Netgate SG-1000 microFirewall

Author Topic: Anfänger Setup  (Read 580 times)

0 Members and 1 Guest are viewing this topic.

Offline mims

  • Newbie
  • *
  • Posts: 7
  • Karma: +0/-0
    • View Profile
Anfänger Setup
« on: March 06, 2018, 07:13:00 am »
Hallo zusammen,

ich habe einen APU1D mit pfSense Version 2.4.2-RELEASE-p1 (amd64). Zur Verfügung stehen 3 ETH Ports.

Aktuell läuft das Gerät nur zu Testzwecken und ist noch nicht produktiv in mein LAN eingebunden. Große Erfahrung habe ich im Bereich pfSense leider nicht. Ich hatte das Gerät vor ein paar Jahren schon mal im Einsatz, habe damals aber wegen verschiedener Probleme aufgegeben. Nun möchte ich es noch einmal versuchen, mein Netzwerk hierüber laufen zu lassen.

Sind folgende Szenarien für einen Nicht-Profi durchführbar?

1. VLAN

1.1 VLAN trennen
Ich möchte mehrere getrennte VLAN einrichten. Evtl. besonders hieran ist, dass ich möchte, dass auf bestimmte Geräte zugegriffen werden kann, die Geräte aber selbst nicht aus ihrem VLAN heraus können. Geht das?
Also nehmen wir an, ich bin in VLAN1, Freundin in VLAN2, und dann gibt es noch VLAN3 für IP Cams. Sowohl aus VLAN1 und VLAN2 soll man auf die Kameras zugreifen können, **aber** die Kameras selbst sollen nicht aus ihrem VLAN heraus kommen (weder in andere VLAN, noch ins Internet).

1.2 VLAN beschränken
Beispiel: in VLAN1 befindet sich ein NAS; dieses hat verschiedene Netzwerkfreigaben. Aus VLAN1 kann jeder Nutzer voll auf das NAS zugreifen. Aus VLAN2 beispielsweise darf aber nur auf **Port X** des NAS (beispielsweise den SMB Port) zugegriffen werden. Auf andere Geräte in VLAN1 darf aus VLAN2 allerdings nicht zugegriffen werden.

2. pfblocker-ng
Ich möchte diverse Listen zum Blockieren von ADs und Malware abonnieren. Dies habe ich auf Grundlage eines Tutorials bereits versucht, kam aber da schon nicht weiter... deshalb weiß ich gar nicht, ob ich mir **schnell und übersichtlich** anzeigen lassen könnte, welche IPs / Domains gerade blockiert werden.
Aktuell läuft bei mir hierfür pi-hole; dort habe ich sowohl den "Query Log" (statische Seite mit letzten Aufrufen, sowohl geblockt, als auch durchgelassen), als auch die Möglichkeit von "Tail Query Log", also eine Liveansicht, welche Anfragen gerade stattfinden.
Dies ist für mich wichtig, da ich gerne lieber zu viel als zu wenig blockiere; wenn dann mal irgendwas blockiert wird, was eigentlich durchgelassen werden muss, kann ich es so schnell erkennen (und in pi-hole durch Klick auf "Whitelist" auch direkt entsperren)

3. reverse Proxy
auf meinem NAS laufen verschiedene Docker Container mit zugehörigen Portfreigaben. Statt `http(s)://<nas-ip>:<port>/whatever` möchte ich aber lieber netzwerkweit auf beispielsweise`http(s)://rss.whatev.er` (bzw. halt subdomain.domain im lokalen Netz) für jeden Service zugreifen, **ohne dass** ich immer den Port angeben muss.
Ich habe bereits versucht, dies mit nginx zu realisieren; komischerweise funktioniert es auf meinem Laptop problemlos, auf Smartphones im selben Netz aber nicht (obwohl ich das so gelöst habe, dass pi-hole, was als DNS Server für **sämtliche** Geräte im Netzwerk fungiert, eben nginx als reverse Proxy abfragt).
Ist das mit pfSense leicht machbar?

4. Hardware
4.1 Switch
aktuell habe ich einen TP-Link unmanaged Switch an meiner Fritzbox. Geplant ist, dass die FB nur noch passthrough macht und der Rest durch pfSense erledigt wird. Ursprünglich wollte ich einen managed Switch anschaffen (bevor mir pfSense in den Sinn kam); ich nehme an, wenn pfSense für VLAN etc. verfügbar ist, kann ich bei meinem unmanaged Switch bleiben..?

4.2 WLAN
mein APU1D hat kein WLAN. Mir wurde damals (hier in diesem Forum) davon abgeraten, einen WLAN Adapter zu verbauen und stattdessen einen Archer C7 mit openWRT einzusetzen. Diesen habe ich auch noch. Ist das noch zeitgemäß, oder muss ein neuer Router für WLAN her?
4.2.1  WLAN Sicherheit
openWRT soll (auch nach Angaben aus diesem Forum) **nichts** tun und nur die WLAN Verbindung herstellen, der Rest wird von pfSense verwaltet. Kann ich unter pfSense gezielt alle MAC-Adressen verbundener WLAN-Geräte blockieren, außer welchen, die in einer Whitelist stehen? Das geht über openWRT auch (mache ich aktuell so), aber wenn alles von pfSense verwaltet wird, fällt diese Möglichkeit ja weg - und ich möchte schon gerne alles zentral an einer Stelle verwalten.

5. Infos
grundsätzlich finde ich relativ wenige Tutorials, und unter den Ergebnissen sind oft welche, die man nur nachmachen kann, wenn man die damalige Softwareversion benutzt bzw. wenn ich manche Tutorials Schritt für Schritt durchgehe, habe ich manchmal Optionen, die dort gar nicht auftauchen **oder** Dinge, die im Tutorial gezeigt werden, kann ich in meinem Webinterface gar nicht machen.
Gibt es irgendwo eine Quelle, die Ihr für so etwas empfehlen könnt?

Insbesondere was Firewall-Regeln etc. angeht, möchte ich alles richtig machen, aber oft bleibt nur Trial and Error, was dann irgendwann dazu führt, dass ich aufhöre. Wenn man sicht erst einmal eingefunden hat, ist das Ganze ja vielleicht schön übersichtlich, für mich als Anfänger sind die Möglichkeiten momentan aber Overkill.


Freue mich über Eure Antworten :)
LG

Offline JeGr

  • Moderator
  • Hero Member
  • *****
  • Posts: 3337
  • Karma: +219/-8
  • old man standing
    • View Profile
Re: Anfänger Setup
« Reply #1 on: March 06, 2018, 08:28:25 am »
Aloha! :)

> Aktuell läuft das Gerät nur zu Testzwecken und ist noch nicht produktiv in mein LAN eingebunden.

Würde ich auch nicht mehr produktiv nutzen, sondern bei Tests lassen. Die APU1 ist überholt, EOL und nicht mehr aktiv supportet, zudem wird sie mit pfSense 2.5 dann spätestens rausfallen, da sie keine AES-NI Cryptozusätze versteht. Da würde ich ggf. drüber nachdenken - wenns eine APU/billig bleiben muss - mir eine APU2 zu ordern, ist das gleiche Gehäuse etc. somit kannst du dir das ggf. sparen und musst nur die Platine auswechseln.

Ansonsten:

1.1: Ja ist möglich :)
1.2: geht ebenso :)

2: "welche IPs / Domains blockiert werden" - Jein. Du kannst die pfBlocker Listen unter Diagnostics / Tables durchaus einsehen, ist aber ein mühseliges Unterfangen, da die - je nach Liste - relativ groß werden können. Im Normalfall siehst du aber bei aktivierten pfBlocker Logs schnell ob etwas wegen pfB geblockt wird oder nicht.
"Pi-Hole..." Das Pi-Hole blockt aber via DNS Blocklisten, nicht wie default pfB per IP Listen. Das sind dann andere Jobs. Du kannst zwar mit pfB auch DNS Blocken via Integration in Unbound, das wird dann aber dann durchaus eben komplexer. Trotzdem siehst du dort im Normalfall, ob dein DNS gegen den Resolver geblacklistet wurde (kannst du auch auf dem Client sehen, denn da würde die Domain dann mit 127.0.0.1 oder 0.0.0.0 aufgelöst, je nach Konfiguration).

3: Jein. Kommt drauf an, wie deine Docker Container konfiguriert sind, welche IP/Port Kombinationen genutzt werden. Theoretisch könnte man das via HAProxy und DNS abdecken, könnte aber ein wenig kniffliger in der Konfiguration werden.

4.1: Nein, nur weil pfSense VLANs kann/könnte, muss das trotzdem auch dein Switch können. Ansonsten müsstest du auf allen Geräte auch VLANs konfigurieren, dann könntest du theoretisch bei deinem unmanaged Switch bleiben. Aber die Kopfschmerzen und Zeit möchte sich glaube ich freiwillig keiner geben, vor allem wenn Geräte wie Kameras etc. im Spiel sind, bei denen man kein VLAN festlegen kann. Long story short: Du brauchst hinter der pfSense einen (teil-)managed Switch, die kosten aber auch kaum was.

4.2: Ich würde den Archer lassen (habe den selbst, rumbasteln mit OpenWRT ist "nett" aber nervig). Ich würde einfach einen Ubiquity Access Point nehmen (AP-AC-LR oder AP-AC-PRO, ich hab den LR/Longrange genommen wegen besserer Abdeckung, das bisschen "Speed" mehr, was der PRO könnte, können bei mir eh wenig Geräte und die haben meist LAN).

4.2.1: pfSense arbeitet auf Layer 3, nicht auf 2. Das Einzige, was pfSense tun könnte wenn dein WLAN AP kein DHCP macht ist, dass sie nur bekannten Geräten (per MAC) eine Adresse zuweist. Aber ein Blocken auf Layer 2 über die MAC Adresse ist nicht möglich. Wenn die Geräte keine IP bekommen, könnte ein findiger Freund zwar trotzdem noch manuell eine IP vergeben, dazu müsste er aber das richtige Netz kennen (kann man ggf. raushören). Aber: dazu muss er überhaupt mal ins WLAN rein kommen. Wenn du eh nur bekannte Geräte ins WLAN einbuchst und rein lässt, sehe ich da kein Problem, dass man auf Layer 2 filtern müsste.

5: Doku auch wenn manchmal dürftig, Forum, fragen, sich etwas einlesen, was PF als Paketfilter angeht o.ä. - aber wenn du bei Trial und Error gleich aufhörst, bist du vielleicht ein wenig ungeduldig. Wichtig ist für Regelerstellung o.ä. nur die Sicht auf das Ganze, WO Regeln WIE greifen und wenn man sich das vor Augen hält ist es relativ leicht, Regeln zu erstellen.

Gruß
Don't forget to [applaud] those offering their time and brainpower to help you!

If you're interested, I'm available via PM to discuss details of German-speaking paid support services.

Offline -flo-

  • Sr. Member
  • ****
  • Posts: 392
  • Karma: +31/-0
    • View Profile
Re: Anfänger Setup
« Reply #2 on: March 06, 2018, 02:23:50 pm »
Long story short: Du brauchst hinter der pfSense einen (teil-)managed Switch, die kosten aber auch kaum was.

Z.B. ein Netgear GS108E-300PES, gibt's für ca. 36 EUR. Der läuft bei mir seit langem wunderbar. Aber Achtung, Netgear genießt unter den Profis hier keinen guten Ruf. Ich geh' schon mal in Deckung. :-)

3: Jein. Kommt drauf an, wie deine Docker Container konfiguriert sind, welche IP/Port Kombinationen genutzt werden. Theoretisch könnte man das via HAProxy und DNS abdecken, könnte aber ein wenig kniffliger in der Konfiguration werden.

Wäre `http(s)://<reverse-proxy>/<service>` (ohne ip, ohne port) komfortabel genug? Das leistet ggf. ein extra container auf dem NAS mit nginx, sogar mit acme Zertifikat wenn gewünscht. Dafür muß man auf der pfSense überhaupt nichts machen.

Ich denke das müßte aber auch mit `http(s)://rss.whatev.er` gehen, nur daß man dafür Einträge im DNS Forwarder oder Resolver braucht.

Ich würde einfach einen Ubiquity Access Point nehmen (AP-AC-LR oder AP-AC-PRO, ich hab den LR/Longrange genommen wegen besserer Abdeckung, das bisschen "Speed" mehr, was der PRO könnte, können bei mir eh wenig Geräte und die haben meist LAN).

Ich habe zwei UAP AC-LITE und bin damit total zufrieden. Gibt's für ca. 75 EUR. Die neuen Versionen haben sogar PoE nach Standard 802.3af -- anders als in vielen Datenblättern und Produktbeschreibungen u.a bei Amazon noch steht. (Den Netgear Switch z.B. gibt es auch mit PoE, das spart dann den Injector zwischen Switch und AP. Bei Switches mit PoE würde aber auch ich nicht unbedingt zu Netgear greifen ...)


Offline mims

  • Newbie
  • *
  • Posts: 7
  • Karma: +0/-0
    • View Profile
Re: Anfänger Setup
« Reply #3 on: March 07, 2018, 05:16:03 am »
Vielen Dank für Eure Infos =)

Quote
Da würde ich ggf. drüber nachdenken - wenns eine APU/billig bleiben muss - mir eine APU2 zu ordern, ist das gleiche Gehäuse etc. somit kannst du dir das ggf. sparen und musst nur die Platine auswechseln.
Es muss keine APU sein. Was wäre denn angeraten? Bzw. mit welchen Preisen müsste ich rechnen? Je nach Preisklasse könnte ich theoretisch auch ein anderes Gerät nehmen.

Quote
"Pi-Hole..." Das Pi-Hole blockt aber via DNS Blocklisten, nicht wie default pfB per IP Listen. Das sind dann andere Jobs. Du kannst zwar mit pfB auch DNS Blocken via Integration in Unbound, das wird dann aber dann durchaus eben komplexer. Trotzdem siehst du dort im Normalfall, ob dein DNS gegen den Resolver geblacklistet wurde (kannst du auch auf dem Client sehen, denn da würde die Domain dann mit 127.0.0.1 oder 0.0.0.0 aufgelöst, je nach Konfiguration).
Uff. Würde das bedeuten, dass all die Listen, die ich aktuell per Pi-Hole abonniert habe, für pfB nicht kompatibel wären? Ob die entsprechenden Hosts via DNS blockiert werden, oder (wenn ich das richtig verstanden habe) einfach der Zugriff auf die IPs gesperrt wird, wäre mir egal. Bzw. gibt es einen Grund, warum mir das nicht egal sein sollte? Ich nehme einfach mal an, dass die pfSense Lösung mindestens genau so gut funktioniert, wie die via Pi-Hole....?

Quote
4.1: Nein, nur weil pfSense VLANs kann/könnte, muss das trotzdem auch dein Switch können. Ansonsten müsstest du auf allen Geräte auch VLANs konfigurieren, dann könntest du theoretisch bei deinem unmanaged Switch bleiben. Aber die Kopfschmerzen und Zeit möchte sich glaube ich freiwillig keiner geben, vor allem wenn Geräte wie Kameras etc. im Spiel sind, bei denen man kein VLAN festlegen kann. Long story short: Du brauchst hinter der pfSense einen (teil-)managed Switch, die kosten aber auch kaum was.
Verstehe ich das richtig? Ich kann in pfSense nicht "einfach" festlegen "IP/MAC soundso gehören zu VLAN1", sondern ich brauche einen Switch, in dem ich das dann festlege? Oder "versteht" der Switch dann einfach die Befehle von pfSense und regelt die VLANs nach pfSense's Vorgaben dann quasi-automatisch?

Quote
Aber: dazu muss er überhaupt mal ins WLAN rein kommen. Wenn du eh nur bekannte Geräte ins WLAN einbuchst und rein lässt, sehe ich da kein Problem, dass man auf Layer 2 filtern müsste.
Sprich: ein vernünftiges WLAN Passwort auf dem Access Point ist ausreichend? Warum man MAC Adressen überhaupt sperrt, wenn man die mit sowieso sniffen und spoofen kann, ist mir sowieso nicht klar. Einziges Problem mit einem "guten" Passwort ist, dass ich schon mehrfach Devices hatte, die einfach keine "guten" Passwörter annehmen wollten. Das war einmal ein Netzwerkdrucker und einmal ein Neato Botvac; die Passwörter waren zu lang und konnten nicht eingegeben werden. Beim Drucker war das egal, der lief dann halt am USB Port der FB als Netzwerkdrucker statt im WLAN, aber um meine Passwörter nicht ändern zu müssen, läuft jetzt nur für den Botvac ein Gastnetzwerk mit pille-palle-Passwort.

Quote
GS108E-300PES
Solange alles wie erwartet funktioniet, ist mir der Ruf des Gerätes erstmal zweitrangig. Gibt es eine Alternative mit PoE/PoE+ und mindestens 24, gerne auch 48 Ports?
Und siehe oben: der Switch kann dann VLAN, die Einstellungen werden aber von pfSense festgelegt und weitergereicht? Oder muss ich den dann separat konfigurieren? Noob-Problem: wenn ich mir schon die Mühe mache, pfSense vernünftig zum Laufen zu bekommen, dann möchte ich nach Möglichkeit nicht noch ein weiteres Gerät mit ganz anderen Einstellungen konfigurieren müssen (also sofern es sich vermeiden lässt ^^).

Quote
Wäre `http(s)://<reverse-proxy>/<service>` (ohne ip, ohne port) komfortabel genug? Das leistet ggf. ein extra container auf dem NAS mit nginx, sogar mit acme Zertifikat wenn gewünscht. Dafür muß man auf der pfSense überhaupt nichts machen.
Ich habe so etwas ähnliches mal lokal unter Docker ausprobiert; da wurde immer `http(s)://subdomain.<docker-host>` gemappt. Funktionierte dann aber nicht wie gewünscht und musste zudem Docker als root ausführen. Für Tests war das okay, auf meinem NAS (wo ich Docker eigentlich komplett über Synology GUI statt cli bediene) würde ich das ungern machen.

Wäre hierfür der squid reverse proxy geeignet? pfSense wäre dann ja sowieso sowohl Router, als auch DNS-Server, richtig? Wenn ich dann `service.domain.endung` aufrufe, könnt die Anfrage nicht automatisch an `http(s)://<ip>:<port>/<ggf-pfad>` weitergeleitet werden? Ich hatte gehofft, dass das die simpelste Lösung wäre - oder denke ich da viel zu kompliziert?

Quote
Ich habe zwei UAP AC-LITE und bin damit total zufrieden. Gibt's für ca. 75 EUR. Die neuen Versionen haben sogar PoE nach Standard 802.3af -- anders als in vielen Datenblättern und Produktbeschreibungen u.a bei Amazon noch steht. (Den Netgear Switch z.B. gibt es auch mit PoE, das spart dann den Injector zwischen Switch und AP. Bei Switches mit PoE würde aber auch ich nicht unbedingt zu Netgear greifen ...)
Was wäre denn da die Alternative zu Netgear? Ich hätte schon gerne -insbesondere, wenn noch solche APs mit PoE dazu kommen- schon gerne zuverlässig ggf. allen Geräten PoE zur Verfügung stellen... Da es wirklich einiges an Geräten wird, und mittelfristig ja praktisch zwei getrennte Haushalte versorgt werden sollen, hätte ich halt auch gerne direkt 48 Ports zur Verfügung. Da muss ich dann nicht jeden Raspberry Pi, der vielleicht in Garten oder Garage soll, noch abwegen, ob nicht was "Wichtigeres" demnächst den LAN Port belegen könnte ^^


Wenn die Auswahl zwischen UAP-AC-Lite, UAP-AC-PRO, und UAC-AC-LR stünde... was würdet Ihr mir denn dann raten (unabhängig vom Preis, hier geht es dann nur um die beste Leistung)?

Offline JeGr

  • Moderator
  • Hero Member
  • *****
  • Posts: 3337
  • Karma: +219/-8
  • old man standing
    • View Profile
Re: Anfänger Setup
« Reply #4 on: March 07, 2018, 06:13:34 am »
> Es muss keine APU sein. Was wäre denn angeraten? Bzw. mit welchen Preisen müsste ich rechnen? Je nach Preisklasse könnte ich theoretisch auch ein anderes Gerät nehmen.

Was du brauchst richtet sich eigentlich nach der Leistung die du abrufen willst. Also max. Bandbreite die geroutet werden soll, VPNs, Zusatzdienste etc. - je nachdem kann es eins von vielen Geräten sein :)

> Ich nehme einfach mal an, dass die pfSense Lösung mindestens genau so gut funktioniert, wie die via Pi-Hole....?

pfBlockerNG ist kein Adblocker. Pi-Hole ist das. pfB ist eher ein universelleres Zusatzwerkzeug, das mehrere Dinge kann. Um Werbung o.ä. zu blocken, gibt es Einstellungen und Möglichkeiten, keine Frage. Aber das ist konfigurationsabhängig. IP Blocking ist natürlich recht ressourcenschonend, kann aber ggf. eben auch Domains mit abknipsen, die gar nichts böses sind (weil unter einer IP ggf. mehrere Dutzend Services laufen). DNS Blacklisting kann auch mal wenns schief geht dein DNS lahmlegen - ist also wie gesagt alles konfigurations- und Wunschabhängig. So pauschal sagen "das funktioniert genauso wie das" würde ich nicht, man kann aber ein ähnliches Setup erreichen.

> Verstehe ich das richtig? Ich kann in pfSense nicht "einfach" festlegen "IP/MAC soundso gehören zu VLAN1",

Nein, denn das ist nicht ihr Job. pfSense ist Router/Firewall und damit auf Layer 3, MAC und VLAN spielen aber auf Layer 2 und sind prinzipiell erstmal Switch-Sache.

> sondern ich brauche einen Switch, in dem ich das dann festlege? Oder "versteht" der Switch dann einfach die Befehle von pfSense und regelt die VLANs nach pfSense's Vorgaben dann quasi-automatisch?

Nein, im Switch definierst du im Normalfall Ports als entweder Access oder Trunk Port. Access Ports sind Ports, die ganz normal angeschlossene Geräte haben (PC) die kein VLAN Tagging selbst machen. Und für diesen Access Port kannst du im Switch definieren: "der ist in VLAN 10". Der nächste Port mit PC Freundin bspw. "ist in VLAN 20". Der nächste ist dann für Gäste "VLAN 30" usw. Per default sind die im Default VLAN (meist 1, selten auch 0). Und somit können alle miteinander reden. Stellst du jetzt einige Ports auf 10, andere auf 20 und 30, dann sehen sich plötzlich nur noch Geräte im gleichen VLAN, der Switch erzeugt also in sich mehrere kleine Switche (VLANs) die nur noch Geräte mit gleichem Tag miteinander reden lassen.
Dann gibts noch Trunk Ports, die mehrere VLANs haben. Das wäre dann bspw. der "Uplink" zur pfSense: den Port zur Sense steckt man in VLAN 10,20 & 30 und konfiguriert auf diesem physischen Interface der pfSense dann in der UI die VLANs 10, 20 und 30. Die tauchen dann wie "echte" Interfaces in der Konfiguration auf und können entsprechend eigene IP Bereiche, DHCP und DNS Einstellungen haben und damit dann auch eigene Firewall Regeln.

> Sprich: ein vernünftiges WLAN Passwort auf dem Access Point ist ausreichend?

Jein. Ja für den Hausgebrauch und eine überschaubare Menge an Geräten. Bei öffentlichen/Firmennetzen eher nein, denn da wird das PW dann irgendwann einfach zu weit verbreitet. Deshalb wird dort entweder Enterprise-WPA2 genutzt (mit Login) oder bspw. ein Portal zugeschaltet und das Passwort ab und an rotiert (damit der Vertreter/Kumpel nicht ein Jahr später vor der Tür steht und wieder WLAN hat ;))

> Warum man MAC Adressen überhaupt sperrt, wenn man die mit sowieso sniffen und spoofen kann, ist mir sowieso nicht klar.

Security through obscurity. Es bringt nichts. Genauso wenig wie die SSID ausblenden. Aber viele Menschen fallen gern auf den Trick mit den Händen vor dem Gesicht rein. Ich seh dich nicht, also siehst du mich auch nicht :P SSID Hiding ist sogar kontraproduktiv da sich so andere APs weniger gut auf die verfügbaren APs einstellen und das Frequenzband/Timing teilen können. Aber hey, es wird auch 2018 immer noch in SOHO Routern "Ping von WAN blockieren" als super-duper-Stealth-Feature verkauft...

>  die einfach keine "guten" Passwörter annehmen wollten

Wenn sie WPA2 konform sind/sein wollen, muss eigentlich auch ein entsprechendes Passwort erlaubt sein. Aber mit den Ubiquity APs kann man da einige Späße bauen, für die man sonst ziemlich tief in die Tasche greifen muss. Beispiele wären Radius Based VLANs mit WPA2-Enterprise (WiFi Clients anhand ihres Logins automatisch in ein VLAN packen), Gäste Portal mit Freischaltungen etc.

> Gibt es eine Alternative mit PoE/PoE+ und mindestens 24, gerne auch 48 Ports?

Puh sicher einige. Nur als Gedankenexperiment würde ich aber einwerfen, dass - auch wenn sie ggf. teurer sind - Ubiquity auch Switche macht, auch mit PoE - und man dann zumindest APs und Switche mit der gleichen/ähnlichen Software konfigurieren könnte. Macht es vielleicht einfacher an mancher Stelle :)

> dann möchte ich nach Möglichkeit nicht noch ein weiteres Gerät mit ganz anderen Einstellungen konfigurieren müssen (also sofern es sich vermeiden lässt ^^).

Wie gesagt, Switching läuft auf einem ganz anderen Layer der Router/Firewall ab, so dass du da nicht drumherum kommen wirst. Aber da du APs eh auch konfigurieren musst - siehe oben. Vielleicht lassen sich da 2 Fliegen mit einer Klappe schlagen. Ansonsten gibts auch sehr günstige HP Einsteiger Switche, TP-Links etc. die VLAN, QoS und PoE können und nebenbei eine halbwegs brauchbare WebUI und/oder CLI haben.

> Wäre hierfür der squid reverse proxy geeignet?

Das muss nicht squid sein, das kann wie gesagt HAproxy auch. Ist im Prinzip egal, es muss eben ein Backend und ein Frontend da sein die aufeinander gematcht werden. Wenn du alle Dienste im Docker in einzelnen Instanzen mit unterschiedlichen Ports auf der gleichen IP hast, ist das prinzipiell via HAproxy recht einfach zu machen. Das geht dann mit einem bzw. zwei Frontends (je nachdem ob man WAN und LAN machen muss) und multiplen Backends, die dann nach Domain unterschieden werden. Da gibts sogar ein Template für.

> Was wäre denn da die Alternative zu Netgear?

Siehe oben, ggf. mal bei ubiquity selbst oder dann eben Netgear, TP-Link, HP o.ä. schauen.

> Wenn die Auswahl zwischen UAP-AC-Lite, UAP-AC-PRO, und UAC-AC-LR stünde... was würdet Ihr mir denn dann raten (unabhängig vom Preis, hier geht es dann nur um die beste Leistung)?

Kommt drauf an, was für Geräte du im WLAN hast. In den meisten Fällen habe ich jetzt gesehen, dass das Handys, kleinere Kisten etc. sind, die keine "Mega-Krasse-Performance" brauchen und nur selten mal wirklich ein Laptop, das auf ein NAS zugreifen will. Da außer Laptops sehr selten Geräte mehr als ein bis zwei Antennen verbaut haben, ist der UAC-AC-PRO mit dem ganzen MIMOmublubb zwar toll, aber die wenigsten Geräte rufen dann die super-duper-Megabits auch ab ;) Das war der Grund, warum ich mich eher für den klein wenig langsameren -LR entschieden habe, der ne höhere Leistung hat und damit eine größere Reichweite als der PRO, dafür im 5GHz Netz aber theoretisch ein klein wenig langsamer wäre. Praktisch ist er manchmal sogar schneller als der Pro (laut Messung von einem Testbericht), da er an den Rändern eben noch bessere Abdekcung und daher Geschwindigkeit hat, als der Pro und man dann doch mal eher ne höhere Rate bekommt.

Wenn dir ein AP eh nicht reicht von der Abdeckung, ist eben die Frage ob es 2 LR oder 2 PRO werden, den Lite würde ich eher außen vor lassen. Bei mehr als einem kannst du noch überlegen ob du den Cloud Key mitnimmst. Das ist im Prinzip nen Mini Rechner mit der Konfigurationssoftware als Bundle. Wenn du aber noch nen Raspi3 o.ä. über hast, kannst du den auch selbst nutzen/bauen. Nur bei mehr als einem AP und bei bspw. dem Portal Feature sollte die Software eben im Netz erreichbar und immer aktiv sein wegen Handover etc. Bei einem AP ohne Portal muss das nicht sein, da reichts wenn man sich die irgendwo installiert und startet bei Bedarf.

Gruß Jens
Don't forget to [applaud] those offering their time and brainpower to help you!

If you're interested, I'm available via PM to discuss details of German-speaking paid support services.

Offline Grimson

  • Sr. Member
  • ****
  • Posts: 430
  • Karma: +63/-7
    • View Profile
Re: Anfänger Setup
« Reply #5 on: March 07, 2018, 08:11:48 am »
Das war der Grund, warum ich mich eher für den klein wenig langsameren -LR entschieden habe, der ne höhere Leistung hat und damit eine größere Reichweite als der PRO, dafür im 5GHz Netz aber theoretisch ein klein wenig langsamer wäre.

Dir ist aber schon klar das der LR in Deutschland seine höhere Leistung gar nicht nutzen kann, da die Sendeleistung hier vom Gesetzgeber eh so stark beschränkt ist das selbst die anderen APs nicht ihr Maximum nutzen können. Du kannst ihn natürlich mit einer anderen Ländereinstellung betreiben, musst dann aber hoffen das sich keiner der Nachbarn mit der Materie auskennt und dich verpfeift, denn das kann echt teuer werden.

Was die höhere Übertragungsrate des Pro angeht, mein Smartphone (Xperia Z3+) beherrscht die und ist alles andere als aktuell, ebenso die meisten Samsung Geräte. Im Smartphone merkt man das zwar nicht so sehr, aber z.B. hat ein kleiner 30 Euro Dongle da meinem alten Laptop einen gehörigen Schub verpasst und auf einem Laptop merkt man das doch schon deutlich.

@mims
Ich nutze als Switch einen Netgear JGS524PE, der funktioniert recht gut. Allerdings musst du bei 24 und 48 Port Geräten mit POE bedenken das es diese in der Regel nicht Lüfterlos gibt, wenn der Switch im Keller oder Abstellraum steht ist das kein Problem. Soll er ins Büro oder gar Wohnzimmer können die kleinen Lüfter nach ner Zeit tierisch nerven.

Ich hab den JGS524PE im Büro stehen und hab inzwischen den Lüfter gegen einen leisen von Noctua getauscht, dadurch ist aber natürlich die Garantie weg und die LED für die Lüfterwarnung am Switch leuchtet Orange weil der Noctua etwas langsamer läuft als die original Turbine.

Von TP-Link würde ich Abstand halten: https://forum.pfsense.org/index.php?topic=123324.0

Offline JeGr

  • Moderator
  • Hero Member
  • *****
  • Posts: 3337
  • Karma: +219/-8
  • old man standing
    • View Profile
Re: Anfänger Setup
« Reply #6 on: March 07, 2018, 09:03:58 am »
> Dir ist aber schon klar das der LR in Deutschland seine höhere Leistung gar nicht nutzen kann, da die Sendeleistung hier vom Gesetzgeber eh so stark beschränkt ist das selbst die anderen APs nicht ihr Maximum nutzen können. Du kannst ihn natürlich mit einer anderen Ländereinstellung betreiben, musst dann aber hoffen das sich keiner der Nachbarn mit der Materie auskennt und dich verpfeift, denn das kann echt teuer werden.

Doch kann ich, weil man es messen kann. Der AC-PRO liegt laut Tests und Messungen meist bei etwas unter ~20db während der AC-LR ~25db könnte, durch DE Einstellung aber auf die 20-21db gedrosselt wird, die in DE erlaubt sind. Mit USA Setting könnte er tatsächlich auf ~24 hochgehen, brauche ich in der Wohnung aber nicht.
Soweit ich weiß ist der Reichweitenvorteil nicht nur durch mehr Leistung begründet, sondern darin, dass beim -LR eine 3-Polaritäts-Antenne verbaut ist, beim -PRO nicht, da hier statt dem 2x2 ein 3x3 Antennen-Array platz finden musste. Deshalb hat auch trotz gleicher DB Angabe im 5GHz Bereich der LR ggü. dem PRO einen höhere Reichweite.

Punkt ist: Ich (persönlich) brauche die beim AC-PRO verfügbaren 2x Gigabit nicht, 1x reicht mir. USB brauch ich auch nicht. Kaum ein WiFi Gerät von mir hat ein 3x3 Antennenarray verbaut, die meisten gerade eine oder 2x2 Setting. Somit ist das "Mehr" an Kosten/Nutzen des PRO für mich so gut wie nicht nutzbar. Außer bei meinem neuesten Laptop mit 3x3 Array könnte ich kein Gerät voll ausfahren. Der PRO könnte outdoor verwendet werden - ebenfalls uninteressant für mich, da mir ein AP nun für alles gut reicht :) Dafür habe ich mit dem LR den Vorteil des kleineren Geräts (Durchmesser ist kompakter), komme mit einem 12W PoE Injector aus im Gegensatz zum PRO der einen 24W braucht und der Max Verbrauch ist gut 1/3 weniger. Mag nicht viel sein, aber hey.

Bzgl. Smartphone: Von was sprichst du? Mir wäre kein halbwegs aktuelles Smartphone (kein aktuelles Flagschiff sondern was das ~1J alt ist) bekannt, das ein 3x3 5GHz Antennen Array verbaut hat. Und ohne das kannst du zwar gern 802.11ac nutzen, aber nicht den PRO ausreizen. Bislang sind mir aus der Fertigung nur miniPCIe Devices bekannt, die 3x3 Arrays haben und Prototypen von 3x3 für kleineres. Aber dein Xperia z3+ bezweifle ich ungemein, dass es 3x3 Arrays eingebaut hat ;)

Bzgl. Switch: Was genau will dein Link (gegen TP-Link) sagen? Ich verstehe nicht was das Topic hier für Relevanz hat?
Don't forget to [applaud] those offering their time and brainpower to help you!

If you're interested, I'm available via PM to discuss details of German-speaking paid support services.

Offline Grimson

  • Sr. Member
  • ****
  • Posts: 430
  • Karma: +63/-7
    • View Profile
Re: Anfänger Setup
« Reply #7 on: March 07, 2018, 09:43:13 am »
Doch kann ich, weil man es messen kann. Der AC-PRO liegt laut Tests und Messungen meist bei etwas unter ~20db während der AC-LR ~25db könnte, durch DE Einstellung aber auf die 20-21db gedrosselt wird, die in DE erlaubt sind. Mit USA Setting könnte er tatsächlich auf ~24 hochgehen, brauche ich in der Wohnung aber nicht.
Soweit ich weiß ist der Reichweitenvorteil nicht nur durch mehr Leistung begründet, sondern darin, dass beim -LR eine 3-Polaritäts-Antenne verbaut ist, beim -PRO nicht, da hier statt dem 2x2 ein 3x3 Antennen-Array platz finden musste. Deshalb hat auch trotz gleicher DB Angabe im 5GHz Bereich der LR ggü. dem PRO einen höhere Reichweite.

Ich hatte beide hier und ein Kollege hat die mit einem Profi-Messgerät verglichen, der Unterschied in der Reichweite/Frequenzstärke war so minimal das er im Bereich des Messfehlers des Messgerätes war. Das in einem Altbauhaus mit dicken Steinwänden inkl. ne Menger Metallschrott, der in den Holblöcken "entsorgt" wurde.


Bzgl. Smartphone: Von was sprichst du? Mir wäre kein halbwegs aktuelles Smartphone (kein aktuelles Flagschiff sondern was das ~1J alt ist) bekannt, das ein 3x3 5GHz Antennen Array verbaut hat. Und ohne das kannst du zwar gern 802.11ac nutzen, aber nicht den PRO ausreizen. Bislang sind mir aus der Fertigung nur miniPCIe Devices bekannt, die 3x3 Arrays haben und Prototypen von 3x3 für kleineres. Aber dein Xperia z3+ bezweifle ich ungemein, dass es 3x3 Arrays eingebaut hat ;)

Der LR kann im 5GHz Band bis 867 Mbps, der Pro bis 1300 Mbps. Und ja das Z3+ kann auch bis 1300 Mbps und schafft das hier auch, das gleiche gilt für mein Galaxy Tab S3. Der Pro ist hier eindeutig schneller und ich erreiche diese Geschwindigkeiten auch mit meinen Geräten.

Bzgl. Switch: Was genau will dein Link (gegen TP-Link) sagen? Ich verstehe nicht was das Topic hier für Relevanz hat?

Nun er möchte VLANs einsetzen, da ist ein Switch bei dem man VLAN1 nicht von den Ports lösen kann eine schlechte Wahl. Klar kann man die Konfiguration entsprechend anpassen und VLAN1 gar nicht nutzen, aber man muß ja den Mist den TP-Link da produziert nicht noch mit Geld honorieren.

Offline JeGr

  • Moderator
  • Hero Member
  • *****
  • Posts: 3337
  • Karma: +219/-8
  • old man standing
    • View Profile
Re: Anfänger Setup
« Reply #8 on: March 07, 2018, 10:24:09 am »
> Und ja das Z3+ kann auch bis 1300 Mbps und schafft das hier auch, das gleiche gilt für mein Galaxy Tab S3. Der Pro ist hier eindeutig schneller und ich erreiche diese Geschwindigkeiten auch mit meinen Geräten.

Faszinierend :D Zitat Sony: "durch verbesserte MIMO-Antennentechnik sind über WLAN-ac nun bis zu 867 MBit/s möglich." Wie du 1300 schaffst frage ich mich dann doch :P

> aber man muß ja den Mist den TP-Link da produziert nicht noch mit Geld honorieren.

Schöne Einstellung. Kann ich zu Netgear 1:1 auch so sagen. Kommt eben immer aufs Gerät an. Man kann bei TP-Link sehr wohl Ports sinnvoll konfigurieren. Vor allem bei den nicht winzigen Geräten mit 5 Port Smart & Easy. Die sind genauso gut oder schlecht wie anderer Kram von Netgear et al auch. Wir reden hier über Gerätschaft von ~25€. Und selbst da ist es diskutabel ob das jetzt ein Riesen Drama ist, wenn ein Switch so billig VLAN1 als Management für die UI fix eingebrannt hat (was dann korrekt eine Beschränkung ist), aber die Ports ansonsten ordentlich in seinen VLANs isoliert. Zudem reden wir nicht von Enterprise Einsatz.
Hinzu kommt, dass das bislang nur bei den beiden kleinsten LowCost Teilen der Fall ist. Wir wollen dann aber nicht anfangen über Ausfallraten bei Netgears Billigware oder andere <100€ HW zu diskutieren. Das ist dann sehr witzlos.

Wie oben schon beschrieben gehts hier ja bereits um 24-48 Port Geräte und da wäre es vielleicht aus naheliegendem Grund gar nicht so verkehrt in andere Richtungen zu schauen - Ubiquity wegen APs etc. Und da gehts dann nicht mehr um billige kleine Switche ;)
Don't forget to [applaud] those offering their time and brainpower to help you!

If you're interested, I'm available via PM to discuss details of German-speaking paid support services.

Offline Grimson

  • Sr. Member
  • ****
  • Posts: 430
  • Karma: +63/-7
    • View Profile
Re: Anfänger Setup
« Reply #9 on: March 07, 2018, 11:08:27 am »
Faszinierend :D Zitat Sony: "durch verbesserte MIMO-Antennentechnik sind über WLAN-ac nun bis zu 867 MBit/s möglich." Wie du 1300 schaffst frage ich mich dann doch :P

Nun ich verlasse mich hier auf die Link Geschwindigkeit die mir der Controller anzeigt. Evtl. liegt es auch daran das ich ein Z4 aus Japan habe, was aber eigentlich baugleich mit dem Z3+ sein soll.

Wie oben schon beschrieben gehts hier ja bereits um 24-48 Port Geräte und da wäre es vielleicht aus naheliegendem Grund gar nicht so verkehrt in andere Richtungen zu schauen - Ubiquity wegen APs etc. Und da gehts dann nicht mehr um billige kleine Switche ;)

Zumindest konnte ich selbst bei dem ganz kleinen GS105eV2 von Netgear das VLAN1 von den Ports entfernen. Mein Post war auch nicht als "kauf Netgear" gedacht, ich habe nur geschrieben das bei mir der Netgear Switch recht gut funktioniert. Wichtiger ist die Sache mit den Lüftern, was man eben bedenken sollte wenn man einen Switch zu Hause im Büro/Wohnzimmer oder ähnlichem platzieren will/muss. Und eben das man die VLANs ordentlich konfigurieren kann. Bei 48 Ports mit POE würde ich eh nicht mehr geizen und in Richtung HP oder Cisco schauen.

Aber wir können es ruhig dabei belassen das wir verschiedener Meinung sind. Am Ende muss sich der OP eh selbst überlegen was für seine Zwecke, und seinen Geldbeutel, am besten geeignet ist.

Offline JeGr

  • Moderator
  • Hero Member
  • *****
  • Posts: 3337
  • Karma: +219/-8
  • old man standing
    • View Profile
Re: Anfänger Setup
« Reply #10 on: March 08, 2018, 06:01:01 am »
> Wichtiger ist die Sache mit den Lüftern, was man eben bedenken sollte wenn man einen Switch zu Hause im Büro/Wohnzimmer oder ähnlichem platzieren will/muss.

Richtig, das kann durchaus ein störender Faktor sein, es sei denn man hat sowas wie einen kleinen Betriebsraum bei sich im Keller oder sonstwo, wo das nicht stört. Ein Grund, warum ich damals die HP1810er gekauft hatte, da sie recht günstig (für 24 Ports + 2x SFP+) waren, die Oberfläche HTML only und halbwegs sauberes VLAN abbilden können (auch wenns gruselig dargestellt wird) und dabei keinen Lüfter haben. Werden zwar im Sommer mal ein wenig warm, aber bislang ohne Problem.

Da der OP schon meinte, er würde gern mit so wenig Tools/Oberflächen wie möglich arbeiten, war mein Gedanke hier eben ggf. Switche von Ubiquity mit ins Boot zu holen. Alternativ gibts sicher ne günstige Serie von Cisco (wobei die günstigen Ciscos ja dann auch wieder keine sind sondern meist Ex-Linksys oder anderes Gedöns) oder HP (auch hier muss man aufpassen, die 19xx'er waren das glaube ich, die eigentlich alte 3COMs sind mit absolut gruseliger Oberfläche, kann mich aber täuschen).

Vielleicht gibts ja jemand der auch eine Empfehlung hat, wenn man ein paar PoE Ports brauchen könnte (gibt ja durchaus Misch-Konfigurationen mit 24/48 Ports bei denen 8/12 Ports PoE fähig sind). :)
Don't forget to [applaud] those offering their time and brainpower to help you!

If you're interested, I'm available via PM to discuss details of German-speaking paid support services.

Offline mims

  • Newbie
  • *
  • Posts: 7
  • Karma: +0/-0
    • View Profile
Re: Anfänger Setup
« Reply #11 on: March 08, 2018, 06:03:49 am »
Wow, danke für die ganzen Infos!

Bevor ich jetzt genauer darauf eingehe (mit weiteren Fragen ;)), vorab nur kurz die momentan wichtigste Frage: ich wollte jetzt eigentlich eine APU2C4 anschaffen. Das zugehörige 19" Gehäuse (was auch für meine bereits vorhandene APU1D passt), ist heute angekommen. Gibt es in der Preisklasse (ggf. unwesentlich teurer) etwas Besseres als die APU2C4? Denn dann würde/müsste ich das 19" Gehäuse direkt wieder retournieren und gar nicht erst auspacken.......

Ist die hier im Forum beworbene SG-1000 microFirewall ausreichend? 1x WAN 1x LAN müsste für mich ausreichend sein; wenn überhaupt werden die LANs ja via VLAN getrennt, insofern benötige ich den 2. ETH Port (den bsp. APU1D oder APU2C4 mitbringen) AFAIK nicht. (Oder??)

Bzw. eben zeitlich wichtige Frage: statt ner APU lieber was anderes in ungefähr derselben Preisklasse? Was auch für die Zukunft noch geeignet ist (also beispielsweise nicht bald irgendwelche Verschlüsselungsstandarts nicht mitmacht). Ob ich jetzt 175 EUR oder 225 EUR zahle, ist relativ egal, solange ich dafür dann ein wirklich passendes Gerät habe :)

Auf die anderen Punkte gehe ich später noch mal in Ruhe ein =)

Offline Grimson

  • Sr. Member
  • ****
  • Posts: 430
  • Karma: +63/-7
    • View Profile
Re: Anfänger Setup
« Reply #12 on: March 08, 2018, 06:30:01 am »
Also der SG-1000 ist IMHO ein nettes Spielzeug bzw. ganz passable für einen Camper der das Teil über Batterien/Solar betreiben will. Für den dauerhaften Einsatz wäre der mir zu schwachbrüstig. Da schau dir eher den SG-3100 an, oder die MinnowBoard Produkte von Netgate: https://store.netgate.com/MBT-4220-system.aspx.

Wobei ich persönlich bei dieser Art von Produkten nicht so der Experte bin, ich baue lieber selber mit Mini-ITX boards und Standard Komponenten. Da ist dann das Gehäuse zwar etwas größer, und evtl. der Stromverbrauch ein paar Watt höher, aber dafür kann ich jede Komponente ohne Probleme einzeln upgraden bzw. bei Defekten ersetzen.

Offline monstermania

  • Jr. Member
  • **
  • Posts: 40
  • Karma: +2/-0
    • View Profile
Re: Anfänger Setup
« Reply #13 on: March 08, 2018, 10:00:49 am »
Gibt es in der Preisklasse (ggf. unwesentlich teurer) etwas Besseres als die APU2C4?
Nein,
in der Preisklasse ~ 200€ gibt es m.E. nichts vergleichbares. In der Kombination aus Kompaktheit/Leistung/Energieverbrauch/Preis steht die APU2 ziemlich einzigartig da.
Ganz klar, besser geht immer. Nur wird es dann ganz schnell auch ganz schön schnell teuer.  ;)
Quote
Ist die hier im Forum beworbene SG-1000 microFirewall ausreichend? 1x WAN 1x LAN müsste für mich ausreichend sein; wenn überhaupt werden die LANs ja via VLAN getrennt, insofern benötige ich den 2. ETH Port (den bsp. APU1D oder APU2C4 mitbringen) AFAIK nicht. (Oder??)
Ob das Teil reicht, kannst nur Du zu sagen. Kommt immer auf Die Anforderungen an. ;-)
Zum Thema VLAN solltest Du berücksichtigen, dass sich alle VLAN-Netze den einen NIC teilen. Sprich, wenn Du 3 VLANS nutzt teilen sich diese 3 VLANS den einen 1 Gbit NIC. Das kann für den Einen oder Anderen schon eng werden, wenn Du z.B. ein NAS in der DMZ hast und gleichzeitig mit Clients aus dem LAN oder WLAN auf das NAS zugreifst.
Eine APU2 ist da m.E. deutlich flexibler und performanter.
Dazu kommt dann noch, dass Du nicht ausschließlich auf pfsense festgelegt bist wie z.B. bei einer SG1000/3100.  :)

Offline JeGr

  • Moderator
  • Hero Member
  • *****
  • Posts: 3337
  • Karma: +219/-8
  • old man standing
    • View Profile
Re: Anfänger Setup
« Reply #14 on: March 08, 2018, 11:22:24 am »
> Ob das Teil reicht, kannst nur Du zu sagen. Kommt immer auf Die Anforderungen an. ;-)

Ich rate den meisten Kunden - aber das sind natürlich Firmenkunden - davon ab. Auch im Homeoffice, da:

- Traffic Durchsatz mit Filter only bei rund 150-200Mbps, ggf. inzwischen ein wenig höher aber trotzdem Oberkante
- VPN Durchsatz ~10-15Mbps TOP. Mehr geht nicht auf der HW
- Gigabit gibts trotz zweier Interfaces nicht, weil die intern am gleichen Bus hängen (ähnlich Raspi) und daher niemals Gigabit Performance schaffen würden, selbst wenn nur nackte Hardware + minimal Routing laufen würde (dann liegt er wohl bei ~450Mbps nackt und ohne alles)
- bestimmte Pakete gar nicht oder nur minimal nutzbar.

Gerade weil der OP schon Pakete wie pfBlocker etc. angesprochen hat, wäre mir die Hardware extremst zu klein.

Die SG-3100 ist tatsächlich was für den Heimeinsatz, ich finde das Gerät trotzdem irgendwie eine (kleine) Fehlbesetzung, da die 6 Interfaces gesplittet sind in 2 echte und ein interner Chip der auf 4 Einzelchips splittet - daher die 1+1+4 Interface Konfiguration, die man dort findet. Man kann also max. 1 WAN und 1 DMZ bauen, die anderen 4 Interfaces sind über den 5. internen Chip gebridged und quasi ähnlich einer FritzBox als Switch konfigurierbar. Klar, wenn man sowas sucht, mag das ideal sein. Ich hatte die 3100 kurz für einen Kunden als Ersatz für eine SG-2440 da und war nicht so angetan. Die Basisplatte ist zwar massiv, das restliche Gehäuse aber knarzig und klapprig und die UI für den internen Switch zur Konfiguration noch lange nicht ausgegoren. Ich fand das nicht intuitiv zu konfigurieren, sondern eher ein wenig ... chaotisch trifft es wohl - da in der Switch Konfiguration plötzlich das interne 5. Bridge Interface sichtbar ist und damit auch konfigurierbar. Intuitiv fand ich somit die Konfiguration des Switches nicht. Eher sehr fehleranfällig. Power hatte das ARM Gerät zwar, welche Performance maximal konnte ich leider nicht testen - dazu hatte ich es zu kurz. Wird aber wohl irgendwo zwischen 2220 und 2440 angesiedelt sein.

Da die Kiste auch schon über den ~220 einer APU2 liegt, würde ich erstmal dabei bleiben, es sei denn, du hast Größeres vor was Pakete wie IDS/IPS angeht oder du braucht intra-VLAN-Routing Durchsatz mit Gigabit. Da wirds bei der APU2 auch eher enger.

Gruß
Don't forget to [applaud] those offering their time and brainpower to help you!

If you're interested, I'm available via PM to discuss details of German-speaking paid support services.