Omada AP Gäste WLAN - Keine Verbindung

[SME]

Hi!
Ich habe zuhause folgendes Setting:

• Fritzbox 7490
• TP Link Switch TL-SG1016PE
• EAP 653 AP

• Die Fritzbox steht im Netzwerkschrank (Schlechtes Signal) spannt kein WLAN auf, dies soll durch den AP passieren.
• Der AP hat Option "MAC - Filtering" aktiv. Es gibt eine WHITELIST mit den Mac Adressen der Geräte (Alexa, Smartphone etc...) -> Funktioniert einwandfrei bei dem "normalen WLAN"

• Ich habe zusätzlich eine "Gäste WLAN", mit einem anderen Passwort und einer anderen SSID. Hier kann ich mich nicht verbinden -> Es kommt folgender Fehler:

Wenn ich Mac Filtering komplett ausschalte, funktioniert es.

Vielleicht habe ich auch einen Denkfehler:

• Im "normalen" WLAN sollen nur Geräte sein dürfen, die den Code kennen und auf der WHITE List stehen
• Im "Gäste WLAN" reicht der Code

Ich will natürlich nicht eine Liste mit MAC Adressen aller Gäste führen (müssen). Habe ich hier einen Denkfehler? Kann ich das eine WLAN mit Mac Filtering betreiben und das andere nicht?

Außerdem ist mir aufgefallen, dass bei erfolgreicher Verbindung im Gäste WLAN ohne MAC Filtering mein Handy unter "USER" angezeigt wird - Nicht unter Guest...

Ich hoffe meine Frage ist verständlich. Danke für Eure Hilfe!

SME

 

[blablub1212]

Lass die MAC-Filterung einfach aus. Das bietet einfach keinen Schutz und führt wie in deinem Fall zu Problemen. Wenn du wirklich zusätzlichen Schutz haben möchtest nutze Zertifikate auf den Clients (wenn dein Access Point das unterstützt.

Die MAC kann beliebig gefaked werden und man kann MAC-Adressen auch ermitteln, ohne dass man mit einem bestimmten WLAN verbunden ist.

 

[BFF]

Die MAC kann beliebig gefaked werden

Und passiert auch.,
iOS definitv, Android weiß ich nicht, verwenden beim Verbinden unterschiedliche MAC.

 

[norKoeri]

Puh. Wirkt erstmal wie ein Software-Bug. Daher auch so vorgehen, also

1. beschreiben wie ein Software-Bug
   • bist Du im Standalone oder Controller?
   • welche Version (des Controllers bzw. des Access-Points)
   • worauf, also
     • falls Controller, welches Host-System Windows/Linux/OCxxx
     • falls Standalone, welches Produkt (EAP653) aber auch welche Hardware-Version
   • Schritte = wie genau vorgegangen = wo im Menübaum bist Du
2. parallel auch in der TP-Link eigenen Omada Community fragen.

Ich muss ehrlich sagen, dass ich nicht weiß, wo Du genau bist. Du scheinst nicht im Omada Controller sondern in der (Standalone) Web-Oberfläche des Access-Points zu sein. Richtig? Denn bei mir über den Controller sieht das komplett anders aus. Dort geht man über „Site → Network Config → WLAN“, also aktiviert den Filter pro SSID.

bei erfolgreicher Verbindung im Gäste WLAN ohne MAC Filtering mein Handy unter "USER" angezeigt wird - Nicht unter Guest.

Weiterer Software-Bug. Eins nach dem anderen.

 

[norKoeri]

Ja, Du bist im Modus Standalone ohne Controller. Habe das mit einem EAP653 Hardware-Version 1.0 Firmware-Version 1.3.5 mal nachgebaut. Bei mir klappt es wie von Dir gewünscht, allerdings habe ich bei „Guest-SSID ← MAC Filtering ← Wireless“ nicht „None/Allow“ sondern „None/Deny“. Half das? Ansonsten müssten wir die Einstellungen einzeln durchgehen, also was bei mir anders ist. Vielleicht auch mal ein Reset machen, nicht dass Du noch eine unsichtbare Einstellung von einer alten Firmware-Version hast.

bei erfolgreicher Verbindung im Gäste WLAN […] mein Handy unter "USER" angezeigt wird - Nicht unter Guest.

Kann ich bestätigen, also „Status → Client → (List) Guest“ bleibt immer leer, die Clients tauchen stattdessen unter „User“ auf, obwohl unter „Wireless → Settings → 5 GHz → SSIDs → Guest Network: Enabled“ steht.

FRITZ!Box 7490 […] TP-Link SG1016PE

Nutzt Du den LAN-Gastzugang in FRITZ!OS, also hast Du den durch jenen Switch auf ein VLAN umgelegt, also landen Deine Gäste nicht im 192.168.178er sondern .179er-Netz?

 

[SME]

allerdings habe ich bei „Guest-SSID ← MAC Filtering ← Wireless“ nicht „None/Allow“ sondern „None/Deny“. Half das?

BESTER MANN! Das hat mein Problem gelöst. Ich finde es zwar unlogisch - Aber was solls!

Vielen Dank für die Hilfe. Auch dass Du Deine Hardware zum Nachstellen neu konfiguriert hast. Sehr nett und hilfreich.

Ergänzung (4. März 2026)

Gerne gebe ich Dir auch noch Antworten auf Deine anderen Fragen, denn ich merke schon, dass Du
1. Dinge benutzt und verstehst, welche ich auch benutze bzw. benutzen möchte
2. strukturiert und systematisch vorgehst -> Professionell

bist Du im Standalone oder Controller?

Standalone

welche Version

EAP 653, 1.3.5 Build 20251111 Rel. 64506(4555), HW 1.0

falls Controller, welches Host-System Windows/Linux/OCxxx

Der Controller ist ebenfalls vorhanden: Er läuft auf einem Proxmox Server, eingerichtet via VE Helper Script (LINK) - LXC Linux Container (2 CPU, 2 GB RAM)
Version: 6.1.0.19

Nutzt Du den LAN-Gastzugang in FRITZ!OS,

Nein. Ich nutze LAN 1 der Fritzbox. Von dort ein LAN Kabel in den Switch.

Meine Ziele und Fragen:
Aktuelle Konfig:
192.168.100.1 Fritzbox, auch als DHCP Server
192.168.100.2 Omada Controller
192.168.100.3 Switch
192.168.100.4 EAP1
192.168.100.5 EAP2
192.168.100.6 PVE
192.168.100.7 OMV
192.168.100.8 Home Assistant

192.168.100.15 Hue Bridge

192.168.100.18 Klingel

192.168.100.20 - 25 Alexa

192.168.100.30 - 33 Konsolen

192.168.100.40 - 42 Wohnzimmer HiFi + TV etc...

192.168.100.50 - 52 Luftreiniger + Wischrobo

192.168.100.111 +++ Handy, Laptop, Tablet, PC

Das Gast WLAN soll von dem restlichen Netz getrennt sein. Ich möchte nicht, dass das Gäste WLAN auf mein Netzwerk zugreifen kann. Die Gäste dürfen sich von mir aus sehen, sollen aber nicht auf meine Ressourcen (NAS, Drucker etc...) zugreifen können

Frage 1:
-> Ich vermute, dafür müssen die Gäste in einen anderen Bereich meines Netzwerkes? Ist dem so? Wenn ja, am besten in ein anderes Subnetz? Und falls ja, wie geht das?

Frage 2:
Ich habe den Omada Controller, weil die AP ohne eben jenen kein "WLAN Roaming" können. Daher werde ich um eine Konfig nicht herumkommen.

@ norKoeri: Hast Du eine gute, einfache "Anleitung" dafür? Ich war auf den ersten Blick ein wenig überfordert.

Danke und viele Grüße
SME

 

[norKoeri]

Puh. Werde ich morgen mal in einer freien Minuten testen, also was dieser Schalter „Guest“ im Modus Standalone genau macht. Im Modus Controller war er jedenfalls Mist, jedenfalls letztes Jahr. Werde ich auch nochmals nachtesten. Aber egal, Du kannst das sauber machen:

Gäste dürfen sich von mir aus sehen, sollen aber nicht auf meine Ressourcen (NAS, Drucker etc...) zugreifen können

In dem Fall – Client-Isolation ist nicht gefordert – reicht es,

1. den LAN-Gastzugang in FRITZ!OS zu aktivieren.
2. mit einem zweiten LAN-Kabel zum Switch zu gehen
3. vorher auf diesen Port die VLAN-ID (PVID) von 1 auf irgendwas anderes zu ändern, beispielsweise die 4.
4. im Access-Point → Wireless → VLAN → (Gast-SSID) VLAN: Enable → VLAN-ID: 4.

Die SSID braucht dann auch nicht mehr diese völlig unklare Markierung „Guest“, weil Dir ja eine Client-Isolation egal ist. Also ich würde die in Deinem Fall explizit rausnehmen, denn dann klappt das sicher. Wenn was hakt, dann bitte Screenshots von der Web-Oberfläche des Switches – denn den bzw. was Vergleichbares habe ich nicht. Im Router bzw. Access-Point kann man ja wenig falsch machen.

Ich habe den Omada Controller, weil die AP ohne eben jenen kein "WLAN Roaming" können. Daher werde ich um eine Konfig nicht herumkommen.

Eigentlich müsstest Du ohne Controller auskommen, WLAN-Roaming müsste auch im Modus Standalone tun. Klappt das nicht? Dann müsste ich das mal nachbauen, ist dann aber oftmals ein Fehler im Switch bzw. ARP. Weil ich Deinen Switch nicht habe, kann ich das vermutlich nicht nachstellen bzw. genauer beschreiben.

 

[chrigu]

FRITZ!Boxen sind nicht vlan tauglich, schon gar nicht wenn nur ein subnetz für alle benutzt wird.
Fritze haben aber einen gastlan/wlan „Port“ der dein Vorhaben ermöglichen könnte, dazu wie nokoeri schon schrieb, musst du ein eigenes Netzwerk stellen (neues lankabel an port4, zu einem extra Switch, und extra ap anschliessen… ) so hast du Gast und normal physisch getrennt. Oder du kaufst dir ein vlan fähigen Router inklusive vlan Switch, damit kannst du jeden Port einzeln den Zugriff auf wasauchimmer erlauben oder sperren. Macadressfilter nützt rein gar nichts da innert 3 Sekunden die macadresse gewechselt werden kann

 

[SME]

FRITZ!Boxen sind nicht vlan tauglich

Das scheint so zu sein. Leider.

In dem Fall – Client-Isolation ist nicht gefordert – reicht es,

1. den LAN-Gastzugang in FRITZ!OS zu aktivieren.
2. mit einem zweiten LAN-Kabel zum Switch zu gehen
3. vorher auf diesen Port die VLAN-ID (PVID) von 1 auf irgendwas anderes zu ändern, beispielsweise die 4.
4. im Access-Point → Wireless → VLAN → (Gast-SSID) VLAN: Enable → VLAN-ID: 4.

Das habe ich exakt so gemacht. Leider bekommen dann die Geräte auf den AP keine (saubere) IP zugewiesen.
Es wird mit der Meldung "Fehler IP Konfiguration" (im Pixel 9 Pro) abgebrochen.

-> Ich habe daraus jetzt gefolgert, dass mein Vorhaben mit der vorhandenen Hardware so nicht umsetztbar ist

Ich habe nun ein Dilemma:

• Wenn ich den Gast Modus im dem Gast WLAN anschalte, dann können sich die Gäste nicht sehen und nicht auf meine Ressourcen zugreifen
• Wenn ich den Gast Modus im dem Gast WLAN ausschalte, dann können die Gäste auch auf meine Ressourcen zugreifen

musst du ein eigenes Netzwerk stellen

Das möchte ich so nicht realisieren. Dann wäre die AP ja nur im Gäste WLAN...

Oder du kaufst dir ein vlan fähigen Router

VLAN Switch ist bereits vorhanden. Das bedeutet, mit einem TP-Link ER605 hinter der Fritzbox (Diese dient dann als Modem und DHCP Server) kann ich sauber VLAN erstellen und mein Vorhaben 1:1 umsetzen?

 

[norKoeri]

Das habe ich exakt so gemacht. Leider bekommen dann die Geräte auf den AP keine (saubere) IP zugewiesen.
Es wird mit der Meldung "Fehler IP Konfiguration" (im Pixel 9 Pro) abgebrochen.

Daraus bitte nicht folgern, sondern untersuchen. Du kannst auf dem Switch das Port-Mirroring aktivieren. So siehst Du, was genau passiert. Oder Du schließt einen Computer an, bei dem Du VLAN-Tagging leicht einstellen kannst, also macOS oder Linux; so kannst Du den WLAN-Punkt simulieren. Soweit ich weiß, ist bei einem Windows-Computer nicht ins Betriebssystem eingebaut sondern vom Ethernet-Treiber abhängig.

mein Vorhaben mit der vorhandenen Hardware so nicht umsetztbar ist

Doch ist es, läuft hier sogar genauso. Werde nachher nochmal mein Pixel auspacken, ob hier irgendeine Spezialität vorliegt. Kann ja sein, dass Google irgendwas erkennt, was andere Betriebssystem übersehen. Bist Du immer noch im Standalone-Modus beim EAP653? Dann baue ich das direkt nach, also 7490/07.62, EAP653/1.0/1.3.5 und Pixel/Android ???

Wenn ich den Gast Modus im dem Gast WLAN anschalte, dann können sich die Gäste nicht sehen und nicht auf meine Ressourcen zugreifen

Das heißt im Umkehrschluss, Dir ist nicht egal, ob sich Gäste sehen, sondern Du willst, dass sich Gäste sehen?

 

[chrigu]

TP-Link ER605 hinter der Fritzbox

Jein. Die fritzbox löst dein vlan wieder auf. Ausser du hängst das zweite Netzwerk ins gastlan mit denselben Einschränkungen. Wenn du vlan bis ins Internet willst, brauchst du vlan fähigen Router

 

[norKoeri]

Also das mit dem VLAN-fähigen Router lassen wir in diesem Fall hier mal, denn die FRITZ!Box kann bereits zwei Netz-Segmente. Ein konfigurierbarer Switch legt den FRITZ!OS LAN-Gastzugang auf ein VLAN um. Und dann können auch Access-Points mit mehreren SSID, jeweils ein VLAN bedienen, also die beiden FRITZ!OS Netz-Segmente nutzen. @SME hat bereits an Hardware alles was er braucht.

Das habe ich exakt so gemacht.

Gerade nochmals mit einem Pixel/Android 16 getestet: Klappt bei mir. Unterschied bei uns beiden ist allein der Switch. Folglich musst Du das entweder allein debuggen oder postest Deine Einstellungen auf dem Switch, also „VLAN → 802.1Q VLAN“. Das mit „Port-based“ ist zwar einfacher aber lassen wir mal, denn das ist die alte Nomenklatur nach Cisco, als es noch keinen Standard gab.

Manch konfigurierbarer Switch liefert nicht automatisch alle VLANs an alle Ports. Das kann man manchmal für alle VLAN generell einschalten (nennt sich dann oft VLAN-Trunking) oder man muss jedes VLAN explizit einschalten. Welche Hardware-Version des SG1016PE hast Du genau? Wenn ich nach den Anleitung für die neuste Version gehe, dann musst Du dort nur:

• VLAN: 4 (ist aber beliebig, wir bleiben im Beispiel)
• Name: myGuest (ist aber beliebig)
• Tagged-Ports: mindestens jener mit dem EAP653 oder einfach alle
• Untagged-Ports: mindestens jener mit der FRITZ!Box 7490 LAN4
• (Taste) Apply

Willst Du noch an anderen Ports irgendwelche Gäste anschließen, dann auch jene Ports auf „untagged“ setzen. Bei VLAN1 solltest Du noch schauen, dass der Port mit FRITZ!Box 7490 LAN4 kein Member ist. Dann am Ende „VLAN → 802.1Q VLAN PVID Setting“. Dort dann den Port mit dem FRITZ!Box 7490 LAN4 auf PVID = 4 setzen.

So in etwa. Weil ich das User-Interface des SG1016PE nicht vor mir habe und jedes User-Interface das anders macht – selbst die Omada Switche wie der SG2016P machen das schon wieder komplett anders – ist das nur so grob geraten. Half das schon? Ansonsten bitte Screenshots Deiner Einstellungen.

 

[SME]

Daraus bitte nicht folgern, sondern untersuchen

Ok. Werde ich machen. Allerdings habe ich kein MacOS und von Linux habe ich keine Ahnung...

Doch ist es, läuft hier sogar genauso

Sehr schön. Dann möchte das gerne auch umsetzen.

Bist Du immer noch im Standalone-Modus beim EAP653

Nein. Ich habe heute auf den SW Controller gewechselt.

Dir ist nicht egal, ob sich Gäste sehen, sondern Du willst, dass sich Gäste sehen?

Da bin ich mir nicht sicher. Eigentlich sollen die Gäste nur "Internet" bei Bedarf bekommen und sonst nichts können.
Wenn dies dann aber bedeutet, dass sie bei Spotify nicht mehr an dem "JAM" teilnehmen können, wird meine Frau mich umbringen

Ich bin heute Abend wieder am Start.

1. den LAN-Gastzugang in FRITZ!OS zu aktivieren.
2. mit einem zweiten LAN-Kabel zum Switch zu gehen
3. vorher auf diesen Port die VLAN-ID (PVID) von 1 auf irgendwas anderes zu ändern, beispielsweise die 4.
4. im Access-Point → Wireless → VLAN → (Gast-SSID) VLAN: Enable → VLAN-ID: 4.

Dann werde ich das Beispiel von Dir nachbauen und den Fehler versuchen genauer zu definieren.

Danke Euch beiden!!!

 

[norKoeri]

Ich habe heute auf den SW Controller gewechselt.

Lieber erstmal wenigstens einen EAP653 ohne Controller, also im Standalone lassen bzw. im Controller wieder löschen, sonst muss ich jetzt alles nochmal nachtesten und erklären.

habe ich kein MacOS und von Linux habe ich keine Ahnung

Dann im Windows Geräte-Manager schauen, ob Dein Ethernet-Controller bzw. dessen Treiber eine Konfiguration für VLAN bietet. Dann kannst Du quasi Access-Point spielen, also den Computer selbst VLAN4 machen lassen. Dann kannst Du auch einfacher mit Wireshark zusehen. Ansonsten einen Port auf Mirroring umstellen und daran dann einen Windows-Computer mit Wireshark. Damit Du nicht so im Blindflug bist.

Problem bei dem ganzen VLAN-Tagging ist nämlich normal das User-Interface, also zu verstehen, was sich der Switch-Hersteller bzw. der Programmierer an dem Tag wieder gedacht hat. Manchmal ist das auch einfach stumpf Herumprobieren.

 

[SME]

Hi!
Es hat funktioniert! 1000 Dank dafür!!!

Ich hatte letztes Mal tatsächlich die Option Port-based VLAN verwendet. Momentan laden meine Geräte, um zu testen, ob wirklich alles sauber läuft möchte ich mehr als 1 Gerät nehmen. Ich werde dann wieder berichten...

WLAN-Roaming müsste auch im Modus Standalone tun

Tut es leider nicht. Dafür ist zwangsweise der Omada Controller notwendig.

 

[norKoeri]

Eigentlich müsstest Du ohne Controller auskommen, WLAN-Roaming müsste auch im Modus Standalone tun.

Tut es leider nicht.

Wie äußerst sich das genau, also welche App(s) hast Du getestet?

Nochmal nachgetestet. Zwei EAPs im Standalone klappen hier, auch mit Deinem MAC-Filtering, sowohl im Heim- als auch im Gast-Netz; egal wie das Gast-Netz in den EAPs konfiguriert ist, also mit oder ohne dem Haken bei „Guest“.

Schwierig zu vermuten, was bei Dir anders sein könnte. Für WLAN-Roaming müssen sich die WLAN-Punkte vergleichsweise stark überlappen, sonst reißt die Verbindung zu lange ab. Und kann auch ein Fehler in Deinem Switch sein. Mein Tipp: Probeweise einen anderen aus dem Bekanntenkreis ausleihen. Oder direkt einen kaufen, der selbst VLAN-Isolation kann, also z. B. einen aus der Zyxel GS1920v2-Serie: Klick. Den nutze ich hier. Und so kannst Du nebenbei sogar Deine Clients untereinander isolieren.