Wenn das „HOME“ Netzwerk zusammenbricht… Teil 1

Heute mal einen Artikel der nichts mit Fotografie zu tun hat. Ich kämpfe zuhause immer wieder mit meiner Netzwerkgeschwindigkeit. Nicht nur mir geht es so, fast täglich werde ich von meiner Familie lautstark darauf hingewiesen. Papa das WLAN spickt schon wieder, ich kann nichts mehr machen, Netflix und YouTube ruckelt auch nur so vor sich hin.

Ich muss dazu sagen das ich vor fast 10 Jahren bereits mein gesamtes Netzwerk auf Kabel und WIFI ausgerichtet habe, das heisst wo möglich Kabel verwende. Für alles andere W-LAN einsetze. Mir sind Kabel tendenziell lieber, die haben eine bessere Leistung und weniger Strahlung.

Bevor ich auf zu technische Details eingehe > Ich habe erstmal auf meinen Provider rumgehackt und ihm die ganze Schuld zugeschoben. Also ab zum Telefon, den Support kontaktiert und meinen Frust kommuniziert «dass alles totaler Mist ist». Der Support ist ruhig geblieben, war ja nicht mein erster Anruf in den letzten Jahren. Wir sind eine Punkteliste durchgegangen, um das Problem zu finden. Ich werde nicht alles wiedergeben, sondern so aufführen das ihr es zuhause selbst nachtesten könnt. Soviel vorweg, es lag dieses Mal nicht am Provider!

100 MBIT Leitung testen

Als erstes wurde das Modem vom Support und die Leistung getestet, dabei kam nur heraus das alles OK ist. Es liegen keine Störungen vor. War ja klar, wie immer liegt es nicht am Provider!

Also sollte ich per Kabel meine Leitung selbst testen, dazu gibt es verschiedene Testseiten, ich benutze Link Speedtest oder mit der APP für MacOs und Win testen.

Das Ergebnis zeigte, das hier etwas nicht stimmt. Das wusste ich schon, ich komme gerade mal auf knapp 20 MBIT. Das ist für meine 100er Leitung einfach zu wenig.

Ich habe das Ganze wohl nicht richtig verstanden, und den Test hinter meiner Firewall per WIFI und nicht per Kabel, am ersten Switch durchgeführt.

Um einen richtigen Test durchzuführen muss das Laptop direkt per Kabel ans Modem vom Provider angeschlossen werden. Erst dann kann die Leitung mit der ankommenden Geschwindigkeit getestet werden. Sollte die Geschwindigkeit genauso schlecht sein würde der Support jemanden vorbeischicken, um die Leitung im Kasten vor der Strasse oder im Haus zu prüfen.

Das Ergebnis seht ihr rechts, auf einmal hatte ich die volle Leistung mit 100 MBIT Download Geschwindigkeit.

So ein Mist, habe mich beim Support bedankt und aufgelegt.

Die Fehleranalyse

Jetzt muss man leider den langen Weg gehen, den Weg der eigenen Fehleranalyse. Das ist heute mittlerweile gar nicht mehr so einfach. Je länger ich darüber nachdenke desto mehr fällt mir auf das in den letzten 10 Jahren doch einiges an Hardware dazugekommen ist. Fast jede Hardware benötigt heute eine Netzwerkverbindung, egal ob WIFI oder LAN!

• Smartphones = 4 Stück (jeder in unsere Familie hat mittlerweile eins)
• Laptops = mehr als 4 mittlerweile
• SAN Netzwerkspeicher = 2-mal (Bilder und Fotos brauchen viel Platz)
• Server = Linux Maschine mit 12 Terrabyte (auch Pizzaserver genannt)
• TV Box (z.B. Apple TV) – fast an jedem Fernseher hängt eine
• Fernseher – benötigen mittlerweile auch einen Netzwerkanschluss
• Playstation, XBOX und Co.
• TV Receiver
• Staubsauger / Roboter
• Drucker
• Kaffeemaschine
• GoPro und Co.
• Nikon und Sony Kameras
• Netflix und Co.
• Uhren / Wetterstationen
• SONOS WIFI Lautsprecher
• WIFI Access Points
• HUE Lampen
• Netzwerk-Switch

Es ist der Wahnsinn was an einem Home Netzwerk mittlerweile alles dranhängt. Die Fehlerquellen potenzieren sich. Wie soll man jetzt den Fehler finden?

Eine Netzwerkgrafik hilft und verschafft überblick

Ich habe mich für den folgenden Weg entschieden den Fehler systematisch einzugrenzen. Es gibt diverse Grafikprogramme z.B. PowerPoint, Excel oder Visio, um eine Netzwerkgrafik anzulegen. Ich verwende «Omnigraffle» für MacOS.

Jetzt geht darum jede einzelne Netzwerkkomponente zu testen, dafür habe ich mich per Netzwerkkabel mit jedem einzelnen Gerät verbunden und den Speedtest erneut ausgeführt. Du solltest hier bereits am Modem vom Provider anfangen, von dort aus hangelt man sich an allen einzelnen Geräten entlang und führt den Speedest erneut aus. Das ganze solange durchführen bis die Geschwindigkeit runtergeht. Als alternative gibt es Testgeräte, dafür wollte ich keine weitere Kohle ausgeben.

Dabei ist ein Punkt extrem wichtig, die Kabel, die verwendet werden. Nur weil die Performance runtergeht heisst nicht das die Komponente defekt ist. Es kann auch das Kabel selbst sein. Daher empfehle ich euch, sobald Du eine fehlerhafte Komponente gefunden hast, die abzuklemmen und direkt am Modem anzuschliessen und den Test erneut auszuführen.

Bei mir war bereits das erste Problem die alte Firewall, die ist dem heutigen Datenverkehr einfach nicht mehr gewachsen! Um alle weiteren Netzwerkkomponenten zu testen habe ich meine alte Firewall überbrückt und weitergetestet. Die Endgeräte habe ich aus dem Test rausgelassen, macht ja auch keinen Sinn. Sollte bei einem Fernseher die Netzwerkschnittstelle nicht einwandfrei funktionieren kann ich die nicht austauschen bzw. kaufe mir deswegen nicht einen neuen Fernseher!

Stunden später… Endlich!

Nachdem ich alle Komponenten und Kabel identifiziert hatte war der nächste Schritt klar, Shoppen gehen!

Anforderungen für LAN / WIFI

Firewall mit mindestens 1GBE Datendurchsatz, besser mehr, um für Glasfaser gerüstet zu sein.

Firewall und Switch mit 1-10GBE RJ45 Schnittstellen und PoE fähig (PoE = Power over Ethernet, mehr dazu hier).

Firewall mit VPN für MacOS, Linux und Windows.

Der erste Switch, siehe Grafik, muss 10GBE RJ45 Schnittstellen haben, die langsamsten Netzwerkkomponenten müssen ans Ende der Kette, nicht wieder einen neuen Flaschenhals einbauen.

WIFI Access Point PoE und Switch sollen über die Firewall verwaltet werden können, durch PoE keine weiteren Stromkabel mehr.

CAT8.1 Kabel, alle Kabel werden ersetzt, auch wenn CAT7 oder CAT7a ausreichend wäre. Wenn ich jetzt neue Kabel verlege, dann tausche ich alle Kabel gegen CAT 8.1 Kabel aus. Die Kabel zu den Endgeräten werde ich nach und nach ersetzen!

Rot und Blau: fliegt raus bzw. wird ersetzt

Orange: wird ersetzt

NEUE HARDWARE aber welche?

Mittlerweile habe ich ein paar Wochen mit der Hardwareauswahl verbracht, das geht jetzt schon soweit das ich in der Zwischenzeit keine Artikel schreiben konnte. So sehr kann man sich in den technischen Details der ganzen Anbieter verlieren. Daher werde ich nicht auf alle technischen Zahlen und Aspekte eingehen. Nachdem ich meine Auswahl getroffen hatte, noch die Meinungen von Kollegen die im Rechenzentrum arbeiten eingeholt.

Diese Hardware Anbieter habe ich verglichen:

• CISCOn (Linksys)
• WatchGuard
• Palo Alto Networks
• Zyxel
• Fortigate
• Alcatel-Lucent
• Sonicwall (Dell)
• Juniper
• Barracuda
• SOPHOS

Eine Hardware Firewall ohne gewisse Sicherheitsfunktionen kommt für mich nicht in Frage, eine Software Firewall erst recht nicht! Meine neue Hardware habe ich hier bestellt: Optimio.com

Für diesen preis der Neuanschaffung will ich auf Nummer sicher gehen für die nächsten Jahre.

Die Geräte von Fortigate waren am Ende mit dem höchsten Datendurchsatz für den besten Preis. Alle anderen vergleichbaren Anbieter waren einfach teurer oder nach technischer Spezifikation langsamer.

Ob eine Firewall mit diesen Funktionsumfang für den privaten Haushalt notwendig ist, diese Frage muss jeder für sich selbst beantworten. Daher hier noch ein paar Denkanstösse warum das heute immer wichtiger wird:

• Online Banking
• Mailware
• Spam
• Virus und Co
• Bootnets
• Datenklau, persönliche Dokumente vom Rechner oder vom SAN?
• SAN Laufwerke bieten nur einen begrenzten bis keine Schutz nach aussen, Thema eigene Cloud vs. Dropbox
• Reicht der Schutz den Windows und MAC bietet, wenn man hier von Schutz reden kann? Windows nein, Mac ist da schon besser augrund der Unix architecktur unterwegs!
• Muss ich mich privat um alle Geräte einzeln kümmern und schützen? Kümmern nein, schützen ja, deswegen habe ich bereits heute eine externe Hardware Firewall!
• Auf jedem Gerät separat Antivirensoftware und CO kaufen und installieren? Nö keinen Bock, zu teuer, administration ein Alptraum alles aktuell zu halten!
• Was ist mit dem Smartphone, Online Banking von unterwegs? Ohne VPN am Smartphone kein Banking, ohne Firewall und bisschen sicherheit, NO WAY!

Ich erledige alles von zuhause aus, Online Banking vom Smartphone nur über VPN, über meine Firewall. Wenn von unterwegs, dann ist eine VPN unbedingt notwendig!

Fortigate Firewall – 61F mit 128GB SSD – 820 CHF (ohne Lizenzen)

• Fortigate Firewall – 60F (gleiche Hardware ohne 128GB SSD) ca. 600 CHF (ohne Lizenzen)

Fortigate Switch – 108E PoE – 380 CHF (ohne Lizenzen)

FortiAP WIFI Access Point – 221E – 430 CHF (ohne Lizenzen)

Die Firewall Hardware ohne weitere Lizenzen ist für den normalen Hausgebrauch ausreichend, wer zusätzlich Softwareupdates oder weitere Sicherheitsfunktionen will muss diese über separate Lizenzen kaufen oder direkt als Bundle bestellen. Es gibt 1 – 5 Jahre Lizenzmodelle. Hier wird schnell klar das der Kostentreiber nicht die Hardware, sondern die zusätzlichen Lizenzen sind. Hier muss jeder für sich selber entscheiden wieviel Sicherheit er haben möchte. Als minimal Lizenz sollte mindestens der FortiCare Support als Lizenz abgeschlossen werden. Dieser garantiert Softwareupdates und Hardwaretausch bei einem defekt. Alle anderen Lizenzen sind Zusatzfunktionen wie Antivirus, Webfilter, Bootnet, ISP usw….

FortiCare Firewall – 61F mit 128GB SSD – 150 CHF für 1 Jahr *1

FortiCare Switch – 108E PoE – 38 CHF für 1 Jahr *1

FortiCare AP WIFI Access Point – 221E – 45 CHF für 1 Jahr  *1

*1 24×7 Softwareupdates, Hardwareaustausch

Welche Lizenzen ich noch dazu bestelle, entscheide ich erst nach einer gewissen Zeit und Erfahrung mit der neuen Hardware! Alle Preise können je Land und Anbieter entsprechend abweichen. Du solltest auch nach Promotion Aktionen schauen, aktuell wird das Vorgängermodell Fortigate 60E kostenlos abgegeben, wenn du eine UTM 3 Jahreslizenz bestellst. Bei Fortigate erkennt man die Modellreihe am letzten Buchstaben. Die neueste Generation von 2019/2020 ist F, alle mit E sind bereits älter bzw. der aktuelle Hardwarestand.

Warum die neue 61F mit eingebauter 128 GB SSD und nicht die neue Baugleiche 60F ohne SSD? Ich habe lange recherchieren müssen, um den genauen sinn der SSD herauszufinden. Leider ist der Unterschied auf der Fortinet Homepage nicht klar formuliert bzw. habe ich es nicht gefunden.

Fortigate FG61F mit SSD:

• WAN Optimization > bringt Speed
• Web Caching > ist wichtig, wenn Du z.B. einen Antivirenscanner einsetzen willst, das dient als Proxy oder zwischen Speicher für Webseiten und Files. Die Firewall scannt, prüft und blockt bevor die Daten ins Netzwerk geliefert werden. Seiten die öfters aufgerufen werden, werden beschleunigt.
• DLP Fingerprinting > scannt und prüft Files
• Disk Logging > ohne SSD ist der Speicher irgendwann zu schnell voll und wird überschrieben
• Local Reporting > ohne Disklogging sind nur wenig Daten fürs Auswerten vorhanden, brauche keinen weiteren Syslog Server, wieder etwas eingespart!
• FortiView (Historical Data) > ohne Disk stehen nur wenig Daten fürs Auswerten bereit

Mit SSD finde ich es besser getreu dem Motto „besser haben als nicht haben und irgendwann brauchen“! Ein nachträglicher Einbau ist nicht möglich und führt zu neuer Hardware, also rein damit!

Im nächsten Artikel geht’s weiter sobald ich meine neue Hardware ausgiebig getestet habe…