Suche guten Router für DG Glasfaser

An älteren Anschlüssen hat die Deutsche Glasfaser "6rd" (IPv6 Rapid Deployment, RFC 5569) verwendet. Dabei werden IPv6 Pakete durch einen IPIP Tunnel übertragen. Die Mikrotik Router unterstützen 6rd nicht.

An aktuellen Anschlüssen verwendet die Deutsche Glasfaser natives IPv6. Die Adressen werden per DHCPv6 vergeben. Das funktioniert mit Mikrotik-Routern. Man sollte aber wissen, dass Mikrotik IPv6 stiefmütterlich behandelt. So gibt es z.B. keine Hardwarebeschleunigung für IPv6, wenn Connection Tracking aktiv ist. Der Durchsatz mit IPv6 hängt also praktisch vollständig von der CPU-Leistung des Routers ab. Die Durchsatzwerte auf den Mikrotik-Produktseiten beziehen sich auf (hardwarebeschleunigtes) IPv4.

Auch deine anderen Anforderungen (MQTT Broker, wireguard) passen nicht zu Mikrotik.

Der neue GL-INet Router sieht interessant aus und bisher habe ich mit GL-iNet nur gute Erfahrungen gemacht, aber der Preis ist für so wenig Gerät happig. X86-Geräte in der Klasse der Intel NUCs / Zotac CI32x-Serie, die es auch mit zwei Ethernetports gibt, haben sehr viel mehr Rechenleistung als der kleine GL-iNet Router.

Es ist schwierig, Router zu empfehlen, weil die Anforderungen im Detail sehr verschieden sind. Den meisten würde ich aktuell eine Fritzbox 7590 empfehlen, ganz besonders denen, die sich nicht viel mit der Technik beschäftigen wollen. Kontraindikationen sind vor allem Anforderungen wie schnelles VPN (wenn es im Router integriert sein muss), VLANs und nachinstallierbare Serversoftware. Das gibt es mit Fritzboxen nicht, brauchen die meisten aber auch nicht.

Abseits dieser Empfehlung wird es sehr schnell unübersichtlich. Router für Glasfaseranschlüsse brauchen vor allem genug Rechenleistung, um den möglichen Durchsatz nutzen zu können. Wenn WLAN wichtig ist und wenigstens nah an Anschlussbandbreite heranreichen soll, dann wird es erst recht schwierig. Ubiquiti Geräte werden oft gelobt. Ich tendiere dazu, die Funktionen auf mehrere spezialisierte Geräte zu verteilen. Kleine x86-Geräte sind auch eine ernstzunehmende Option (siehe https://heise.de/-4305047).

Wenn du VPN Verbindungen nur aus deinem LAN heraus aufbaust, dann kannst du wahrscheinlich weiter IPv4 nutzen. Sowohl Wireguard als auch OpenVPN gehen durch NAT hindurch. Ggf. musst du noch Keepalives einschalten, um das NAT-Mapping aufrecht zu erhalten. Nur falls du von außen VPN-Verbindungen in dein LAN aufbauen möchtest, musst du dich zwingend mit IPv6 beschäftigen.

Auch wenn die Antwort vielleicht etwas später kommt: Ich würde mir unbedingt mal die Edgerouter Serie von Ubiquiti anschauen. Wir nutzen die überall. Die haben zwar eine GUI, allerdings würde ich stark empfehlen die CLI zum konfigurieren zu nutzen (geht schneller). Das sind im Grunde Linux Boxen mit MIPS Prozessoren die HW Offloading können. Es läuft ein Debian Wheezy/Stretch auf den Geräten, sodass man auch einfach paar Tools installieren kann.

Ich habe hier einen Edgrouter-Lite an einem Vodafone 500Mbit/s Business Kabel Anschluss am laufen (komplett Dualstack mit DHCPv6-PD). Dann einen Edgrouter-Lite an einem EWE PPPoE Anschluss mit einem Draytek Vigor 165. In einer Schule läuft ein Edgerouter-4 (die haben mehr Leistung) mit 2x100Mbit/s DSL im Load Balancing Betrieb und in einer Firma ein Edgerouter Infinity als 10G Core Router. Alle laufen seit dem Einrichten ohne Probleme :).

Wenn du Leistungstechnisch auf der sicheren Seite sein willst, würde ich den Edgerouter-4 nehmen. Der routet dir ohne Probleme die 1Gbit/s des Glasfaseranschlusses (sofern du QoS haben willst für Telefonie, schafft der noch knapp 500Mbit/s, weil der den Traffic dann durch die CPU schuppsen muss :)).

Für VPN kann ich dir da nur Wireguard ans Herz legen. Ist kein Krampf in der Einrichtung wie OpenVPN und IPSec und läuft deutlich schneller, da es im Kernelspace implementiert ist. Es gibt dazu eine Erweiterung für die Edgerouter (läuft 1a, habe damit mehrere Standorte vernetzt).

https://github.com/Lochnair/vyatta-wireguard

Ein Beitrag verschoben noch "Deutsche Glasfaser, Mikrotik und IPv6"

Ich würde auch pfSense als Router-Plattform vorschlagen.

Hervorragende Konfigurierbarkeit über eine GUI und nahezu alle Funktionen, die Sie suchen (Routing, VPN (OpenVPN), QoS, VLANS usw.)

WireGuard wurde aber noch nicht implementiert, da es frisch aus Beta ist. Die Integration in BSD ist jedoch geplanntbund daher auch bei pfSense zu erwarten.

Was an pfSense großartig ist: Sie können einen alten Computer verwenden, den Sie möglicherweise herumliegen haben. Fügen Sie einfach eine PCIe Dual- oder Quad-Gigabit-Ethernet-Karte hinzu (Amazon.de Product Example) und es kann Ihr Router zu minimalen Kosten sein. Ich habe das an 4 Orten gemacht und hatte nie Probleme. 50 € für einen Router mit vollem Funktionsumfang sind ziemlich unschlagbar. Einziger Nachteil ist die Ästhetik, einen großen PC anstelle eines kleineren Geräts zu haben.. Aber Sie recyceln und sparen Geld

Alternativ können Sie offizielle pfSense-Hardware von netgate (https://www.netgate.com/products/appliances/) oder Barebones von Amazon (Amazon.de Product Example) kaufen.

Wenn Sie interessiert sind, lassen Sie es mich wissen.

Den Vorschlag einen High-End Router mit PFSense zu bauen kann ich nur unterstützen. Aus meiner Studentenzeit kenne ich noch diverse Linux Distris, mit denen wir vor 20 Jahren rumgebastelt haben. Aus diesem Grund bin ich auf die Idee gekommen den IPFire Router zu installieren. Leider war ich aufgrund der begrenzten Anzahl der Netzwerke schnell an die Grenzen des Systems gestoßen (in unserer Schule für Medien haben wir diverse Netzwerke). Dann habe ich die freie OPNSense-Distribution getestet. Leider hatte ich mit dem System Probleme mit der Performance. Meine Intel I350 Karten wurden nur mit 650 Mbit ausgelastet. Anschließend bin ich bei PFSense gelandet und bin sehr zufrieden mit dem System. Es hat auf Anhieb alles funktioniert, der Funktionsumfang ist unglaublich. Für große Netzwerke mit vielen Usern einfach unschlagbar.

Für den Router habe ich mich für einen ausrangierten HP Enterprise Server entschieden. Die Netzwerkkarten habe ich ein wenig aufgepimpt. Es wurde sehr wenig Geld für die gesamte Konfiguration ausgegeben. Insgesamt war ich etwa 500€ los, das ist in Anbetracht der gebotenen Leistung ein Bruchteil von dem, was wir bei Cisco oder Watch Guard ausgegeben hätten.

hier die gesamte Hardware:

HP Enterprise DL360p Gen8 2x Xeon E5 2643

64 GB DDR3 ECC Server RAM 8x8GB

2x300 GB 15k Server HDDs

3 x Quad I350 ( HP 366FLR und 2x 366t)

Ca 45 WLAN Access Points für ca. 1000 Schüler

ca. 250 Rechner und mehrere Server.

PFSense, mit Squid, IPS/IDS
Medienkonverter, 1000/200 Mbit Leitung von Versatel

Vor der Corona-Krise hatten wir etwa 40.000 bis 60.000 Connections in der State Table.

Jetzt habe ich für einige Kollegen Mobile-VPN über IPSec realisiert. Es funktioniert alles wunderbar. Echt toll.

Die Hardware ist ein wenig überdimensioniert aber aufgrund des Anschaffungspreises dieser ausrangierten Kisten unschlagbar. Ich wollte auch Reserven haben, falls wir auf 10 Gbit umrüsten. Ja er verbraucht mit ca. 100 Watt etwas zu viel aber bei unserer IT-Struktur kaum der Rede wert. Selbst ein aktueller 1HE Server mit ausreichend Leistung und aktueller CPU hätte schnell an die 2000€ gekostet bei ca. 50 Watt.

Weitere Vorteile von professioneller Hardware sind neben ECC Speicher, redundanten Netzteilen, redundanten High-End Festplatten (RAID 1) ist das Server-Management. Hier am Beispiel von HP ILO. Per Fernwartung kann ich alle Hardwareparameter bis ins kleinste Detail abrufen und checken. Das Ganze natürlich per Fernwartung durch den VPN Tunnel.

Das Beste kommt noch zum Schluss. Man schiebt den Server in einen 19 Zoll Schrank und macht den Schrank zu. Der Rest wird vom IPad (oder Laptop/MacBook) aus installiert und administriert. Mit meinem IPad mounte ich DVD Images und installiere Betriebssysteme. Das IPad benutze ich als Bildschirm, natürlich nicht im lauten Serverraum sondern in einer ruhigen Ecke in der Schule oder wie hier auf dem Screenshot durch den VPN-Tunnel zuhause im Wohnzimmer. Selbst Biosparameter kann ich noch vor dem Start des Rechners über ILO Terminal ändern. Es macht echt Spaß damit zu arbeiten.

Ermöglicht wird das Ganze durch die LOM-Technik professioneller Hardware.
https://de.wikipedia.org/wiki/Lights_Out_Management

Bei dieser Technologie hat die Wartung des Rechners einen eigenen Netzwerkzugang und ist weitgehend unabhängig vom Betriebssystem.

Auf diesem Abbild ist das ILo Netzwerkkabel ganz rechts im Bild. Die 12 Netzwerkanschlüsse sind noch nicht im Einsatz aber ein Umbau der IT-Struktur ist in kleinere Netze geplant.