[Ungelöst] TP-Link Omada Mesh-Netz (Ethernet-Backhaul) hinter Starlink-Router ohne dedizierten Omada-Router (aber mit Hardware-Controller und managed Switch)?

blablubb1234

Experte
Thread Starter
Mitglied seit
17.02.2019
Beiträge
186
Hallo zusammen,

für einen Starlink-Anschluss möchte ich eine kleine Omada-Installation (APs allesamt über Ethernet festverkabelt) ähnlich zu dieser aufsetzen (geplante Topologie ohne dedizierten Omada-Router s. Anhang): Ein (sicheres) Netzwerk (VLAN 1, Adressbereich 192.168.1.x/24, kabelgebunden und kabellos) für Arbeitsplätze und Peripherie sowie ein Gästenetzwerk (VLAN 10, Adressbereich 192.168.10.x/24, kabellos) für Gäste.

Aktuell möchte ich folgende Komponenten einsetzen:
Was ich (u.a. anhand des verlinkten Videos) zu wissen glaube: Prinzipiell ist die Aufteilung auf verschiedene VLANs mit Omada möglich, die APs können mehrere SSIDs ausstrahlen und der Starlink-Router hat quasi keine Konfigurationsmöglichkeiten.

Was ich jedoch nicht weiß: Funktioniert die im Video gezeigte sowie von mir gewünschte Aufteilung in verschiedene VLANs sowie die vergabe unterschiedlicher IP-Bereich in Selbigen nur unter Verwendung eines Omada-Routers (bspw. ER605 (TL-R605) V2) sowie des Starlink-Routers im Bypass-Modus (Bridge) oder reicht dafür o.g. L2-Switch in Kombination mit dem Starlink-Router (der sowieso als Modem genutzt werden muss)? Die Konfiguration im Controller selber ist mir eig. klar, aber eben nicht, welche Teile davon der im Video eingesetzte Router übernimmt und welche der Switch. Ich hoffe die Frage ist klar.

Danke für die Hilfe und Grüße
 

Anhänge

  • Topologie.pdf
    413,3 KB · Aufrufe: 99
Zuletzt bearbeitet:
Was ich jedoch nicht weiß: Funktioniert die im Video gezeigte sowie von mir gewünschte Aufteilung in verschiedene VLANs sowie die vergabe unterschiedlicher IP-Bereich in Selbigen nur unter Verwendung eines Omada-Routers (bspw. ER605 (TL-R605) V2) sowie des Starlink-Routers im Bypass-Modus (Bridge) oder reicht dafür o.g. L2-Switch in Kombination mit dem Starlink-Router (der sowieso als Modem genutzt werden muss)?
Nein, Du brauchst einen VLAN-fähigen Router, wenn Du zwischen VLANs kommunizieren willst (zB von HEIM-VL1 in Richtung GAST-VL10), es muss aber kein Omada sein.
 
Hier ist noch anzumerken, dass man den Router auch entsprechend einstellen muss. Denn nur einfach ein Router hebt die Trennung zwischen "Gast" und Heim" einfach wieder auf. Man hat beide Netze zwar auf L2 getrennt, aber der Router verbindet diese wieder auf L3.
Ergo braucht man entweder eine ACL, wenn man eine strickte Trennung will oder aber eine (embedded) Firewall für die Reglementierung des Verkehrs.
 
Nein, Du brauchst einen VLAN-fähigen Router, wenn Du zwischen VLANs kommunizieren willst (zB von HEIM-VL1 in Richtung GAST-VL10), es muss aber kein Omada sein.
Ich möchte eig. nicht zwischen den VLANs kommunizieren. Schafft die Aufteilung in VLANs der Switch alleine oder braucht's dennoch einen Router? Ich nehme an die Starlink-Kiste würde dafür allenfalls sowieso nicht genügen, hat da jemand Erfahrung? Okay, aber falls ich den Router brauche, kann's auch gerade ein Omada-Modell sein, zwecks einfacherer Konfiguration über eine Oberfläche.
Hier ist noch anzumerken, dass man den Router auch entsprechend einstellen muss. Denn nur einfach ein Router hebt die Trennung zwischen "Gast" und Heim" einfach wieder auf. Man hat beide Netze zwar auf L2 getrennt, aber der Router verbindet diese wieder auf L3.
Ergo braucht man entweder eine ACL, wenn man eine strickte Trennung will oder aber eine (embedded) Firewall für die Reglementierung des Verkehrs.
Das ist mir bewusst, ich wollte das über eine entsprechende ACL lösen.
 
Zuletzt bearbeitet:
Die Aufteilung der VLANs macht der Switch alleine. Nur brauchst du ja irgendwas, wo die Netze zusammenkommen und da wird es dann spannend.

Wenn du das GastVLAN mit nichts anderem (und das schließt das Internet ein) kommunizieren lassen willst, dann brauchst du keinen speziellen Router. Dann ist das GastVLAN eine komplette Insel und gut ist.

Wenn du aber HeimVLAN und GastVLAN auf einem Router zusammenfahren willst, um z.B. ins Internet zu gehen oder einen anderen gemeinsamen Dienst, wie z.B. Server, zu bedinen, dann muss dieser Router L3 Netze für HeimVLAN und GastVLAN erzeugen. Er muss als 192.168.0.0/24 und 192.168.1.0/24 aufmachen. (mal mit Beispiel IPs)
Die meisten Consumer/Heim-Router können das nicht. Die haben einen Bereich, z.B. 192.168.0.0/24. Du kannst also entscheiden, ob nur HeimVLAN oder GastVLAN zu versorgen ist. Beides geht aber so nicht.
Einige Router haben selber ein Gast-Netz, z.B. können das Fritzboxen. Da kommen dann quasi aus dem Router 2 Kabel raus, mit 192.168.0.0/24 auf der einen Strippe und 192.168.1.0/24 auf der anderen Strippe. Diese steckst du dann in den Switch, eben getrennt nach VLANs, z.B. die ersten 50% Ports HeimVLAN und die zweiten 50% GastVLAN.
Der Switch sorgt dann dafür, dass die Pakete vom Heim-Port des Routers nur an die HeimVLAN-Ports gehen und entsprechend auch für den Gast-Port des Routers an die GastVLAN-Ports.

Der Port für den AP hat dann beide VLANs drauf und der AP muss dann dafür sorgen, dass das HeimWLAN auf HeimVLAN kommt und GastWLAN auf GastVLAN.
 
Zuletzt bearbeitet:
Ich möchte eig. nicht zwischen den VLANs kommunizieren. Schafft die Aufteilung in VLAns der Switch alleine oder braucht's dennoch einen Router? Ich nehme an die Starlink-Kiste würde dafür allenfalls sowieso nicht genügen, hat da jemand Erfahrung?
Ich kenne die Starlink Kiste nicht, aber wenn Du den als Router nutz und dort auf einem LAN Port dein LAN/Heim und auf einem anderen Port (analog wie bei einer Fritz, Gast an LAN4) hast, kannst Du das mit dem Switch trennen und brauchst keinen weiteren Router.
Wenn Du den Starlink allerdings im Bridged-Mode, als Modem betreibst, brauchst Du den VLAN-fähigen Router.

Ein Mikrotik Hex oder Hex-S geht so bis 400Mbps WAN...wie schnell ist Dein Starlink UP/DOWN?
 
Wenn Du den Starlink allerdings im Bridged-Mode, als Modem betreibst, brauchst Du den VLAN-fähigen Router.
Nicht zwingend VLAN-fähig. Es würde z.B. eine Fritzbox reichen. Die hat sicherlich intern neben 2 L3-Interface auch noch VLANs, die aber nicht exposed werden.
Und von der Art Router gibt es sicherlich noch mehr.
Wichtig ist also, dass der Router irgendwas mit Gastnetz kann. Mal davon ab, dass dann bei 2 Netzen auch Schluss ist. Schöner wären sicherlich noch mehr Optionen für die Zukunft, wo wir dann bei "richtigen" Routern wären.
 
Grundsätzlich würde ich massiv davon abraten die TP-Link Omada Router einzusetzen da die nicht zu ende entwickelt sind und momentan eher den Firmware stand von einem Proof of Conecept haben, selbst Alpha würde ich das noch nicht nennen wollen.
Da könnte ich eher sowas wie ein NanoPi R5C mit OpenWRT empfehlen.
 
Vorab vielen herzlichen Dank für die Antworten, Ihr habt mir schon sehr weiter geholfen. Folgend versuche ich mal die Aussagen zu ordnen und Rückfragen zu beantworten.
Die Aufteilung der VLANs macht der Switch alleine. Nur brauchst du ja irgendwas, wo die Netze zusammenkommen und da wird es dann spannend.

Wenn du das GastVLAN mit nichts anderem (und das schließt das Internet ein) kommunizieren lassen willst, dann brauchst du keinen speziellen Router. Dann ist das GastVLAN eine komplette Insel und gut ist.

Wenn du aber HeimVLAN und GastVLAN auf einem Router zusammenfahren willst, um z.B. ins Internet zu gehen oder einen anderen gemeinsamen Dienst, wie z.B. Server, zu bedinen, dann muss dieser Router L3 Netze für HeimVLAN und GastVLAN erzeugen. Er muss als 192.168.0.0/24 und 192.168.1.0/24 aufmachen. (mal mit Beispiel IPs)
Die meisten Consumer/Heim-Router können das nicht. Die haben einen Bereich, z.B. 192.168.0.0/24. Du kannst also entscheiden, ob nur HeimVLAN oder GastVLAN zu versorgen ist. Beides geht aber so nicht.
Einige Router haben selber ein Gast-Netz, z.B. können das Fritzboxen. Da kommen dann quasi aus dem Router 2 Kabel raus, mit 192.168.0.0/24 auf der einen Strippe und 192.168.1.0/24 auf der anderen Strippe. Diese steckst du dann in den Switch, eben getrennt nach VLANs, z.B. die ersten 50% Ports HeimVLAN und die zweiten 50% GastVLAN.
Der Switch sorgt dann dafür, dass die Pakete vom Heim-Port des Routers nur an die HeimVLAN-Ports gehen und entsprechend auch für den Gast-Port des Routers an die GastVLAN-Ports.

Der Port für den AP hat dann beide VLANs drauf und der AP muss dann dafür sorgen, dass das HeimWLAN auf HeimVLAN kommt und GastWLAN auf GastVLAN.
Danke für Deine Erläuterungen. Genau so hatte ich mir das letztlich vorgestellt, denn Internetzugang sollen alle Netze haben. Es ist aber wie Du vermutet hast, der Starlink-Router kann leider nur ein Subnet aufmachen:
1678838161267.png

Auch von einem Gast-Netz finde ich auf den Support-Seiten von Starlink leider Nichts. Somit wird mein Vorhaben ohne zusätzlichen Router nicht funktionieren, korrekt?

Zu Deinem letzten Satz habe ich eine Rückfrage:

Dass zwei VLANs auf einem Port funktionieren, freut mich schon mal 😅 Aber inwiefern ist die Zuweisung Aufgabe des APs? War das ein Typo und sollte Switch heissen? 😇
Ich kenne die Starlink Kiste nicht, aber wenn Du den als Router nutz und dort auf einem LAN Port dein LAN/Heim und auf einem anderen Port (analog wie bei einer Fritz, Gast an LAN4) hast, kannst Du das mit dem Switch trennen und brauchst keinen weiteren Router.
Wenn Du den Starlink allerdings im Bridged-Mode, als Modem betreibst, brauchst Du den VLAN-fähigen Router.

Ein Mikrotik Hex oder Hex-S geht so bis 400Mbps WAN...wie schnell ist Dein Starlink UP/DOWN?
S. oben: Leider besitzt der Starlink-Router genau diese Fähigkeit nicht. Ich werde ihn also in den Bridged-Modus setzen müssen. Down sollte der Anschluss 50 - 200 mbps schaffen, up schätzungsweise 25 mbps.
Nicht zwingend VLAN-fähig. Es würde z.B. eine Fritzbox reichen. Die hat sicherlich intern neben 2 L3-Interface auch noch VLANs, die aber nicht exposed werden.
Und von der Art Router gibt es sicherlich noch mehr.
Wichtig ist also, dass der Router irgendwas mit Gastnetz kann. Mal davon ab, dass dann bei 2 Netzen auch Schluss ist. Schöner wären sicherlich noch mehr Optionen für die Zukunft, wo wir dann bei "richtigen" Routern wären.
Dann sollte es aber schon etwas Passendes werden, damit Reserve für mögliche Erweiterungen in der Zukunft ist. Also kein Gebastel via Gast-Netz (was der Starlink-Router ja nicht mal kann).
Grundsätzlich würde ich massiv davon abraten die TP-Link Omada Router einzusetzen da die nicht zu ende entwickelt sind und momentan eher den Firmware stand von einem Proof of Conecept haben, selbst Alpha würde ich das noch nicht nennen wollen.
Da könnte ich eher sowas wie ein NanoPi R5C mit OpenWRT empfehlen.
Darf ich fragen, wie Du zu der Einschätzung kommst? Nicht, dass Amazon-Bewertungen die größte Aussageraft hätten, aber bei 74% 5-Sternen scheinen einige Leute ja doch recht zufrieden mit dem von mir angedachten Modell zu sein. Welche Probleme treten Deiner Erfahrung nach denn auf? Ich finde eben die Konfigurationsmöglichkeit aus einer Hand heraus schon sehr sexy, daher würde ich schon gerne zu einem Omada-Modell greifen, lasse mich aber prinzipiell gerne vor kompletten Fehlgriffen bewahren.

Eine allgemeine Frage habe ich zu CGNAT (damit kenne ich mich wirklich zu wenig aus):
1678837929501.png

Wird das von Starlink verwendete CGNAT meinem Vorhaben Probleme bereiten? Ich habe keine Anforderungen bzgl. Port Forwarding. Ich weiß einfach nicht genau wie das funktioniert, daher die Frage.
 
Zuletzt bearbeitet:
Darf ich fragen, wie Du zu der Einschätzung kommst?
Ich habe den Fehler gemacht einen omada Router zu kaufen, IPv6 ist leider so rudimentär implementiert das man nur sagen kann, es ist da. Da aber keine Firewall implementiert ist und man auch nicht wirklich was einstellen kann außer an und aus ist einen omada Router zu betreiben momentan eine riesen Sicherheitslücke, da alles ungeschützt direkt übers Internet erreichbar ist. Die sind sicherheitstechnisch gerade erst in den 90er Jahren angekommen und solange sich das nicht ändert kann ich nur davon abraten omada Router einzusetzen außer du willst dahinter dann noch einen Router mit Firewall betreiben, was aber auch nicht geht da die omada Router keine prefix Delegation beherrschen.
Zu den Amazon Bewertungen. Kann ich schon verstehen, man geht halt davon aus das der Hersteller zumindest die basics eines Router implementiert und die meisten käufer wissen nicht das ihr Lan ungeschützt im internet hängt, bis dann die ersten Geräte gehackt sind.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh