TP-Link Omada (Sammel-)Thread

bezüglich Post #12:
Mit der neuen Controllerversion 5.x (seit Jahreswechsel 2021/2022) hat TP-Link nun auch die feste IP-Vergabe außerhalb des DHCP-Bereichs ermöglicht.
Ebenso ist nun endlich TLS V1.2 möglich, was bei SMTP der Mindeststandard ist.

Gibt es mittlerweile schon jemanden der Omada nutzt?
Bin aktuell am überlegen ob Unifi oder Omada und Preis/Leistung bei Omada finde ich sehr gut, vor allem die Switches
(Benötigt wird dann zukünftig Controller, Router, 1x 24 Port Switch, 2x 16 Port Switch, 3x AP).
Gibt halt leider nicht allzu viele Erfahrungsberichte oder praktische Erfahrungen zu Omada zu lesen?

Leider liegt es halt etwas in der Natur der "Poster" das eher negatives verbreitet wird und so liest man dann halt nur wenig, wo nicht über etwas genörgelt wird.
Ist bei Unifi aber glaube ich nicht anders, da geht es halt etwas unter, das es tausende von Beiträgen über Konfigurationsszenarien gibt

Erstaunlich finde ich aber, das die Omada fähigen TP-Link EAP AccessPoints in diversen Testszenarien eigentlich immer vorne dabei sind, warum sollten die also im Omada System nicht gut funktionieren und ganz nebenbei legt TP-Link Omada ja als Business System aus....

Aber vielleicht hat hier wer mehr Erfahrung und den ein oder andern Tipp für mich?
Danke

Morgääähn aus Berlin,
bin mit knapp 100 Clients und folgenden Komponenten (mal als Screenshot) dabei. Nutze auch wirklich drei WAN-Zugänge (PPPoE VDSL 250/40 & Vodafone Cable 40/5 & LTE O2) per Router, also kein doppeltes NAT über Fritzbox etc., was viele machen. Würde mich freuen, wenn wir in einen Austausch treten. Wenn das hier zu unbequem oder zu viel wird, schreib mich gern per Persönlicher Nachricht (PN) an und wir einigen uns auf einen Kanal, der beiden Seiten zusagt.

Hey, Erfahrungsaustausch klingt perfekt
Ich bin jedoch noch ganz am Anfang. Bin ganz Feuer und Flamme für das Omada System.
Hoffe heute noch auf ein Päckchen mit einem R605, OC200 und einem EAP245. Dachte mal zum anfangen und etwas Testen ist der Finanzielle Verlust noch irgendwo erträglich wenn es gar nicht klappen sollte

Du hast da ja schon ein ganz ansehnliches System in Verwendung
Wie ich sehe auch einige SG3428, der würde ich auch als Hauptswitch interessieren. Preislich ja der Hammer, sofern der problemlos läuft.
Hab halt gelesen, das die TP-Link Switches immer wieder mal neu gestartet werden müssen.
Leider gibt es nie eine Modellangabe und TP-Link hat ja doch ziemlich einiges an Switches im Sortiment, wenn man mal von der Omada Kompatibilität weg geht
Was mir aber bei dem Neustartproblem etwas aufgefallen ist, man ließt von diesem Problem nur in deutschsprachigen Foren, hab in keinem anderen davon gelesen, war mirhalt aufgefallen, vielleicht auch nur Zufall

Aber mal ganz allgemein, wie zufrieden bist du mit Omada?
Kennst oder hattest du mal Kontakt zu dem überall ach so hoch gelobten Unifi?
LG

ich bin zufrieden und auch an meinem geplanten Ausbau angekommen
Vor einem Jahr probierte ich einen WiFi-AccessPoint von Unifi, der mir aber gar nicht gefiel und auch bei meinem Ausbau die Kosten doch zu hoch gewesen wären
Heute, also in Ende2021/Anfang2022 bin ich mit Aufwand/Nutzen zufrieden.

In Kurzform:

• gut, dass Du einen HardwareController genommen hast (ich hatte erst auf Windows virtualisiert und dann auf Linux virtualisiert) aber ein "echter" OCx00 ist angenehmer
• mit den Switchen absolut keine Probleme und ich habe selbst vorhandene gemanagte Switche ausgetauscht, weil das gesamte Omada-Zusammenspiel aller Komponenten so genial ist
• bin völlig weg von Fritzbox, weil zu langsam, keine VLANs, kaum Auswertungen - es läuft noch eine 7490 als reiner IP-Client für VoIP über DECT und einige DECT-IoT-Module für Heimautomatisierung - klappt alles perfekt, wenn man den AVM-Client richtig anbindet
• DynDNS alles fein, Firewall alles super, bin stolz, nicht anpingbar zu sein
• Backup für WAN mit 3 unterschiedliche Topologien super einfach
• gerade heute früh (Sa, 12.2.22) kam ein FW Update für den Router raus - da hoffe ich, dass einiges besser wird, aber das wird Dir alles ganz automatisch angeboten und Du brauchst nur bestätigen
• ein Kumpel hat Unifi, aber er schwört mehr auf MikroTik - ich wollte nicht zu sehr mischen und einer Familie treu bleiben - wenn er aber meine Netzstruktur sieht, erkennt er sofort Unifi - die Systeme sind sich sehr ähnlich
• ich würde keine TP-Link-Komponente außerhalb von Omada kaufen - einzig mein VDSL-Modem ist von ZyXEL (gibt es (noch) nicht von TP-Link) und DrayTek hat gar nicht stabil synchronisiert, aber meinen modernen VDSL-Standard können auch nur wenige Modems: VDSL2 35b G.Vector (ITU G.993.5) bei 170m Leitungslänge

es wird alles klappen, und entscheide Dich für die zentrale Konfig per OC200, auch wenn jedes Gerät seine eigene GUI hat, die dann aber nicht mehr funktioniert - aber dafür hast Du ja genau den Controller, sonst bräuchtest Du ihn ja nicht

Das klingt gut

Echter Controller fand ich sinnvoll. Einen PC sei es nun auf Windows oder Linux finde ich nicht sinnvoll, muss ja andauernd in Betrieb sein und es mit einem Rasperry zu lösen war Preislich kein Vorteil, hätte diesen ja auch kaufen müssen. Glaub so ist dann wirklich alles im Omada System.

Hast du mal die Kombination Fritzbox und dahinter R605 verwendet?
Da wird ja immer von doppeltem NAT gesprochen?
Bei mir geht das leider nicht anders da die Fritzbox 5490 (Glasfaster) seitens Internet Provider vorgegeben ist und es da auch keine alternative gibt.

Ich dachte mir da aber, wenn dann alles läuft werf ich alles von der Fritzbox runter, DHCP deaktivert, WLan deaktiviert, VPN Nutzer gelöscht,.... und geb den R605 mittels Exposed Host frei.
Dann müsste doch eigentlich alles direkt an den R605 weiter gereicht werden?
Frag mich dann nur, ob damit dann auch VPN und DynDNS funktioniert, so das ich das dann alles am R605 über den Omada Controller einrichten kann?

Mit dieser "Schaltung" würden wir hier vom Thema abdriften - ist kein Omada mehr. Daher nur kurz meine einzige Meinung dazu:

Am WAN-Anschluss des Router solltest Du Deine öffentliche IP-Adresse sehen. Sobald dort eine Adresse aus einem privaten Netz (192.168.178.... <- das bauen die Fritzboxen gern) erscheint, bis Du nicht "sauber" unterwegs und könntest (nicht musst) bei DynDNS, VPNs, Azure-Einwahlen, VoIP etc. Probleme bekommen.

Ich habe ja am WAN2 auch ein CableModem von Vodafone (früher KabelDeutschland) in einem sparsamen Eazy-Tarif) ab 13,99mtl. und habe das gelieferte Modem mit WLAN und allem in den BridgeMode geschaltet und voila, sehe am Omada-Router die Öffentliche IPv4. Viele denken, dass Vodafone keine öffentliche 4er IP vergibt, mag dann regional unterschiedlich sein, hier in Berlin bei mir schon, ganz ohne Hotline bitten und betteln, alles selbst im Portal aktiviert und fertig.

Ich kenne Glasfaseranschlüsse hier in Berlin, da liefert die Telekom ein reines Modem mit, welches natürlich per PPPoE mit entsprechender VLAN-ID 7 unterwegs ist und eben LANseitig die öffentliche IP rausgibt. Schau, ob Du solch ein Anschlusstyp+Modem erlangen kannst.

Eine andere Methode ist, die vorhandene Fritzbox in den Bridge-Modus zu bringen. Das gelingt mit ein paar Tricks, indem man sie quasi ohne Einwahldaten konfiguriert/missbraucht, denn die Loginparameter hinterlegst Du ja erst im Omada-Router. Die Fritzbox synct dann trotzdem und gibt an LAN1 die öffentliche IP raus. Du sieht das in der Fritzbox in der GUI bei der Einrichtung im Verbindungsstatus. Da sollte dann "Kein Internet" stehen (ist ja richtig, sind ja keine Accountsdaten hinterlegt), aber Sync OK und ggf. sogar die Angaben zur Geschwindigkeit. Natürlich schaltet man dann auch alle anderen LAN-Ports in den GreenMode, DHCP aus, MediaServer Kram aus, um Strom zu sparen. Die Intelligenz erbringst Du schließlich komplett im Omada-Netz.

Bin ja aus Österreich, da läuft das wohl etwas anders, freie Modemwahl usw... ist da nix

Hatte mit meinem Internetprovider schon mehrfach Kontakt wegen der Fritzbox, da gibt es aber wie schon gesagt keine Alternative, auch keinen freigegebenen BridgeMode, auch keine Möglichkeit eines Medienkonverters wie manchmal angeboten, oder anderer Router usw...
Hab auch schonmal mit einem Techniker telefoniert, der sagte, das die Fritzbox technisch gesehen immer online ist und der Provider den Zugang über die MAC Adresse der Fritzbox freigibt, daher gäbe es keine andere Möglichkeit zur Fritzbox....
Daher habe ich da die Tage viel gelesen und die Sache mit dem ExposedHost erschien mir vernünftig?
LG

@Omadaner
Was nutzt du für VPN?
L2TP oder OpenVPN?
Kann man über Omada auch WireGuard nutzen?
LG

Wireguard ist aktuell nicht direkt im Omada-SDN verfügbar. Ich nutze aber WireGuard auf einem nachgelagerten Client in einem virtualisierten Container unter Proxmox. Den Port gab ich natürlich in Omada frei und nutze auch das dortige DynDNS. Diese Art der Nutzung schon seit langer Zeit, auch längst vor dem Schwenk zu TP-Link.

Zusätzlich und quasi als Backup oder Alternative nutze ich omadaseitig OpenVPN-Server. Ist einfach mit wenigen Klicks zu erstellen. Lediglich an einer Stelle muss man aufpassen, wenn man eine dynamische IP hat. Der Einrichtungsdialog setzt nämlich in die Config-Datei für den Client NICHT den DynDNS-Namen ein, sondern die aktuelle externe IP, die ja kaum ewig gleich ist.

Ziemlich dumm vom System - wo es doch "weiß", dass DynDNS aktiv ist, aber so schlau scheinen die Entwickler nicht zu sein. Man muss also nachträglich die *.ovpn Datei editieren.

Hier ein Beispiel (rot der fehlerhaft erstellte Eintrag und grün der selbst geänderte):

Wunderbar, das klappt ja recht einfach
Was ich nicht ganz verstehe, wofür ist die IP-Adresse beim Eintrag IP-Pool?
Hab da dreimal was anderes probiert, hat aber irgendwie keinerlei Auswirkungen?

DDNS finde ich bei Omada etwas "schwach", das da nur NO-IP und DynDNS nutzbar ist.
Da muss ich mich wohl von meinem langen treuen "selfhost" DDNS verabschieden
Hast du bei NO-IP die free Version?

IP-Pool Adressen sind für die VPN-Clients, es sollte ein anderer IP-Bereich sein, als Dein DHCP-Server selbst in Deinem Netz vergibt. Die "Brücke" von diesem IP-Pool zu Deinen eigenen IPs baut dann die VPN-Software. Hast Du also für Dein LAN (mal VLANs unberücksichtigt) einen IP-Adressbereich mit dem Muster 192.168.1.1/24 dann könnte als IP-Pool eingetragen werden 10.10.1.1/24, also ungleich Deinem LAN!

Selfhost kenne ich und habe dort auch eine Einmalzahlung für erleichterte Nutzung vor Jahren geleistet. Richtig ist wohl leider, dass es keinen anderen Client gibt, als in der Fritzbox selbst. Leider ist mir auch keine Softwarelösung bekannt. Ich selbst hatte selfhost als favorisierten zuverlässigen geschmeidigen DynDNS-Dienst, musste aber schwenken, weil mir eben keine Software für Windows/Linux bekannt ist, die ich auf einer meiner virtuellen Proxmox-Instanzen mit laufen lassen könnte. Ob ein DynDNS-Dienst von innen oder schon vom Router erbracht wird, spielt ja keine Rolle.
Ich hatte bei der Firma in Döbeln bei Leipzig auch mal ein Ticket eröffnet, ob sie selbst eine Softwarelösung für sich kennen und empfehlen. Leider ohne Antwort und meine eigene Suche brachte auch nur zweifelhafte Ergebnisse.

Ja, ich habe noIP als Freeware und auch die maximale Anzahl von 3 Subdomänen ausgeschöpft. Läuft zuverlässig und die monatliche Bestätigung, dass ich noch da bin, kommt per E-Mail-Erinnerung und dauert <10sec.

Klappt denn Dein VPN schon?
Hast Du Deine Fritzbox schon in die DMZ gestellt, also als ExposedHost konfiguriert?
Benötigst Du selbst Portfreigaben und hast diese hinterlegt (WireGuard, Bitwarden, NGINX-ReverseProxy....)?

Aktuell ist das Omada System ja so gesehen im Testbetrieb oder Testphase
Im Vordergrund läuft alles wie gehabt über die Fritzbox und den R605 Router habe ich als ExposeHost freigegeben.
Ich denke wenn die Fritzbox alles was sie nicht kennt an den R605 weiter reicht ist eigentlich eh nicht falsch.

Dezeit läuft eigentlich alles schon ganz gut, zumindest aus meiner Sicht
OpenVPN läuft, DynDNS per NO-Ip klappt,...

Portfreigaben wird noch ein Thema werden, würde gerne meine NAS als eigenen Cloudspeicher nutzen, Webcam in der Garageneinfahrt sollte auch über Omada klappen, usw...

Gestern Abend bin ich aber vorerst auf ein anderes Problem gestoßen, was erstmal gelöst werden müsste.
Bei der Fritzbox gibt es die Möglichkeit bestimmte Geräte (sei es per LAN oder WLan) einer Gruppe zuzuweisen und für diese Gruppe kann man zeitlich den Internetzugriff beschränken.
Hab also z.B. die Gruppe "Kind" und diese Gruppe darf Mo-Fr nur von 15-18 Uhr ins Internet.
Dieser Gruppe habe ich alle Geräte des Sohnemannes zugewiesen, also Laptop, Smartphone, PS4,...
Das klappt wunderbar so.

Scheinbar kann Omada sowas nicht, oder ist dir was bekannt?
Hab nur die Möglichkeit gefunden einen kompletten AP Zeitlich zu deaktivieren oder aktivieren.

Wenn das wirklich so ist, wäre das so gut wie das Ende von Omada für mich.
Abgesehen das das alle bisherigen Fritzboxen können, konnte das sogar mein alter 50,- Euro Asus ADSL Router.
Ich hoffe das kloppt doch irgendwie und ich hab das nur nicht gefunden?

Schau Dir mal unter Profile die Möglichkeiten an. Dort gibt es nicht nur Möglichkeiten bezüglich der Datengeschwindigkeit (Rate Limit), sondern auch auf Basis von Zeiten (Time Range).
Ggf. müsstest Du dann den relevanten Clients dieses Profil zuweisen oder - wenn es ganz heftig auch bezüglich Firewall werden soll - in ein VLAN (quasi eigenes Netz im Netz) stecken.

Die Time Range "Funktion" habe ich schon gefunden, da hatte ich noch Hoffnung
Die erstellte "Time Range" kann man aber nur komplett einem AP zuweisen und zu den Konfigurierten Zeiten schaltet sich dann der komplette AP ein oder aus.
Ich will ja aber nicht den kompletten AP ausschalten, andere Geräte sollen ja nach wie vor WLan nutzen können.
Hab nichts anderes Gefunden, wie diese Time Range anderweitig verwendet werden könnte oder direkt einem Gerät zugewiesen werden kann?

Was die Funktion "Gruppe" darstellen kann verstehe ich überhaupt nicht?
Wenn ich eine neue Gruppe erstelle, müsste ich ein IP Subnet eingeben, da bin ich dann wiedermal überfragt, welche IP das sein soll?

Hab heute mit dem TP-Link Support gechattet.
Ich bin mir nicht ganz sicher, ob auch verstanden wurde was ich gerne machen würde, aber sieht tatsächlich so aus, als ob Omada keine Möglicheit hat irgendeine Beschränkung auf per LAN-Kabel verbundene Geräte zu machen
Hab dann nochmal an den deutschen Support geschrieben, vielleicht kommt da noch was.
Keine Beschränkungen wäre echt das aus für mein Omada Projekt.
Eine Internetbeschränkung benötige ich zu 100%
LG

Guten Morgen
Ich hoffe ihr zwei macht hier schön weiter mit eurem Austausch.
Bin aktuell auch am überlegen Unifi und Omada. Die wlan „Scheiben“ schrecken mich noch ein bisschen ab, da is Unifi wesentlich schlichter.

@Omadaner
Wieso ist ein "echter" OCx00 Controller angenehmer?
Würde den eigentlich auf nem Windows Rechner mitlaufen lassen , der als Musik Server dient

Gruß
Bad Taste

na toll, haben wir also einen blinden Passagier an Bord, eine "Böse Taste"
persönlich schreckt mich die Bauform absolut nicht ab - im Gegenteil, ich feiere sie, denn die Deckenmontage ist absolut genial, trifft quasi gut ins Ziel und wird nicht durch am Boden stehende Sofas, Schränke oder Einbauten wie Bäder, Küchenzeilen, Kühlschränke oder andere große Schirmflächen (Spiegeltürschränke, TVs, ...) ausgebremst. Die LED ist abschaltbar, aber zeigt auch - hier läuft anspruchsvolle Netzwerktechnik.

Ich hatte seinerzeit einen Unifi-Teller hier und da hielt ich den Leuchtring sogar für aufdringlicher und so viel kleiner waren die Abmessungen m. E. auch nicht. Kann man ja nachprüfen, wenn man die gleiche Leistungsklasse vergleicht.

Ich hatte eine Virtualisierung am Laufen. Allerdings mache ich auch von meinem Proxmox regelmäßig Backups, nicht nur von den virtuellen Instanzen, sondern auch vom eigentlichen Systemdatenträger. Der Controller wäre dann unten. Außerdem nervte mich dieses Java-Geraffel und alles war extrem zäh, ebenso bot man mit in der Omada-GUI so kein zyklisches Backup der Netzkonfiguration an. Dazu kam seinerzeit die Log4j-Lücke und das automatische Updates nicht funktionieren. Ich will aber Lösungen, die einfach sind, keine Zeit kosten und funktionieren und natürlich auch ggf. supportet werden.

weitere Gründe bei mir:
- PowerOverEthernetSwitch steht genau daneben (Controller kann aber auch mit normalen Handyladenetzteil betrieben werden - MicroUSB)
- einfach USB-Stick einstecken und zyklisches Backup läuft
- Anschaffungskosten waren jetzt nicht so dramatisch

Wenn man natürlich nur mal testen will oder auch die GUIs jedes Gerätes reichen, weil man die IP kennt und jedes Gerät seinen Zugang hat, dann geht es auch völlig ohne. Die einzelnen GUIs sind in der Tat wesentlich besser als das, was ein Controller dann zentral daraus macht.
Ich meine, bei maximal 2-3 Geräten, besser keinen Controller zu nutzen.

@Bad Taste
Habe letzten Samstag und Sonntag extrem Wifi Testing gemacht
Ein Bekannter hat sein komplettes Unifi System am Freitag verkauft, er wechstelt echt zurück zur Fritzbox mit 2x AP, kein Scherz
Netterweise hat er mir das nicht gesagt, sonst hätte ich vielleicht auch auf Unifi umgeschwenkt, aber egal, ist schon passiert
Da der Käufer das System erst Montag Abend abgeholt hat, konnte ich damit einen 1x AP AC Lite und einen Wifi6 (da wies ich jetzt die Bezeichnung nicht mehr) testen.
Hab das ganze Wochenende also die 2 Unifi AP, einen EAP225 und einen EAP610 sowie den Fritzbox 1750e an verschiedensten Positionen positioniert und zu diversen positionen die Signalstärke und Übertragungsqualität gemessen.
Alles in Allem ist meine Erfahrung, das die Unifi AP allgemein minimal stabielere Übertragungsrate bieten. An 2 Positionen war der EAP225 aber merkwürdigerweise einiges stärker. Der Fritz1750e lag immer knapp dran.
Wenn man aber Preis/Leistung betrachtet, sind die EAP die absoluten Gewinnner, da führt daran nichts vorbei
Vielleicht als Hilfe

Optisch ist immer Geschmackssache, würde da keinen großen Unterschied der TP-Link oder Unifi Wifi6 APs sehen, mir gefällt aber sogar der EAP245 oder eben EAP225 gar nicht schlecht.
Optik ist in meinen Augen sehr relativ, daher verstehe ich auch nciht, warum man sehr oft liest "nimm einen Unifi AP, die sind so wertig und schön,...." An erster Stelle soll das Ding funktionieren

Ansonsten glaube ich, das mein Omada Projekt leider versterben wird
Liegt an der fehlenden Möglichkeit bestimmte Geräte einfach zeitlich zu beschränken.
Laut TP-Link support ist das nicht vorgesehen. Der R605 kann das wohl als eigener Router, nicht aber mit Omada SDN integration.
Angeblich sie das als Business funktion nicht benötigt.
Das bezweifle ich zwar
Ich kenne zwei Hotels wo das auch genau so gehandhabt wird, nutzen aber beide ein Fortinet System.
Also ganz so abwegig finde ich diese Funktion nicht.
Und wenn es der R605 eh schon kann, stellt sich mir die Frage, warum das über Omada nicht klappt
Jedenfalls ist die Möglichkeit für mich Geräte im LAN, z.B. die Playstation meines Sohnes zeitlich zu beschränken ein absolutes muss und so sehe ich das Omada SDN etwas kritisch an
LG

@Omadaner
Ich bin gestern erst wieder auf den Thread gestoßen und hab mich sofort geoutet. Also nicht s mit blinder Passagier

@lukass2000
Da hast du schon recht, Optik kommt erst nach guter Funktionalität.
Zeitliche Beschränkung bräuchte ich zwar aktuell nicht, aber schaden würde es nicht.
Wie du sagst, kann ich mir auch Business Bereiche vorstellen , in denen das gewünscht wäre.

Versteh ja nicht wieso die ihre eigenen Geräte in der Omada Software beschneiden.
Was macht den das für nen Sinn , das sie mit ihrer Geräte gui mehr können???

danke euch zwei