Hands-On: Low-Cost Wifi Router mit Enterprise Features

Weihnachtszeit ist bei mir meist auch Bastelzeit. Da ich mich schon länger mal wieder auf die Suche nach bezahlbaren, oder besser: billigen Routern machen wollte, welche Enterprise Features wie VLAN-Tagging, VPN-Tunneling und Radius zur Verfügung stellen können, dabei auch klein genug für Rucksack oder Jackentaschen sind und nach Möglichkeit auch noch halbwegs performante Ethernet- und WLAN-Verbindungen bereit stellen, war es in der Adventszeit Zeit für ein paar Recherchen. Am Ende machten zwei Geräte das Rennen und wurden bestellt. Die Kontrahenten:

-die Buffalo AirStation WHR-HP-GN, ein Wireless Router nach N-Standard und 4-Port-Switch (100Mbit), welcher DD-WRT als Betriebssystem verwendet und
-der MikroTik RB2011UiAS-2HnD-IN, ebenfalls ein Wireless Router nach N-Standard, jedoch mit 5x 100Mbit- / 5x Gigabit-Ethernet-Switch und SFP Option

Beide Geräte sind ansprechend klein, entwickeln auch unter Last nicht sonderlich viel Abwärme, verhalten sich geräuschlos und sind auch preislich sehr erschwinglich. Das Design der Buffalo AirStation richtet sich ganz klar an den SoHo Bereich, beim MikroTik merkt man schon bei Optik und Haptik, dass es sich um ein Gerät aus dem professionelleren Umfeld handelt.  Dieser Unterschied wird um so klarer, wenn man sich die Featureliste und die Ausstattung des MikroTik näher ansieht. Aber auch preislich unterscheiden sich die Geräte deutlich voneinander: Die Buffalo AirStation gibt es bei Ebay bereits ab 10 Euro, für den MikroTik muss das 10 bis 12-fache investiert werden. Das ist im Vergleich zu den Preisen, welche für Profi-Equipment bezahlt werden wollen, zwar immer noch nicht viel, aber dennoch ein spürbarer Unterschied.

Auf den ersten Blick wirkt der Vergleich der beiden Geräte wie der Kampf von David gegen Goliath, zumindest auf dem Papier. Doch dieser erste Eindruck täuscht, denn beide Geräte haben durchaus ihre Vorteile. So ist das Setup der Buffalo AirStation dank der Weboberfläche des vorinstallierten DD-WRT ein Kinderspiel, der MikroTik bedarf schon etwas mehr Handarbeit auf der Kommandozeile. Vor allem die Syntax des Betriebssystems „RouterOS“ ist am Anfang etwas gewöhnungsbedürftig. Dennoch ist die Einrichtung auch beim MikroTik dank des MikroTik Wiki kein Hexenwerk, es bedarf nur etwas mehr Recherche und Fleißarbeit. Einfacher geht das ganze mit der grafischen Weboberfläche „Webfig“, doch im Vergleich zu DD-WRT ist auch diese nicht so übersichtlich gestaltet. Somit geht die erste Runde in Punkto Simplizität ganz klar an die Buffalo AirStation.

Nach der grundlegenden Einrichtung von Betriebssystem und Diensten wie Wifi und DHCP-Server, VLANs und Radius-Authentifizierung, welche auf beiden Geräten recht flott von der Hand ging, war das Setup des Routers als VPN Client an der Reihe. Ziel der Übung war es, einen permanenten Tunnel zum VPN-Anbieter NordVPN einzurichten. Da NordVPN verschiedenste VPN Dienste anbietet, sollte das Setup idealerweise entweder eine Verbindung über OpenVPN oder IPSec/IKEv2 herstellen können. Und genau in diesem Punkt konnte der MikroTik seine Vorteile ausspielen, denn eine Verbindung zu diesen Protokollen ist mit der Version von DD-WRT, welche auf der AirStation installiert ist, nicht möglich. Auch eine erweiterte Recherche im DD-WRT Wiki brachte keine Besserung, scheinbar ist die AirStation in der getesteten Variante einfach zu alt für die aktuelleren Versionen von DD-WRT, welche mit OpenVPN zurecht kommen. Mit dem MikroTik hingegen war die Verbindung über OpenVPN zu einem der über 2500 NordVPN Server kein größeres Problem – sowohl das MikroTik Wiki als auch die Knowledge-Base von NordVPN stellen ausreichend Beispiele und Tipps bereit. Doch auch die AirStation konnte letzten Endes noch mit dem weitaus unsichereren und veralteten Protokoll PPTP zu einer VPN Verbindung überredet werden – jedoch nicht ohne Geschwindigkeitsverlust. NordVPN betreibt Stand Dezember 2017 nur 356 Server, welche PPTP unterstützen. Das sind weitaus weniger als die über 2400 OpenVPN Endpunkte, somit sind die PPTP Server zum einen häufig unter Last, zum anderen scheinen diese Server auch allgemein weniger Ressourcen zur Verfügung zu haben. In nackten Zahlen ausgedrückt zeichnet sich ein deutlicher Unterschied ab:

Speedtest über WLAN an einem 200Mbit-Kabel-Anschluss von Vodafone, Testgerät MacBookPro, TX Rate laut Wifi-Konsole 54Mbit:
Mikrotik > OpenVPN zu deutschem NordVPN Endpunkt > Ookla: 34Mbit (Delta aus 10 Messungen)
Buffalo > PPTP zu deutschem NordVPN Endpunkt > Ookla: 8Mbit (Delta aus 10 Messungen)

Mikrotik > OpenVPN zu amerikanischem NordVPN Endpunkt > Ookla: 28Mbit (Delta aus 10 Messungen)
Buffalo > PPTP zu amerikanischem NordVPN Endpunkt > Ookla: 6Mbit (Delta aus 10 Messungen)

Zum Vergleich: Messung ohne VPN:
Mikrotik > Ookla: 52Mbit (Delta aus 10 Messungen)
Buffalo > Ookla: 48Mbit (Delta aus 10 Messungen)

Diese Ergebnisse küren den MikroTik ganz klar zum Sieger dieser Runde in Punkto Sicherheit und Performance / Durchsatz

Auf den VPN Test folgenden noch weitere Performance und Durchsatz-Messungen im LAN und WLAN, bei welchen der MikroTik ebenfalls die Nase weit voraus hatte. Ein erneuter Vergleich der Datenblätter der beiden Geräte untermauert die Erkenntnisse noch einmal, der Sieger dieser Runde ist erneut der RB2011UiAS-2HnD-IN.

Kommen wir somit zum Fazit:
Beide Geräte machen im Heimnetz eine gute Figur. Preislich ist die AirStation einfach unschlagbar, das Setup ist ebenfalls sehr einfach zu erledigen und sowohl Geschwindigkeit als auch Durchsatz sind, gemessen am niedrigen Preis, völlig ok. Wer allerdings Wert auf Performance legt, der sollte besser zum MikroTik greifen. Besonders die Bereiche Sicherheit, Durchsatz, Features (RouterOS kann weitaus mehr, als im Test geprüft wurde) und Anschlussmöglichkeiten rechtfertigen den höheren Preis, vor allem, wenn man bedenkt, das vergleichbare Geräte anderer Hersteller wie Linksys, Juniper oder Cisco wesentlich mehr kosten. Es muss also nicht immer Kaviar (oder teure Hardware aus San Francisco) sein, um sein Heimnetz sicherer zu gestalten. Besonders die Möglichkeit, Geräte in verschiedenen VLANs zu separieren und vom eigentlichen Heimnetz zu trennen macht in der heutigen Zeit, in welcher immer mehr „smarte“ Geräte auf den Markt kommen, durchaus Sinn. Und auch die Anonymisierung des selbst generierten Traffics über den VPN Provider seiner Wahl macht, egal von welchem Gerät aus, die Welt etwas weniger bedrohlich. Wenn die Geräte dann noch die Brücke zwischen mehreren SSIDs und dazu passenden, getrennten VLANs schlagen, Gast-Netze mit Captive Portal und OneTime-Token Auth. bereit stellen oder gar Public Wifi wie Freifunk unterstützen, dann dürfte auch der letzte Zweifel in den Wind geschlagen sein.