Hallo Leute,

ich würde gerne meinen W-LAN Router ersetzen, da er eigentlich ins Museum gehört und nicht mehr zwischen PCs und dem Internet. Es handelt sich um einen D-Link DIR 655 (End Of Life war 2015-11-01) Nun stellt sich mir die Frage, ob ich wieder eine sog. All In One Lösung von der Stange nehmen soll, oder ob ich Firewall, W-Lan Acess-Point und Switch als Einzelkomponenten zwischen PCs und dem Internet hängen soll.
Auf diese Gedanken hat mich ein Arbeitskollege gebracht, als er erwähnte, dass man mit den Einzelkomponenten die Netzwerksicherheit viel präziser justieren kann.

Jetzt steh ich wie ein Ochse vor zwei Heuhaufen, und weiß nicht, welcher besser schmeckt. Von daher bin ich auf Eure Erfahrungen angewiesen: Würdet Ihr mir die All In One Lösung oder die Einzelkomponenten empfehlen?

Ich habe WLAN-AP und Router getrennt, aber auch nur, weil die Fritzbox im Keller in einem metallenen Netzwerkschrank steht.

Ich hatte lange zeit einen Raspberry Pi als DHCP/DNS-serve rund als VPN-Endpunkt eingerichtet, aber ich habe inzwischen alles über die Fritzbox einrichten können (auch wenn mein Modell nur hostname.fritz.box unterstützt, und keine selbst gewählte TLD, aber das passt schon).

Wenn man eine All-in-one Lösung kauft, dann muss man genau ein Gerät einrichten und warten.

Wenn man drei Geräte kauft, muss man drei verschiedene Geräte einrichten, aufeinander abstimmen und warten.

Und bei der Firewall musst du dir überlegen, wie respektive ob die Firewall reagiert, wenn die Schadsoftware eine Verbindung nach aussen öffnet, die TLS verschlüsselt ist.

16 Tage später

Josephus Miller Habe das Heft gerade aus dem Briefkasten gezogen. Wenn ich das dann durch habe, melde ich mich nochmals.

    Den Artikel hätte ich dir auch scannen und verlinken können....

    5 Tage später

    Den Artikel habe ich nun durchgelesen. Dabei habe ich festgestellt, dass darin nur beschrieben wird, warum welche Komponente ins Netzwerk eingefügt oder davon entfernt wurde. Worauf nicht eingegangen wird, sind die Details:

    • Worauf soll man bei den einzelnen Komponenten achten
    • Gibt es Inkompatibilitäten zwischen den einzelnen Geräten/Herstellern
    • Welche Hersteller sind Go-To/No-Go
    • Wie viel Zeit wird für die regelmäßige Wartung benötigt

    Der Arbeitskollege, der mich auf diese Idee gebracht hat, kann mir nicht weiterhelfen, da er selber nur All-in-one-Lösungen bevorzugt. Ich habe auch mit einem Mitarbeiter von unserer IT-Abteilung gesprochen, aber er kann/will mir nicht weiterhelfen. Er hat keine Lust sich dieser Thematik auch noch im Privatleben zu widmen, da er sich schon beruflich mit den Enterprise-Lösungen beschäftigen muss.

    • Dirk hat auf diesen Beitrag geantwortet.

      Kerberos Gibt es Inkompatibilitäten zwischen den einzelnen Geräten/Herstellern

      Wenn die alle über Ethernet kommunizieren, sollte es da keine technischen Probleme geben. In meinem Setup hing der Raspi einfach an der Fritzbox an Port 1. In der Fritzbox hab ich den die DHCP-Funktionen abgeschaltet, und in der Konfiguration auf dem Raspi einfach das eingestellt, was ich wollte, und ide Fritzbox als Gateway eingerichtet. HAt mit dnsmasq ohne Probleme funktioniert.

      Dito WLAN-AP, der hängt über die Hausverkabelung an Port 2 auf der Fritzbox, dort ist alles was WLAN angeht deaktiviert, und im WLAN-AP hatte ich den Raspi als DHCP-Server eingetragen (der hat sich auch gleich per DHCP als DNS-Server mit ausgeliefert), und die Fritzbox als Gateway, das hat auch ohne ohne Probleme funktioniert.

      Da der Raspi (tatsächlich ein uralter aus der 2. Generation) den Geist aufgegeben hat, hab ich den halt was DHCP/DNS angeht, die Fritzbox wieder aktiviert und im WLAN-AP das entsprechend angepasst. Funktioniert genau so.

      Kerberos Wie viel Zeit wird für die regelmäßige Wartung benötigt

      Bis auf gelegentliche Konfigurationsänderungen und alle 1-2 Wochen mal pacman -Syu auf dem Raspi war da nach der erstmaligen Installation nichts.

      • Kerberos hat auf diesen Beitrag geantwortet.
            19 Tage später

            Update:

            Ich habe mich jetzt für die Variante mit den Einzelkomponenten entschieden. Vorletztes Wochenende war ich auf einem Cousin/en – Treffen und bin mit einem meiner Cousins über dieses Thema ins Gespräch gekommen. Dabei hat er mich davon überzeugt, Einzelkomponenten zu nehmen, anstatt eine All–In–One Lösung. Hauptargument war, dass man einfach nur die betroffene Komponente wechseln kann, falls was kaputtgeht. Wir haben uns dann auf folgende Einzelkomponenten geeinigt und online bestellt:

            • Router ist der Protectli Fault FW4C mit OPNsense als Betriebssystem
            • Switch ist der TP-Link TL-SG3210XHP-M2 Jetstream L2+ Managed Switch
            • WiFi – AP der Xyxel NWA50AX

            Die einzigen Nachteile, die mir bisher aufgefallen sind, sind die höheren Anschaffungskosten, und dass der Lüfter vom Switch im Idle sehr laut ist.

            Kerberos: Gibt es Inkompatibilitäten zwischen den einzelnen Geräten/Herstellern

            Dirk: Wenn die alle über Ethernet kommunizieren, sollte es da keine technischen Probleme geben. […]

            Wenn man sein Netzwerk mit Hilfe von VLANs segmentieren will, muss man darauf achten, dass die eingesetzten Geräte auch mit den VLAN – Tags umgehen können, was nicht bei allen Geräten der Fall ist. Wenn eines der eingesetzten Geräte in der Kette nichts mit den Tags anfangen kann, werden diese einfach verworfen. Und somit löst sich die Segmentierung in Luft auf.

            • krisz hat auf diesen Beitrag geantwortet.

                Kerberos Solche Geräte schliesst man dann nach Möglichkeit an untagged Ports an.
                Zentrale Netzwerkkomponenten wie Router, Switch, AP sollten natürlich VLAN-Tags (sprich: IEEE 802.1Q) unterstützen.