Verständnisfrage zu ACL in Omada

Hallo zusammen,

ich habe eine Verständnisfrage zu den ACL in Verbindung mit Omada.

Kurz zu meinem Aufbau daheim (nur ein Ausschnitt, um den es geht):

  • VLAN1 (192.168.1.0/24): Router, Switche Access Points, Controller
  • VLAN30 (192.168.30.0/24): Desktops, Laptops, Smartphones, Tablets
  • VLAN40 (192.168.40.0/24): Smart Home Geräte

Wenn ich nun die Kommunikation von VLAN40 zu VLAN 30 unterbinde, ist es dann richtig, dass meine Smart Home Geräte nicht auf das VLAN30 zugreifen kann, aber dass im Gegenzug auch ich z.B. mit meinem Laptop nicht auf meine Smart Home Geräte komme?

Danke fürs Aufschlauen!

Grüße
Boris

Hey Boris,

Wenn du das als SWITCH ACL definierst kannst du einstellen in welche Richtungen die Regel greifen soll.
Sprich ob diese auch Bi-Direktional ist oder eben nur einseitig.

Danke für die Antwort, Eddi.

Aber genau da liegt mein Problem. „Bidirektional“ habe ich NICHT aktiviert, aber die Kommunikation ist in beiden Richtungen geblockt, was ich eigentlich nicht möchte.

Und ja, es ist die Switch ACL. Beide Test-Geräte sind per Kabel verbunden. Das Smart Home Gerät hängt an Switch 1, der Laptop an Switch 2.

Aufbau: [DSL-Modem] <===> [Router] <===> [Switch 1] <===> [Switch 2]

Ohne jegliche Regel funktioniert sämtliche Kommunikation, aktiviere ich aber,dass VLAN40 nach VLAN30 blockiert werden soll, können beide Netze nicht mehr miteinander kommunizieren, egal in welche Richtung. Und das verwirrt mich. Weitere ACL gibt es nicht.

Grüße
Boris

Ok das Verhalten hätte ich jetzt nicht erwartet.
Leider hab ich auch gerade keine Möglichkeit das auf die Schnelle in meiner Omada Umgebung nachzubauen & zu testen.

Mal doof gefragt bist du bei Firmware und Controller auf der jeweils aktuellsten Version ?

Welche Geräte mit welcher Firmware setzt du ein?

Beste Grüße
Max

Im Einsatz habe ich den TL-ER605 (v2) und zweimal den TL-SG2008P mit jeweils der aktuellsten Firmware. Welche das jeweils ist, kann ich nicht sagen, da ich derzeit woanders bin.

Der Omada-Controller ist die Version 5.13 und läuft im Docker-Container.

Also Firmware vom ER605 V2 sollte 2.2.3 sein und bin Controller gab es meine ich vorgestern ein Update auf 5.13.22

5.13.22 passt beim Controller.
Router hat sich gestern erst das neueste Update gezogen, sollte also auch passen. Am Nachmittag waren jedenfalls alle Geräte auf aktuellem Stand.

Nachtrag: Interessanterweise funktionieren die ACL, wenn alle fraglichen Geräte am Switch 1 hängen. Switchübergreifend funktioniert es nicht. Bei den beiden Ports, die die beiden Switches miteinander verbinden, habe ich als Profil „All“ stehen.

Stelle ich am Switch 2 das Profil für den Port, an dem mein Laptop hängt, auf „All“ klappt die Verbindung auch.

Wo ist der Fehler?

Ich denke, ich habe den Fehler gefunden. Die Switch-ACL sind nicht stateful, d.h. wenn eine Richtung geblockt ist, ist somit auch die Antwort aus dieser Richtung geblockt.
Über Gateway-ACL kann mein Use Case gelöst werden.

1 Like