja erstmal nur, dass es ein von woanders erreichbares separates Netz ist (jaja, ich weiß, alles Definitionssache).

Ja, VDSL fähige Modems sind leider rar und teuer.
Ja, sofern du VLANs nutzen willst, benötigst du einen VLAN-fähigen Switch.
Ja, du kannst dieses Konstrukt mit Internet - Fritzbox - DMZ - anderer Router machen, hast dann aber ein doppeltes NAT, nämlich einmal zwischen Internet und DMZ sowie zwischen DMZ und deinem LAN bzw deinen weiteren Netzen. Du musst dann entsprechend bei weiteren "DMZ-Netzen" Port-Forwarding und Firewalling auf Fritzbox + $Router einrichten. Das erhöht die Komplexität bei Einrichtung und Fehlersuche. Nicht schön, aber funktioniert oder wie es mal ein ehemaliger Kollege und Netzwerkadmin sagte: Arme-Leute-Firewall

Deine Anfrage oben bezog sich nun einmal direkt auf Modems und Router und VLANs und du wolltest kein AiO Gerät. Anstatt einer Fritzbox würde ich einfach das günstigste Router+Modem-Kombi-gerät wählen, was du findest, im Zweifelsfalls gibt's was bei TP-Link

 

[Bogeyman]

Grundsätzlich etwas auszusetzen gibt es an der Idee aber nicht? Das interne Netzwerk sollte ausreichend abgesichert sein dadurch da sich das "öffentliche" NAS ja nicht im selben Netzwerk befindet.
Das NAS sitzt im eigenen Netz und selbst wenn irgendeine Sicherheitslücke ausgenutzt würde oder das Gerät übernommen würde so wäre da immer noch die Firewall und NAT zwischen beiden Netzen.

 

[snaxilian]

Es ist nicht schön aber sollte funktionieren.

 

[Bogeyman]

okay nochmal zum Verständnis:
Im Router muss ich dann also einstellen Anfragen auf welchen Ports er in welches VLAN leitet?
Mal angenommen VLAN1 ist mein Heimnetz und VLAN2 mein öffentlicher HTTP Server, dann muss ich alles was auf Port 80 reinkommt ins VLAN2 leiten?

Der Draytek Vigor 130 ist ja Router und Modem in eins. Würde es einen Unterschied machen wenn ich hier schon die Ports auf die VLANs verteile oder mal angenommen ich habe ein Ubiquiti Security Gateway dahinter das ganze da durchführen.
Ich will selber auf meinen "öffentlichen Server" ja auch mit möglichst hoher Geschwindigkeit zugreifen, hier würde die Routinggeschwindigkeit des Security Gateways bzw. Vigor 130 limitieren?
Aus meinem Heimnetz wäre mein öffentlicher Server dann durch 2 IPs verreichbar? Einmal die IP die ich vom ISP zugeteilt bekommen habe, und einmal kann ich das Netzwerk ja direkt ansteuern (solange ich mich in meinem Netzwerk befinde).
Würde mein Router die Anfrage auf Port 80 (mit der IP vom ISP) dann direkt umleiten oder gehen die Pakete erst einmal zum ISP und dann wieder zurück?

Als Hardware wäre eine Option das Security Gateway von Ubiquiti mit entweder dem Draytek Vigor 130 oder dem Allnet ALL-MC115VDSL2.
Würde zum Vigor 130 jetzt tendieren weil dieser auch einen Router integriert hat (wohl abstellbar). So könnte man ihn aber auch erstmal ohne das Security Gateway betreiben. Mit dem Allnet ALL-MC115VDSL2 würde das ja nicht gehen. Oder spricht irgendwas für den Allnet ALL-MC115VDSL2 sonst?
Einziger Vorteil den ich für mich sehe ist dass es einen Adapter gibt um ihn auf einer Hutschiene (im Rack) befestigen zu können.

 

[Raijin]

Beim Modem kann ich dir nicht wirklich helfen. Beim Router schon eher.

Da du eh schon Ubiquiti APs einsetzt und den Namen selbst auf die Liste gesetzt hast, kann man das nur unterstützen. Die EdgeRouter von Ubiquiti sind eine feine Sache. Der ER-X beispielsweise für 50€ bietet 5 Schnittstellen, VLANs, Routing, Firewall, alles dabei.

Man muss sich bei solchen Geräten allerdings etwas auskennen, weil es eben keine Consumer-Router sind, sondern semiprofessionelle Router. Was das heißt? Ganz einfach, eine Fritzbox (o.ä.) kommt von Haus aus mit einer vorkonfigurierten Firewall, DHCP-Server, etc. Ein EdgeRouter kommt bis auf eine Standard-IP nackt. Es gibt allerdings Wizards für gängige Szenarien (beispielsweise 1x WAN, 2x LAN), die die Firewall, etc. ebenfalls einrichten. Die Community von Ubiquiti ist ebenfalls sehr hilfsbereit, bin da selbst aktiv.

Im UniFi-Controller wirst du den EdgeRouter allerdings nicht sehen, weil die EdgeRouter kein UniFi sprechen. Dazu müsstest du das USG (UniFi Security Gateway) nehmen, das ist quasi ein ER-Lite (3x LAN) im UniFi-Gewand. Die GUI ist mehr Richtung Consumer-Router als beim klassischen EdgeRouter, aber die Kiste taucht eben auch im UniFi-Controller auf.

Bei hochwertigen Routern wie den DrayTeks oder Ubiquiti, MikroTik und Co wirst du keine Geschiwndigkeitseinbußen haben. Die Internetanbindung ist in jedem Fall deutlich langsamer.


Wenn du von innen auf deine öffentliche IP zugreifst, dann nennt sich das NAT-hairpin bzw. NAT-loopback. Dabei wird vermeintlich ausgehende Traffic (du hast ja eine öffentliche IP angegeben) aber nicht zum Provider geleitet, sondern der Router erkennt, dass das seine eigene WAN-IP ist und dreht quasi im letzten Moment um. Das heißt aber auch, dass du, wenn du direkt an einem Switch mit dem Server hängst, trotzdem erstmal zum Router geleitet wirst und dort eine 180° Drehung machst, um dann wieder zurück zum Switch und dann zum Server gehst. Wählst du direkt die LAN-IP an, bekommt der Router davon gar nichts mit, weil du zB direkt von Switch Port 3 (PC) zu Port 7 (Server) gehst. Im worst case wird also der Router bzw. die Leitung zum Router unnötig belastet.

 

[Bogeyman]

Ja aber 2 unterschiedliche IPs zu haben für einen Dienst ist auch unpraktisch. Mal angenommen ich betreibe eine Cloud für Daten, trage ich die interne IP ein so habe ich wenn ich woanders bin keine Verbindung.
Ein Layer 3 Switch würde auch gehen nehme ich an, die sind aber wohl zu teuer für meine Anwendung.

Die GUI ist mehr Richtung Consumer-Router als beim klassischen EdgeRouter, aber die Kiste taucht eben auch im UniFi-Controller auf.

Das USC ist aber kein Consumer Gerät oder? Also nur die Oberfläche geht in Richtung Consumer, die Einstellmöglichkeiten reichen aber weiter.
Bislang habe ich oft Standardhardware eingesetzt wie Speedports. Dort fehlen mir aber zuviele Funktionen weil alles automatisiert ist.

Oder gibt es einen Grund der gegen das USC spricht und eher für die EdgeRouter?

Das USC wäre zwar toll aber auch ganz schön viel Geld insgesamt. 100euro für das Modem kommen ja auch hinzu. Zumindest beim Modem würd ich irgendwie gern sparen können wenn ich mir das USC kaufe.

 

[Raijin]

Ich selbst hab bisher noch kein USG in Händen gehalten, aber ein paar Videos dazu gesehen. Von der Hardware ist das USG ein ER-Lite3. Die GUI ist wohl deutlich simpler und beschränkt sich auf das Wesentliche. Beim EdgeRouter ist zwar auch nur ein Bruchteil seiner Fähigkeiten in der GUi ausgeführt, aber dennoch ist die GUI recht umfangreich.

Mir persönlich wäre es egal ob der Router UniFi kann oder nicht, weil ich ihn sowieso separat konfiguriere. Dazu brauche ich das UniFi-Gedöns nicht. Wenn auf dem USG wenigstens der UniFi-Controller laufen würde - zB zwecks Caprice Portal o.ä - könnte man noch darüber nachdenken, aber dafür bräuchte man eben trotzdem nehmen Cloud Key oder einen PC mit UniFi-Controller. Daher sehe ich nicht wirklich einen Vorteil im USG gegenüber einem EdgeRouter. Zumal zwar die Basisfunktionen wie Routing und Portweiterleitungen in der USG GUI einfacher sein mögen, erweiterte Funktionen dagegen deutlich komplizierter einzurichten sind. Komfort/Übersichtlichkeit/Einfachheit und Flexibilität/Funktionsumfang sind nämlich gegenläufig. Die Frage ist also was man will und wie man damit umgeht.

Was ein USG kostet weiß ich gar nicht. Ein ER-Lite3 kostet knappe 100€, der ER-X ca. 50€. Hab daheim nen ERLite, aber würde ich heute nochmal kaufen, wäre es wohl ein ER-X.

 

[Bogeyman]

Also der USG ist so 130eur meine ich ca. also ne ganze Ecke teurer als die Edge Geräte.
Mit dem UniFi Tool fände ich schon nicht schlecht, in erster Linie wegen den Statistiken, brauch man zwar alles nicht, bin bislang auch gut ohne ausgekommen aber schlecht wäre es halt dennoch nicht. Aber stimmt auch dass der Controller wieder irgendwo drauf laufen muss.
Daher für mich eine schwierige Entscheidung. Habe jetzt auch die Handbücher von beiden Geräten nicht studiert. Wäre halt doof wenn das USG nacher, trotz seines Preises, später irgendwas nicht kann was ich benötige.