Wenn ich nun die Kommunikation von VLAN40 zu VLAN 30 unterbinde, ist es dann richtig, dass meine Smart Home Geräte nicht auf das VLAN30 zugreifen kann, aber dass im Gegenzug auch ich z.B. mit meinem Laptop nicht auf meine Smart Home Geräte komme?
Wenn du das als SWITCH ACL definierst kannst du einstellen in welche Richtungen die Regel greifen soll.
Sprich ob diese auch Bi-Direktional ist oder eben nur einseitig.
Aber genau da liegt mein Problem. „Bidirektional“ habe ich NICHT aktiviert, aber die Kommunikation ist in beiden Richtungen geblockt, was ich eigentlich nicht möchte.
Und ja, es ist die Switch ACL. Beide Test-Geräte sind per Kabel verbunden. Das Smart Home Gerät hängt an Switch 1, der Laptop an Switch 2.
Ohne jegliche Regel funktioniert sämtliche Kommunikation, aktiviere ich aber,dass VLAN40 nach VLAN30 blockiert werden soll, können beide Netze nicht mehr miteinander kommunizieren, egal in welche Richtung. Und das verwirrt mich. Weitere ACL gibt es nicht.
Ok das Verhalten hätte ich jetzt nicht erwartet.
Leider hab ich auch gerade keine Möglichkeit das auf die Schnelle in meiner Omada Umgebung nachzubauen & zu testen.
Mal doof gefragt bist du bei Firmware und Controller auf der jeweils aktuellsten Version ?
Im Einsatz habe ich den TL-ER605 (v2) und zweimal den TL-SG2008P mit jeweils der aktuellsten Firmware. Welche das jeweils ist, kann ich nicht sagen, da ich derzeit woanders bin.
Der Omada-Controller ist die Version 5.13 und läuft im Docker-Container.
5.13.22 passt beim Controller.
Router hat sich gestern erst das neueste Update gezogen, sollte also auch passen. Am Nachmittag waren jedenfalls alle Geräte auf aktuellem Stand.
Nachtrag: Interessanterweise funktionieren die ACL, wenn alle fraglichen Geräte am Switch 1 hängen. Switchübergreifend funktioniert es nicht. Bei den beiden Ports, die die beiden Switches miteinander verbinden, habe ich als Profil „All“ stehen.
Stelle ich am Switch 2 das Profil für den Port, an dem mein Laptop hängt, auf „All“ klappt die Verbindung auch.
Ich denke, ich habe den Fehler gefunden. Die Switch-ACL sind nicht stateful, d.h. wenn eine Richtung geblockt ist, ist somit auch die Antwort aus dieser Richtung geblockt.
Über Gateway-ACL kann mein Use Case gelöst werden.