Heimnetz Aufbau mit VLAN mit TP-Link Omada

[Ich-DerOssi]

Hallo Community,

ich benötige einmal eure Unterstützung zu meinem Vorhaben.
IST-Situation : Internet wird durch zwei Haushalte geshared. Ich möchte mein "Netzwerk" getrennt zum anderen Netzwerk aufbauen - ohne Zugriffe zwischen den beiden Netzwerken untereinander.

Folgende Hardware ist im Einsatz:

Wohnung 1 - Fritzbox 5590 Fiber (Zugang zum Internet)

Wohnung 2 - soll ein Omada gesteuertes Netzwerk aufgebaut werden, hierzu folgende Endgeräte:

1 x TL-SG2008P V3 Switch
1 x OC200 Controler
2 x EAP 670 V2
1 EAP 650 Outdoor

Im Netzwerk Wohnung 2 befinden sich alle EG´s via WLAN um ins Internet zu gehen. Zusätzlich kommt ein NAS-Server via LAN zum Einsatz.

Wunsch Gedankenansatz:

Erstellung von VLAN`s (Bezeichnung als Gruppe nachfolgend).

Gruppe Main - Zugang zum Internet und Austausch aller EG`s der Gruppe untereinander
Gruppe IOT - Zugang nur zum Internet
Gruppe Guest - Zugang nur zum Internet

Endgeräte in der Gruppe Main : LAN gebundene und WIFI gebundene Endgeräte
Endgeräte in der Gruppe IOT: WIFI gebundene Endgeräte Alexa und Co
Gruppe Guest: WIFI gebundene Endgeräte

Fragestellung:

wie erreiche dieses Vorhaben über VLAN`s - wie Konfiguriere ich das ganze mit den Omada Controller.
Weiterhin möchte ich MESH Konfigurieren - alle EAPS sind via LAN-Kabel mit dem Switch über POE verbunden.

Als Netzwerk IP - stelle ich mir folgende IP-Netze vor:

• Switch via LAN mit fester IP an der Fritzbox angeschlossen - 192.168.178.X
• Switch soll DHCP für die VLAN`s durchführen

VLAN Gruppe MAIN - 192.168.1.X
VLAN Gruppe IOT - 192.168.2.X
VLAN Gruppe Guest - 192.168.3.X

Skizze "Netzwerk" im Anhang

vorweg - vielen Dank für eure Unterstützung

Grüße

 

[Mojo1987]

Der Switch kann kein DHCP-Server und die FB kann kein VLAN an den LAN Schnittstellen. Bin mit nicht sicher wie du das damit machen willst.

 

[Ich-DerOssi]

@Mojo1987 soweit ich weiß, kann über LANPort4 (GuestNetz "Vlan" hergestellt werden, verwechsel ich hier den Ansatz ?

 

[DLMttH]

Jein, das Gast-Netz ist nur aus interner Sicht der Fritz!Box ein separates VLAN.

Also ja, du kannst die ganzen Gerätschaften hinter dem Switch an Port 4 der Fritz!Box hängen, aber ohne separaten Controller nicht erneut in weitere VLANs auspalten. Kurzum klappt das so überhaupt nicht, was du vorhast.

 

[chrigu]

FRITZ!Box als Zugang zum Internet kann kein vlan.
Ersetze es durch ein vlan fähigen Router wie z.b. Vigor oder Top-link oder zyxell.
Danach gibt es erst getrenntes Internet ohne wenn und aber

 

[Ruwinho]

Weiterhin möchte ich MESH Konfigurieren - alle EAPS sind via LAN-Kabel mit dem Switch über POE verbunden.

Ich gebe hier zu bedenken, dass du kein Mesh benötigst, wenn alle APs mit LAN verbunden sind.

Und was erhoffst du dir von VLANs in Wohnung 2? Ist es den Aufwand wert?

 

[Ich-DerOssi]

@Ruwinho ja ist nötig - verweise nochmals auf Trennung durch shared Internet Zugang und somit möchte ich logischerweise meinen Nachbarn nicht in mein Netzwerk, das selbige gilt für Gäste in unserem Haus

bezüglich Mesh war hier der Ansatz direkter Wechsel - klappt aktuell eher semi professional - EG bleiben am ersten verbundenen AP ganze weile hängen obwohl Qualität eingeschränkt.

Ich sage erstmal Danke für deinen Ansatz

Ergänzung (23. August 2025)

FRITZ!Box als Zugang zum Internet kann kein vlan.
Ersetze es durch ein vlan fähigen Router wie z.b. Vigor oder Top-link oder zyxell.
Danach gibt es erst getrenntes Internet ohne wenn und aber

ok dann müsste aber der Router entsprechend ISP-Zugangsdaten bestückt werden oder wie meinst du deinen Ansatz ?

Eventuell Modell Vorschlag ?

erstmal vielen Dank für deinen Ansatz

 

[Ruwinho]

bezüglich Mesh war hier der Ansatz direkter Wechsel - klappt aktuell eher semi professional - EG bleiben am ersten verbundenen AP ganze weile hängen obwohl Qualität eingeschränkt.

Mesh hat gar nichts damit zu tun. Was du wünscht ist Roaming. Das beherrscht Omada out of the Box.

Mesh ist dafür da, um zwischen 2 APs drahtlos zu kommunizieren. Das ist bei dir nicht der Fall. Im Gegenteil kannst du mit Mesh dir Probleme ins Omada-Netzwerk holen.

 

[-=Azrael=-]

Eine mögliche Lösung wäre, wie bereits erwähnt, die 5590 direkt durch ein vLAN fähigen Router zu ersetzen. Oder "einfach" eine PF/OPNSense hinter die 5590 zu schalten und von dort aus das gesamte Netz bzw. Netze zu segmentieren(One armed Router/Router on a Stick).
Oder man ersetzt direkt die 5590 durch die PF/OPNSense und nimmt ein Modem/GPON whatever für WAN und setzt die 5590 hinter die PF/OPNSense für VOIP / WLAN.

Man könnte auch hingehen und ein L3 Switch für Wohnung2 nehmen, sofern Geräte in den verschiedenen vLANs untereinander kommunizieren sollen(NAS?).

 

[Datax]

@Ich-DerOssi

Du brauchst für dein Vorhaben auf jeden Fall einen VLAN-fähigen Router.

In jedem deiner geplanten 3 Netze muss es ja schließlich ein Default-Gateway geben
und es muss ein Routing realisiert werden, das Internet-Traffic dieser 3 Netze zu deiner FritzBox routet
und wieder zurück.

Den WAN-Port des Routers kannst du dann an Anschluss "LAN4" deiner FritzBox
anschließen, nachdem du auf dieser den LAN-Gastzugang konfiguriert hast.

Wenn du in der Omada-Welt bleiben möchtest, dann könntest du den "ER605" nehmen.

TP-Link ER605:
https://www.omadanetworks.com/de/business-networking/omada-router-wired-router/er605/

Alternativ kannst du auch zum Beispiel einen "MikroTik hEX" nehmen oder einen "Ubiquiti EdgeRouter-X".

MikroTik hEX:
https://mikrotik.com/product/hex_2024

Ubiquiti EdgeRouter-X:
https://www.omg.de/ubiquiti-networks/edgemax/edgerouter/ubiquiti-edgerouter-x-sfp/a-13642

Für alle genannten Router gibt es etliche Videos auf den bekannten Video-Plattformen,
wo dessen Konfiguration erklärt und gezeigt wird.

 

[RealQuality]

Hallo @Ich-DerOssi
habe ebenfalls ein Omada Setup am laufen.
Als Router würde ich dir den ER605 empfehlen, ein entsprechendes Modem/ ONT wird dann aber noch benötigt.
OC200 ist standard, ansonsten gibt es auch Software Lösungen wenn du hier Geld sparen möchtest.
als AP würde ich nicht auf die EAP-670 v2 setzen diese sind leider End of Life, wechsel direkt auf die EAP-7** Serie.

Teile die VLAN´s dann die folgt auf.
Wohnung 1
Wohnung 2
Gast
IOT


Bei fragen gerne melden.

 

[norKoeri]

Wurde zwar eigentlich schon alles gesagt, aber nochmal anders erklärt:

zwei Haushalte

Irgendwie häuft sich diese Idee in letzter Zeit, bitte sehe Dir folgende Threads an: 1, 2, 3, 4, 5, 6, 7.

Wohnung 2 - soll ein Omada gesteuertes Netzwerk aufgebaut werden

Du hast viele Alternativen, aber wie geschildert, brauchst Du noch andere Hardware. Die vermeintlich Einfachste wäre ein Omada Gateway zu kaufen, also eine Router-Kaskade zu erzeugen, indem Du z. B. den ER605 kaufst. Von einer Router-Kaskade rate ich ab …

Die andere Alternative wäre die FRITZ!Box durch einen Multi-LAN-Router zu ersetzen, also wieder z. B. den ER605. In Deinem Fall mit einer FRITZ!Box Fiber bedeutet dass dann aber auch, dass Du zusätzlich noch ein Glasfaser-Modem (ONT) brauchst. Hast Du GPON, musst Du das bei Deinem Internet-Anbieter ummelden. Und:

dann müsste aber der Router entsprechend ISP-Zugangsdaten bestückt werden

Genau. Nutzt Dein Internet-Anbieter nur DS-Lite-Tunnel und kein CGNAT, müsstest Du dann auch noch auf Dual-Stack umstellen lassen. Oder Du nimmst einen Multi-LAN-Router außerhalb des Omada-Kosmos, der dann aber DS-Lite-Tunnel kann, wie OPNsense bzw. OpenWrt.

Dein Aufbau klingt so, als wärst Du der Untermieter der Internet-Verbindung, also dass Du weder die FRITZ!Box noch den Internet-Anschluss im Griff hast. In dem Fall wirklich die Empfehlung einen eigenen Internet-Anschluss zu buchen. Auf einem Glasfaser-Anschluss können auch mehrere Internet-Anschlüsse gelegt werden.

Weiterhin möchte ich MESH Konfigurieren – alle EAPS sind via LAN-Kabel mit dem Switch über POE verbunden.

EG bleiben am ersten verbundenen AP ganze weile hängen obwohl Qualität eingeschränkt

Müsste man sich in einem extra Thread anschauen. Vielleicht hast Du versehentlich „irgendwas“ aktiviert. Denn selbst wenn Du 802.11k/v nicht aktiviert hast, sollte das nämlich tun, also das normale WLAN-Roaming. Klingt eher so, als hättest Du nicht genug WLAN-Punkte.

als AP würde ich nicht auf die EAP670v2 setzen, diese sind leider End-of-Life

Jene Status-Einblendung bitte nicht überbewerten …

VLAN […] Gast

Das ist mit Omada und Deinem Switch gar nicht so einfach, also dass die Gäste über mehrere WLAN-Punkte hinweg untereinander isoliert sind … Jedenfalls ich bin gescheitert. Mit dem Omada-Controller ist es mir gar nicht gelungen. Ich musst den Switch herausnehmen, Standalone konfigurieren und einige Access-Control-Lists (ACLs) anlegen. Dann wollte ich auch noch, DHCP-Starvation vermeiden. Beides zusammen ging nicht, obwohl die graphische Web-Oberfläche (aber auch die Kommandozeilen-GUI) so tat, als wäre alles OK.

Mein Tipp: Das mit einem anderen Switch machen; mit dem klappt nicht nur beides parallel, auch muss man nicht über ACLs gehen sondern kann direkt dessen Funktion „VLAN Isolation“ nutzen.

 

[Ich-DerOssi]

@norKoeri

Ergänzung (24. August 2025)

@ norKoeri - du hast es genau auf den Punkt gebracht und verstanden - Hauptproblem ist Untermieter der Internetverbindung - und daraus resultierend viel größe Punkte die das ganze zum scheitern bringen - da ISP eine Rolle spielt.

werde aufgrund dieser Ausgangslage mein Wunsch -Vorstellung zu begraben.

An der Stelle nochmals an alle die geantwortet haben vielen Dank für eure Unterstützung, tolles Brainstorming - stark !!!

Ich wünsche euch alles gute, bleibt gesund.

Thema kann geschlossen werden.

Tipp zum Thema EAP670 Ende of Life - gilt nur für Deutschland - wird weiterhin mit Support und Firmware unterstützt.
Weiterhin eingeschränkte Lebenslange Garantie - warum Deutschland den Status gesetzt hat ließ sich nicht klären, entscheidend ist und bleibt die weitere Support Unterstützung!

 

[norKoeri]

Gibt vielleicht Alternativen. Du könntest nämlich auch eine FRITZ!Box kaufen und die kaskadieren. Das klappt eigentlich ganz gut, wenn in der vorgelagerten FRITZ!Box die IPv6-Präfix-Delegation angeschaltet wird (IA_PD). Wenn Du dann noch durchgehend FRITZ!-Produkte für die anderen WLAN-Punkte kaufst, kannst Du wenigstens ein Gast-WLAN überall anbieten.