OPNsense Forum

Hallo zusammen,

für unsere Firma habe eine OPNSense Appliance im 19" Zoll Format gebaut, eine Intel Server-Netzwerkkarte bei 2 SFP Einschüben installiert und bei der Telekom dieses Modul erworben.
https://geschaeftskunden.telekom.de/internet-dsl/produkt/digitalisierungsbox-glasfasermodem-kaufen
Soweit so gut, Modul wird erkannt und kann adressiert werden. Aktuell ist am Glasfaseranschluss noch ein Glasfasermodem. Ich würdoe gern über dieses GPON Modul online gehen. Wie die Einwahl funktioniert (PPPoE, VLAN 7, Zugangsnummer, Anschlusskennung etc.) ist bekannt.
Soweit ich gelesen habe, muss ich "nur" auf dem Modul die PLOAM/SLID/Installationskennung eintragen.
Und hier genau hier ist mein Problem.
Trotz Anleitung https://github.com/xvzf/zyxel-gpon-sfp komme ich nicht auf das Modul.
SSH geht nicht. Es heißt, falsches Passwort.

Wer hat damit Erfahrung und kann mir weiterhelfen?

Ich glaube, die Password-Frage habe ich mir selbst beantwortet.
Schaut mal auf der github-Seite nach wird das Thema mit dem nicht funktionierenden Passwort diskutiert. Ich probiere das morgen aus und bei Erfolg markiere ich den Thread als gelöst.

In dem Thread gibt es zwei mögliche Lösungen:

1. Es wird ein neues Admin-Passwort genannt (9dsxsqcq6t), das für neuere Versionen gilt. Früher war es admin oder 1234.
2. Man kann sich ins Webinterface als guest/guest einloggen und danach mit einer speziellen URL das Admin-Passwort setzen.

Am Rande: Wenn Du auch bei aktiver Verbindung auf den ONT drauf willst, mach outbound NAT auf 10.10.1.0/24 und weise dem WAN-Interface eine IP aus dem Range zu. Der ONT hat nämlich keine Route und kann deswegen nicht zurück in Dein LAN.

Ansonsten hat bei mir die Anleitung funktioniert. Sowie man S/N und PLOAM richtig hat, funktioniert's meistens.

Vorsicht mit der 2.5 GBit-Einstellung: Die würde auf einer DEC 7x0 / 27x0 vermutlich nicht funktionieren, weil die beiden SFP+-Slots nur gemeinsam umgeschaltet werden können. Ich habe in einem Slot ein 10 GBit DAC Kabel drin und im anderen den Telekom ONT.

Hast du das Teil am Laufen? Ich weiß z.B. nicht, wie ich das Modul konfigurieren muss um auf das Webinterface zu kommen. Wenn ich die SSH-Befehle absetze, endet das darin, dass ich nicht mehr auf den WebGui der Opnsense zugreifen kann. Mein Modell ist aus Sommer 2023. Ich hab das mit dem neueren Passwort leider noch nicht probieren können.

Hatte ich, habe inzwischen aber die DEC750 verkauft. Meins war die alte Firmware mit dem alten Passwort, da ging das alles ganz einfach.

Kommst Du per SSH drauf? Wie gesagt, notwendig ist dazu normalerweise eine NAT-Regel, weil keine Route gesetzt ist. Wenn die Passworteingabe klappt, kannst Du ja aller Parameter auch per SSH setzen.

Die Weboberfläche ist da eher beschränkt - ich weiß aber nicht, ob die bei neuerer Firmware bzw. ohne ONT-Status O5 überhaupt aktiv ist.

Ich verwende aber inzwischen einen normalen Ethernet-ONT, der aber 2.5 GBit kann (ZTE F6005). Das ist mit den SFP-GPONs auch möglich, nur kann fast kein SFP+-Slot auch HSGMII. Und ich will 2.5 GBit/s, damit die 940 Mbps Beschränkung nicht mehr greift. Dadurch habe ich bei meinem ISP jetzt 1100 MBps.

Ich komme bis zum SSH-Login, aber keines der Passwörter funktioniert. Ich würde ja gerne die vorgeschlagene Methode zum Passwort-Reset anwenden wollen https://github.com/xvzf/zyxel-gpon-sfp/issues/6 (https://github.com/xvzf/zyxel-gpon-sfp/issues/6) aber scheinbar bin ich einfach zu doof, die OPNSense so zu konfigurieren, dass ich auf das Webinterface des Zyxel Moduls zugreifen kann :(
Ich hab das mit der NAT Regel versucht, aber ich vermute mal, das ist nicht korrekt.

Der Hntergrund ist , warum ich das Zyxel Modul einsetzen will, dass ich damit das Glasfasermodem, das einen extra 230V Anschluss braucht, überflüssig mache. Wir haben hier öfters Stromausfälle. Die OPNsense hängt an der USV, das Modem ist im Hausanschlussraum. Ich dachte, die 25 Meter überbrücke ich einfach mit dem "Glasfaser-Patchkabel" (im PE Rohr durch die Zwischendecke verlegt), Zyxel GPON in den SFP rein und fertig.

Die NAT-Regel ist fehlerhaft, weil die NAT-Adresse nicht Dein OpnSense WAN-Interface, sondern die Ziel-IP des ONT ist. Außerdem, falls WAN Dein pppoe-Interface ist, wäre auch das falsch.

Die Interface-Hierarchie bei Deiner Variante PPPoE über VLAN 7 ist normalerweise so:

ONT (Physisches Interface, z.B. ax0) mit 10.10.1.2/24 -> VLAN7 (z.B. ax0_vlan7, ohne IP) -> WAN (pppoe0 mit Credentials).

Mich wundert allerdings, dass Du per SSH draufkommst und per HTTP nicht. Vermutlich liegt es daran, dass WAN aktuell nicht pppoe0 ist und dass Du SSH von der OpnSense selbst machst, während Du HTTP vom LAN aus versuchst.

Das solltest Du erstmal glattziehen. Und dann: Warum so kompliziert? Die Netzwerke und IPs stehen als Aliase im Dropdown der NAT-Regel zur Verfügung, die sollte man auch nutzen. Sieht dann so aus wie im Anhang.

Und zum Thema SFP-Modul vs. externer ONT: Wenn Du sowieso ein Glasfaserkabel legst, kannst Du das Modem ja auch neben Deine OpnSense stellen und auch per USV versorgen.

Da merkt man wieder, dass ich OPNSense-Anfänger bin... Ich muss gestehen, ich bekomme die SSH-Verbindung mir von der OPNSense aus hin, heißt, ich logge mich per SSH auf den Sense ein, und mach dein ein SSH auf das ONT. Ich zieh das so glatt wie von dir beschrieben.
Außerdem denke ich zu kompliziert. Mit dem bereits verlegten Glasfaserkabel, kann ich ja das Glasfasermodem vom Hausanschlussraum in meinen "Datenschrank" patchen hab die 230V Stromversorgung und die USV und geh einfach mit einem kurz RJ45 Patchkabel drauf. Fertig.

Hey, ich habe vermutlich das gleiche Problem, aber hab leider nicht die alternative das Glasfasermodem zu nutzen.

Ich bekomme jetzt nach einigen Jahren Wartezeit einen Glasfaseranschluss von DNS:NET (XGS-PON). Mitgeliefert wurde eine Fritz-Box, die leider keinen Bridge-Mode mehr hat und die ich auch nicht nutzen will. Ein separates Modem gibt es nicht (wie es eigentlich bei den Info-Veranstaltungen angekündigt wurde), sondern es läuft alles über einen XGS-PON/GPON Transceiver in der Fritz-Box.

Als alternative hatte ich mir jetzt den XGS-ONU-25-20NI von fs.com rausgesucht, der exakt den Anforderungen/Spezifikationen des Netzes von DNS:NET entspricht. Das Problem ist jetzt die Einrichtung in OPNSense inkl. Telnet-Zugriff auf den Transceiver (Falls DNS:NET ggf. die Seriennummer/MAC braucht).

Habt ihr da Tipps wie ich vorgehen muss? Ich bin leider kein OPNSense/NAT/VLAN Experte.

Generell hab ich schon versucht alles ca. so einzustellen, aktuell geht die 10.10.1.2 aber immer auf OPNSense (Hab ich da noch was anderes falsch eingestellt?).

Es ist auch gut möglich, dass ich da eine andere IP nutzen muss. Laut fs.com Doku ist die Standard-IP für das Modul 192.168.100.1. Der Support hat mir noch abweichend 192.168.1.10 genannt, ich habe aber bis jetzt nichts davon hinbekommen. (Ist auch beides ungünstig, weil 192.168.1.0 mein LAN-Netz ist und auf 192.168.100.1 das Vodafone Modem läuft, wo ich auch ohne Outbound NAT raufkomme)

Die Seriennummer herauszubekommen ist nicht das Problem, die steht ggf. drauf, sieht man auch schon auf der Abbildung von FS. Ist eher die Frage, wie viele Hürden DNS:NET Dir in den Weg legt, diese Seriennummer auch bei sich einzutragen. Dass man die S/N ggf. ändern kann, sollte der Dokumentation von FS zu entnehmen sein bzw. dem hier (https://hack-gpon.org/xgs/ont-fs-XGS-ONU-25-20NI/) (scheint jedenfalls so). Die IP ist übrigens auch laut Hack GPON 192.168.100.1.

Es gibt auch XGS-PON Alternativen bei hack-gpon.org, auch externe ONTs (z.B: Huawei, Nokia und ZTE). Der Abbildung von FS entnehme ich einen riesigen Kühlkörper an dem Modul, dass Böses erahnen lässt... wobei die externen ONT auch mittels 10 GbE angebunden werden müssen, die auch ziemlich warm werden. Der Tatsache, dass Du ein SFP+-Modul herausgesucht hast, entnehme ich, dass Dein Router einen SFP+-Slot hat.

Es wäre übrigens vorab von Vorteil, die Fritzbox mal testweise in Betrieb zu nehmen, um anderweitige Probleme auszuschließen. Man hat schon Pferde kotzen sehen.

Die Seriennummer bei DNS:NET zu hinterlegen sollte hoffentlich keine Problem werden, eigentlich bewerben sie schon recht offen, dass jedes eigene GPON Glasfasermodem mit PPPoE Router genutzt werden kann.

Mein Router ist aktuell so konfiguriert:
AMD Ryzen 7 3800X
24GB Samsung ECC-RAM
Intel X520-DA1 - 82599EN (von 10Gtek®, hier ist das SFP+ Modul schon drin und wird auch erkannt)
Intel X710-DA4
Intel E1G42ET - 82576

Kühlung sollte auch kein zu großes Problem werden, habe eine ganze Menge Lüfter verbaut und die Netzwerkkarten bekommen den Großteil davon ab.

Ja die Fritzbox lasse ich dran bis da das 1. mal erfolgreich Internet läuft (steht so auch in der Einrichtungsanleitung von DNS:NET, da das Gerät vorbereitet ist und bei Aktivierung des Anschlusses den Vertrag automatisch aktiviert).

Hack GPON ist auf jedenfall eine coole Seite, die werde ich mir nochmal genauer anschauen. Da du da ja schon die IP 192.168.100.1 rausgesucht hast: Was wäre denn der einfachste Weg darauf Zugriff zu bekommen. Aktuell kollidiert es bei mir im Netz ja etwas mit dem Vodafone Router/Modem welcher sich irgendwie automatisch schon die 192.168.100.1 schnappt.

Achso und die Seriennummer vom Modul ist dann wirklich auch die, die an DNS:NET geschickt wird? Dann könnte ich mir die Arbeit vllt. wirklich sparen und müsste nur das PPPoE einrichten (Also wenn DNS:NET die Seriennummer dann wirklich auf Anfrage ohne Probleme hinterlegt)

Okay habe jetzt nochmal mit FS gesprochen und es ist wohl sicher die richtige Seriennummer. Ich habe jetzt mal nach einer Anleitung in OPNSense PPPoE vorbereitet. Mal sehen wie es dann am Freitag läuft.

Hängt davon ab, was DNS:NET will, kann ggf. auch zusätzlich noch das PLOAM-Passwort sein, aber auch das kann man ändern, genau wie die Management-IP.

Die internen Lüfter helfen bei einem von außen angesteckten Modul nur bedingt, bei Deiner Konstellation ist das aber kein Problem. Normalerweise ist es schwierig, wenn in einem Switch oder Router mehrere SFP+-Slots nebeneinander sind und sich die Module gegenseitig aufheizen.

Quote from: tall1oN on April 15, 2024, 08:50:17 PM
Achso und die Seriennummer vom Modul ist dann wirklich auch die, die an DNS:NET geschickt wird? Dann könnte ich mir die Arbeit vllt. wirklich sparen und müsste nur das PPPoE einrichten (Also wenn DNS:NET die Seriennummer dann wirklich auf Anfrage ohne Probleme hinterlegt)

Ich selber benutze bei DNS:NET ein modifiziertes Huawei MA5671A Modul, bei dem ich nur die Modem-ID: AVMG XXXX XXXX eingetragen habe die auf der Rückseite meiner mitgelieferten Fritzbox 5530 stand. DNS:NET fragt demnach nur die ID ab. Leider habe ich keine Erfahrung damit, ob neue Seriennummern/ID´s anstandslos provisioniert werden. Ich habe mich dagegen entschieden, da meistens nur eine ID im System hinterlegt werden kann und ich bei Problemen oder im Falle eines Supports einfach wieder das originale/mitgelieferte Modul+Fritzbox anschließen kann.

Andere Frage, muss man denn zwangsweise ein XGS-PON Modul verwenden oder kann man mit einem normalen SFP+ GPON und HSGMII die volle Bandbreite herausholen? Bin der Meinung mal was gelesen zu haben das GPON und XGS-PON zusammen auf einer Faser sein können aber nur in der Kombination GPON ONT an einem XGS-GPON OLT. Wenn dem tatsächlich so ist, wäre ich ja bis einem 2,5Gbit Tarif auf der sicheren Seite.
Das mit dem HSGMII sollte z.B. mit einer HP 530SFP+ funktionieren. Die Ports werden unabhängig behandelt und 2,5Gbit auf dem einem und ein 10Gbit DAC auf dem anderen Port sollen wohl kein Problem sein.

P.S.: Ich hätte übrigens noch ein paar modifizierte Huawei Module hier auf meinem Tisch liegen  :P
Einfach PN an mich  ;D

Ja, meistens können die XGS-OLTs zumindest theoretisch wohl beide Verfahren.

HSGMII ist leider bei vielen SFP+-Slots ein Problem, weil es meist nicht unterstützt wird. Gilt z.B. für die DEC 750 und auch für Intel X520, die HP kenne ich nicht, allerdings haben HP und Dell oft Intel-Chips verbaut.

Gerade, wenn man den Speed im ONT nur statisch setzen kann, ist das problematisch, weil dann kein Rücksetzen in diesem Slot mehr möglich ist (been there - done that).

Da ist ein echtes XGS-ONT einfacher zu handhaben, da es dann eben wirklich die nativen 10 Gbit macht - allerdings auch teurer.

Die von mir inzwischen bevorzugte Variante gegenüber SFP-GPONs ist ein externer ONT mit 2.5 GBps, der läuft dann mit vielen billigen China-Routern mit I225/I226 Anschlüssen. Wenn der Tarif nicht mehr als 2.5 GBps hat, ist das sowieso gut von wegen Stromverbrauch und Kosten. Außerdem hilft es auch bei 1 GBps, weil damit die Limitierung auf 940 Mbps durch den Protokoll-Overhead umgangen wird, wobei die meisten ISPs eh überprovisionieren. Deswegen schaffe ich z.B. 1.1 Gbps an einem GPON-Anschluss (siehe Signatur).

P.S.: Ich verwende auch immer die selbe S/N, aus den selben Gründen wie Du.

Quote from: meyergru on April 17, 2024, 11:53:48 PM
Ja, meistens können die XGS-OLTs zumindest theoretisch wohl beide Verfahren.

HSGMII ist leider bei vielen SFP+-Slots ein Problem, weil es meist nicht unterstützt wird. Gilt z.B. für die DEC 750 und auch für Intel X520, die HP kenne ich nicht, allerdings haben HP und Dell oft Intel-Chips verbaut.

Gerade, wenn man den Speed im ONT nur statisch setzen kann, ist das problematisch, weil dann kein Rücksetzen in diesem Slot mehr möglich ist (been there - done that).

Da ist ein echtes XGS-ONT einfacher zu handhaben, da es dann eben wirklich die nativen 10 Gbit macht - allerdings auch teurer.

Die von mir inzwischen bevorzugte Variante gegenüber SFP-GPONs ist ein externer ONT mit 2.5 GBps, der läuft dann mit vielen billigen China-Routern mit I225/I226 Anschlüssen. Wenn der Tarif nicht mehr als 2.5 GBps hat, ist das sowieso gut von wegen Stromverbrauch und Kosten. Außerdem hilft es auch bei 1 GBps, weil damit die Limitierung auf 940 Mbps durch den Protokoll-Overhead umgangen wird, wobei die meisten ISPs eh überprovisionieren. Deswegen schaffe ich z.B. 1.1 Gbps an einem GPON-Anschluss (siehe Signatur).

P.S.: Ich verwende auch immer die selbe S/N, aus den selben Gründen wie Du.

Wenn Du jetzt von einem externem ONT mit 2.5GBps sprichst, um was für ein Teil genau handelt es sich da? Dieses hier? --> https://hack-gpon.org/ont-zte-f6005/

Die HP-Karte hat übrigens einen Broadcom-Chip.
https://hack-gpon.org/broadcom-57810s/

Siehe Signatur: ja, es ist ein ZTE F6005.

Ich habe dazu übrigens eine Quelle aus Italien, da solche Dinger nicht so einfach zu beschaffen sind, zumindest nicht mit "offener Firmware". Was viele nicht wissen: Hack GPON wird überwiegend von ein paar Italienern betrieben. Dort ist man mit Glasfaser viel weiter als bei uns - dort werden z.B. 2.5 GBps-Tarife per GPON-Technik wirklich offiziell angeboten (und günstiger als Gigabit hier).

Die Jungs sind sub-zero: Zwei haben sich privat OLTs gekauft und flashen damit ONTs mit offener Firmware. Die haben auch Erfahrungen mit anderen Modellen. Beispielsweise raten sie vom externen Luleey ab, weil die Firmware noch unreif ist (funktioniert angeblich nicht bei Anschlüssen ohne VLAN).

Inzwischen gibt es auch in Deutschland Provider, die vernünftige Hardware anbieten: Clevernet bietet einen 2.5 Gbps Genexis Fibertwist (habe ich nirgends direkt bekommen) und die Telekom aktuell das "Glasfasermodem 2", das übrigens dies hier (https://hack-gpon.org/ont-sercomm-fg1000b-11/) ist. Letzteres wäre aktuell mein Go-To, da "offen" zu sein scheint, gut verfügbar und billig ist.

Es wird oft behauptet, dass die externen ONTs wegen des zusätzlichen Netzteils mehr verbrauchen, das dürfte sich aber in Grenzen halten. Ein weiterer Vorteil ist, dass man damit eben einen Fallback bei einem Ausfall hat.

Ich habe tatsächlich die Möglichkeit einen Genexis FiberTwist-G2110C zu testen.
Wenn der funzt, kann ich dem Bekannten das Teil abkaufen. Er will irgendwas um die 30€ haben.
Und jaaa...schwer zu kriegen die Teile.
Dann werd ich meine Installation vielleicht wohl auch nochmal überdenken weil der FiberTwist ja auch direkt auf meinen DNS:NET Anschluß passt. Er wurde halt nur nicht benutzt weil ich mit einem Patchkabel direkt in das SFP-Modul gegangen bin. Ich bin gespannt und werde mich nochmal melden.

Ich habe trotz direktem Kontakt zu Genexis Deutschland kein Exemplar bekommen können. Ich weiß auch nicht, ob die Geräte jeweils "offen" sind.

Hack GPON beschreibt z.T. Versionen, die sie selbst mit der OLT-Methode gehackt haben, während provider-spezifische zugenagelt sind. Kauft man z.B. ein ZTE F6005 von Ebay direkt aus Italien, sind das Provider-Versionen. Ob das Telekom Glasfasermodem 2 offen ist, weiß ich auch nicht. Bei der SFP-Variante scheinen neuere Versionen jetzt geänderte Passworte zu haben.

Anders als die SFP-GPONs kommt man bei externen ONTs meist an die serielle Schnittstelle heran, was helfen kann, aber nicht muss. Wenn man auf die Änderung der S/N verzichten kann, ist das natürlich egal.

Quote from: meyergru on April 13, 2024, 02:09:11 PM
Die NAT-Regel ist fehlerhaft, weil die NAT-Adresse nicht Dein OpnSense WAN-Interface, sondern die Ziel-IP des ONT ist. Außerdem, falls WAN Dein pppoe-Interface ist, wäre auch das falsch.

Die Interface-Hierarchie bei Deiner Variante PPPoE über VLAN 7 ist normalerweise so:

ONT (Physisches Interface, z.B. ax0) mit 10.10.1.2/24 -> VLAN7 (z.B. ax0_vlan7, ohne IP) -> WAN (pppoe0 mit Credentials).

Mich wundert allerdings, dass Du per SSH draufkommst und per HTTP nicht. Vermutlich liegt es daran, dass WAN aktuell nicht pppoe0 ist und dass Du SSH von der OpnSense selbst machst, während Du HTTP vom LAN aus versuchst.

Das solltest Du erstmal glattziehen. Und dann: Warum so kompliziert? Die Netzwerke und IPs stehen als Aliase im Dropdown der NAT-Regel zur Verfügung, die sollte man auch nutzen. Sieht dann so aus wie im Anhang.

Und zum Thema SFP-Modul vs. externer ONT: Wenn Du sowieso ein Glasfaserkabel legst, kannst Du das Modem ja auch neben Deine OpnSense stellen und auch per USV versorgen.

Feedback an dieser Stelle: herzlichen Dank. Mit deiner Anleitung bin ich auf das Web-Interface des Moduls gekommen und auch per SSH vom Client aus... mit den "Standard-Passwörtern" (admin/admin) bzw. admin/1234.
Darauf hin hab ich bei der Telekom Geschäftskunden Technik-Hotline angerufen und den Wunsch geäußert, dass ich das GPON ONT in Betrieb nehmen möchte... Alles, was der nette Herr an der Hotline von mir wissen wollte, war die Modem ID, die auf dem ONT steht. 5 Minuten später war ich mit der OPNSense und über das SFP-Modul online. Eine Modifikation der Daten auf dem Modul war nicht notwendig. Sicherlich habe ich etwas im Vorfeld falsch verstanden. Ergebnis: 500Mbit Down, 100 MBit Up, so wie bestellt.

Als Fallback-Option hab ich noch die Variante verprobt, das Glasfaser-Modem über das bereits gelegt Glasfaserkabel in den Datenschrank zu bringen. Aufgrund der unterschiedlichen Stecker-Typen ging dieser Plan aber nicht auf

Quote from: wagman77 on April 29, 2024, 09:57:14 PM

Als Fallback-Option hab ich noch die Variante verprobt, das Glasfaser-Modem über das bereits gelegt Glasfaserkabel in den Datenschrank zu bringen. Aufgrund der unterschiedlichen Stecker-Typen ging dieser Plan aber nicht auf

Unpassende Stecker sollten kein Problem darstellen. Habe das Thema LWL-Patchleitungen auf Grund zu erwartendem eigenen Bedarf etwas beleuchtet. Solche Leitungen sind mit unterschiedlichen Steckern teilweise bis zu 30 Metern zu bekommen. Und die kosten kein Vermögen.

Hey, wollte auch noch mal ein Update zu meiner Situation bringen. Ich hatte den Freitag DNS:NET angerufen und die Seriennummer weitergegeben, allerdings hatten sie es nicht mehr geschafft diese zu hinterlegen. Ich hab mich dann am Wochenende entschieden, einfach die Seriennummer vom Fritz-Box Modul auf den XGS-ONU-25-20NI zu hinterlegen, was auch perfekt geklappt hat. Wichtige Info dazu: Der XGS-ONU-25-20NI ist nur erreichbar wenn er an einer aktiven Glasfaser hängt, sonst ist die Management-IP nicht erreichbar (hat leider viel länger als nötig gedauert das rauszufinden).

Witzigerweise hat DNS:NET es bis jetzt immer noch nicht geschafft, die Seriennummer zu hinterlegen. Ich hab noch mal angerufen und mir wurde nur gesagt dass es eventuell Kompatibilitätsprobleme gibt, da man ja nicht mit einem SFP-Modul ins Internet kann ;D. Mir ist das jetzt erstmal egal, da ich mir das ja selber eingestellt habe und erstmal alles funktioniert.

Ich hab dann noch ein bisschen mit den Tunables rumgespielt, bis ich diesen schönen Speedtest (siehe Anhang) geschafft hab.

Nochmal danke für die Hilfe.

Interessant. Das Ergebnis sieht nach GPON, nicht nach XGS-PON aus, bzw. wäre auch damit erzielbar.

Hast Du mal geguckt, ob das Modul mit GPON oder XGS-PON connected? Wenn man eh keinen höheren Tarif hat, wäre bei Rückwärtskompatibilität auf Kundenseite ja gar keine XGS-PON Hardware notwendig. GPON ist billiger und verbraucht vermutlich weniger.

P.S.: Dass die Module meist nur mit aktiver Glasfaser erreichbar sind, ist normal/bekannt.

Quote from: meyergru on May 01, 2024, 09:40:51 AM
P.S.: Dass die Module meist nur mit aktiver Glasfaser erreichbar sind, ist normal/bekannt.

War mir leider nicht klar, ist wie gesagt das erste mal, dass ich mit Glasfaser WAN zu tun habe und weder der FS.com Support noch die Anleitung zum Modul hat das erwähnt.

Quote from: meyergru on May 01, 2024, 09:40:51 AM
Interessant. Das Ergebnis sieht nach GPON, nicht nach XGS-PON aus, bzw. wäre auch damit erzielbar.

Hast Du mal geguckt, ob das Modul mit GPON oder XGS-PON connected? Wenn man eh keinen höheren Tarif hat, wäre bei Rückwärtskompatibilität auf Kundenseite ja gar keine XGS-PON Hardware notwendig. GPON ist billiger und verbraucht vermutlich weniger.

Bin mir leider unsicher wie ich das über das Modul rausfinden könnte. In OPNSense wird jedenfalls "Line Rate 10.00 Gbit/s" und "10Gbase-LR" angezeigt. In der Installationsanleitung von DNS:NET steht jedenfalls auch klar,  dass es sich ab dem 2,5 Gbit/s Tarif um XGS-PON handelt und die Tarife bis 1 Gbit/s GPON nutzen.

Du kannst doch auf den ONT zugreifen, sonst hättest Du die S/N nicht ändern können. Normalerweise per SSH, meist auch per Web-GUI.

Normalerweise gibt es dort eine Seite, die über den Status der Glasfaserverbindung Auskunft gibt, da müsste das draus hervorgehen.

P.S.: Um den ONT auch während des Betriebs zugänglich zu machen, brauchst Du eine IP auf dem WAN-Interface, also bei PPPoE auf dem physischen Parent, bzw. ohne VLAN mit DHCP eine VIP. Die muss aus dem Subnet der Default-IP des ONT sein (für 192.168.1.1 z.B. 192.168.1.2). Da die Back-Route normalerweise nicht gesetzt ist, muss man eine outbound NAT-Regel für den Zugriff auf das Subnetz (im Beispiel 192.168.1.0/24) einrichten, damit alle Zugriffe mit der Absenderadresse 192.168.1.2 erscheinen.

Quote from: meyergru on May 01, 2024, 10:40:25 AM
Du kannst doch auf den ONT zugreifen, sonst hättest Du die S/N nicht ändern können. Normalerweise per SSH, meist auch per Web-GUI.

Normalerweise gibt es dort eine Seite, die über den Status der Glasfaserverbindung Auskunft gibt, da müsste das draus hervorgehen.

P.S.: Um den ONT auch während des Betriebs zugänglich zu machen, brauchst Du eine IP auf dem WAN-Interface, also bei PPPoE auf dem physischen Parent, bzw. ohne VLAN mit DHCP eine VIP. Die muss aus dem Subnet der Default-IP des ONT sein (für 192.168.1.1 z.B. 192.168.1.2). Da die Back-Route normalerweise nicht gesetzt ist, muss man eine outbound NAT-Regel für den Zugriff auf das Subnetz (im Beispiel 192.168.1.0/24) einrichten, damit alle Zugriffe mit der Absenderadresse 192.168.1.2 erscheinen.

Das Ding ist wahrscheinlich leider nicht so nutzerfreundlich wie andere Geräte auf dem Markt. Ich hab dir mal ein paar Screenshots in den Anhang gepackt mit Infos die ich gefunden hab. Die Doku (https://resource.fs.com/mall/doc/20231013115510av3loa.pdf (https://resource.fs.com/mall/doc/20231013115510av3loa.pdf)) ist leider auch echt schrott.

Ahja, das Ding hat tatsächlich kein Web-UI. Es gibt noch ein paar mehr minishell-Befehle: https://hack-gpon.org/xgs/ont-fs-XGS-ONU-25-20NI-cli/ (man muss unten den Eintrag aufklappen).

Z.B.: /traffic/pon/hw/show oder /traffic/pon/ca/show

Ich hatte das "Telekom Glasfasermodem" (= Zyxel PMG3000-D20B ) hier im Einsatz mit einer opnsense 24 und mit einer Broadcom 57810S basierten Netzwerkkarte (HP 530SFP+).

Achtung, das Modul ist nicht 100% SFP Standard konform, dadurch wird es nicht an allen Karten erkannt, bzw aktiv geschaltet. Es gibt die Möglichkeit eine winzige Löt-Brücke auf der Karte zu setzen damit das GPON immer Strom kriegt.

Kurzer Erfahrungsbericht:
Es lief, allerdings kam ich im besten Fall auf 910Mbit (Protokoll-Overhead limitiert das ganze).
PPPoE mit VLAN 7 bei Telekom, Zugangsdaten rein und los gings. Bis dahin ziemlich harmlos.

Aber:
Anfangs kam ich per SSH auf das Teil über die 10.10.1.1 - allerdings war das bei _identischer_ Konfiguration irgendwann nichtmals mehr mit ping möglich anzusprechen. Die Internetverbindung an für sich lief.
Es hat auch keinen Unterschied gemacht ob Glasfaser gesteckt war oder nicht - tatsächlich klappte es vorher auch ohne Verbindung zum OLT per SSH auf das Modul zu kommen. Auch mit anderem Betriebssystem (Ubuntu) bin ich nicht mehr drauf gekommen. Ziel war ursprünglich mal das Modul auf 2.5Gbit am SFP Port zu schalten (nie gemacht).

Schlussendlich ging das Teil zurück. Kein opnsense spezifisches Problem also, aber für alle die auf diesen Thread stoßen zumindest mal ein Hinweis.

Empfehlung:
Ich bin inzwischen auf ein Huawei MA5671A umgestiegen, der bei meiner opnsense mit 2.5Gbit am SFP Port schafft ohne dass ich am GPON was geändert hätte - am Zyxel wäre das nötig gewesen. Dank Überprovisionierung seitens Telekom kommen am Ende sogar fast 1.1Gbit dabei rum.
Egal welcher GPON, für die 2.5Gbit nativ braucht es gepatchte Treiber für die Netzwerkkarte und Änderungen an der Firmware Konfig der Karte. Ob hier der "Löt"-Hack nötig ist weiß ich nicht, da mein SFP+ Port bereits diese Modifikation hatte.