Omada - Keine IP Adresse an einem AP

[Datax]

Das Problem tritt an beiden EAP650 auf. Am EAP115 (Keller) funktionieren beide Netze.

Blöde Frage noch: was muss ich machen, dass der Controller immer auf die Switche/APs kommt? Ich verstehe dass das nur geht, wenn der Controller Zugriff auf VLAN1 hat? Stimmt das?
Denn auch wenn ich den Controller am Notebook laufen lassen, hat dieser ja keinen Zugriff, wenn das Notebook in nem anderen Vlan hängt?

Wie sieht eigentlich die Verkabelung der Switche aus?
Haben die 2 Switche untereinander eine Kabelverbindung!?

Wenn die 2 Switche nicht untereinander verbunden sind,
dann brauchen beide Switche jeweils 2 Kabelverbindungen zur FritzBox (1x VLAN1, 1x VLAN10).

Wenn die 2 Switche also separat (ohne Kabelverbindung untereinander) an die FritzBox angeschlossen werden sollen, dann bräuchtest du für das Gäste-Netz (VLAN10) noch einen kleinen zusätzlichen Switch,
da das Gäste-Netz der FritzBox ja ausschließlich an "LAN4" anliegt.

Wenn die Switche untereinander verbunden sind, dann muss auf den Ports,
über die die beiden Switche miteinander verbunden sind, das VLAN-Tag für VLAN10 mit gesendet werden.
In diesem Szenario brauchst du dann keinen zusätzlichen Switch.

Auf den Ports, an denen die Access-Points angeschlossen sind, muss das VLAN-Tag für VLAN10 ebenfalls mit gesendet werden.

 

[coolcriz]

Danke für eure Rückmeldungen.
Ich habe eben nochmal alles komplett zurückgesetzt.
Habe jetzt mal nur einen Switch verwendet, zwei APs dran (EAP650 + EAP115).
Standard-LAN (VLAN1) lediglich so geändert, dass auf der Einstellungsseite als Gateway die IP der Fritzbox eingestellt ist, DHCP aus.
Gästenetz angelegt (Purpose: VLAN, VLAN10)
LAN-Port 3 am Switch das Profil "Gästenetz" zugeordnet
WLAN 1 (Standard WLAN): KEIN VLAN konfiguriert (bisher VLAN1)
WLAN 2 (Gäste): VLAN 10, Haken bei "Gästenetz"
LAN-Ports, wo APs angeschlossen sind, Profil auf "alle"

Nun komm ich an beiden AP-Typen an beide Netze dran, d.h. korrekte IP aus dem jeweiligen Netz! D.h. im Grunde funktioniert alles. Klasse!

Nur für mein Verständnis:
durch die Konfiguration von VLAN1 für das WLAN1 hätte eigentlich Omada den AP taggen (+Port?), wegen dem Bug ging das nicht, der AP hatte es aber erwartet. --> so richtig?

Habe ich jetzt einen Nachteil oder Sicherheitsproblem, wenn das WLAN1 ohne Zuordnung eines konkreten VLAN läuft?
Ich verstehe es funktioniert und ist kein Problem, solange ich nur die beiden aktuellen Netze habe (also das Gästenetz abgetrennt ist)? Korrekt?


Nun zum zweiten Punkt von "Datax": "Verbindung der beiden Switche".
Ich hatte bisher EIN LAN-Kabel zur Verbindung der beiden Switche. Die jeweiligen Ports sind mit dem Profil "alle Netze" konfiguriert.
Ich war der Meinung, dass beide VLANs so an beiden Switchen verfügbar sind.
Wenn ich nun an Switch 2 ein weiteres Gästegerät per LAN anschließen möchte, muss ich nur einem Port das Profil "Gästenetz" zuordnen.
Ist das falsch?

 

[norKoeri]

durch die Konfiguration von VLAN1 für das WLAN1 hätte eigentlich Omada den AP taggen (+Port?), wegen dem Bug ging das nicht, der AP hatte es aber erwartet. --> so richtig?

Jein. Die aktuellen Access-Points sind pingelig und erwarten bei expliziter Angabe eines VLAN, dass der zu ihnen kommende Datenverkehr getaggt ist, auch wenn jenes VLAN das Management VLAN ist, also ab Werk 1.

Habe ich jetzt einen Nachteil oder Sicherheitsproblem, wenn das WLAN1 ohne Zuordnung eines konkreten VLAN läuft?

VLANs haben nichts mit Sicherheit zu tun. Es geht lediglich darum auf einem tatsächlichen LAN-Kabel mehrere abstrakte LAN-Kabel laufen zu lassen. Daher, kein Sicherheitsproblem.

Ich hatte bisher EIN LAN-Kabel zur Verbindung der beiden Switche. Die jeweiligen Ports sind mit dem Profil "alle Netze" konfiguriert.

Vollkommen korrekt. Datax warf das ein, wenn die Switche nicht untereinander verbunden wären, dann müsste an den LAN-Gastzugang der FRITZ!Box ein dritter Switch … logisch.

es funktioniert und ist kein Problem, solange ich nur die beiden aktuellen Netze habe (also das Gästenetz abgetrennt ist)? Korrekt?

Den Satz verstehe ich nicht … nochmal bitte irgendwie anders.

Ein Problem ist, dass die Gäste sich aktuell alle gegenseitig sehen. Normal will man, dass jeder Gast für sich ist. Dazu musst Du noch den Haken „Guest Networking“ auf der VLAN10-SSID aktivieren: Client-Isolation. Und eigentlich auch im Switch die Port-Isolation – Standalone-Oberfläche wieder ganz einfach (L2 Features → Switching → Port → Port Isolation); aber wo ist die Taste dafür im Controller? Jemand auf Reddit hat das so gelöst … Kopie in der TP-Link Community …

 

[coolcriz]

Den Satz verstehe ich nicht … nochmal bitte irgendwie anders.

Ich hatte verstanden, dass ich theoretisch ja nicht nur Haupt-LAN und Gästenetz haben kann, sondern auch noch bspw. ein Netz "Office".
Woher weiß dann das WLAN1 (Haupt-Wlan) aus welchem IP-Bereich es eine IP vergibt?

Bzgl. der Port Isolation/Client Isolation: verstehe ich. Wobei in unserem konkreten Fall das Gästenetz hauptsächlich für die Kids + Freunde verwendet wird. Da kann es vorkommen, dass die im gleichen Netz sein wollen um zu zocken.

Denke ich muss noch viel lesen und rumprobieren.
Auf jeden Fall vielen lieben Dank für eure geduldige Hilfe!!!

 

[norKoeri]

Ich hatte verstanden, dass ich theoretisch ja nicht nur Haupt-LAN und Gästenetz haben kann, sondern auch noch bspw. ein Netz "Office".

Nicht wirklich, denn eine FRITZ!Box kann nur zwei Subnetze, also Heimnetz und Gastnetz. Willst Du mehr Subnetze, brauchst Du einen anderen Internet-Router, also z. B. einen Omada ER. Falls Ihr noch DSL habt, dann davor ein DSL-Modem …

aber wo ist die Taste [für Port-Isolation] im Controller?

A) Geräte → Switch wählen → (Reiter) Ports → (Taste) Bearbeiten → Profil überschreiben → nicht Aggregieren (LAG), nicht Spiegelung (Port-Mirroring) sondern Switching → Port-Isolierung
B) Einstellungen → Kabelgebundene Netze → LAN → (Reiter) Switche → Rest wie in Alternative A
C) Einstellungen → Kabelgebundene Netze → LAN → (Reiter) Profile → (Taste) Ansicht → (Taste) Erweiterte Optionen → Port-Isolierung

Denke ich muss noch viel lesen und rumprobieren.

Lieber fragen. Diese Netz-Geschichten sind in Deutschland ein Ausbildungsberuf, der über mehrere Jahre geht. Selbst dann darfst Du erst mit langjähriger Berufserfahrung auf die Spezialschulung konkret für einen Hersteller. Das sieht zwar alles so schön einfach Klicki-Bunti aus, ist aber zum Einen schlecht gemacht und zum Anderen muss man eigentlich alles überprüfen, weil total verbuggt, also gar nicht das passiert, was man klickt.

um zu zocken.

Musst Du schauen, ob das klappt, wenn sie auch noch Multi-Player übers Netz spielen, also nicht nur Clients sind sondern implizit einen Server hosten. Ich meine die FRITZ!Box erlaubt auch kein UPnP-IGD im Gastnetz, also das automatische Öffnen von Ports. Aber das weiß vielleicht irgendwer genauer. Das manuelle Öffnen von Ports auf jeden Fall mal gar nicht.

 

[Datax]

Gästenetz angelegt (Purpose: VLAN, VLAN10)
LAN-Port 3 am Switch das Profil "Gästenetz" zugeordnet
WLAN 1 (Standard WLAN): KEIN VLAN konfiguriert (bisher VLAN1)
WLAN 2 (Gäste): VLAN 10, Haken bei "Gästenetz"
LAN-Ports, wo APs angeschlossen sind, Profil auf "alle"

Nun komm ich an beiden AP-Typen an beide Netze dran, d.h. korrekte IP aus dem jeweiligen Netz! D.h. im Grunde funktioniert alles. Klasse!

Nur für mein Verständnis:
durch die Konfiguration von VLAN1 für das WLAN1 hätte eigentlich Omada den AP taggen (+Port?), wegen dem Bug ging das nicht, der AP hatte es aber erwartet. --> so richtig?

Die Einstellungen, die du bei "WLAN 1" und bei "WLAN 2" vorgenommen hast, sind die Einstellungen der SSIDs (der WLAN-Netze), die von deinen Access-Points ausgestrahlt werden. Sprich, du stellst die SSID-Einstellungen ein, die den Access-Points mitgeteilt werden.

Wenn du also bei "WLAN 1" einen Haken bei "VLAN 1" machst, dann sorgt das dafür,
dass die Access-Points die Netzwerkpakete des "WLAN 1" in Richtung Switch mit der VLAN-ID 1 taggen.
Ich denke nicht, dass wir es hier mit einem Bug zu tun hatten. Ich denke eher, dass das "WLAN 1" bisher nicht funktioniert hat, weil das Native-VLAN (das Untagged-VLAN) der Switch-Ports, an denen Access-Points angeschlossen sind, ebenfalls die VLAN-ID 1 (PVID = 1) haben.

Sprich, der Access-Point übermittelte die Netzwerkpakete des "WLAN 1" mit VLAN-Tag (VLAN-ID 1). Der Switch hat aber das VLAN-Tag für VLAN 1 nicht mit gesendet, weil ein Switch-Port nicht das Native-VLAN 1 haben kann und gleichzeitig auch noch die VLAN-ID 1 mit senden kann.

Jetzt, wo du für das "WLAN 1" kein VLAN angehakt hast, wird der Datenverkehr dieses WLAN-Netzes in das VLAN des Access-Points gebridged (bei anderen Herstellern nennt sich das auch "Bridge to AP-LAN").

Wenn der Access-Point also an einem Switch-Port angeschlossen ist, der das Native-VLAN 1 hat, dann bekommt nun ein WLAN-Endgerät per "DHCP" eine IP-Adresse aus dem IP-Netz, das der DHCP-Server verteilt, der eben im VLAN 1 angeschlossen ist.

Habe ich jetzt einen Nachteil oder Sicherheitsproblem, wenn das WLAN1 ohne Zuordnung eines konkreten VLAN läuft?

Nein, die WLAN-Endgeräte, die sich mit dem WLAN 1 verbinden, landen halt im VLAN 1.

Die Trennung der WLAN-Netze, die du beabsichtigt hast, (1 WLAN-Netz im VLAN 10 und 1 WLAN-Netz im VLAN 1) hast du ja erreicht.

Ich verstehe es funktioniert und ist kein Problem, solange ich nur die beiden aktuellen Netze habe (also das Gästenetz abgetrennt ist)? Korrekt?

Sobald du mehr als 2 Netze haben möchtest, kannst du das mit deiner jetzigen Hardware nicht mehr machen. Die FritzBox kann nur 2 Netze zur Verfügung stellen.

Möchtest du mehr als 2 Netze haben, dann brauchst du entweder einen Router mit ausreichenden Ports (auf welchem jeweils 1 IP-Netz gelegt wird) oder direkt einen VLAN-fähigen Router wie es sie ja auch von "TP-Link" gibt oder "Ubiquiti" (z. B. EdgeRouter) oder vom Hersteller "MikroTik".

Wenn ich nun an Switch 2 ein weiteres Gästegerät per LAN anschließen möchte, muss ich nur einem Port das Profil "Gästenetz" zuordnen.
Ist das falsch?

Nein, warum sollte das falsch sein !?

Wenn du einem Port das Profil "Gästenetz" gibst, dann wird dieser Port Untagged-Mitglied im VLAN 10.
Die PVID dieses Ports wird also auf 10 gesetzt. Wenn dann ein Gerät an diesen Port angeschlossen wird,
bekommt es eine IP-Adresse aus dem Netz zugewiesen, das der DHCP-Server des VLAN 10 verteilt.

Wichtig ist halt, dass auf den 2 Ports, über die die 2 Switche miteinander verbunden sind,
das VLAN-Tag für VLAN 10 mit gesendet wird.

 

[coolcriz]

Vielen Dank für eure super Hilfe!!