Netzwerkstruktur mit TP Link Omada aufbauen

[trlx]

Hallo zusammen,
da ich hier im Forum schon einiges zum Thema TP Link Omada gelesen habe, dachte ich, ich stelle mein Anliegen einfach mal zur Diskussion.

Ausgangssituation
Heute betreibe ich eine FritzBox 6591 Cable (Kabelanbieter ist Vodafone BW) und dahinter 3 Mesh-Repeater über LAN angeschlossen.
Da ich meine Netzwerkstruktur gerade etwas umbaue möchte ich zukünftig andere Hardware verwenden und bin hierbei auf TP Link Omada gestoßen - als Alternative zu Ubiquiti Unifi.

Was ist das Ziel?
Zu Beginn möchte ich einfach ein performantes Mesh-Netzwerk aufbauen über 3 Etagen, welches zentral verwaltet werden kann. Ebenfalls reicht es im ersten Schritt aus zwischen einem Heimnetzwerk und einem Gast-WLAN-Zugang zu unterscheiden.

Weitere Ausbauschritte bspw. weiter Subnetze etc. sollen folgen. Ich möchte mir auch die Option offen halten die Netzwerke pro Etage trennen zu können.

Hardware
Verbaut werden sollen 4 AccessPoints (eventuell den EAP670 + EAP655-Wall) indoor (3 mal Decke, 1 mal Wall) + 1 Access Point outdoor.
Als Switch würde ich zum TL-SG3452 tendieren (48-Port + PoE).
Ebenso würde ich einen Hardwarecontroller installieren - ich vermute der OC200 reicht bei mir aus. Der OC300 hat etwas mehr Speicher und Arbeitsspeicher. Lohnt sich der Mehrpreis?
Als Router würde ich auf meine FritzBox setzen. D.h. keinen TP Link Router installieren.

Konfiguration
Ich würde das WLAN und DHCP auf dem Router deaktivieren. Der Router bekommt eine statische IP.
Alles weitere soll der Switch übernehmen (DCHP, Gastzugang, VLANs etc.)

Ist der Aufbau mit der FritzBox als Router sinnvoll / schlüssig oder verliere ich dadurch Funktionalität?
Ich habe jetzt schon viel gelesen bzgl. doppeltes NAT etc. Die FritzBox benötige ich und fungiert auch als Telefonanlage

Kann der Switch die von mir geschriebenen Aufgaben übernehmen oder müsste ich dazu immer einen TP Link Router installieren?

Gruß und Danke für euer Feedback.

Gruß Chris

 

[Raijin]

Weitere Ausbauschritte bspw. weiter Subnetze etc. sollen folgen. Ich möchte mir auch die Option offen halten die Netzwerke pro Etage trennen zu können.
Als Router würde ich auf meine FritzBox setzen. D.h. keinen TP Link Router installieren.

Eine Fritzbox kann das aber nicht leisten. Das Maximum, was mit einer Fritzbox möglich ist, sind Haupt- und Gastnetzwerk via LAN1-3 bzw. LAN4 und diese über einen VLAN-fähigen Switch im Netzwerk zu verteilen und ggfs mittels Trunk an VLAN-fähige APs durchzureichen. Switch und APs hättest du, aber du wärst auf eben diese zwei Netzwerke beschränkt. Weitere Netzwerke sind mit Fritzboxxen nicht möglich.

Möchtest du also wie beschrieben ein Netzwerk pro Etage, kommst du um einen fortgeschrittenen Router, der entweder über ausreichend physische Netzwerkschnittstellen oder VLAN-Unterstützung verfügt, nicht drumherum. Ob das dann ein Router von TP-Link ist, ein EdgeRouter (zB ER-4), ein MikroTik (zB hEX (S)) oder ein Gerät mit pfSense, OPNsense, o.ä. sei mal dahingestellt.

Kann der Switch die von mir geschriebenen Aufgaben übernehmen oder müsste ich dazu immer einen TP Link Router installieren?

Nein. Der Switch ist ein reiner Layer 2(+) Switch. Das heißt er unterstützt vereinfacht ausgedrückt nur die Verteilung von VLANs, kann sie aber in keinester Weise selbst mit DHCP, DNS und Co versorgen, geschweige denn zwischen ihnen routen.

Ein Layer 3 Switch könnte das, aber deren Routing-Funktion ist nicht als Ersatz für einen Router gedacht, sondern dreht sich rund um das Thema Inter-VLAN-Routing, was tendenziell nur in großen Netzwerken mit komplexer Infrastruktur zum Tragen kommt, bei der es effizienter ist, direkt vor Ort am Switch zu routen anstatt erst den gaaaaaaaaaanzen Uplink und alle Zwischenstationen bis zum Router hoch und dann ggfs über dasselbe Kabel in einem anderen VLAN-Paket wieder zurück zum Switch zu routen. Bei einer flachen Struktur wie in einem Heimnetzwerk, ist das eher selten ein Problem (Enthusiasten und Poweruser mal außen vor).

 

[trlx]

Ok @Raijin. Vielen Dank für die Antworten.
D.h. ich komme an einem entsprechenden Router hinter meiner FritzBox nicht vorbei - zumindest dann nicht, wenn ich die erwähnten Funktionen nutzen möchte.
Für den Start könnte ich die Informationen der FritzBox weiterreichen.

Was mich an dem 2. Router "abschreckt" ist folgendes:
Ich habe verschiedene Berichte über das Thema "doppeltes NAT" bzw. den Bridge Mode gelesen. Die FritzBox muss als Telefonanalage bestehen bleiben. Aber ob das im Bridge Mode funktioniert oder nicht, konnte ich nirgends genau herausfinden...
Ebenso heißt es das man den Bridge Mode nur zusammen mit Vodafone aktivieren sollte um eine 2. IP-Adresse zu bekommen...
Weiß hierzu jemand mehr?

 

[Raijin]

Ich habe verschiedene Berichte über das Thema "doppeltes NAT" bzw. den Bridge Mode gelesen.

Das ist nur dann ein Problem, wenn sich NAT an dem besagten Router nicht abschalten lässt wie es bei den meisten Consumer-Routern wie Fritzboxxen der Fall ist. Bei einem fortgeschrittenen Router hat man volle Kontrolle darüber, was er macht. Man muss allerdings dazusagen, dass das Fluch und Segen zugleich ist.

Otto Normal, der bisher nur mit Fritzboxxen, o.ä. zu tun hatte, wird überrascht und ggfs auch davon überfordert sein was sich denn hinter den bunten Wizards einer Fritzbox so verbirgt.

Wenn du nun zB einen MikroTik hEX (S) nimmst und ihn an die Fritzbox anklemmst, kannst du am MikroTik einfach so viele Netzwerke erstellen wie du möchtest - mit DHCP, DNS und ohne NAT. In der GUI der Fritzbox musst du lediglich statische Routen in eben diese Netzwerke über die Fritz-IP des MikroTik anlegen - fertig ist das geroutete Netzwerk. Anschließend geht man bei und konfiguriert die Firewall im MikroTik so wie man es haben möchte, also von wo nach wo ist erlaubt oder verboten, etc.

Weniger ist aber in der Regel mehr. Etagen-Netzwerke sind nur dann sinnvoll, wenn diese separater Zugriffsebenen bedürfen. Beispielsweise wenn es sich je Stockwerk um eine eigenständige Wohnung mit eigenem lokalen Netzwerk handelt. Einfach nur aus Spaß macht man das nicht, auch nicht um "Ordnung zu schaffen", weil einen diese unnötige Ordnungssucht am Ende auch einholen kann - beispiel SmartHome, bei dem man plötzlich nur noch die Smart Devices sieht, die sich im aktuellen Stockwerk befinden, o.ä.

 

[DLMttH]

Ausschlaggebend sind hier eher die Eigenheiten der Kabelnetze und deren Regeln bzgl. Bridge Mode.

Wenn dein eigenes Kabelgerät die Telefonie übernehmen MUSS, kannst du den Bridge-Mode vergessen. Du hast dann doppeltes NAT, also im Endeffekt vermutlich deine Netzwerksituation für teuer Geld verschlechtert.

Gehört die 6591 dir? Dann lässt sich diese ohnehin nicht im Bridge Mode nutzen.

Dir bleiben als Möglichkeiten:

- eine Vodafone Station zu mieten, Bridge Mode und dahinter eigener Router und Telefonielösung per SIP nach Belieben nutzen

- oder das teure Kabelmodem TC4400 aufzutreiben und statt der gemieteten Station zu nutzen, was in der Konstellation wohl keinen Sinn ergibt

- oder eine Miet-Fritz!Box als Bridge zu betreiben. Nur bei Letzterem funktioniert Bridge Mode und Telefonie über Kabelbox zugleich!

 

[trlx]

Weniger ist aber in der Regel mehr. Etagen-Netzwerke sind nur dann sinnvoll, wenn diese separater Zugriffsebenen bedürfen. Beispielsweise wenn es sich je Stockwerk um eine eigenständige Wohnung mit eigenem lokalen Netzwerk handelt.

Genau das wäre der Anwendungsfall, aber eben ggf. erst zukünftig...

Ergänzung (9. August 2023)

- oder eine Miet-Fritz!Box als Bridge zu betreiben. Nur bei Letzterem funktioniert Bridge Mode und Telefonie über Kabelbox zugleich!

Es handelt sich um eine FritzBox des Anbieters - also ein Mietgerät

 

[Raijin]

Genau das wäre der Anwendungsfall, aber eben ggf. erst zukünftig...

Auf jeden Fall ist es schon mal gut, dass du dir über die Sicherheit Gedanken machst. Da es sich dann aber um mehr oder weniger eigenständige Internetnutzer handelt und ein Internetanschluss geteilt werden soll, musst du auch noch andere Dinge bedenken.

Zum einen ist es vom Provider her unter Umständen gar nicht gestattet, den Anschluss auf diese Art und Weise zu teilen. Natürlich ist dem Provider daran gelegen, je Partei einen Anschluss zu verkaufen. Man kann zwar sagen "Wo kein Kläger, da kein Richter", aber mit geteilten Internetanschlüssen bewegt man sich durchaus in einer Grauzone. Vom Gesetz her gibt es zwar nichts, was dagegen spricht, aber die AGB eines Providers können das Teilen durchaus untersagen oder ggfs. nur mit expliziter schriftlicher Genehmigung gestattet. Hier hilft ein Studium der geltenden AGB des Providers.

Zum anderen muss man sich darüber im Klaren sein, dass der Brief einer Abmahnkanzlei im Falle einer Urheberrechtsverletzung im Internet stets im Briefkasten des Anschlussinhabers landet - Neuregelung der Störerhaftung hin oder her. In solchen Fällen sind also mindestens Ärger und Aufwand vorprogrammiert. Diesbezüglich sollte man ggfs eine Rechtsberatung in Anspruch nehmen.

Abgesehen davon kann es natürlich auch zu Schwierigkeiten kommen, wenn beispielsweise mehrere Playstations/Xboxen in den Wohnungen verteilt sind oder anderweitige öffentlich erreichbare Server-Dienste wie zB der Fernzugriff auf das Heimnetzwerk via VPN genutzt werden wollen. Ein Anschluss, eine öffentliche IP und jeder Port darf nur genau ein einziges Mal benutzt werden. Innerhalb einer Familie (zB Bruder + Schwester + Eltern) kriegt man das noch irgendwie geregelt, aber bei fremden Mietern ist das schon etwas anderes.



Das nur so als Vorgeschmack auf das, was auf dich zukommen kann, wenn du einen Internetanschluss mit anderen Parteien teilen möchtest, um Geld zu sparen.

 

[trlx]

danke @Raijin für den Input. Das sind natürlich Themen die ich bedenken muss.

Machen wir mal einen Schritt zurück:
Davon ausgehend das ich "nur" 2 Netze (Heimnetz und Gastnetz) benötige (was die FritzBox) heute ja kann, so könnte diese ganz normal als Router am TP Link Switch verwenden und die Infos entsprechend durchreichen (LAN4 et.c). Die TP Link Komponenten inkl. Controller wären dann nur für den WLAN Zugang verantwortlich (Mesh) anstatt der AVM-Hardware.
Switch mit PoE um die AccessPoints zu versorgen + ggf. weitere Komponenten wie Kameras usw.

Richtig?

Erweitern kann ich dann später über einen 2. Router ohne NAT immer noch (ich habe auch im TP Link Forum nachgelesen das es hier ggf. ein Software Update geben wird um das auch in den TP Link Routern deaktivieren zu können)

 

[Raijin]

Richtig?

Röchtöch. Die Konfiguration sähe zum Beispiel so aus:


Switch (Port 1 @ VLAN 10 U) --- (LAN1) Fritzbox
Switch (Port 2-22 @ VLAN 10 U) --- Geräte im Hauptnetzwerk

Switch (Port 23 @ VLAN 20) --- (LAN4) Fritzbox
Switch (Port 24-44 @ VLAN 20 U) --- Geräte im Gastnetzwerk

Switch (Port 45-48 @ VLAN 10+20 T) ---- Access Points (VLAN-fähig)

(U = untagged / T = tagged)


Damit wäre der VLAN-Switch effektiv in 2 Hälften geteilt, 1-22 gehören zum Hauptnetzwerk, 23-44 zum Gastnetzwerk. 45-48 sind Uplinks für die APs, die jeweils für ein VLAN eine SSID aussenden. Natürlich lässt sich das je nach Wunsch anders aufteilen. Um die Trennung beider Netzwerke kümmert sich die Fritzbox.


Die VLAN-Grundlagen werden bei thomas-krenn.com sehr anschaulich erklärt.

 

[norKoeri]

Ausbauschritte bspw. weiter Subnetze etc. sollen folgen. Ich möchte mir auch die Option offen halten die Netzwerke pro Etage trennen zu können.

Mein Tipp wäre, das nochmal zu überdenken bzw. das schon mal konkret zu planen – ob Du es wirklich machen willst oder brauchst. Ich würde das nämlich nicht machen (außer Du hast ein Haus mit eigentlich mehrere Wohnparteien wie zum Beispiel Ferienwohnungen, Untermieter oder Familienmitglieder).

gerade etwas umbaue möchte ich zukünftig

Wenn Du nämlich bei zwei Netzsegmenten bleiben könntest, müssest Du nicht zu Prosumer-Hardware wechseln und bei FRITZ!-Produkten bleiben. Wenn Du von FRITZ! weg möchtest, sag uns lieber, was Dir aktuell fehlt.

hierbei auf TP Link Omada gestoßen - als Alternative zu Ubiquiti Unifi

Gibt noch weitere Alternativen … würde auch bei UniFi bleiben, außer Du hast einen harten Grund, die nicht zu nehmen.

 

[trlx]

Das stimmt. Funktional würde die AVM-Hardware ausreichen. Ich bin aktuell auch ganz zufrieden.
Was mir nicht gefällt ist die Hardware ansich. Entweder irgendwo steht ein AC rum oder steckt unschön in einer Steckdose. Es wird außerdem immer Strom und eine Netzwerkdose benötigt. Da ich jetzt renoviere kann ich das über PoE etwas besser lösen und die ACs an die Decke hängen.

Gleichzeitig hätte ich gerne einen AC im Außenbereich + Kameras vom selben Hersteller die sich (hoffentlich) sauber in das System integrieren.

 

[norKoeri]

einen AC im Außenbereich

Gerade da hakt es bei TP-Link ein wenig …

ACs an die Decke hängen

Dann verstehe ich Deinen Wunsch nach Prosumer. Aber würde Dir nochmals UniFi (oder Zyxel) ans Herz legen.

 

[trlx]

Unifi habe ich mir zu Beginn angeschaut. Dann habe ich nach Alternativen gesucht und funktional scheint Omada mehr oder weniger identisch zu sein - aber günstiger.

Ich habe nur jetzt Mal den TP-Link EAP670 AX5400 bestellt, damit ich mal ein Endprodukt sehe und in den Händen halten kann. Ganz schöner Brummer... :-)

@norKoeri
Was spricht denn aus deiner Sicht für Unifi anstatt TP Link?

 

[norKoeri]

Die große Community und inzwischen auch die Erfahrung … Ubiquiti Networks hat lange gebraucht, bis sie da sind, wo sie heute sind. Vor noch rund sechs Jahren war das nichts anderes als normale WLAN-Access-Points halt mit zentraler Steuerung und PoE. Inzwischen ist Ubiquiti – was die Software angeht – richtig gut. Nachteil ist das Mitlauschen …

TP-Link ist noch nicht einmal soweit und hat seine Software-Plattform einheitlich. Das bedeutet fast jedes Modell und Hardware-Revision ist eine eigene Welt. In dem Punkt scheint sich das mit der letzten Generation endlich zu bessern, aber bis eine ähnlich große Community aufgebaut ist … und ein Feature, dass ich brauche, kann TP-Link bisher nicht sauber – und das ist etwas, dass beim Entwickeln, beim Testen und bereits bei anderen Nutzer vor mir hätte auffallen müssen.

Für mich ein Indiz, dass echt Fachkompetenz fehlt. Unabhängig davon, ob man jenes Feature braucht – TP-Link will es sogar können, nur ist es verbuggt –, bei Ubiquiti und MikroTik geht es einfach so.

für Unifi

Was ich außerdem sagen wollte, dass es noch andere und sogar weitere Hersteller gibt.

 

[trlx]

Ok danke für dein Feedback @norKoeri

Wenn ich das bei Unifi richtig sehen, würde ich für meine Konfiguration "Variante 1 - mit nur 2 Segmenten" keine Dreammaschine benötigen sondern bspw. nur ein Cloud Key G2 Plus. Richtig?
Dreammaschine dürfte ich gar nicht verwenden bzgl. Doppeltes NAT, BRidge-Mode usw. Diese würde erst benötigt werden wenn das Ganze etwas komplexer werden soll.

Beim Cloud Key fallen dann keine weiteren Kosten für die Verwaltung an? Die reine Cloud-Variante kostet ja eine monatliche Gebühr.

Bzgl. Zyxel
Hier muss ich sagen war mir die Hardware bisher unbekannt.
Das Zyxel NWA-System funktioniert also ohne (Hardware)Controller. D.h. entweder man konfiguriert jeden AccessPoint für sich oder über die Cloud. Verstehe ich das soweit richtig?
Gibt es eine Hardwareempfehlung für meinen Anwendungsfall? Also Switch und AccessPoints...

 

[norKoeri]

Bei nur zwei Netz-Segmenten reicht die FRITZ!Box als Router+Firewall, ja. Als UniFi-Controller kannst Du dann irgendwas nehmen, also auch erstmal einen Host-Controller auf einem bestehenden Server aufsetzen. Oder eben den Cloud Key G2 Plus. In beiden Fällen fallen keine weiteren Kosten an.

Zyxel: entweder man konfiguriert jeden AccessPoint für sich oder über die Cloud.

Genau, wobei jenes Cloud-Networking Management genannt Nebula-Control-Center (NCC) bei Zyxel kostenlos ist. Erst wenn Du Spezial-Funktionen brauchst – z. B. PPSK für Feriengäste –, kannst Du die kostenlos ausprobieren. Für daheim dürfte aber die lokale Konfiguration jedes Access-Points allein ausreichen.

Gibt es eine Hardwareempfehlung für meinen Anwendungsfall?

Zyxel NWA1123-AC Pro, der geht sowohl an Wand als auch an Decke. Über ein extra Gehäuse auch Outdoor (Preis). So hast Du überall den gleichen WLAN-Chipsatz bzw. Konfiguration, ideal für das WLAN-Roaming. Jenen Access-Point bekommst Du auch gebraucht über Kleinanzeigen.de nochmal günstiger. Nachteil: Kein Wi-Fi 6 sondern nur 802.11ac Wave 2, also Wi-Fi 5. Als Switch kannst Du alles Unmögliche nehmen:

Switch: 48-Port + PoE

Das sind recht viele Ports und klingt so als wolltest Du das Patch-Panel voll beschalten. Das musst Du nicht. Wenn sich mal was ausnahmsweise ändert, unten dann umstecken. Aber wenn Du Zyxel NCC haben willst, wäre das dann der Zyxel GS1915-24EP plus GS1915-24. Ich würde versuchen mit GS1915-8EP plus GS1915-24 auszukommen. Dann hast Du keinen aktiven Lüfter im Switch.

Wobei Du Outdoor erwähnt hast. Dann empfehle ich auch immer Port-basierte Zugriffskontrolle über 802.1X und einem Radius-Server wie FreeRadius. Das geht bei Zyxel erst ab der 1920er-Serie, also GS1920-24v2 plus GS1920-8HPv2.

Wenn es unbedingt ein 48er mit PoE sein muss, würde ich bei Kleinanzeigen.de bzw. eBay schauen, was aus der 1920v2er (unbedingt auf v2 achten) bzw. der 1930er-Familie (hat zusätzlich SFP+) angeboten wird. Letzt war auf eBay ein XGS1930-52HP für rund 130 € weggegangen. Auf Kleinanzeigen.de in der ähnlichen Größenordnung. Aktuell sind Sommerferien und daher dort etwas mau.

3 Etagen […] 4 Access-Points

Halte ich für drei Etagen für zu wenig. Muss man dann ausmessen …