TP Link Omada und VLAN Fritzbox

[danielweb]

Hallo zusammen,

ich bin auf ein TP Link System umgestiegen und versuche aktuell das Haus in verschiedene VLAN zu unterteilen.

Soweit komme ich zurecht, aber ich benötige weiterhin das Netzwerk der Fritzbox (Mesh Master) um die zweite Fritzbox (Mesh Client) mit den Telefonen zu verbinden (Vodafone Kunde).

Ich habe die Fritzbox in den Bridge Mode versetzt um das TP Netzwerk mit eigenem WAN zu versorgen.
WAN der Fritzbox hat eine andere externe IP wie das WAN des TP Netzwerkes - funktioniert.

Dann habe ich verschiedene VLAN eingerichtet analog der skizze.
Die VLAN funktionieren soweit wie gewünscht, auch die Fritz Telefonie funktioniert wie gewünscht.

Zur Frage: Gibt es eine Möglichkeit aus den TP Link VLAN 1-5 auf die Fritzbox Oberfläche VLAN 6 (ohne DHCP da dies Fritzbox übernimmt) zugreifen zu können? Welche Einstellungen könnte ich prüfen?

 

[chrigu]

Dazu musst du entsprechende Einstellungen im vlan-„Master“ machen, wer zu wem verbinden darf. Wobei Fritz kein vlan kann. Zudem könnte auch hier eine korrekt konfigurierte Route im entsprechenden Router (welches subnetz zu welchen zugreifen darf).

 

[Datax]

Hallo @danielweb,

ich verstehe deine Netzwerkskizze so, dass du auf dem "TP-Link ER606"-Router für die VLAN-IDs 1 bis 5 entsprechende VLAN-Interfaces erstellt hast.

Zum Beispiel so:
IP-Adresse für VLAN-Interface VLAN 1 = 192.168.1.1/24
IP-Adresse für VLAN-Interface VLAN 2 = 192.168.2.1/24
IP-Adresse für VLAN-Interface VLAN 3 = 192.168.3.1/24
IP-Adresse für VLAN-Interface VLAN 4 = 192.168.4.1/24
IP-Adresse für VLAN-Interface VLAN 5 = 192.168.5.1/24

Wenn du aus einem dieser Subnetze auf die Weboberfläche deiner FritzBoxen zugreifen möchtest,
dann muss der "ER606" in das Netz 192.168.6.0/24 routen können.

Das Netz 192.168.6.0/24 ist ja das Netz, in welchem sich deine 2 FritzBoxen befinden.

Du musst auf dem "ER606" ein weiteres VLAN-Interface anlegen mit der VLAN-ID 6 und zum Beispiel der IP-Adresse 192.168.6.3/24 (die laut deiner Skizze noch nicht in Verwendung ist).

Damit die Antwortpakete deiner 2 FritzBoxen den Weg zurück zum "ER606" finden,
musst du auf beiden FritzBoxen statische Routen für die Subnetze der VLANs 1 - 5 anlegen.

Die statischen Routen müssen jeweils auf die IP-Adresse des "ER606" im VLAN 6 zeigen,
also zum Beispiel so:

192.168.1.0/24 -> 192.168.6.3
192.168.2.0/24 -> 192.168.6.3
192.168.3.0/24 -> 192.168.6.3
192.168.4.0/24 -> 192.168.6.3
192.168.5.0/24 -> 192.168.6.3

 

[Kenjy]

Du musst auf dem "ER606" ein weiteres VLAN-Interface anlegen mit der VLAN-ID 6 und zum Beispiel der IP-Adresse 192.168.6.3/24 (die laut deiner Skizze noch nicht in Verwendung ist).

Wichtig ist, dass VLAN 6 dann als Untagged hinterlegt werden muss, da die Fritzbox mit Tagged-VLAN-Frames nichts anfangen kann.

 

[Datax]

@Kenjy Ist ja laut der Netzwerkskizze bereits so eingerichtet.

Beide FritzBoxen sind am jeweiligen TP-Link-Switch an einem Port angeschlossen,
der Untagged im VLAN 6 ist.

 

[riversource]

Wenn man die Netze über Routen wieder zusammenführt, kann man sich die Trennung in VLANs auch direkt sparen. Die Trennung macht man ja nur, damit sich die Geräte nicht erreichen können. Wenn sich Geräte erreichen sollen, bring sie in ein VLAN.

 

[danielweb]

Vielen Dank für eure Beteiligung. @Datax dein hinweis mit den statischen Routen hat mir geholfen.

Für andere die über diesen Thread stoßen und das gleiche Problem haben:
Ich habe in der Fritzbox unter Heimnetz -> Netzwerk -> Netzwerkeisntellungen -> Tabelle für statische Routen die Routen wie oben erwähnt eingetragen, nun kann ich das UI der Fritzbox aus den TP/Omada VLANs aufrufen. Bei mir habe ich die Routen auf die IP meines Omada/Tp Routers als Gateway angepasst (192.168.6.20).

Anbei noch ein Screenshot wie das VLAN 6 in Omada aufgesetzt wurde.
Das Routing im VLAN 6 übernimmt die Fritzbox, daher ist DHCP in Omada deaktiviert.

Vielleicht noch einige Hintergrund Infos warum ich dieses Setup habe:
Die einzelnen Stockwerke im Haus sollen jeweils ein eigenes Netzwerk haben, aber gemeinsame Access Points mit allen SSIDs für gute Coverage. Verlegt sind aber nur sehr wenige Kabel im Haus, weshalb ich dafür VLAN verwenden möchte.
Als Internetzugang/Modem kommt aufgrund Vodafone Kabel leider nur die Fritzbox in Frage, welche ich zum Glück ohne doppeltes NAT im Bridge Mode betreiben kann und somit Die Fritz eine eigene externe IP auf LAN1 bezieht, sowie der Omada Router als Router eine zweite externe IP über den Fritzbox Bridge Port LAN4 bezieht.
Zuletzt noch der Hinweis zur zweiten Fritzbox: Leider gibt es noch analoge Telefone im Haus sowie ein FritzPhone, welche ich nicht im Keller direkt anschließen kann. Daher war hier die idee diese in ein seperates VLAN zu packen um größere Strecken zur zweiten "Telefonie-Fritzbox" überbrücken zu können.

Soweit scheint das Setup erstmal zu funktionieren. Wenn jemand noch weitere hilfreiche Gedanken / Ideen / Verbesserungsvoschläge hat bin ich sehr dankbar.

 

[riversource]

Die einzelnen Stockwerke im Haus sollen jeweils ein eigenes Netzwerk haben, aber gemeinsame Access Points mit allen SSIDs für gute Coverage.

Genau das hast du jetzt aber zerstört, denn es gibt nun keine eigenen Netze mehr. Die Netze können sich nun alle uneingeschränkt gegenseitig erreichen. Die VLANs kannst du auch komplett wieder löschen, die machen so keinen Sinn mehr.

 

[danielweb]

@riversource Ich verstehe deinen Gedankengang nicht ganz. Das Setup sieht vor dass nur eine bestimmte IP aus dem Management VLAN auf die Fritzbox zugreifen kann. Alle anderen VLANs habe ich durch ACL im router voneinander getrennt.

 

[riversource]

Ich habe in der Fritzbox unter Heimnetz -> Netzwerk -> Netzwerkeisntellungen -> Tabelle für statische Routen die Routen wie oben erwähnt eingetragen,

Das hört sich anders an.