Danke für den Artikel

Ich stecke in der gleichen Situation, habe seit April auch 25 GBit/s bei init7. Momentan gebe ich mich noch mit dem MikroTik-Router zufrieden, da ich netto 8 GBit/s an meiner Workstation rausbekomme bei Speedtests, wobei die meisten angebotenen Server der grossen Provider wie Sunrise oder Salt nicht mehr als 3.5 GBit/s übertragen, wohl eher die Limitation auf den Anbindungen zwischen init7 und den anderen ISPs.

Einen Server hatte ich mir mit Ryzen 5800X und Asrock X570D4U-2L2T als Vorbereitung gebastelt, ich habe auf eine Mellanox ConnectX-4 Lx gesetzt, die war mit 228 Franken für Single-Port SFP28 noch eine deutliche Spur günstiger als die im Artikel gezeigten Intel-Karten (Preis von Anfang Februar 2022, weiss nicht ob das inzwischen wieder teurer ist). Zwei onboard 10GBit/s Intel X550 sind schon vorhanden, dadurch würde sich die Verwendung als Router theoretisch anbieten.

Aktuell läuft dort ein Hypervisor drauf und pi-hole, tvheadend und paar weitere Dienste auf Docker, sowie ein paar VMs vom HomeLab.

Meine Erfahrung mit einem älteren System war, dass aufgrund fehlendem FastNAT die meisten PCs langsamer im NATten sind als Router, mit einem MicroServer Gen8 erreichte ich damals nicht mehr als 400MBit/s im Speed-Test, also nicht beim Downloaden von grossen Dateien sondern im normalen Surferlebnis. Ist das obsolet, würde meine Hardware wenn dort ein Router bare metal läuft tatsächlich auch die 8 GBit/s an einem 10GBit-angebundenen Client liefern? Falls ja, dann schaue ich mir gerne mal Router7 an, wäre natürlich praktisch, wenn man daneben noch weitere Services betreiben könnte. Nur falls man dies auch firewalltechnisch gut trennen kann, versteht sich.

Ein Ryzen 5800 sollte locker langen, auch für NAT bei 25 Gbit/s ohne Hardware-Beschleunigung (sofern du den router bare metal betreibst).

Router7 brauchst du nicht dafür — jede Linux-basierte Firewall-Lösung sollte diese Leistung erreichen können, denn die Paketverarbeitung findet ja im Linux-Kernel statt :)

stapelberg schrieb:
--------------------------------------------------------------------------------
> Ein Ryzen 5800 sollte locker langen, auch für NAT bei 25 Gbit/s ohne
> Hardware-Beschleunigung (sofern du den router bare metal betreibst).

Danke, dann werde ich das mal planen. Dafür müsste nur noch einen neuen Host für pi-hole und Home Assistant finden auf echten Raspis oder noch ein kleines Serverchen für die Dinge und dann wird der MikroTik zum Switch degradiert.

Du kannst durchaus deine Dienste auch auf dem Router laufen lassen, z.B. in Docker-containern.

Wenn ich bare metal sage, meine ich damit nur, dass die Routing-Funktionalität ohne zusätzliche Schichten auf die Hardware zugreifen kann. Genug Ressourcen sind allemal vorhanden, um dann eben zusätzlich auch ein Container Host sein zu können, ohne dass man das im Routing-Throughput merkt.

Mikrotik hat vor kurzem auch eine pcie karte rausgebracht, die als Router fungieren kann. Wäre Evtl, auch eine Überlegung. Benötigt aber wohl eher Enterprise Hardware. Die karte muss booten vor dem os und das dauert wohl

stapelberg schrieb:
--------------------------------------------------------------------------------
> Du kannst durchaus deine Dienste auch auf dem Router laufen lassen, z.B. in
> Docker-containern.

Ja in der Theorie schon, aber das scheint mir zu gefährlich, wenn da ein Angreifer dort ausbricht über irgendwelche Lücken, dann trennt nicht mehr viel zwischen internem und externem Netz...

> Wenn ich bare metal sage, meine ich damit nur, dass die
> Routing-Funktionalität ohne zusätzliche Schichten auf die Hardware
> zugreifen kann. Genug Ressourcen sind allemal vorhanden, um dann eben
> zusätzlich auch ein Container Host sein zu können, ohne dass man das im
> Routing-Throughput merkt.

Danke für den Input. Ich habe mal die von einem anderen Poster angesprochene MikroTik-Karte vorbestellt, kommt aber erst Ende Juli... kann ich aber zur Not auch wieder stornieren, damit hätte ich eigentlich alle Fliegen erschlagen, Router auf RouterOS und hoffentlich keiner Lücke wo über PCIe ein Angreifer die Karte überlisten könnte und der Rest kann erstmal auf 10GBit bleiben, bis auf die Mellanox-Karte habe ich eh keine 25 GBit/s Hardware.

gdh schrieb:
--------------------------------------------------------------------------------
> Mikrotik hat vor kurzem auch eine pcie karte rausgebracht, die als Router
> fungieren kann. Wäre Evtl, auch eine Überlegung. Benötigt aber wohl eher
> Enterprise Hardware. Die karte muss booten vor dem os und das dauert wohl

Herzlichen Dank, habe ich gerade gesucht, gefunden (CCR2004-1G-2XS-PCIE) und vorbestellt, kommt wohl erst Ende Juli zu mir. Aber für den Preis von etwa 200 Franken scheint mir das tatsächlich ein guter Deal, dadurch habe ich den Host über die Karte vom offenen Internet getrennt, die Docker und VMs haben eine direkte schnelle Anbindung und über den zweiten QSFP-Port kann ich das restliche Netz anhängen oder über die Mellanox gehen.

Das Board braucht eh auch ewig zum Booten, ist halt so ein Serverboard, das noch seine IPMI startet, ich spare mir dafür die GPU.