Verständnisfrage zu ACL in Omada

Boris · 10. Januar 2024 um 11:33

Hallo zusammen,

ich habe eine Verständnisfrage zu den ACL in Verbindung mit Omada.

Kurz zu meinem Aufbau daheim (nur ein Ausschnitt, um den es geht):

VLAN1 (192.168.1.0/24): Router, Switche Access Points, Controller
VLAN30 (192.168.30.0/24): Desktops, Laptops, Smartphones, Tablets
VLAN40 (192.168.40.0/24): Smart Home Geräte

Wenn ich nun die Kommunikation von VLAN40 zu VLAN 30 unterbinde, ist es dann richtig, dass meine Smart Home Geräte nicht auf das VLAN30 zugreifen kann, aber dass im Gegenzug auch ich z.B. mit meinem Laptop nicht auf meine Smart Home Geräte komme?

Danke fürs Aufschlauen!

Grüße
Boris

Eddi-ng · 10. Januar 2024 um 16:02

Hey Boris,

Wenn du das als SWITCH ACL definierst kannst du einstellen in welche Richtungen die Regel greifen soll.
Sprich ob diese auch Bi-Direktional ist oder eben nur einseitig.

Boris · 10. Januar 2024 um 16:49

Danke für die Antwort, Eddi.

Aber genau da liegt mein Problem. „Bidirektional“ habe ich NICHT aktiviert, aber die Kommunikation ist in beiden Richtungen geblockt, was ich eigentlich nicht möchte.

Und ja, es ist die Switch ACL. Beide Test-Geräte sind per Kabel verbunden. Das Smart Home Gerät hängt an Switch 1, der Laptop an Switch 2.

Aufbau: [DSL-Modem] <===> [Router] <===> [Switch 1] <===> [Switch 2]

Ohne jegliche Regel funktioniert sämtliche Kommunikation, aktiviere ich aber,dass VLAN40 nach VLAN30 blockiert werden soll, können beide Netze nicht mehr miteinander kommunizieren, egal in welche Richtung. Und das verwirrt mich. Weitere ACL gibt es nicht.

Grüße
Boris

Eddi-ng · 10. Januar 2024 um 18:37

Ok das Verhalten hätte ich jetzt nicht erwartet.
Leider hab ich auch gerade keine Möglichkeit das auf die Schnelle in meiner Omada Umgebung nachzubauen & zu testen.

Mal doof gefragt bist du bei Firmware und Controller auf der jeweils aktuellsten Version ?

Welche Geräte mit welcher Firmware setzt du ein?

Beste Grüße
Max

Boris · 10. Januar 2024 um 20:07

Im Einsatz habe ich den TL-ER605 (v2) und zweimal den TL-SG2008P mit jeweils der aktuellsten Firmware. Welche das jeweils ist, kann ich nicht sagen, da ich derzeit woanders bin.

Der Omada-Controller ist die Version 5.13 und läuft im Docker-Container.

Eddi-ng · 11. Januar 2024 um 08:57

Also Firmware vom ER605 V2 sollte 2.2.3 sein und bin Controller gab es meine ich vorgestern ein Update auf 5.13.22

Boris · 11. Januar 2024 um 09:06

5.13.22 passt beim Controller.
Router hat sich gestern erst das neueste Update gezogen, sollte also auch passen. Am Nachmittag waren jedenfalls alle Geräte auf aktuellem Stand.

Boris · 19. Januar 2024 um 11:46

Nachtrag: Interessanterweise funktionieren die ACL, wenn alle fraglichen Geräte am Switch 1 hängen. Switchübergreifend funktioniert es nicht. Bei den beiden Ports, die die beiden Switches miteinander verbinden, habe ich als Profil „All“ stehen.

Stelle ich am Switch 2 das Profil für den Port, an dem mein Laptop hängt, auf „All“ klappt die Verbindung auch.

Wo ist der Fehler?

Boris · 19. Januar 2024 um 13:46

Ich denke, ich habe den Fehler gefunden. Die Switch-ACL sind nicht stateful, d.h. wenn eine Richtung geblockt ist, ist somit auch die Antwort aus dieser Richtung geblockt.
Über Gateway-ACL kann mein Use Case gelöst werden.