DNS-net Glasfaser und OPNsense VM

[tom3]

Hallo,
Ich habe aktuell eine opnsense vm auf meinem NAS laufen mit einer 10 gbit SFP Netzwerkarte für LAN die an einem Mikrotik Switch mit 4x sfp angeschlossen ist und 1x rj45 für WAN wo ein Draytek vdsl Modem dran hängt das ganze funktioniert auch wunderbar aktuell.

Demnächst kriege ich aber einen Glasfaser Anschluss von DNS-Net mit der Fritzbox die ich nicht nutzen will.

Wenn ich das richtig verstehe ist in der Fritzbox ein SFP modul , kann ich das einfach in meinem Mikrotik Switch stecken und dem Port z.b. Vlan 22 zuweissen und bei OPNsense die Wan Schnittstelle auf den Lan port mit Vlan22 setzen ?

Oder sollte ich noch einen extra medienkonverter nehmen um wieder auf den rj45 port zu gehen, geht da jeder der sfp unterstüzt ?

MfG
Ramiro

 

[riversource]

Wenn ich das richtig verstehe ist in der Fritzbox ein SFP modul , kann ich das einfach in meinem Mikrotik Switch stecken und dem Port z.b. Vlan 22 zuweissen und bei OPNsense die Wan Schnittstelle auf den Lan port mit Vlan22 setzen ?

Nein, die AVM SFP Module funktionieren nur in den Fritzboxen, da die Intelligenz in der Box sitzt und nicht im Modul.

Oder sollte ich noch einen extra medienkonverter nehmen um wieder auf den rj45 port zu gehen, geht da jeder der sfp unterstüzt ?

Auch das wird schwierig, wenn dns:net GPON nutzt. Denn dann muss dein Modem im Netz zugelassen werden, und die Frage ist, welche Modems bzw. ONTs dns:net reinlässt, und wie. Denn neben den technischen Voraussetzungen muss es auch einen Prozess dafür geben.

Wie dem auch sei, ganz wichtig ist, dass du den Anschluss mit dem Original ONT von dns:net in Betrieb nimmst. Denn wenn irgendwas nicht funktioniert und du nicht deren ONT dran hast, dann werden sie jeden Service Fall ablehnen. Erst nach erfolgreicher Inbetriebnahme kannst du schauen, ob du deren ONT durch was anderes ersetzt bekommst.

Fazit: Finde heraus, welche Technologie bei dns:net zum Einsatz kommt. AON? GPON? XGS-PON? Wenn es was mit PON ist, dann wird es ungleich schwieriger. Bei AON wird es vermutlich klappen.

Ergänzung (6. April 2023)

Wenn ich das richtig verstehe ist in der Fritzbox ein SFP modul , kann ich das einfach in meinem Mikrotik Switch stecken und dem Port z.b. Vlan 22 zuweissen und bei OPNsense die Wan Schnittstelle auf den Lan port mit Vlan22 setzen ?

Übrigens musst du zwingend verhindern, dass mehr als ein Gerät am ONT auftaucht. Die meisten Glasfaseranbieter sperren mehr als ein Gerät. Wenn da ein Switch vorm Router ist, musst du zwangsläufig durch VLANs dafür sorgen, dass der WAN Verkehr sauber vom LAN getrennt wird.

 

[Pilatesjünger]

Siehe Dnsnet Homepage:

"
G. ONT-Aktivierungsprozess (Registrierung und Aktivierung)
Zum Zeitpunkt der Erstellung dieses Dokuments verwendet das Netz der DNS:NET die Seriennummer des ONTs für
die OLT-Registrierung (ITU-T G.988). Der automatisierte Dienstbereitstellungsprozess verwendet die bereitgestellte
ONT-ID, die während des Registrierungsprozesses erworben wird. Dazu ist bei einem Wechsel der Hardware des
ONT ein Austauschverfahren des ONT durch die DNS:NET einzuleiten, für das ein Wechselverfahren eingeleitet
werden muss. Das ONT muss folgende Authentifizierungsverfahren unterstützen:

• Authentifizierung anhand Seriennummer,
• Authentifizierung anhand Passwort,
• Authentifizierung anhand Seriennummer und Passwort.

Derzeit wird innerhalb von DNS:NET nur die Seriennummer-Authentifizierung verwendet.
Um einen bestimmten ONT-Typ (Modell) korrekt zu identifizieren, verwendet das Netz der DNS:NET das Attribut
„Equipment ID“ (ITU G.984.4, ITU G.988).
Das Attribut „Equipment ID“ ist ein 20-Byte-Feld, welches die folgenden alphanumerischen Zeichen und
Sonderzeichen beinhaltet:

• 0 - 9
• aA - zZ
• ~!@#$%^&()-_=+[{]}\|;<>?

Die Koexistenz von GPON- und XGSPON-ONTs im Netz der DNS:NET ist einer der Gründe für dieses Attribut. Der
Parameter muss vom ONT in dem Registrierungsverfahren gesetzt werden."

 

[spcqike]

Übrigens musst du zwingend verhindern, dass mehr als ein Gerät am ONT auftaucht. Die meisten Glasfaseranbieter sperren mehr als ein Gerät. Wenn da ein Switch vorm Router ist, musst du zwangsläufig durch VLANs dafür sorgen, dass der WAN Verkehr sauber vom LAN getrennt wird.

sowas hab ich mit meinem VF Kabelanschluss versucht. die VF Station im Bridge-Mode als Modem, VLAN am Switch und dann weiter zum Server. lief aber nicht. Kann es sein, dass in dem Fall sowohl die MAC vom Switch als auch die vom Server auftaucht? (bzw, in meinem Fall sogar die MAC beider Switche, da eingehender Switch und ausgebender Switch 2 verschiedene sind, der WAN Traffic läuft aber durchängig in seinem VLAN)

Da ich meine Fritz!Box für das Telefon so oder so brauchte, hab ich sie doch einfach dazwischen gehängt und meiner eigentliche Firewall als exposed Host in der FB konfiguriert. ähnliches könnte OP auch machen. hat man zwar einen Hop mehr bis ins WWW und theoretisch doppeltes NAT, aber das ist mir noch nicht negativ aufgefallen.

 

[riversource]

Kann es sein, dass in dem Fall sowohl die MAC vom Switch als auch die vom Server auftaucht?

Wenn das Managed switches sind, die eine IP anfordern, z.B. per DHCP, dann kann das passieren. Man muss natürlich dafür sorgen, dass das nicht auf dem WAN Interface passiert.

Da ich meine Fritz!Box für das Telefon so oder so brauchte, hab ich sie doch einfach dazwischen gehängt und meiner eigentliche Firewall als exposed Host in der FB konfiguriert.

Gut, das ist eine Lösung. Eine Fritzbox für Telefonie bekommt aber meistens auch hinter einem anderen Router hin.

 

[tom3]

Das heisst also wenn ich das richtig verstehe das ich auf jedenfall ein anderes Modul brauche was auch die richtigen Protokolle unterstuetzt.
Frage mich nur wie das mit VLANs funktioniert bei Telekom VDSL liegt ja Internet immer auf VLAN7 wie ist das bei Glasfaser mit GPON modul was ja auch teilweise ein eigenes Managment hat ?

 

[riversource]

Das Glasfasermodem legt den Internet-Datenstrom ja untagged auf dein Interface. Da solltest du im Switch einfach mit port-based VLANs arbeiten und den Datenstrom gezielt zum WAN Port des Routers leiten. Der LAN Port des Routers geht dann zum Switch zurück in die Gruppe mit all den anderen Ports - oder macht tagged VLANs mit mehreren IDs, wenn du z.B. noch Gast-Netz, IOT oder ähnliches separieren willst.