Eingeschränkte Kommunikation zwischen verschiedenen VLANs erlauben
Guten Mogen,
ich möchte mein Heimnetzwerk auf ein neuen Stand bringen und bin da auf TP Link Omada gestoßen. An manchen Stellen komme ich bei der Fritz!Box langsam an meine Grenzen. An sich gibt es zu dem Thema schon massig Hilfe und Videos im Netz und bin da über ein Videotutorial gestoßen, welches mein geplantes Senario sehr gut abdeckt.
Bevor ich nun mein ganzes Heimnetzwerk direkt umschmeiße und was neues aufbaue, wollte ich vorab ein kleines "Testnetzwerk" aufbauen um Erfahrungen zu machen und verschiedene Dinge zu testen ohne gleich komplett Offline im schlimmsten fall da zu stehen.
Als Hardware habe ich aktuell folgende Geräte vor mir liegen:
den Router ER605
den Switch TL-SG2008P
den Controller OC200
den AP EAP225 / AC1350
Mein aktuelles Problem ist, ich habe es nahezu 1:1 dem Video nachgemacht. Lediglich die VLAN ID vom Iot Netzwerk habe ich auf 20 gesetzt und als Bezeichnung habe ich IoTDev genommen. Im großen und ganzen funktioniert das meiste auch wie es soll, dass was noch nicht so richtig tut was es soll ist der Zugriff vom "Hauptnetzwerk" ins IoT Netzwerk. Also allein beim Ping scheitert es schon. Nach der Anleitung soll eigentlich das IoT Netzwerk keinen Zugriff aufs Hauptnetzwerk bekommen, lediglich dem Hauptnetzwerk soll es möglich sein, Geräte im IoT Netzwerk zu erreichen. Hat jemand von euch ggf. eine Idee woran es scheitert? Weil zumindest in der "Videoanleitung" klappt der Teil wie es soll. Ich hoffe es kam kein Update was "Sicherheit" bringen soll und nun alles irgendwie "sabotiert" bzw. wo man ein Harken setzen muss, der vorher nicht gesetzt war oder ähnliches.
Wenn weitere Infos benötigt werden, gebe ich gerne noch.
Michael
- Copy Link
- Subscribe
- Bookmark
- Report Inappropriate Content
- Copy Link
- Report Inappropriate Content
@Virgo Danke für den Tipp, hab da mal etwas drüber geguckt und der Beitrag war sehr interessant. Dazu auch das "How to". Das eigentlich mein Plan für das Netzwerk entspricht.
Mein Problem ist, sobald ich die Switch ACL aktivier klappt die Kommunikation in keine der beiden Richtungen. Wenn ich vom IoT Netzwerk nicht Geräte im Hauptnetzwerk erreichen kann ist das ja super. Nur die Richtung vom Hauptnetzwerk ins IoT Netzwerk sollte schon irgendwie funktionieren. Was es aktuell noch nicht tut.
- Copy Link
- Report Inappropriate Content
Ich mache gerade auch meine ersten Schritte mit TP-Link Hardware und habe auch einiges gelesen evtl. gibt es ansätze für dich?
Einen Setup habe ich für meinen Neffen mit
FRITZBox (Gateway) and TP-Link Omada Devices OC200, EAP610, TL-SG2428P JetStream
und bei mir läuft aktuell eine TL-SG3428 (Stand alone Modus) hinter einer Fritzbox und 3x Unifi AP (mit Unifi Controller auf Raspi) die am TP-Link Switch hängen ;)
Beide Setups haben den gemeinsamen Nenner die FritzBox und das bei mir alles im Stand alone Modus konfiguriert ist.
Bei dir kann es sein, dass deine ACL nicht passt oder die Firmware einen Bug hat wie bei der TL-SG3428 irgendwo in einem Beitrag habe ich dann
die FW benutzt TL-SG3428v2_en_2.0.3_[20210825-Rel.42722(Beta)]_up.bin und dann gin es bei mir.
Mittlerweile haben die Jungs auch eine offizelle FW TL-SG3428v2_en_2.0.7 released mit dem
Hinweis : If you find that Combined ACL failed to block traffic between Layer 3 networks, please check for a firmware update first.
--> evtl. mal Nachfragen
Was mir aufgefallen ist, dass im Video nur in einer Richtung eine ACL vorhanden ist.
Die ACL's über Omada habe ich so erstellt
Im Stand alone Modus auf meiner Switch TL-SG3428v2 habe ich das so eingetragen.
Als Beispiel, Guest darf nur ins Internet mehr nicht. 192.168.10.1 ist Gateway (Fritzbox)
- Copy Link
- Report Inappropriate Content
@nurix Ich habe mittlerweile die Hardware zurück an den Händler geschickt. Und ein kleinen Unterschied habe ich schon in meiner Hardware, nämlich den Router ER605. Dieser stellt die Verbindung zwischen dem Fritzbox und dem Rest. Die FritzBox habe ich als "Modem" konfiguriert. Vor allem ein Router in dem System ist von nöten, da die FritzBox Keine VLAN kann. Also diese kann damit nichts anfangen und um Netzwerke zu trennen benötigt man VLAN und was dazu gehört.
Ich habe am Wochenende mit nem Bekannten noch einiges probiert. Und scheinbar sind ACLs in einer Richtung bei Omada nicht mehr so einfach möglich, bzw. ist ein Bug drin, den es schon länger gibt. Bzw. das größte Problem ist, dass das sogenannte SPI (Statful Paket Inspektion) nicht implementiert ist, welches normal notwendig ist.
Ich hab die Geräte aber wieder zurück zum Händler geschickt und mir was von Unify bestellt. Diese Geräte sollen das sogenannte SPI unterstützen. Dies ermöglicht, dass Geräte hinter der Firewall Regeln Antworten geben können, wenn diese "angesprochen" werden (eine Antwort auf ein Ping oder ähnliches).
Aber trotz alle dem, danke für deine Antwort.
Habe Antwort vom Support nach 5 Tagen bekommen, bezüglich ACL und mein Switch bzw. Router, nur diese Antwort war so brauchbar wie Eis in der Arktis, kurz gesagt, der MA von TP Link gibt es in die Abteilung, bedauert aber mein nichtgefallen bei der Hardware. Kurz zusammen gefasst.
Michael
- Copy Link
- Report Inappropriate Content
Na das macht mir ja Mut in meinem Vorhaben.
Ich habe erst einen ER605v2 gekauft und bin gerade in der Vorbereitung weil ich in Richtung VPN etwas mehr benötige als die VPN der Fritzbox kann.
Hast du eigentlich auch darauf geachtet wo du die ACL Regeln in der Omada Software setzen tust?
Weil man theoretisch 3 möglichkeiten hat.
1. auf dem Router
2. auf der Switch
3. auf den AP's
und meiner Menung nach sollte man das auf der Switch setzen.
Nun ja, du hast dich ja schon entschieden.
Mal schauen wie lange ich es durchalte ;)
Viele Grüße
- Copy Link
- Report Inappropriate Content
Ja auf den Switch habe ich es auch gemacht.
Also geht zwar alles über den Controller, das is klar. Aber die Router (im Controller Gateway ACLs) greifen nur zwischen LAN und WAN, nicht zwischen verschiedenen VLANs oder so. Nur als Hinweiß. Und genau den Router habe ich auch gehabt.
Hatte auch Kontakt mit TPLink, und da wurde indriekt bestätigt, das SPI was für Kommunikation über die ACLs benötigt wird, nicht vorhanden ist. Also jede ACL die Nicht Bidirektional erstellt wird, ist trotzdem Bidirektional. Aber das dauerte bei mir auch bis ich irgendwie dahinter gekommen bin mit Hilfe von nem Bekannten.
Ich habe mich nur entschieden alles retoure zu schicken, damit ich nicht auf Hardware rumsitze, welche für meinen Zweck nicht einsetzbar ist.
Also wenn alle VLANs voneinander trennen willst und keiner mit keinem über die Grenzen der VLANs kommunizieren soll, kein Problem. Wenn manche zum Teil in eine Richtung das können sollen, sieht es schlecht aus. Ob sich da was tut?! Keine Ahnung.
Mit Richtungskommunkation meine ich z.B. VLAN10 zu VLAN 20 JA, VLAN20 zu VLAN10 NEIN. Und selbst wenn VLAN10 eine "Anfrage" an VLAN20 stellt, gibt es keine Antwort bei aktivierten ACL, da es kein SPI gibt. Aber ich wünsche viel Erfolg und falls sich bei dir was ergibt, kannst ja gern mitteilen. Bin gespannt.
Wenn meine neue Hardware da ist und ich erste Tests gemacht habe, kann ich gerne mal Feedback geben bei Interesse. Klar die Geräte von Unify sind teurer, deswegen habe ich mich auch erst bei TP Link umgeguckt.
Zu VPN, musst nur dran denken das so ein "DoppelNAT" aufbaust, was soweit ich gelesen habe unschön ist. Also nur als Hinweis.
Gruß
Michael
- Copy Link
- Report Inappropriate Content
Nabend Leute,
heute kam mein Dream Router von Unify. Ich hab alles wie beim TP Link in der Reihenfolge und so eingestellt bzw. eingerichtet und ich muss sagen. Es läuft tadellos.
Mit "Basiseinrichtung" des Dream Routers und erstellen aller 3 VLANs / Netzwerke, aller 3 WLANs, Regel erstellen und ein paar Sachen suchen, knapp eine Stunde und es läuft, wie ich es haben möchte. Besser gesagt, wie ich es schon zu Beginn haben wollte. Also Hauptnetzwerk kommt auf Geräte im IoT Netzwerk, aber Geräte aus dem IoT Netzwerk kommen NICHT ins Hauptnetzwerk.
Ich bin da echt total begeistert. Vor allem vom Preis / Leistung ähnliche Richtung, eher etwas günstiger als mein "Basissetup" bei TP Link. Also der Dream Router, bringt ja schon den Controller, ein 4 Port Switch (davon 2 POE), einen AP und den Router mit. Alles in einer kleinen weißen Dose mit blauem Ring.
Das Display im Gerät hätte man sich zwar "kneifen" können, also ist ganz witzig aber über den Sinn und Unsinn muss man sich nicht unbedingt streiten.
Also falls jemand was ähnliches vor hat wie ich, erster Eindruck, klasse. Ich lass die Kiste nun mal paar Tage laufen und guck mal was passiert. Bislang sind lediglich 2 Wemos D1 Minis per WLAN verbunden (je einer pro Netzwerk), mein PC (per LAN) und ein Windows Tablet per WLAN. Weitere Geräte werde ich zum Wochenende denke ich hinzufügen.
Nochmal danke, an alle die mir helfen wollten bzw. geholfen haben. War echt klasse. Mal gucken ob alles bei UniFi so gut läuft wie bislang, aber bislang echt klasse. Die Einstellungen waren zum Teil etwas anders bezeichnet, bzw. manche Einstellungen waren, als Standart im Automode gewesen (VLAN ID, IP Bereich und ähnliches). Kleiner Manko der Lüfter macht etwas Geräusche, dass hatte ich aber vorher schon wo gelesen gehabt und naja, er wird nicht im Schlafzimmer stehen, dann stört es mich nicht. Sobald Testphase abgeschlossen ist, kommt das Teil eh an den Platz der FritzBox und das ist im Durchgang zwischen Wohn und Esszimmer.
Bei Fragen, einfach was sagen ich geb gern das weiter, was ich zumindest kann.
Michael
PS: Bezahlt habe ich für den Dream Router um 270€
- Copy Link
- Report Inappropriate Content
Hi Omada Community,
leider hab ich mir jetzt auch die Omada Hardware zugelegt und musste auch feststellen das die ACLs nicht so funktionieren wie gewünscht.
Gibt es schon Neuigkeiten bezüglich Zugriff in nur eine Richtung?
Mfg
Mathias
- Copy Link
- Report Inappropriate Content
Information
Helpful: 0
Views: 1552
Replies: 8
Voters 0
No one has voted for it yet.