Problem mit ACLs in TP Link Omada

  • @noob_at_pc: Kurze zur Info, wenn ich ein anderes LAN Gerät an einen Port vom Switch packe und diesen Port auch ins VLAN vom IoT packe habe ich den gleichen Erfolg / Misserfolg wie bei dem Wemos D1 mini (mein Testwebserver).

    Die Suche geht weiter.

    Michael

  • @Xav: Das bei Ubiquiti ein deutschsprachiges Forum gibt, find ich super. Ich bekomme das mit dem Englischen verstehen eigentlich ganz gut hin, also zumindest was man liest / hört. das mit dem schreiben ist eher "solala". Daher wäre ein deutschsprachiges Forum für TP Link noch echt der Knüller [bt] .

    Ich habe mich mal mit dem Support von TP Link in Verbindung gesetzt, per Telefon, da es eine Festnetznummer war und nicht so eine irre teure Servicenummer. Leider war die Telefonverbindung eher schlecht als recht. Ich weiß nicht ob es an meinem Handy lag oder was auch immer. Auf jeden Fall hat mich der Herr vom Support auf ein Thema hingewiesen, was aber leider keine Besserung brachte. Aber ich dachte, ich sag trotzdem was der Plan war.

    Der Herr vom Support meinte, das Standart VLAN 1 sollte man nicht verwenden, dass kann zu Problemen führen. Dachte ich mir, gesagt, getan. Ein neues VLAN angelegt ("LAN 2" mit ID 30 nicht sonderlich "Kreativ" aber dachte einfach tut es auch), habe dann das WLAN für dieses VLAN auf das neue VLAN "umgebogen", die ACL angepasst, dass nicht mehr das Standart Netzwerk eingebunden ist, sondern das neue Netzwerk. Habe auch die "erlaub" alles aus dem "LAN 2" ins "IoT" nochmal aktiviert. Getestet und alles kein Erfolg. Dann habe ich die Reihenfolge der Regeln in der Liste getauscht, was auch keine Besserung brachte. Muss dazu sagen, hab mir den Abend und die halbe Nacht einige Videos auf YouTube zu Omada, VLANs, ACLs und Unify reingezogen, da ich nicht schlafen konnte.

    Irgendwie frustriert das ganze alles mächtig. [dy] [dy] [dy]

    An sich bin ich mit dem System ganz zufrieden, bis auf eben mein "Problem". Bei meinem Videomarathon habe ich gemerkt, dass die Ubiquiti Seite und das von Omada doch sehr ähnlich aussieht. Nur Preislich ist zum Teil Ubiquiti doch eine andere Hausnummer. Okay wenn man die Dream Dingsbums in Software statt in Hardware nimmt, fällt schon ein ordentlicher Brocken runter.

    Nur irgendwie ist eigentlich Aufgeben und alles weg damit nicht mein Ding. Habe noch bis zum 10.11. oder so Zeit um eine Entscheidung, wegen der Geräte zu treffen und es ggf. Back to Amazon zu geben. Und dann hätte ich Möglichkeit alles auf Anfang und von Ubiquiti und gucken was da passiert oder was auch immer.

    Ich dachte, ich bring euch mal auf den Stand der Dinge.

    Michael

  • Wenn ich am WE Zeit finde könnten wir uns das mal gemeinsam anschauen wenn du magst. Nur als Angebot. [bt]

    das Einzige was am Ende zählt ist
    dass ihr lebt was ihr liebt und liebt wofür ihr lebt


    Kodi HTPC - W11 | AMD Athlon 3000G | Pioneer A 504R Bj. 96
    OMV NAS - NAS | Emby Server | LogitechMediaServer
    3x Logitech SqueezeBox & 3x RasPi PiCorePlayer
    Unifi Netzwerk | Sophos XGS Firewall | Agfeo TK | Kentix Security
    Loxone SmartHome

  • @noob_at_pc: Das Angebot nehme ich sehr gerne an. Meine Frau ist nicht da, somit würde keiner Stören, außer dass ich ggf. zwischendurch mal mit dem Hund raus muss. Musst nur sagen welcher Zeitraum gut ist, damit ich das alles etwas einplane kann.

    Parallel google ich gerade aber noch einiges rum. Vielleicht finde ich parallel auch noch was.

    Zum Switch, wäre klasse, wenn ich den SG2008P nehmen kann. Dieser passt wenigstens in mein 10Zoll Rack rein, welches ich in meinem "Arbeitszimmer" (nennen wir es mal so) hängen habe. Dieser Rack dient als "Basis" für die ersten Gehversuche.

    Kurz zur Erläuterung meiner aktuellen Netzwerkstruktur:

    Das Internet (Telekom) kommt über meine FritzBox ins Netzwerk. Von der FritzBox habe ich den Port 1 über die Netzwerkdose an meinen Switch (ein älteres Modell, erfüllt seine Aufgabe, soll aber auf Dauer wenn alles läuft gegen was von Omada oder so ersetzt werden). Dieser Switch (24 Port) befindet sich im Keller in meinem Netzwerkschrank (19 Zoll Rack 15HE (glaube ich)) dazu ein kleiner Heimserver, einem 48 Port Patchfeld (80% gefüllt aber nicht alle aktiv genutzt), einer 2 HE Schublade, einer Steckdosenleiste und ein paar Blindabdeckungen und einer Bodenträgerplatte. Von dem geht ein Duplex Kabel zum zweiten Netzwerkschrank (19 Zoll 4HE) für meine NAS Systeme (Habe 1 von Synology und eines von WD). Diese habe ich in einem Seperaten Netzwerkschrank "ausgelagert" da der andere zu klein war. Ich konnte aber kein größeren nehmen, da der Platz nicht unbegrenzt ist. Im Schrank zu den NAS Systemen habe ich einen kleinen 5 Port Switch (Managmet) gehängt, da meine Synology Festplatte 2 LAN Ports hat und ich einen davon direkt mit meiner CNC Fräse (dem SteuerPC davon) verbunden habe. Diese hat Verbindung nur zur NAS, nicht zum Internet oder sonstwas. Die Verbindung zwischen Netzwerkschrank und "NAS Schrank" ist aktuell 1GBit, soll ggf. noch angepasst werden. Entweder noch eine Duplexleitung und der kleine Switch weg oder so. Aber anderes Thema.

    Von dem Netzwerkschrank im Keller gehen alle Netzwerkdosen ab, welche ich im Haus verteilt habe (Wohnzimmer, Esszimmer, Kinderzimmer, Drucker (Netzwerkdrucker Zentral im Haus Positioniert), Büro, 2 Fritz Repeater per LAN verbunden, ...). Zusätzlich habe ich eine Duplexleitung zu meinem kleinen (10 Zoll) Netzwerkschrank geführt, welche auf Dauer zur Trunkleitung werden soll. Der 10 Zoll Netzwerkschrank hängt in meinem "Arbeitszimmer" mit Elektronikecke, wo ich ein paar Netzwerkdosen verteilt habe. Diese hätte ich zwar auch Zentral im Keller (im großen Netzwerkschrank) verwalten können. Wollte ich nicht, da ich so ohne jedes mal quer durchs Haus rennen muss, wenn ich etwas "umpatchen" möchte oder so. "Entwickle" kleine IoT Projekte und manche möchte ich nicht direkt im "großen" Netzwerk haben, sondern in einer Testumgebung und so habe ich da eigentlich, die größt mögliche Flexibiltät ohne immer Quer durchs Haus toben zu müssen.

    Ich hoffe meine schriftliche Beschreibung ist verständlich. Zur Not erstell ich noch eine Skizze, zum besseren Verständnis. Hat alles in allem nichts mit meinem Problem zu tun, dachte mir aber ggf. interessiert es jemand, warum ich den Aufwand treibe und was da hinter steckt.

    Am Ende wird es vermutlich also nicht bei 3 VLANs bleiben. Aber ich denke, erstmal eins nach dem anderen. Aus dem Grund habe ich mir erstmal ein kleines Setup aufgebaut um den Einstieg in die Materie zu bekommen. Ausbauen kann ich immer noch.

  • Hallo Raspido, nachdem ich auf meiner Suche quer durchs Netz immer wieder auf dich und dein Problem stoße, melde ich mich hier nun mal an, um dein Leid zu teilen: Wir scheinen beide ziemlich am exakt selben Punkt zu haken, ich komme mit praktisch identischer Ausstattung nach Anleitung aus besagtem Video ebenfalls nicht weiter. Soweit, so schlecht.

    Ich habe im TP-Link-Forum allerdings ein paar Threads entdeckt, die vielleicht des Rätsels Lösung sind. Ich weiß nicht, ob du die auch schon entdeckt hast:

    https://community.tp-link.com/en/business/forum/topic/533590

    https://community.tp-link.com/en/home/forum/topic/545412?page=1

    Offenbar gibt es in der Router-Firmware ab v 1.2.0 also einen Bug bei den ACL-Regeln, wodurch mehr geblockt wird, als soll. Also genau unser Problem. Beschrieben wird der Bug hier zwar im Standalone-Betrieb, dass der Fehler aber auch im Controller-Betrieb auftritt, erscheint mir naheliegend. Das würde vielleicht auch erklären, warum es in den Vid-Tutorials funktioniert, sofern die Kollegen dort noch auf älteren Versionen unterwegs waren. Einziger Haken: ich hatte gestern Nacht daraufhin schon einmal auf 1.1.x downgegradet, damit aber auch noch keinen Erfolg verzeichnet. Vielleicht habe ich da aber um halb 2 nachts auch etwas übersehen. Will später noch einmal nach Reboots von vorne anfangen, mal sehen wie weit ich da komme. Das nur zu deiner Information, vielleicht können wir uns hier gegenseitig über Fortschritte auf dem Laufenden halten.

  • @nitebuster: klar kein Problem. Ich guck mir deine Beiträge gleich auch mal durch, die gepostet hast. Morgen früh habe ich mit Noob_at_PC ein Telefonsupport und Fehlersuche. Klingt von den Begriffen etwas komisch. Ist aber nicht so gemeint.

    Aber wenn sich bei dir was tut, meld dich auf jedem Fall. Ich hab die Hoffnung, mit gebalter Kraft ans Ziel zu kommen. Ich habe mir zwar die ein oder anderen Videos zu dem Unify Geräten angeguckt, was ja wohl auch sehr verbreitet ist. Was mich da aber ein wenig abhält da auch mal genauer zu gucken ist der Preis. Für ein ähnliches Setup wie bei mir vorhanden, lag ich Preislich etwa bei dem doppelten, manchmal auch noch teurer. Je nach Quelle. Die Dream Maschine Pro deckt zwar Router und Controller ab mit einem kleinen Switch aber ganz ohne POE. Aber ich denke das ist ein anderes Thema und gucken wir erstmal, ob man nicht das was wir haben zum laufen bekommen.

    Aber noch zum Router, ich habe das Modell ER605 mit der FW 2.0.1 also nur damit ich es mal gesagt habe. Weiß ja nicht was sonst noch für Geräte hier rum geistern [ab]

    Michael

  • Ich bin gerade auf was vom Dennis Schröder (ein anderer YouTuber mit Block) gestoßen und bei dem in den Kommentaren stand was, dass TP Link manches nicht unterstützt, was ACLs betrifft und so weiter. Der Kommentar ist von Juni oder Juli dieses Jahr, aber ich dachte ich packe diese Info auch mal hier rein.

    Hier der Link zu dem von mir gemeinten Beitrag: Link zum Beitrag (Der Kommentar befindet sich fast ganz unten auf der Seite. Ich hoffe, es hat sich entweder was geändert oder ist nicht ganz zutreffend. Aber gucken wir noch mal.


    Michael

  • @nitebuster Ich habe mich gerade mit noob_at_pc kurz geschlossen und so einige Dinger probiert. Ergebnis ist, TP - Link Zeug geht zurück an Amazon und UniFi Geräte können kommen. Alles in allem etwas ärgerlich und vor allem teurer, nur TP Link will nicht das machen was ich möchte. Bzw. was du ja auch wohl schon länger versuchst. Schade drum.

    Ich dachte, ich gebe mal bescheid.

    Michael

  • Nabend Leute,

    heute kam mein Dream Router von Unify. Ich hab alles wie beim TP Link in der Reihenfolge und so eingestellt bzw. eingerichtet und ich muss sagen. Es läuft tadellos.

    Mit "Basiseinrichtung" des Dream Routers und erstellen aller 3 VLANs / Netzwerke, aller 3 WLANs, Regel erstellen und ein paar Sachen suchen, knapp eine Stunde und es läuft, wie ich es haben möchte. Besser gesagt, wie ich es schon zu Beginn haben wollte. Also Hauptnetzwerk kommt auf Geräte im IoT Netzwerk, aber Geräte aus dem IoT Netzwerk kommen NICHT ins Hauptnetzwerk.

    Ich bin da echt total begeistert. Vor allem vom Preis / Leistung ähnliche Richtung, eher etwas günstiger als mein "Basissetup" bei TP Link. Also der Dream Router, bringt ja schon den Controller, ein 4 Port Switch (davon 2 POE), einen AP und den Router mit. Alles in einer kleinen weißen Dose mit blauem Ring.

    Das Display im Gerät hätte man sich zwar "kneifen" können, also ist ganz witzig aber über den Sinn und Unsinn muss man sich nicht unbedingt streiten.

    Also falls jemand was ähnliches vor hat wie ich, erster Eindruck, klasse. Ich lass die Kiste nun mal paar Tage laufen und guck mal was passiert. Bislang sind lediglich 2 Wemos D1 Minis per WLAN verbunden (je einer pro Netzwerk), mein PC (per LAN) und ein Windows Tablet per WLAN. Weitere Geräte werde ich zum Wochenende denke ich hinzufügen.

    Nochmal danke, an alle die mir helfen wollten bzw. geholfen haben. War echt klasse. Mal gucken ob alles bei UniFi so gut läuft wie bislang, aber bislang echt klasse. Die Einstellungen waren zum Teil etwas anders bezeichnet, bzw. manche Einstellungen waren, als Standart im Automode gewesen (VLAN ID, IP Bereich und ähnliches). Kleiner Manko der Lüfter macht etwas Geräusche, dass hatte ich aber vorher schon wo gelesen gehabt und naja, er wird nicht im Schlafzimmer stehen, dann stört es mich nicht. Sobald Testphase abgeschlossen ist, kommt das Teil eh an den Platz der FritzBox und das ist im Durchgang zwischen Wohn und Esszimmer.

    Bei Fragen, einfach was sagen ich geb gern das weiter, was ich zumindest kann.

    Michael

    PS: Bezahlt habe ich für den Dream Router um 270€

  • Ich hab mir den zum "Spielen" im EA für knapp nen Hunni sichern können, ein klein wenig hört man den Lüfter,

    ersetzt irgendwann wenn mal die PV und die WP installiert ist, meinen Cloudkey und USG und die Fritte wird dann zur reinen TK Anlage, dauert aber noch.

    Bei der Nichte meiner Frau waren ACLs nicht nötig, die wollten "nur" gutes Wlan auf 3 Stockwerken und im Garten ;) , da war TP Link eine günstigere Alternative zu Ubiquiti und damals auch besser verfügbar.

  • Moin, dann will ich auch noch fix ein Update liefern - auch wenn es für Raspido zu spät kommt ;) Aber evtl. stolpert ja wer mit ähnlichen Problemen hierüber und freut sich über einen Stups in die richtige Richtung. Ich bin letztlich erfolgreich gewesen, mein Omada-Setup in voneinander isolierte VLANs für Heim-, IoT- und Gäste-Netz aufzuteilen, wobei bestimmten Devices VLAN-übergreifend Zugriff gewährt wird. Geholfen haben mir dabei die Videos aus dieser Playlist:

    Externer Inhalt www.youtube.com
    Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.

    Hier wird ein Omada-System "from Scratch" eingerichtet und step by step ausgebaut. Weiß nicht, ob das penible Nachverfolgen jetzt den Ausschlag gegeben hat oder das gestrige Firmware-Update für den OC200 - aber jedenfalls läuft es bei mir jetzt so, wie es soll. Jedenfalls, soweit ich das bislang getestet habe und überblicke. Gebe Raspido allerdings recht: Das ist für ein doch relativ hochpreisiges System mit Pro-Anspruch ziemlich knifflig und "unconvenient" (aber vielleicht ja auch gerade deshalb?). Egal. Funzt jetzt und hoffentlich hilft das hier ja noch anderen. So long!

  • Ist aber auch Unfug was TP Link da treibt.und wie hast du die regeln erstellt wer was wohin darf und wohin nicht? Gerne mal screenshot zu. Im Video wird das nicht angegangen.

    das Einzige was am Ende zählt ist
    dass ihr lebt was ihr liebt und liebt wofür ihr lebt


    Kodi HTPC - W11 | AMD Athlon 3000G | Pioneer A 504R Bj. 96
    OMV NAS - NAS | Emby Server | LogitechMediaServer
    3x Logitech SqueezeBox & 3x RasPi PiCorePlayer
    Unifi Netzwerk | Sophos XGS Firewall | Agfeo TK | Kentix Security
    Loxone SmartHome

  • Absolut, Spaß macht das nicht :/

    Das verlinkte ist nur Nr 1 von einer ganzen Reihe von Videos, die aufeinander aufbauen. In Nr 4 kommt das eigentliche ACL Setting.

    Externer Inhalt youtu.be
    Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!