The(G)Forum

Gurgelhals hat geschrieben:

Gurgelhals hat geschrieben:Allerdings wird us de Agabe nöd ganz ersichtlich, öb de tatsächlich IPv4 NAT-Routing mit 1Gbit/sec schafft.

Er schafft's offebar nöd Resp. nume bi grosse Paket oder eventuell irgendwänn später falls(!) zuekünftigi Firmware-Versione no e Form vo Hardware-Offloading implementiered.

Werum nume isch das so es Züüg mit dene Router, gopf? Entweder händs d'Performance nöd und/oder sie händ keis SFP-Interface und/oder es sind wenig vertrauenserweckendi H4rdc0r3-Gam0rZ-Hardware wie die entsprechende Asus und Netgear-Modäll oder dänn sinds Rackmount-Enterprise-Produkt, wo 1000 Stutz choschted. Müehsam! Jawohl

Lösig: IPv6.
Dumm nur, dass es bisher kuum en Hersteller vollständig und bugfrei implementiert het. D OpenBSD Lüüt hend mal drüber brichtet, dass d Spezifikatione leider an mehrere Stell ambig isch.

Ja, guet, bim aktuelle Zuestand vom Internet isch IPv6-only glaubs e ziemlich theoretischi Lösig für es ziemlich reals Problem.

Bin druf und dra, doch uf Edgerouter Lite + Mediakonverter + Switch + Accesspoint izwschwänke, aber de Netzteil- und Kabel-Horror schreckt mich no devo ab. Bim Edgerouter PoE-5 wär de Harware-Switch integriert und ich chönnt wohl zmindescht de AccessPoint dänn via PoE betriibe, aber defür choschtet er über 100.- meh, was au irgendwie tumm isch.

Mis Internet isch eifach geiler als die am Märt verfüegbari Hardware :förstwörldpröblems:

Ubiquiti Edgerouter, Bitches!

Gurgelhals hat geschrieben:Ubiquiti Edgerouter, Bitches!

Wele hesch dr genau kauft? Mit es biz Glück chan ich mir init 7 im Summer leischte.

De Edgrouter PoE + Fiber/RJ45-Mediakonverter. Us folgende Gründ:

- Die neue, günstigere Grät mit SFP-Aschluss sind offebar weniger performant. Gemäss de Spezifikatione sind die nöd signifikant schnäller als en Mikrotik, bringt also nüt.
- Bim PoE-Modäll chan me Port 2-4 bridge. Das isch bi mir ideal, will ich a die drü Ports dänn grad chan NAS, Accesspoint und übrigi LAN-Verkabelig chan ahänke. De Edgerouter Lite hätt kein Hardware-Switch, d.h. Bridging macht der de Datedurchsatz kab0tt. Guet, Edgerouter Lite + Switch wär immer no 10-20 CHF günstiger cho, aber irgendwie au chli t0mm.
- De Priis vom PoE-Modäll isch chürzlich bi brack.ch um ca. 50.- gsänkt worde.

Bimer ou am überlege wiemer d'Struktur wei ufboue we Fiber7 ir Länggass isch aacho. Tendiere zure ähnleche Config wie dini, oder we ds Budget nid längt eifach dr ASUS RT-AC68U füre Aafang (und halt nid die ganzi Gigabit-Performance). Dr Edgerouter plus Konverter (guet, dä bruusch sowieso) plus AC-Accesspoint plus Initialchoste vo F7 git halt de glich rächt e Batze.

Ich traue halt dem ganze Asus-Hardc0rz-Gam0rz-Krempel nöd so rächt. Dass Grafikcharte so ufgmacht wärded, chan ich ja no verstah (au wänn's natürlich genauso doof isch), aber Netzwerch-Hardware söll gfelligscht so langwilig, stabil und zueverlässig dethär cho wie e schwiizerischi Versicherigsgsellschaft.

PS: Ich bring's nöd ane, min alte Router zu eme reine WLAN-Access-Point umzbaue, wo zwei WLANs hätt (1x privat, 1x Gast) und de Edgerouter je nach WLAN IP-Adresse us eme andere Subnetz vergitt Die beide Grät wänd eifach nöd mitenand rede. Ich weiss, dass es irgendwas mit VLANs z'tue hätt, aber gopf isch das kompliziert :typej:

Gurgelhals hat geschrieben:de Edgerouter je nach WLAN IP-Adresse us eme andere Subnetz vergitt

Warum willsch das mache? für den Lulz oder weg ere Firewall regle odr QoS oder so?

Ich han zwei WLAN: Eis privat, wo mit mim ganze andere Krempel vernetzt isch, also s'gliche Subnetz wie die verkablete Grät hätt. Und s'andere isch s'Gäste-WLAN für Gäscht, de Nachber etc., wo logischerwiis isoliert isch vo de andere Grät. Uf em Mikrotik isch das relativ eifach gange, will'd halt eifach näbed em "reguläre" AP au no en virtuelle AP erstellt, dem en zweite DHCP-Server zuegordnet und die beide Subnetz via Firewall vonenand abgschirmt häsch. Mit em neue Setup wird das jetzt komplizierter, will nüme alles All in One isch.

Mini Idee isch jetzt folgendi gsi:
- Uf em Edgerouter für die Bereich je es VLAN mit eme eigene Subnetz plus dezueghörige DHCP-Server erstelle.
- Uf em Access-Point ebefalls die beide VLAN irichte und jedem VLAN es eiges WLAN zueordne.
- De Access-Point isch im Bridge-Modus. Er macht nüt ussert WLAN zur Verfüegig z'stelle. IP-Vergab, Firewall, usw. macht alles de Edgerouter.

Zwei Problem zeiged sich:
- Es isch höllisch kompliziert!!! :typej:
- Mir isch erst jetzt in Sinn cho, dass ich i mim LAN ja no en zweite Switch im Isatz han und logischerwiis isch de unmanaged und understützt gar kei VLANs :typej: :typej: :typej:

Gitt's susch en eifacheri Lösig wie me sozsäge Internetzuegang für zwei Awändergruppe bereit stelle und die beide Netz dänn strikt vonenand chan tränne?

PS: Und sälbstverständlich wärded derartigi Sache glichziitig immer au for teh lulz gmacht

Ok, die ganzi LAN-Gschicht isch glöst, defür spukt's jetzt mit de IPv6-Vergab

Wänn ich da dure bin, chan ich mich für Stelle als Netzwerchadministrator bewärbe

Gurgelhals hat geschrieben:Wänn ich da dure bin, chan ich mich für Stelle als Netzwerchadministrator bewärbe

S Gebastel isch doch s Beschte dra

@Gurgel:
Wie isch eigch ds UI vom Edgerouter? Muesch Profi si, oder wärs einigermasse eifach bedienbar (geit zB Portforwarding via Upnp?)?. Dass ds Design vo de Asus-Sache nid würk prall findsch verstahni, aber dr RT-N66U woni sit 1.5 bruuche isch bombestabil und ds UI isch fantastisch; simpel und trotzdem umfangriich. Insofern wärs no guet weni nid e Programmiersprach müesst lere um dr Edgerouter chönne z'konfiguriere.

S'GUI isch sehr agnähm, deckt aber nöd de ganzi Funktionsumfang vom Router ap. Konkret wird IPv4 sehr guet abdeckt und det laht sich praktisch alles via Gui konfiguriere: Interfaces, DHCP-Server, DNS, NAT, Firewall, usw. gaht alles tiptop. Bsunders s'Firewall-Interface gfallt mer sehr guet.

IPv6 gaht zur Ziit hingäge nume über d'Kommandoziile oder de Config Tree. Und det stahsch als N00b z'erscht mal gnadelos a. Me lernt aber dezue und ich fange inzwüsche sogar a, de grundsätzlichi Nutze vo Konfiguration via CLI statt via GUI z'erchänne und z'schätze

Dass sich mini LAN-Interfaces zur Ziit aber schlicht und eifach weigered, via IPv6 mit mim WAN-Interface z'kommuniziere und umgekehrt, macht mich momentan aber glich chli hässig

Gurgelhals hat geschrieben:Dass sich mini LAN-Interfaces zur Ziit aber schlicht und eifach weigered, via IPv6 mit mim WAN-Interface z'kommuniziere und umgekehrt, macht mich momentan aber glich chli hässig

Und jetzt gaht's plötzlich

ping6 google.ch

Weiss nid, ob das für euch was hilft:
Aber ich han jetzt be mehrere grössere Chunde-Netzwerk Vyatta Core (http://en.wikipedia.org/wiki/Vyatta#Vyatta_Core" onclick="window.open(this.href);return false;) iigsetzt. Das meist ufere x86-64 (AMD64) Hardware mit einer (oder mehrere) Multiport Gbit PCI-E Charte.
Bringt selbst ufere Intel Atom-ähnliche Hardware locker 1 Gbit durchsatz. Webgui zur Konfiguration find ich persönlich recht aagnehm. Isch au au en Art Baum. Nid grad es Wizard-Gui, aber mer findet sich relativ schnell zrecht.

Sowiit ich weiss basiert au Ubiquiti OS uf em Vyatta Core... Kenne das aber selber nonig. En direkt Vergliich chani also nid mache.

Edit:
IPv6 isch bisher für mich i jedem Szenario en Bitch zum Konfiguriere gsi. Es isch teilwiis eifach vode provider au nur halbherzig implementiert und überall gits denn wiederum so 6in4 Basteleie. Schad, dass es sich irgendwie eifach nid so recht duresetze chan - au wenn Gründ defür klar sind.

[quote="Das meist ufere x86-64 (AMD64) Hardware mit einer (oder mehrere) Multiport Gbit PCI-E Charte.
Bringt selbst ufere Intel Atom-ähnliche Hardware locker 1 Gbit durchsatz.[/quote]

Setzisch du professionell au PCEngines Hardware ii (also die neue APU Sache)?

Uriel hat geschrieben: Setzisch du professionell au PCEngines Hardware ii (also die neue APU Sache)?

Hani ehrlich gseit no nie ghört devo . Isch das http://www.pcengines.ch" onclick="window.open(this.href);return false; ??!!

Gseht no recht interessant us. Hesch du scho grösseri Erfahrige damit?
Also ich han bisher eigentlich jeweils als Router meist en i3 oder ähnlich verwendet.

Eazyjd hat geschrieben:

Uriel hat geschrieben: Setzisch du professionell au PCEngines Hardware ii (also die neue APU Sache)?

Hani ehrlich gseit no nie ghört devo . Isch das http://www.pcengines.ch" onclick="window.open(this.href);return false; ??!!

Gseht no recht interessant us. Hesch du scho grösseri Erfahrige damit?
Also ich han bisher eigentlich jeweils als Router meist en i3 oder ähnlich verwendet.

Ich setz die scho sit Jahre ii, zeme mit OpenBSD. Beutzi als Firewall etc. etc. Allerdings setz ich sie nur privat ii. im Netz schwärmed d Lüüt devo, die Dinger als FW für ~50 User ds verwende.

Ich würd d Performance vo mim Ding gern mal under Init 7 teschte. Min Verdacht isch, dass au wenn en Prozessor im GHz Bereich hesch, Software NAT einiges an Durchsatz choschtet.

Guet ja, so starch ist de Prozesser vo dem Ding scho nöd.
Mitemene guete i3, 2-3 GB Ram und gute Netzwerkcharte (Intel) schaffsch mit Vyatta es Gbit Out / Inbound guet - also 1 Gbit Uplink und hinde dra 3 Gbit Aaschlüss für verschiedene Netzwerk Zone. (NAT nume vo X nach Uplink, Firewall zwüsche allne Zone). NAT und Paket Inspection brucht aber scho ziemli Power.

Eazyjd hat geschrieben:IPv6 isch bisher für mich i jedem Szenario en Bitch zum Konfiguriere gsi. Es isch teilwiis eifach vode provider au nur halbherzig implementiert und überall gits denn wiederum so 6in4 Basteleie. Schad, dass es sich irgendwie eifach nid so recht duresetze chan - au wenn Gründ defür klar sind.

Mini Situation isch fucking schräg: Mini LAN-Hosts chömed zwar via DHCPv6-Prefix Delegation alli brav IPv6-Adresse vom Router über, aber: ich han deswäge glich no kei IPv6-Connectivity. Zuegriff uf google.ch via Firefox hanged bir mir z.B. zuerverlässig, will er's det wohl z'erscht über IPv6 probiert und erst nach eme Timeout uf IPv4 uswiicht. Ping6 uf google.ch gaht au nöd. Wänn ich jetzt aber ping6 uf d'IPv6-Adresse vo mim WAN-Interface am Router mache, dänn gaht das und nachher gaht plötzlich au de ping6 uf google.ch sowie d'IPv6-Connectivity zum Internet allgemein - für öppe e knappi Minute und nachher gaht's wieder nüme. I dem Sinn: Ja, IPv6-Konfiguration isch tatsächlich e Bitch

Was für es OS?
Kriegsch du DHCP Addresse (ipV6) vom Provider oder verteilsch die irgendwie no intern? Was isch de DHCP Server?
Was isch de DNS Server?

Bin leider au nid grad de IPv6 Spezialist - ich mache wenn immer möglich en Boge um v6 und das isch zum Glück bis jetzt fast immer möglich gsi

Jetzt gaht plötzlich alles. Ohni komischi ping6-Trickli Wahrschinlich sind i irgendeme Cache no es paar ungültigi Routes / Adresse drin gsi und inzwüsche hätt sich das vo sälber erlediget.

D'IPv6-Implementierig vom Provider isch afaik scho suuber und vollständig. Ich chume es volls /48-er Subnetz via DHCPv6-Prefix Delegation über und de Router mues dänn halt so konfiguriert wärde, dass automatisch entsprächendi IPv6-Adresse a d'LAN-Hosts verteilt wärded. Das isch no komplex, will's chli anders lauft als DHCPv4. Bi DHCPv4 macht ja de Router effektiv alles, sprich: de Host schickt en Request an Router und de Router vergitt en IP-Adresse und guet isch. Wänn ich das richtig verstande, konfiguriered sich bi DHCPv6-PD d'Hosts sälber. D.h. de Router mälded nume no s'Präfix/Subnetz und de Host generiert dänn de hinderi Teil vo de IPv6-Adresse sälber (und zwar unter Ibezugnahm vo de MAC-Adresse vom entsprächende Interface). I de Theorie hätt das wohl de Vorteil, dass es so nöd zu falsche / topplete / ungültige Zuewiisige chunnt und s'Netzwerch so quasi sälbstregenerierend isch. Aber ebe: Theorie und Praxis

Aha, wahrschinlich isch es das gsi: I de Firewall gitts e standardmässig aktivierti globali Istellig, wo ICMPv6 redirect-messages abblockt - eigentlich ja us guetem Grund, will me mit dene chan DoS-Agriff durefüehre. I mim Fall hätt das aber möglicherwiis dezue gfüehrt, dass veralteti Routing-Iiträg nüme aktualisiert worde sind. Ich han das vorher mal churz deaktiviert gha und das hätt wahrschinlich d'Verstopfig glöst.

Fark, z'früeh gfreut, jetzt tuet er wieder tumm

Under Umständ isch es ja gar nöd de Router sondern s'Mac OS. Aber uf em Windows 7-PC schiint's au irgendwo z'chlämme

IPv6 = le hass!

Und hütt gaht wieder alles. Und ich weiss nöd werum. Gopf