Problem mit ACLs in TP Link Omada

Guten Abend,

ich bin vor kurzem bei mir zuhause dabei mein Netzwerk um zu bauen. Aktuell habe ich noch meine FritzBox am rennen, diese möchte ich aber zeitnah ersetzen und bin da auf das System von TP Link / Omada gestoßen. Nach bisschen googlen und auf Youtube gucken habe ich mich für das Omada System entschieden.

Bevor ich es in den Aktiven Einsatz bringen, habe ich mir erstmal eine "Testumgebung" aufgebaut. Soweit so gut. Also alles läuft out of the Box, aber wenn ich Anfange Switch - ACL ein zu richtgen gibt es Probleme. Ich habe mich für erste Erfahrungen an einem Video orientiert, was ähnlich meinen geplanten Senario entspricht. Hier erstmal zu dem Link zu dem Video, was ich meine: Link zum Video Tutorial

Kurz zusammengefasst, worum es in dem Video geht:

• Es werden 3 VLANs mit dazugehörigen WLANs erstellt (HeimNetzwerk, IoT und Gast) nicht mit genau den Namen, aber Namen sind an sich ja nicht ausschlaggebend, solange an allen Ecken die gleichen genommen werden
• Es wird eine Switch ACL erstellt, welches die Kommunikation vom IoT Netzwerk zum HeimNetzwerk unterbindet, die Kommunikation vom HeimNetzwerk ins IoT Netzwerk soll hingegen funktionieren.
• Das Gast WLAN wird nachher auch mit den Paramenter von Gast WLAN verknüpft, dieses hat somit keinen Zugriff auf das IoT Netzwerk bzw. das HeimNetzwerk.
• Zum testen ob alles klappt werden 2 Laptops und ein Smartphone genommen, welche sich gegenseitig versuchen an zu pingen. Manche mit Erfolg, manche ohne. Je nach der Einstellung.

Von der Hardware im Video bin ich etwas abgewichen. Meine Hardware, die ich hier stehen habe besteht aus folgenden Geräten:

• Ein ER605
• Ein TL-SG2008P
• Ein OC200
• Ein Access Point AC1350 / EAP225

Sobald ich meine 3 Netzwerke erstelle und die ACL aktiviere habe ich das Problem, das ich von den verschiedenen VLANs nicht mehr auf die anderen zugreifen kann. Was im großen und ganzen richtig ist. Außer dass ich die ACL so eingerichtet habe, dass die Kommunikation von VLAN 107 (IoTDev) nach VLAN 42 (HeimNetz) blockiert werden soll. Somit sollte eigentlich die Kommunikation in die andere Richtung funktionieren.

Hier einmal ein Screenshot über die Konfiguration:

Mit dem Problem schlage ich mich schon ein paar Tage rum, komme nur nicht auf einen grünen Zweig.

Zum Testen ob das geht habe ich 2 Wemos D1 Minis genommen, diese jeweils in ein WLAN zu den entsprechenden VLANs eingebunden sind und einen "MiniWebserver" simulieren. Und zum Aufrufen nehme ich meinen PC, welcher per LAN an den Switch angeschlossen ist.

Nachdem ich ein paar Tage rumgefummelt habe ohne Erfolg, stellt sich für mich die Frage ob das ggf. an dem anderen Switch liegt? TP Link bietet da eine schöne Funktion um die Geräte 1:1 zu vergleichen, doch aus meiner Position sind da recht wenige unterschiede, wobei ich mir nicht sicher bin, ob ggf. eine davon die Entscheidende Spezifikation ist. Hier noch der Link zu dem Vergleich der Switche: Link zum Switchvergleich

Bei den Unterschieden meine ich nicht, die Anzahl der POE Ports bzw. die Anzahl der Ports an sich, sondern rein von den Funktionen und Möglichkeiten.

Ich hoffe mir kann da ggf. jemand helfen bei meinem Problem? Ich bin auch schon am überlegen ob ich mir den anderen Switch noch kaufe. Zurück geben kann man alles, nur ob das von Erfolg gekrönt ist, weiß ich nicht. Vor allem wenn ich in Zukunft mir noch ein weiteren Switch holen möchte, der auch mehr Ports bietet, wäre gut zu wissen, welche Funktion benötigt wird um dann zu funktionieren.

Wenn noch mehr Informationen von mir benötigt werden, einfach fragen. Ich versuche alles zu erzählen was ich weiß.

Danke schon mal im voraus für eure Hilfe.

Michael

Moin, danke für die Antwort.

Der Grund, warum ich auf ACLs komme, bzw. warum ich vermute, dass da das Problem liegt ist. Wenn ich die ACLs aktiviere geht nichts mehr, wenn ich die ACLs ausschalte kann ich kreuz und Quer anpingen bzw. drauf zugreifen. Also vom HeimNetz zu IoT und vom IoT zum HeimNetz.

Zum Thema FW Regeln selbst habe ich in den Einstellungen bislang eher weniger gefunden. Bei dem Omada System wird alles grundsätzlich Zentral verwaltet und nicht jedes Gerät seperat. Also falls das nicht bekannt war.

Vor allem wie ich überhaupt auf das Thema ACLs und so komme, stammt aus dem Videotutorial. Also da war zumindest nichts zum Thema Firewall oder ähnliches drin. Aber ich kann diesbezüglich nochmal nachstöbern, nur auf den ersten Eindruck habe ich zu FW Regeln selbst nichts gefunden, außer paar Boxen, welche ich ein und ausschalten kann.

Aber ich gucke gerne später nochmal genauer im Controller, kann auch gerne ein paar Screenshots machen, falls jemand das System so noch nicht kennt?

Bzw. ich habe letztens ein "Emulator" für den Controller gefunden, falls jemand selber mal rein gucken möchte. Hier der Link:Link zum Emulator

ACLs und Firewall Einstellungen, findet man primär unten links auf dem Zahnrad und dann unter den entsprechenden Reitern "Network Security"

Michael

Xav: Genau um das Video geht es eigentlich. Also das habe ich als Grundlage genommen, um ein Einstieg in das Omada System. Und genau damit fing das ganze Dilema an, mit ACLs und so. Weil an sich machte der Typ im Video und wenn man seine anderen Videos mal rein schaute einen eigentlich guten Eindruck. Also das er weiß, was er sagt.

Habe alles wie im Video 1:1 nachgemacht, außer dass ich einen anderen Switch genommen habe. Habe mir letzte Nacht den im Video verwendeten Switch nachgeordert um es mit dem zu testen. Notfalls hat man bekanntlich 30 Tage Rückgaberecht bei Onlinekäufen, falls etwas davon doch nicht so passt wie gewünscht.

Michael

Xav: Okay muss ich gucken wo ich FW Regeln einstellen kann, den diese habe ich bislang so noch nicht gefunden. Zum Thema FW war wie gesagt nur eine Liste an Punkten, wo ich was aktivieren konnte bzw. deaktivieren und mehr war da nicht zu holen.

Aber ich gucke später nochmal nach.

Michael

Hey Leute,

ich dachte ich bringe euch mal auf den aktuellen Stand der Dinge.

Ich habe heute den anderen Switch (TL-SG2210MP [Der aus dem Video, womit alles angefangen hat]) bekommen und naja irgendwie ist das ganze fast eher schlimmer geworden und nicht besser

Ich habe erstmal alle Geräte mittels Resettaster zurück gesetzt um wirklich bei 0 zu beginnen mit dem neuen Switch. Habe dann erst den Einrichtungsassistenten vom Controller durchgeklickt, dann wie gewohnt die VLANs und WLANs erzeugt. Im Anschluß mein Wemos D1 Mini (Webserver) in Betrieb gesetzt, geguckt ob ich per PC drauf zugreifen kann und das funktionierte. Dann habe ich im Anschluß die "Problemzone" ACL eingerichtet und nichts ging mehr. Diese wieder deaktiviert und nochmal versucht den Webserver zu erreichen und nunja, nichts geht mehr.

Habe dann aus lauter Verzeiflung mal in die Geräte geguckt und plötzlich stand beim Router (ER605) "ADOPTING", obwohl ich vorher schon alle Geräte "Adoptiert" habe und alle als Connected drin standen. Ich habe mir nichts groß gedacht, Resete ich den Router nochmal und adoptiere den noch mal. Das ging auch, aber kurz danach wieder Stress beim Router.

Irgendwie habe ich das Gefühl, als ob der Router ein hat. Oder hat jemand sowas schon mal erlebt bzw. wie wären eure Vermutung bei so einem Verhalten?

Wollte es morgen nochmal mit dem ersten Switch testen. Nur so langsam wird die Verzweiflung (mit Haare raufen und graue Haare bekommen) immer etwas größer.

Michael

PS: Ist das mit den Geräten von Unify ähnlich schlimm? Oder hat da auch noch weniger jemand groß Erfahrung. Bin zwischendruch am überlegen, alles wieder einzupacken und back to Amazon und was anderes zu kaufen.

@noob_at_pc:Auch bei dem was ich mir gedacht / geplant habe?

Also 3 VLANs mit beschränkter kommunikation untereinander?

Michael

@noob_at_pc:Ich werde mir morgen und am Wochenende noch bisschen mehr mit Omada auseinander setzen ggf. mal gucken nach einem Forum was offizil von TP Link betrieben wird bzw. Supportet wird. Ggf. nehme ich auch mal Kontakt zum Support auf. Aber parallel werde ich mir das Thema Unify und rund rum mal zu gemüte führen.

Der Hauptgrund wieso ich mich für TP Link entschieden hatte, war in erster Linie der Preis. Unify ist doch schon etwas teurer.

Guten Morgen,

von Werk aus sind alle VLANs komplett frei. In dem erklärvideo was ich als Grundlage nutze erstellt er nur die ACL für den Verbot in die Richtung IoT zu LAN (Hauptnetzwerk) diese könnte man gleich in beiderichtung aktivieren oder nur in die eine. Was ich auch gemacht hab.

Aus Verzweiflung habe ich die Kommunikation explizit in die andere Richtung (LAN zu IoT) erlaubt, brachte aber kein Erfolg.

Michael

Bislang hatte ich nur PC an einen Port mit passenden „Profil (VLAN)“ an dem Port und AP mit allen VLANs für alle SSIDs.

Aber kann es später mal mit 2 Netzwerkgeräten an LANs testen. Hab aktuell nur ein PC, ein Laptop (nur mit WLAN hat kein RJ45 Port) und 2 Wemos D1 Mini in jeweils eins der beiden WLANs drin. Muss mir noch ein usb Adapter besorgen für den Laptop.

Michael

Ne ist ja noch im Büro hinter der FRITZ!Box als testumgebung bevor ich das ganze Netzwerk umbaue. Wollte nicht gleich das ganze Haus offline setzen bzw mit Problemen Pflastern wenn es im kleinen nicht klappt

Ja FW ist aktuell. Und das mit dem immer wieder neu Adoptierten ist auch nur bei dem einen Switch. Der andere läuft über Tage durch und mit rumspielen aller Art.

das hat etwas verwirrt