Omada AP Gäste WLAN - Keine Verbindung

[SME]

Hi!
Ich habe zuhause folgendes Setting:

• Fritzbox 7490
• TP Link Switch TL-SG1016PE
• EAP 653 AP

• Die Fritzbox steht im Netzwerkschrank (Schlechtes Signal) spannt kein WLAN auf, dies soll durch den AP passieren.
• Der AP hat Option "MAC - Filtering" aktiv. Es gibt eine WHITELIST mit den Mac Adressen der Geräte (Alexa, Smartphone etc...) -> Funktioniert einwandfrei bei dem "normalen WLAN"

• Ich habe zusätzlich eine "Gäste WLAN", mit einem anderen Passwort und einer anderen SSID. Hier kann ich mich nicht verbinden -> Es kommt folgender Fehler:

Wenn ich Mac Filtering komplett ausschalte, funktioniert es.

Vielleicht habe ich auch einen Denkfehler:

• Im "normalen" WLAN sollen nur Geräte sein dürfen, die den Code kennen und auf der WHITE List stehen
• Im "Gäste WLAN" reicht der Code

Ich will natürlich nicht eine Liste mit MAC Adressen aller Gäste führen (müssen). Habe ich hier einen Denkfehler? Kann ich das eine WLAN mit Mac Filtering betreiben und das andere nicht?

Außerdem ist mir aufgefallen, dass bei erfolgreicher Verbindung im Gäste WLAN ohne MAC Filtering mein Handy unter "USER" angezeigt wird - Nicht unter Guest...

Ich hoffe meine Frage ist verständlich. Danke für Eure Hilfe!

SME

 

[blablub1212]

Lass die MAC-Filterung einfach aus. Das bietet einfach keinen Schutz und führt wie in deinem Fall zu Problemen. Wenn du wirklich zusätzlichen Schutz haben möchtest nutze Zertifikate auf den Clients (wenn dein Access Point das unterstützt.

Die MAC kann beliebig gefaked werden und man kann MAC-Adressen auch ermitteln, ohne dass man mit einem bestimmten WLAN verbunden ist.

 

[BFF]

Die MAC kann beliebig gefaked werden

Und passiert auch.,
iOS definitv, Android weiß ich nicht, verwenden beim Verbinden unterschiedliche MAC.

 

[norKoeri]

Puh. Wirkt erstmal wie ein Software-Bug. Daher auch so vorgehen, also

1. beschreiben wie ein Software-Bug
   • bist Du im Standalone oder Controller?
   • welche Version (des Controllers bzw. des Access-Points)
   • worauf, also
     • falls Controller, welches Host-System Windows/Linux/OCxxx
     • falls Standalone, welches Produkt (EAP653) aber auch welche Hardware-Version
   • Schritte = wie genau vorgegangen = wo im Menübaum bist Du
2. parallel auch in der TP-Link eigenen Omada Community fragen.

Ich muss ehrlich sagen, dass ich nicht weiß, wo Du genau bist. Du scheinst nicht im Omada Controller sondern in der (Standalone) Web-Oberfläche des Access-Points zu sein. Richtig? Denn bei mir über den Controller sieht das komplett anders aus. Dort geht man über „Site → Network Config → WLAN“, also aktiviert den Filter pro SSID.

bei erfolgreicher Verbindung im Gäste WLAN ohne MAC Filtering mein Handy unter "USER" angezeigt wird - Nicht unter Guest.

Weiterer Software-Bug. Eins nach dem anderen.

 

[norKoeri]

Ja, Du bist im Modus Standalone ohne Controller. Habe das mit einem EAP653 Hardware-Version 1.0 Firmware-Version 1.3.5 mal nachgebaut. Bei mir klappt es wie von Dir gewünscht, allerdings habe ich bei „Guest-SSID ← MAC Filtering ← Wireless“ nicht „None/Allow“ sondern „None/Deny“. Half das? Ansonsten müssten wir die Einstellungen einzeln durchgehen, also was bei mir anders ist. Vielleicht auch mal ein Reset machen, nicht dass Du noch eine unsichtbare Einstellung von einer alten Firmware-Version hast.

bei erfolgreicher Verbindung im Gäste WLAN […] mein Handy unter "USER" angezeigt wird - Nicht unter Guest.

Kann ich bestätigen, also „Status → Client → (List) Guest“ bleibt immer leer, die Clients tauchen stattdessen unter „User“ auf, obwohl unter „Wireless → Settings → 5 GHz → SSIDs → Guest Network: Enabled“ steht.

FRITZ!Box 7490 […] TP-Link SG1016PE

Nutzt Du den LAN-Gastzugang in FRITZ!OS, also hast Du den durch jenen Switch auf ein VLAN umgelegt, also landen Deine Gäste nicht im 192.168.178er sondern .179er-Netz?

 

[SME]

allerdings habe ich bei „Guest-SSID ← MAC Filtering ← Wireless“ nicht „None/Allow“ sondern „None/Deny“. Half das?

BESTER MANN! Das hat mein Problem gelöst. Ich finde es zwar unlogisch - Aber was solls!

Vielen Dank für die Hilfe. Auch dass Du Deine Hardware zum Nachstellen neu konfiguriert hast. Sehr nett und hilfreich.

Ergänzung (Gestern um 20:05)

Gerne gebe ich Dir auch noch Antworten auf Deine anderen Fragen, denn ich merke schon, dass Du
1. Dinge benutzt und verstehst, welche ich auch benutze bzw. benutzen möchte
2. strukturiert und systematisch vorgehst -> Professionell

bist Du im Standalone oder Controller?

Standalone

welche Version

EAP 653, 1.3.5 Build 20251111 Rel. 64506(4555), HW 1.0

falls Controller, welches Host-System Windows/Linux/OCxxx

Der Controller ist ebenfalls vorhanden: Er läuft auf einem Proxmox Server, eingerichtet via VE Helper Script (LINK) - LXC Linux Container (2 CPU, 2 GB RAM)
Version: 6.1.0.19

Nutzt Du den LAN-Gastzugang in FRITZ!OS,

Nein. Ich nutze LAN 1 der Fritzbox. Von dort ein LAN Kabel in den Switch.

Meine Ziele und Fragen:
Aktuelle Konfig:
192.168.100.1 Fritzbox, auch als DHCP Server
192.168.100.2 Omada Controller
192.168.100.3 Switch
192.168.100.4 EAP1
192.168.100.5 EAP2
192.168.100.6 PVE
192.168.100.7 OMV
192.168.100.8 Home Assistant

192.168.100.15 Hue Bridge

192.168.100.18 Klingel

192.168.100.20 - 25 Alexa

192.168.100.30 - 33 Konsolen

192.168.100.40 - 42 Wohnzimmer HiFi + TV etc...

192.168.100.50 - 52 Luftreiniger + Wischrobo

192.168.100.111 +++ Handy, Laptop, Tablet, PC

Das Gast WLAN soll von dem restlichen Netz getrennt sein. Ich möchte nicht, dass das Gäste WLAN auf mein Netzwerk zugreifen kann. Die Gäste dürfen sich von mir aus sehen, sollen aber nicht auf meine Ressourcen (NAS, Drucker etc...) zugreifen können

Frage 1:
-> Ich vermute, dafür müssen die Gäste in einen anderen Bereich meines Netzwerkes? Ist dem so? Wenn ja, am besten in ein anderes Subnetz? Und falls ja, wie geht das?

Frage 2:
Ich habe den Omada Controller, weil die AP ohne eben jenen kein "WLAN Roaming" können. Daher werde ich um eine Konfig nicht herumkommen.

@ norKoeri: Hast Du eine gute, einfache "Anleitung" dafür? Ich war auf den ersten Blick ein wenig überfordert.

Danke und viele Grüße
SME

 

[norKoeri]

Puh. Werde ich morgen mal in einer freien Minuten testen, also was dieser Schalter „Guest“ im Modus Standalone genau macht. Im Modus Controller war er jedenfalls Mist, jedenfalls letztes Jahr. Werde ich auch nochmals nachtesten. Aber egal, Du kannst das sauber machen:

Gäste dürfen sich von mir aus sehen, sollen aber nicht auf meine Ressourcen (NAS, Drucker etc...) zugreifen können

In dem Fall – Client-Isolation ist nicht gefordert – reicht es,

1. den LAN-Gastzugang in FRITZ!OS zu aktivieren.
2. mit einem zweiten LAN-Kabel zum Switch zu gehen
3. vorher auf diesen Port die VLAN-ID (PVID) von 1 auf irgendwas anderes zu ändern, beispielsweise die 4.
4. im Access-Point → Wireless → VLAN → (Gast-SSID) VLAN: Enable → VLAN-ID: 4.

Die SSID braucht dann auch nicht mehr diese völlig unklare Markierung „Guest“, weil Dir ja eine Client-Isolation egal ist. Also ich würde die in Deinem Fall explizit rausnehmen, denn dann klappt das sicher. Wenn was hakt, dann bitte Screenshots von der Web-Oberfläche des Switches – denn den bzw. was Vergleichbares habe ich nicht. Im Router bzw. Access-Point kann man ja wenig falsch machen.

Ich habe den Omada Controller, weil die AP ohne eben jenen kein "WLAN Roaming" können. Daher werde ich um eine Konfig nicht herumkommen.

Eigentlich müsstest Du ohne Controller auskommen, WLAN-Roaming müsste auch im Modus Standalone tun. Klappt das nicht? Dann müsste ich das mal nachbauen, ist dann aber oftmals ein Fehler im Switch bzw. ARP. Weil ich Deinen Switch nicht habe, kann ich das vermutlich nicht nachstellen bzw. genauer beschreiben.

 

[chrigu]

FRITZ!Boxen sind nicht vlan tauglich, schon gar nicht wenn nur ein subnetz für alle benutzt wird.
Fritze haben aber einen gastlan/wlan „Port“ der dein Vorhaben ermöglichen könnte, dazu wie nokoeri schon schrieb, musst du ein eigenes Netzwerk stellen (neues lankabel an port4, zu einem extra Switch, und extra ap anschliessen… ) so hast du Gast und normal physisch getrennt. Oder du kaufst dir ein vlan fähigen Router inklusive vlan Switch, damit kannst du jeden Port einzeln den Zugriff auf wasauchimmer erlauben oder sperren. Macadressfilter nützt rein gar nichts da innert 3 Sekunden die macadresse gewechselt werden kann