Hulp gevraagd bij aankoop router met vlan-functionaliteit

maandag 19 september 2016 11:50

Acties:

Topicstarter

Beste tweakers,

Op dit moment gebruik ik een pc met Linux als gateway/router/firewall/dhcp-server. Deze deelt ook tagged vlans uit. Bevalt goed, geen problemen, kan er alles mee wat ik wil.

Met het oog op energiebesparing wil ik deze machine vervangen door een router waar ik hetzelfde mee kan, tagged of port-based vlans maakt niet uit. Budget: tot EUR300.

Ik kom op meerdere forums tegen dat bijvoorbeeld de Fritzbox 7490, Netgear Nighthawk, Ubiquity Edgerouter Lite en Mikrotik dit kunnen.

Alleen als ik op de site van de fabrikanten de specificaties bekijk, wordt er met geen woord gerept over vlans of 802.1q, en wil wel zeker weten dat ik een geschikt apparaat koop.

Mijn vraag is: welke tweaker heeft ervaringen met een van bovenstaande apparaten en gebruikt van vlan-functionaliteit? Of heeft een andere suggestie? (liefst geen dd-wrt)

Bij voorbaat dank!

maandag 19 september 2016 11:58

Acties:

wizai

Ik gebruik een Mikrotik RB2011, als router achter een bridged ExperiaBox V8 (KPN ADSL)
Deze router is zeer uitgebreid, dat betekent wel dat je enige kennis moet hebben om het in te stellen.
Het OS is RouterOS, van MikroTik zelf. Ik vind het overzichtelijk.

VLAN's kunnen hier zeker op geconfigureerd worden, evenals VPN/IPSEC verbindingen.
Voordeel is ook dat er online heel wat documentatie te vinden is.

Anjunabeats

maandag 19 september 2016 12:10

Acties:

ray0755

Topicstarter

wizai schreef op maandag 19 september 2016 @ 11:58:
Ik gebruik een Mikrotik RB2011, als router achter een bridged ExperiaBox V8 (KPN ADSL)
Deze router is zeer uitgebreid, dat betekent wel dat je enige kennis moet hebben om het in te stellen.
Het OS is RouterOS, van MikroTik zelf. Ik vind het overzichtelijk.

VLAN's kunnen hier zeker op geconfigureerd worden, evenals VPN/IPSEC verbindingen.
Voordeel is ook dat er online heel wat documentatie te vinden is.

De RB2011 kwam ik inderdaad ook tegen. Ik zie drie modellen, de iL-IN, de UiAS-IN en de UiAS-2HnD-IN. Ik zit nu de verschillen tussen de iL-IN en de UiAS-IN te bekijken.

Edit - Na het een en ander gegoogled te hebben en screenshots van de webgui te hebben bekeken, neig ik naar de RB2011UiAS-RM. Ga ik even wat meer over opzoeken.

[ Voor 10% gewijzigd door ray0755 op 19-09-2016 12:34 ]

maandag 19 september 2016 12:38

Acties:

Jan-man

Al gekeken naar de unify edgerouter serie ? kan dit ook allemaal.

maandag 19 september 2016 12:42

Acties:

oef!

Op Ars stond kortgeleden nog een artikel over routers voor enthousiastelingen. VLAN's worden er niet in genoemd maar googelen is makkelijk:

http://arstechnica.com/ga...ests-tougher-competition/

maandag 19 september 2016 12:49

Acties:

chickpoint

ray0755 schreef op maandag 19 september 2016 @ 12:47:
[...]

Dank, ik zie nu in de Pricewatch dat daar inderdaad vlan en vlan-routing genoemd wordt, maar op de site van Ubiquity kon ik daar niets over vinden.

De EdgeRouter Lite is een verkapte Linux bak. Deze heeft vrij goede performance voor een nette prijs. Daar draait Edge OS op wat eigenlijk niet anders is als Vyatta. Meer dan genoeg mogelijkheden.

Ik heb echt geen 9 tot 5 mentaliteit! Eerder 10 tot 3...

maandag 19 september 2016 14:26

Acties:

johnkeates

Ter volledigheid:

als je een dikke pijp hebt liggen thuis en je niet te veel gare geintjes uit haalt kan je met een MIPS-based MikroTik prima werken, stel dat je wat meer wil doen waar een simpele hardware NAT offload niet meer voldoende is, dan vallen nagenoeg alle RouterBoards, EdgeRouters en alle consumentenmeuk af, en ga je vrij rap richting ARM en Intel.

Dan kom je op het eerste station aan bij de µFW of een zelfbouw doosje met een Celeron J1900, dat zit ook rond de 300 euro, dan heb je tussen de 2 en 4 Intel NICs, keuze tussen OpenWRT en pfSense (maar ook andere software zal prima draaien, zolang het maar Linux of BSD based is), en ga je gemiddeld wel gigabit snelheden halen, tenzij je ranzig veel kleine pakketjes moet verwerken in plaats vooral grotere pakketjes.

maandag 19 september 2016 14:26

Acties:

lier

MikroTik nerd

Voor de zekerheid...welke routeringssnelheid heb je nodig (of verwacht je)?
En waarom ga je niet voor de snellere broer van de 2011, de 3011?

Eerst het probleem, dan de oplossing

maandag 19 september 2016 14:36

Acties:

ray0755

Topicstarter

johnkeates schreef op maandag 19 september 2016 @ 14:26:
Ter volledigheid:

als je een dikke pijp hebt liggen thuis en je niet te veel gare geintjes uit haalt kan je met een MIPS-based MikroTik prima werken, stel dat je wat meer wil doen waar een simpele hardware NAT offload niet meer voldoende is, dan vallen nagenoeg alle RouterBoards, EdgeRouters en alle consumentenmeuk af, en ga je vrij rap richting ARM en Intel.

Dan kom je op het eerste station aan bij de µFW of een zelfbouw doosje met een Celeron J1900, dat zit ook rond de 300 euro, dan heb je tussen de 2 en 4 Intel NICs, keuze tussen OpenWRT en pfSense (maar ook andere software zal prima draaien, zolang het maar Linux of BSD based is), en ga je gemiddeld wel gigabit snelheden halen, tenzij je ranzig veel kleine pakketjes moet verwerken in plaats vooral grotere pakketjes.

Ben ik mij van bewust. Ik heb absoluut geen snelle verbinding, er is af en toe wat remote toegang maar niks "heftigs". Wat ik belangrijk vind is gescheiden netwerken ivm testomgevingen en gasten.

Wat ik nu heb is ook zelfbouw, maar vind ik nogal overkill wat energieverbruik betreft en processorkracht (dual core 2.8 Ghz).

maandag 19 september 2016 14:37

Acties:

mindwarper

Wat ik zelf gebruik is iets complexer, maar daarom niet minder "leuk" om mee te werken

1. Ziggo Ubee Modem in bridge mode
2. ASUS RT-AC68U met static routes (LAN gedeelte) naar mijn VLAN subnets (zie 3.) en een LAN kabel naar mijn L3 switch en WAN interface met Ubee verbonden op LAN 1
3. Een Layer 3 switch, in mijn geval een 2e hands Cisco 3750G-24TS-E1U met IP Services IOS image (eBay gekocht ooit ~350 €) en handmatig geüpdate naar een na laatste nieuwste versie

dan op mijn Cisco switch VLANs gedefinieerd (een 4-tal en 1 management VLAN (nee dus niet VLAN 1) en 1 VLAN voor communicatie met ASUS RT-AC68U en dus de buitenwereld)
werkt goed

dan deze switch verder in huis getrunkt met nog 2 andere L2 cisco switches en dan daarop de ports zo indelen welek tot welk VLAN moeten behoren

wel Cisco kennis nodig om goed te configureren. heb zelf ooit CCNA gedaan

en internet is my friend... en veel uittesten en uitproberen

Ik besef mij dat dit wellicht niet antwoord is op TS zijn vraag, maar ik wilde het meegeven dat je dus ook een L3 switch optie kunt bekijken om met VLANs en DHCP in L3 switch kan werken...
en er zijn alternatieven voor Cisco, maar dat is waar ik het liefste mee werk en eBay is my friend too

[ Voor 44% gewijzigd door mindwarper op 19-09-2016 14:55 . Reden: extra info & typo's ]

Enthoo Primo || Ryzen 9 5900X || Asus VIII Dark Hero || TridentZ Royal Silver F4-3600C14D-32GTRS Samsung B-Die || Radeon 6800 XT || Kraken X73 w/ 6x NF-A12x25 || 2x WD Black SN850 1TB || WD-HGST 6TB en 18TB || Seasonic Prime Titanium Ultra 1kW

maandag 19 september 2016 14:44

Acties:

ray0755

Topicstarter

lier schreef op maandag 19 september 2016 @ 14:26:
Voor de zekerheid...welke routeringssnelheid heb je nodig (of verwacht je)?
En waarom ga je niet voor de snellere broer van de 2011, de 3011?

Routeringssnelheid heb ik me nooit mee beziggehouden eigenlijk. Gebruik meestal "afgedankte" apparatuur die ik heb of krijg, weet ik altijd wel weer wat van te maken.

De 3011 is inderdaad een stuk sneller zie ik, en niet zoveel duurder.

maandag 19 september 2016 14:51

Acties:

Verwijderd

Maar een 2011 kan makkelijk 300-450 Mbps routeren hoor....

Je moet het gewoon "goed" configureren (zoals de VLAN's op de switch chip zetten, en NIET op de processor). Dan gaat het wel goed.

maandag 19 september 2016 14:54

Acties:

DukeBox

loves wheat smoothies

Af en toe kan je ook een asa 5506-x goedkoop vinden op e-bay, heb er zo zelf een voor ff ruim €300 gekocht als vervanging van mijn 5505. Misschien een optie ?
Houd er alleen rekening mee dat het een firewall is en geen router.. maar ik denk dat wat jij wil geen probleem is.

[ Voor 27% gewijzigd door DukeBox op 19-09-2016 14:55 ]

Duct tape can't fix stupid, but it can muffle the sound.

maandag 19 september 2016 14:56

Acties:

chaoscontrol

Mtik 2011 doet makkelijk gigabits tussen Vlans hoor. Nog nooit problemen mee gehad.

Inventaris - Koop mijn meuk!

maandag 19 september 2016 15:13

Acties:

ray0755

Topicstarter

Dank allen, ik ga de suggesties even laten bezinken en mijn hersens wat rust geven!

Wat in ieder geschrapt is zijn de Fritzbox en Nighthawk. Ga sowieso voor een rackmount oplossing.

maandag 19 september 2016 17:03

Acties:

Dav1d

Andere goedkope opties met VLAN ondersteuning, maar wel beperkt tot maximaal 4 of 5 VLANs/subnetten:
HP R110
Cisco RV130 of hoger
Linksys LRT214
DrayTek Vigor 2132, 2925

maandag 19 september 2016 17:26

Acties:

ray0755

Topicstarter

Ik ben er uit, het gaat de Mikrotik RB3011 worden. Iedereen bedankt voor het meedenken!

maandag 19 september 2016 17:56

Acties:

mindwarper

Laat ons weten wat je ervaringen zijn, goed?
ik ben namelijk mogelijk ok wel te porren voor zo een apparaat in de toekomst...

Enthoo Primo || Ryzen 9 5900X || Asus VIII Dark Hero || TridentZ Royal Silver F4-3600C14D-32GTRS Samsung B-Die || Radeon 6800 XT || Kraken X73 w/ 6x NF-A12x25 || 2x WD Black SN850 1TB || WD-HGST 6TB en 18TB || Seasonic Prime Titanium Ultra 1kW

maandag 19 september 2016 18:09

Acties:

ray0755

Topicstarter

mindwarper schreef op maandag 19 september 2016 @ 17:56:
Laat ons weten wat je ervaringen zijn, goed?
ik ben namelijk mogelijk ok wel te porren voor zo een apparaat in de toekomst...

Volgens mij kan ik in de Pricewatch een review schrijven toch? Of in dit topic natuurlijk.

dinsdag 20 september 2016 07:47

Acties:

mindwarper

ray0755 schreef op maandag 19 september 2016 @ 18:09:
[...]

Volgens mij kan ik in de Pricewatch een review schrijven toch? Of in dit topic natuurlijk.

Klopt allebei!
Dank alvast!

[ Voor 80% gewijzigd door mindwarper op 20-09-2016 07:49 . Reden: Quote toevoegen ]

Enthoo Primo || Ryzen 9 5900X || Asus VIII Dark Hero || TridentZ Royal Silver F4-3600C14D-32GTRS Samsung B-Die || Radeon 6800 XT || Kraken X73 w/ 6x NF-A12x25 || 2x WD Black SN850 1TB || WD-HGST 6TB en 18TB || Seasonic Prime Titanium Ultra 1kW

dinsdag 20 september 2016 15:28

Acties:

wizai

ray0755 schreef op maandag 19 september 2016 @ 17:26:
Ik ben er uit, het gaat de Mikrotik RB3011 worden. Iedereen bedankt voor het meedenken!

Erg benieuwd hoe de Mikrotik RB3011 gaat bevallen.
Ik houd de review in de gaten

Anjunabeats

donderdag 22 september 2016 00:55

Acties:

ray0755

Topicstarter

Update:

Mensen, nogmaals dank voor alle hulp en suggesties! Uiteindelijk heb ik afgelopen maandag de RB3011UiAS-RM besteld, die ik de volgende dag al in huis had. Snelle service van Azerty.

Gelijk aan de slag gegaan, al was ik in eerste instantie overdondert door het zeer uitgebreide menu en de hoeveelheid instellingen.

Het was even uitvogelen hoe de setup met vlans werkte, aangezien ik alleen bekend was met vlans aanmaken in Linux via de cli, wat in grote lijnen niet veel meer is dan een netwerk-config maken waar je een parent-interface aangeeft. Hier had ik te maken met twee mogelijkheden: de switch-chip gebruiken of de poort uit de default vlan halen en bridges maken, dan handled de cpu de switching/routing.

Ik heb voor de laatste optie gekozen, en twee dingen geprobeerd: 1 vlan (tagged) per poort en een trunk. Allebei was prima mogelijk.

DHCP was ook even uitzoeken, maar ook niet moeilijk als je het eenmaal weet. DHCP server maken per vlan, pools maken en aangeven in de network-sectie van de DHCP.

De firewall is voor mij even andersom denken, ik ben gewend om de default policies op DROP te zetten en dan te gaan whitelisten. Op de Mikrotik zijn de default policies ACCEPT, dus in eerste instantie kunnen vlans elkaar benaderen. De connectie van vlan naar vlan blokkeren gebeurd niet via de FORWARD-chain, maar via de INPUT-chain.

Ondanks de vrij open firewall, staan er wel standaard een paar rules die zorgen dat input op de WAN poort niet wordt toegestaan, en forward van WAN naar LAN wordt tegengehouden tenzij je een destination nat hebt aangegeven.

Nu na twee dagen kan ik zeggen dat ik geen spijt heb van deze keuze, de Mikrotik doet wat ik wil en gebruikt 1 a 2% per cpu core, en werkt goed samen met mijn switch. Leuke gimmick is het LCD display met touchscreen.

Er is nog genoeg om uit te zoeken, maar dat kan in de loop der tijd. Ik ben tevreden.

donderdag 22 september 2016 14:39

Acties:

mindwarper

ray0755 schreef op donderdag 22 september 2016 @ 00:55:
Update:

Mensen, nogmaals dank voor alle hulp en suggesties! Uiteindelijk heb ik afgelopen maandag de RB3011UiAS-RM besteld, die ik de volgende dag al in huis had. Snelle service van Azerty.

Gelijk aan de slag gegaan, al was ik in eerste instantie overdondert door het zeer uitgebreide menu en de hoeveelheid instellingen.

Het was even uitvogelen hoe de setup met vlans werkte, aangezien ik alleen bekend was met vlans aanmaken in Linux via de cli, wat in grote lijnen niet veel meer is dan een netwerk-config maken waar je een parent-interface aangeeft. Hier had ik te maken met twee mogelijkheden: de switch-chip gebruiken of de poort uit de default vlan halen en bridges maken, dan handled de cpu de switching/routing.

Ik heb voor de laatste optie gekozen, en twee dingen geprobeerd: 1 vlan (tagged) per poort en een trunk. Allebei was prima mogelijk.

DHCP was ook even uitzoeken, maar ook niet moeilijk als je het eenmaal weet. DHCP server maken per vlan, pools maken en aangeven in de network-sectie van de DHCP.

De firewall is voor mij even andersom denken, ik ben gewend om de default policies op DROP te zetten en dan te gaan whitelisten. Op de Mikrotik zijn de default policies ACCEPT, dus in eerste instantie kunnen vlans elkaar benaderen. De connectie van vlan naar vlan blokkeren gebeurd niet via de FORWARD-chain, maar via de INPUT-chain.

Ondanks de vrij open firewall, staan er wel standaard een paar rules die zorgen dat input op de WAN poort niet wordt toegestaan, en forward van WAN naar LAN wordt tegengehouden tenzij je een destination nat hebt aangegeven.

Nu na twee dagen kan ik zeggen dat ik geen spijt heb van deze keuze, de Mikrotik doet wat ik wil en gebruikt 1 a 2% per cpu core, en werkt goed samen met mijn switch. Leuke gimmick is het LCD display met touchscreen.

Er is nog genoeg om uit te zoeken, maar dat kan in de loop der tijd. Ik ben tevreden.

Hey!
bedankt voor de snelle update..
Ben blij om te lezen dat het goed voor je lijkt te werken!

Goed succes verder met deze mooie equipment...

Enthoo Primo || Ryzen 9 5900X || Asus VIII Dark Hero || TridentZ Royal Silver F4-3600C14D-32GTRS Samsung B-Die || Radeon 6800 XT || Kraken X73 w/ 6x NF-A12x25 || 2x WD Black SN850 1TB || WD-HGST 6TB en 18TB || Seasonic Prime Titanium Ultra 1kW

dinsdag 1 november 2016 10:46

Acties:

wizai

@ray0755, leuk om je update te lezen!

Wat ik wel wil aanraden is om de VLANs en/of bridges op de switch-chip te zetten.
Mocht het na verloop van tijd drukker worden, dan wordt de cpu in ieder geval minder belast.
(Dit zal absoluut minder zijn bij de RB3011, maar het is iets om rekening mee te houden.

)

Verder nog de tip om bij "IP > Services" de niet gewenste services uit te schakelen.
En dan bijvoorbeeld je eigen VLAN/subnet alleen toegang geven tot ssh of Winbox.

[ Voor 20% gewijzigd door wizai op 01-11-2016 10:57 ]

Anjunabeats

dinsdag 1 november 2016 21:09

Acties:

ray0755

Topicstarter

wizai schreef op dinsdag 01 november 2016 @ 10:46:
@ray0755, leuk om je update te lezen!

Wat ik wel wil aanraden is om de VLANs en/of bridges op de switch-chip te zetten.
Mocht het na verloop van tijd drukker worden, dan wordt de cpu in ieder geval minder belast.
(Dit zal absoluut minder zijn bij de RB3011, maar het is iets om rekening mee te houden. )

Verder nog de tip om bij "IP > Services" de niet gewenste services uit te schakelen.
En dan bijvoorbeeld je eigen VLAN/subnet alleen toegang geven tot ssh of Winbox.

De switch-chip gebruiken wordt inderdaad aangeraden, daar ga ik zeker nog naar kijken hoe dat presteert.

Niet gebruikte services uitzetten is een van de eerste dingen die ik heb gedaan. In mijn eigen VLAN heb ik 1 machine die mag/kan inloggen, en op het (ongebruikte) IP-adres van de router heb ik ook 1 local IP-adres die mag inloggen. Zo heb ik het ook op mijn switch geregeld.

Dit had ik niet vermeld, maar evengoed bedankt!

Vraag

Alle reacties