Guten Morgen,

ich bin aktuell dabei mein Heimnetzwerk um zu bauen und habe mich da für TP Link Omada entschieden. Soweit so gut. Mein Plan war Geräte zu seperieren um mehr Sicherheit in meinem Netzwerk zu bekommen und da die Fritz!Box sowas nicht kann, habe ich mich bisschen umgeguckt und bin auf das System gestoßen. Durch zufall fand ich zusätzlich noch eine recht gute Anleitung bei YouTube, die sogar das Senario ähnlich abbildet, wie ich es mir vor gestellt habe. Nun habe ich es (fast) 1:1 nachgebaut, nur der Erfolg hält sich etwas in Grenzen.

Als erstes den Link zum Videotut:

Was ich geändert habe ist lediglich die VLAN ID für das IoT Netzwerk von 107 auf 20. wo ich aber nicht denke, dass das ein Problem ist. Ich weiß nicht ob TP Link Updates rausgegeben hat, die "neue" Sicherheitseinstellungen bringen, die jetzt behindern oder so. Aber vielleicht hat jemand von euch eine Idee?

Wenn mehr Infos gebraucht werden, liefere ich nach was ich kann.

RaspiDo
Die Frage zu Sinn und Zweck warum du das wirklich willst, werden sicherlich andere stellen Auch interessant ist, warum du deinen bisherigen Erfolg als „mäßig“ bezeichnest.
Dazu eine Auflistung deiner Geräte wäre sicherlich schon mal ein Anfang zu „ mehr Infos“.
Nicht das du dir zuviel von der Aktion versprichst und / oder mit Kanonen auf Spatzen schiessen willst. Wie ist dein bisheriger Wissensstand zu dem Thema? Da mußt du als neues Forenmitglied schon ein wenig erzählen

Okay, fangen wir erstmal an, was für Hardware ich hier rumliegen habe.

1. Ein Router ER605
2. Ein Controller OC200
3. Ein Switch TL-SG2008P
4. Ein AP EAO225 / AC1350

Nun zu meinem aktuellen Stand, was ich aktuell habe. Aktuell habe ich eine Fritz!Box mit 2 Repeater im Einsatz und möchte dieses gerne nach und nach umbauen. Aktuell sind alle Geräte in einem Netzwerk verbunden (ausgenommen, das Gastnetzwerk). Dies wollte ich schon länger mal in Angriff nehmen, aber es fehlte vor allem die Zeit. Was bedingt aktuellen Ereignissen sich etwas geändert hat (Fuß gebrochen, somit nicht Arbeitsfähig) und da dachte ich mir, nutze die Zeit und fang mal mit einem kleiner "Testumgebung" an, bevor ich gleich das ganze Netzwerk "abschieße".

Mein eigentlicher Plan war es die Geräte in meinem Netzwerk etwas zu "seperieren". Sprich ich wollte gerne die IoT Geräte (sämtlichen Smarthomezeug, was sich so ansammelt inkl. Sonos, eigengebauter Geräte auf Basis vom ESP8266) vom Restlichen Netzwerk trennen. Also es sollten am Ende 3 Netzwerke entstehen.

1. "Heimnetzwerk" für alles an Geräten des täglichen Lebens (PCs, Laptops, Fernseher, NAS System, Drucker und ähnliches).
2. "IoT Netzwerk" für alles was sich rund ums Smarthome dreht (CCU3, Sonos Lautsprecher, IoT Geräte, Shelly usw.)
3. "Gastnetzwerk" für Besucher

Mein Grundgedanke war ähnlich dem was das Videotutorial her gibt. Ich möchte gerne, dass Geräte aus dem "Heimnetzwerk" auf Geräte im "IoT Netzwerk" zugreifen können, aber nicht umgekehrt. Das Gastnetzwerk soll weder Zugriff auf IoT Geräte bekommen, noch aufs Heimnetzwerk.

Ich habe nun die 3 Netzwerke in 3 VLANS gepackt, entsprechende WLAN SSIDs erstellt und den VLANs zugewiesen. Nur das Ergebnis ist nicht wie dem Video zu entnehmen war. Also ich habe zwar alle 3 Netzwerke von einader getrennt und das klappt auch. Jedoch wenn ich versuche mit einem Gerät vom "Heimnetzwerk" ein Gerät im IoT Netzwerk an zu pingen klappt es leider nicht. Also was eigentlich so funktionieren sollte.

Gewisse Grundlagen was Netzwerk und VLANs an geht habe ich schon gesammelt. Aber bislang mit "einfache" 0815 Switche. Ich habe in meinem aktuellen Netzwerk zwischen 2 Switchen (örtlich von einander getrennt) eine VLAN Verbindung, die ein Port meiner NAS (Synology) mit meiner CNC Fräse verbindet. Der PC der CNC Fräse sollte auf die Synology zugreifen können, aber keine Verbindung ins Internet und ähnliches haben und das war in dem Fall der "eleganteste" weg, um nicht jedes mal mit einem USB Stick vom PC zur Fräse zu laufen. Die NAS ist bedingt 2 Ports in beiden Netzwerken unterwegs, so kann ich am PC die Zeichnungen fertigen und an der CNC Fräse diese öffnen und an der Fräse ausführen.

Ich habe eine Ausbildung zum "informationstechnischen Assistenten" mal gemacht, bin aber nach der schulischen Ausbildung ins Handwerk gekommen und hab da eine Ausbildung zum Elektroniker für Energie und Gebäudetechnik gemacht.

Also das "Netzwerkvorhaben" ist an sich ein rein heimisches "Problem", aber ich fange nicht gleich bei Adam und Eva an.

Ich hoffe, dass diese Informationen schon weiter bringen, wenn noch weiter Infos benötigt werden, immer fragen.


Michael

Den Fehler mit TP-Link Omada habe ich Anfang des Jahres auch gemacht.

Mein Setup war/ist ein wenig umfangreicher, da ich 10 GBit-Ethernet mit dem Zeug eingeführt habe:
1. Router ER7206
2. Controller OC200
3. Haupt-Switch TL-SX3008F
4. PoE-Switch TL-SG2008P
5. Sub-Switch TL-SG3428X
6. Access Point EAP610

Der Gedanke war schon verlockend, ein Software Defined Network a la Unifi ohne Cloud-Zwang, eine Setup-Oberfläche für das ganze Netz. Das Ganze funktioniert auch, so lange man eher geringe Ansprüche an den Router hat und eben keine IoT-Devices etc. nutzen will. Womit stellst du die Verbindung zum Internet her? Was hast du überhaupt xDSL, Kabel oder Glasfaser? Irgendein Modem brauchst du. Neuere DSL-Fritzen können leider keinen Bridge Mode mehr und routen immer. Damit handelst du dir dann Double-NAT ein. Sollte man vermeiden.

Ja, im Prinzip geht das, aber mit separierten VLANs fing mein Problem dann halt auch an. Die TP-Link-Router sind kacke, die können kein mDNS (Bonjour), wird seit gefühlt ewig versprochen, der Contoller kann es wohl mit dem nächsten Update, aber das Update für die Router steht noch in den Sternen.

Man muss natürlich im Controller das entsprechende Routing zwischen den Netzen konfigurieren, damit der Router eben zwischen den Subnetzen auch routet, aber eben auch nur das, was geroutet werden soll. Das klappt im Prinzip auch, aber deine iPhones, Macs und iPads werden dann die Smart-Thingys alle trotzdem nicht finden. Würde man AirPlay angeben, verbinde dich mit 192.168.7.13 um Musik abzuspielen, würde das nun funktionieren. Ein Ping müsste also eigentlich sogar gehen, wenn alles richtig eingestellt ist. Aber die Musik-App auf dem Mac muss ja irgendwoher wissen, welche AirPlay-Devices es gibt und unter welcher IP die erreicht werden.


Hier kommt mDNS ins Spiel, das Protokoll sorgt dafür, dass die Geräte sich ohne zentralen Nameserver finden können und verrät den Geräten auch welche IP wer im Netz so hat. Aber dieses Protokoll wird üblicherweise nicht über Subnetgrenzen hinweg geroutet, die Pakete bleiben üblicherweise nur im lokalen Netz. Im Normalfall will man ja eben auch nicht alle AirPlay-Devices seiner Nachbarn auf den eigenen Geräten als Wiedergabeziel haben (und umgekehrt). Mac in VLAN 1 findet also z.B. Sonos-Box in VLAN 2 damit nicht. Dieses Problem kann man mit einem sogenannten mDNS-Repeater umschiffen, die Omada-Router haben so etwas aber bisher nicht an Bord. Das muss nicht zwingend auf dem Router laufen, dass kann auch ein anderes Gerät tun, dass 24/7 in Betrieb ist und Zugang zu allen VLANs hat, aber einrichten muss man es trotzdem.

Da bei mir mit Omada auch das MagentaTV-Zeuch von der Telekom nicht laufen wollte (IPTV via Multicast), habe den ER7206 Router sehr schnell zum Briefbeschwerer degradiert. Das Routing hat bei mir nun ein HP ThinClient übernommen, den ich mit einer 4-Port-Netzwerkkarte und pfSense zum Router aufgebohrt habe. Da gibt es avahi (einen mDNS-Repeater) also Paket auf Mausklick, mit den richtigen Einstellungen läuft auch das Multicast-IPTV und ich habe meine Ruhe. Aber alles an einer Oberfläche im Controller konfigurieren, fällt damit halt aus. Die Switche und den Access Point habe ich behalten und nutze ich. Die tun ja alles, was ich will, würde aber mit den heutigen Wissen vielleicht eher etwas vom MikroTik kaufen, da ich eh keine einheitliche Konfiguration mehr hab.

Okay, danke für die Umfangreiche Antwort. Ich werd da nochmal weiter googlen.

Die Kommunikation über die Grenzen des VLANs hinaus klappt tadellos, solange die Switch-ACLs deaktivert sind. Also ich kann vom PC (Windows im Hauptnetzwerk) direkt einen ESP8266 [im IoT Netzwerk] (habe ich mit einem Beispielscript geflasht mit einem einfachen Webserver) erreichen und wenn ich beide Geräte "vertausche" vom VLAN, klappt es auch. Also das Problem im Moment scheint unter anderem an den Switch-ACL zu liegen. Also das die nicht so ganz arbeitet, wie ich es eigentlich wollte, bzw. verstanden habe.

Als Internetanschluß habe ich einen 2 Ader Kupferanschluß. Aktuell für die Testzwecke noch über einer Fritz!Box mit einem "Doppel NAT" betrieben. Aber das ist nicht ein Dauerzustand. Auf Dauer habe ich mir sowas wie DrayTek Vigor 167 ins Auge gefasst. Aber das ist erst der Plan, wenn es in der Testumgebung läuft.

Mein Iphone ist mein einziges Apple Gerät. Also AirPlay und so habe ich nicht im Einsatz und ist auch nicht geplant. genau so wenig wie MagentaTV und der gleichen.

Ist das ein Heimnetzwerk? Welche Sicherheit erhoffst du dir? In der FB kannst du sämtlichen IoT Geräten den Internetzugang sperren, damit ist hier schon einmal ein Einfallstor geschlossen. Zusätzlich den ESP8266 Passwörter für den Zugriff einrichten.

Heimnetz eine 2te SSID für die IOT Geräte geben, die Sonos würde ich im normalen Netz betreiben, der auch von deinen privaten Geräten genutzt wird. Erleichtert die Konfiguration um einiges, da die Sonos ja doch ab und zu nach Hause telefonieren will/muss.

Gastnetz bringt die FB mit, kann man auch deaktivieren wenn keine Gäste da sind, hier kann man verschiedene Dienste und/oder den Zugang untereinander verbieten, damit sollte auch niemand Zugriff in dein privates Netz haben.

Was man auch machen kann, wäre in der FritzBox das 2,4 GHz WLAN für IoT nutzen und das 5 GHz WLAN als getrenntes Netz für die anderen Geräte. Dazu braucht man nur unterschiedliche SSIDs. Die IoT Geräte kann man wie vom Vorposter schon geschrieben vom Internet trennen, den Gastzugang kann man bei Bedarf ein und ausschalten. So in etwa habe ich es auch bei mir zuhause gelöst.

Sehr spannendes Thema, gerade weil bei uns auch eine Umstellung auf TP-Link Omada in Planung und haben auch iPads, Sonos, Samsung-TV etc. im Einsatz. Da ist natürlich ein Zugriff von z.B. iPad auf Samsung-TV/Sonos ein wichtiger Punkt.
Hat schon jemand Erfahrung mit TP-Link ER7212PC gemacht?
Sieht für mich aktuell als sehr gute Lösung aus, um nicht mit Controller und Switch 2 Geräte betreiben zu müssen.
Hat jemand schon News zu mDNS-Unterstützung?

- Für mich wäre Verwaltung der Netzwerkkomponenten über Cloud ein NoGo.
- Ich würde auf OpenWrt-Kompatibilität achten und auf OpenWrt setzen (oder zumindest mir diese Option offen halten).

Habe den Thread nicht gelesen aber das hier aufgeschnappt.Nutze doch einfach Magenta Smart bzw. steig darauf um. Es gibt eine App für das AppleTV (bist doch Apple User). Läuft sehr gut und damit bist du die obigen Probleme aufgrund von Multicast (voraussichtlich) los.
Darüber hinaus würde ich diese Settop-Boxen der Telekom nicht haben wollen, die wohl teilweise auch einen sehr hohen Standby-Verbrauch haben.

Die App habe ich tatsächlich auf dem AppleTV, aber die bietet eben nicht alle Funktionen (Aufnahmen, UHD-Sender)

Die Netzwerkkomponenten müssen mit TP-Link-Omada nicht über die Cloud verwaltet werden. Der Controller läuft lokal und eine Freigabe in die Cloud ist nicht notwendig (jedoch möglich). Die Cloud-Option macht insbesondere Sinn, wenn man mehrere Standorte verwalten muss und mal Remote etwas anpassen muss.

In der Tat ein spannendes Gerät. Hätte ich mir wohl gekauft, wenn es das damals schon gegeben hätte. Heute wäre ich eher vorsichtig. Spätestens wenn man mit den Routing-Fähigkeiten des TP-Link-Geraffels unzufrieden ist, müsste man das Ding als Controller für die anderen Omada-Komponenten weiterlaufen lassen, einen anderen Controller installieren oder die anderen Kisten alle Standalone als Einzelgeräte betreiben. Daher haben aus meiner heutigen Perspektive getrennte Geräte durchaus ihren Charme.


Da ich den TP-Link-Router nicht mehr nutze, habe ich das nur noch am Rande verfolgt. Mein aktueller Stand ist: Controller-Software mit Support dafür ist da, aber noch nicht alle Router-Modelle haben die Firmware, die es könnte.