Messages

Ich habe tatsächlich die Möglichkeit einen Genexis FiberTwist-G2110C zu testen.
Wenn der funzt, kann ich dem Bekannten das Teil abkaufen. Er will irgendwas um die 30€ haben.
Und jaaa...schwer zu kriegen die Teile.
Dann werd ich meine Installation vielleicht wohl auch nochmal überdenken weil der FiberTwist ja auch direkt auf meinen DNS:NET Anschluß passt. Er wurde halt nur nicht benutzt weil ich mit einem Patchkabel direkt in das SFP-Modul gegangen bin. Ich bin gespannt und werde mich nochmal melden.

Ja, meistens können die XGS-OLTs zumindest theoretisch wohl beide Verfahren.

HSGMII ist leider bei vielen SFP+-Slots ein Problem, weil es meist nicht unterstützt wird. Gilt z.B. für die DEC 750 und auch für Intel X520, die HP kenne ich nicht, allerdings haben HP und Dell oft Intel-Chips verbaut.

Gerade, wenn man den Speed im ONT nur statisch setzen kann, ist das problematisch, weil dann kein Rücksetzen in diesem Slot mehr möglich ist (been there - done that).

Da ist ein echtes XGS-ONT einfacher zu handhaben, da es dann eben wirklich die nativen 10 Gbit macht - allerdings auch teurer.

Die von mir inzwischen bevorzugte Variante gegenüber SFP-GPONs ist ein externer ONT mit 2.5 GBps, der läuft dann mit vielen billigen China-Routern mit I225/I226 Anschlüssen. Wenn der Tarif nicht mehr als 2.5 GBps hat, ist das sowieso gut von wegen Stromverbrauch und Kosten. Außerdem hilft es auch bei 1 GBps, weil damit die Limitierung auf 940 Mbps durch den Protokoll-Overhead umgangen wird, wobei die meisten ISPs eh überprovisionieren. Deswegen schaffe ich z.B. 1.1 Gbps an einem GPON-Anschluss (siehe Signatur).

P.S.: Ich verwende auch immer die selbe S/N, aus den selben Gründen wie Du.

Wenn Du jetzt von einem externem ONT mit 2.5GBps sprichst, um was für ein Teil genau handelt es sich da? Dieses hier? --> https://hack-gpon.org/ont-zte-f6005/

Die HP-Karte hat übrigens einen Broadcom-Chip.
https://hack-gpon.org/broadcom-57810s/

Achso und die Seriennummer vom Modul ist dann wirklich auch die, die an DNS:NET geschickt wird? Dann könnte ich mir die Arbeit vllt. wirklich sparen und müsste nur das PPPoE einrichten (Also wenn DNS:NET die Seriennummer dann wirklich auf Anfrage ohne Probleme hinterlegt)

Ich selber benutze bei DNS:NET ein modifiziertes Huawei MA5671A Modul, bei dem ich nur die Modem-ID: AVMG XXXX XXXX eingetragen habe die auf der Rückseite meiner mitgelieferten Fritzbox 5530 stand. DNS:NET fragt demnach nur die ID ab. Leider habe ich keine Erfahrung damit, ob neue Seriennummern/ID´s anstandslos provisioniert werden. Ich habe mich dagegen entschieden, da meistens nur eine ID im System hinterlegt werden kann und ich bei Problemen oder im Falle eines Supports einfach wieder das originale/mitgelieferte Modul+Fritzbox anschließen kann.

Andere Frage, muss man denn zwangsweise ein XGS-PON Modul verwenden oder kann man mit einem normalen SFP+ GPON und HSGMII die volle Bandbreite herausholen? Bin der Meinung mal was gelesen zu haben das GPON und XGS-PON zusammen auf einer Faser sein können aber nur in der Kombination GPON ONT an einem XGS-GPON OLT. Wenn dem tatsächlich so ist, wäre ich ja bis einem 2,5Gbit Tarif auf der sicheren Seite.
Das mit dem HSGMII sollte z.B. mit einer HP 530SFP+ funktionieren. Die Ports werden unabhängig behandelt und 2,5Gbit auf dem einem und ein 10Gbit DAC auf dem anderen Port sollen wohl kein Problem sein.

P.S.: Ich hätte übrigens noch ein paar modifizierte Huawei Module hier auf meinem Tisch liegen  :P
Einfach PN an mich  ;D

[Frage:]

Du musst alle VLANs doppelt anlegen und dazu für jedes VLAN eine Bridge, um die Verbindung an zwei Ports bereitzustellen. Eventuell bist du mit einem kleinen Switch besser bedient.

Vielen Dank für die rasche Antwort, das mit dem Bridgen hab ich tatsächlich auch schon angefangen auszuprobieren und hänge noch etwas fest.
Zum Thema kleinere Switche kann ich sagen, das ich bis vor Kurzem 2x D-Link DGS-1510-20
hatte aber der Erste dann ziemlich schnell belegt war. Aktuell sind 18 Ports belegt. Da ich einen SAT-IP Server im Netzwerk habe, hat jedes Zimmer mit Glotze auch 2 LAN Anschlüsse bekommen. Beim Switch im Neubau sieht es noch nicht ganz so schlimm aus weil Arbeitszimmer, Gästezimmer und Hausanschlussräume im Altbau sind und auch die Überwachungskameras am ersten Switch hängen.
Die AP´s hängen übrigens jeweils an einem PoE++ Injector von Zyxel.
Hätte ich Nachteile wenn ich das VLAN durchreiche zum zweiten Switch und den zweiten AP dort anschließe?
Dachte nur so läuft kein zusätzlicher Traffic über meine 10G Uplinkleitung zum zweiten Switch.
Ein 2.5G Transceiver SFP+ -> RJ45 kostet ja auch um die 50€.

Frage:
- Muss ich nach Anlegen der VLANS und Zuweisen der Schnittstellen, diese auch aktivieren?
- Wenn ich die Schnittstellen aktivieren muss, was kommt bei "IPv4 Konfigurationstyp" rein?
Fakt ist, ich kann im Menü "Bridgen" auch Schnittstellen auswählen, die nicht aktiviert wurden.

In meinem Fall ist Schnittstelle - ix1: 10G Verbindung zum ersten Switch
                                             - r0: 2.5G NIC für Wifi AP Altbau
                                             - r1: 2.5G NIC für Wifi AP Neubau

DHCP für alle VLANS habe ich für Schnittstelle ix1 eingerichtet.

[Fragen:]

Hallo liebe OPNsense Gemeinde. Ich würde gerne 2 WLAN AP´s integrieren.
Ich hatte nun dafür eine 2.5G Dual NIC für die OPNsense besorgt.
Beide AP´s hätten die gleichen SSIDS und VLANS. Es gibt noch 2 alte CAT7 Kabel bis zum Aufstellort der AP´s und deswegen hatte ich diese Lösung angestrebt. OPNsense und der erste Switch sind bei den Eltern im Altbau.
Der zweite Switch ist bei mir im Neubau. Der Aufstellort für den zweiten AP im Neubau wäre in der Nähe vom zweiten Switch und würde evtl auch einen alternativen Aufbau erlauben.
Fragen:
- Ist denn mein Vorhaben das Sinnvollste oder soll der zweite AP an den zweiten Switch?
- Muss ich bei meiner Lösung für jede 2.5G Schnittstelle in der OPNsense zu den AP´s auch alle VLANs "doppelt" anlegen mit den dementsprechenden Parent-Schnittstellen? Mit einem AP und einer Schnittstelle funktioniert es wunderbar und auch die IP-Vergabe über die DHCPs klappt. Wie füge ich nun den zweiten AP an der anderen 2.5G Schnittstelle hinzu. Da komme ich gerade nicht weiter. Wenn ihr andere Vorschläge zum Aufbau/Anschluss der AP´s habt, bin ich gerne offen für Vorschläge.

     WAN / Internet
         :
              : Huawei GPON in Intel X520-DA2
              :
      .-----+-----.   >---- 2.5G (15m CAT7 Altbau) ---- WLAN AP Netgear WAX630 (6 SSIDS mit 6 VLANs)
      |OPNsense|  Realtek Dual NIC
      '-----+-----'   >---- 2.5G (45m CAT7 Neubau) ---- WLAN AP Netgear WAX630 (6 SSIDS mit 6 VLANs)
              |
              | Intel X520-DA2
              | 10G DAC Uplink SFP+
      .-----+-----------.
      |Switch (Altbau)| Aruba 1930 24G (4xSFP+)
      '-----+-----------'
              +---  Clients via 1G LAN in den entsprechenden VLANs
              |
              |
              |10G Optical Uplink SFP+
      .-----+-----------.
      | Switch (Neubau) | Aruba 1930 24G (4xSFP+)
      '-----+-----------'
             +---  Clients via 1G LAN in den entsprechenden VLANs

Gute Nachrichten, der Anruf beim Support hat wirklich etwas bewirkt und ich bekomme jetzt dynamische / öffentliche IPv4 Adressen zugewiesen die mir auch im Dashboard angezeigt werden.  :D
Auch die Performance zu den Hetzner-Servern ist irgendwie besser geworden.
Also ich bin total begeistert und vielen Dank für die Tipps, auf dieser Basis kann ich nun aufbauen und mein Projekt weiter umsetzen.

Hat dein Anbieter kein IPv6? Damit kämst Du ohne Tricks von außen in dein Netzwerk. Öffentliche IPv4-Adressen werden bei Privatkunden-Anschlüssen zunehmend seltener.

Tatsächlich läuft das nur mit IPv4. Auf IPv6 Adressen im Internet zugreifen ist kein Problem aber anders herum geht das nicht. Habe gerade diesbezüglich noch ein Telefonat mit dem technischen Support gehabt.
Es gibt wohl eine kostenfreie Möglichkeit eine "öffentliche IP" zu aktivieren wurde mir gesagt.
Hab es jetzt mal aktivieren lassen und werde heute Abend mal damit testen: https://ipv6-test.com
Würde ja gerne sofort mal die OPNsense checken aber ich hatte ja gestern die Schnittstelle zum DSL-Modem deaktiviert  ;D Dann eben halt nach der Arbeit  :P

"Allow all" Regeln werden auf dem LAN-Interface beim initialen Setup eigentlich automatisch erstellt. Keine Ahnung, warum die bei dir fehlen. Nur bei zusätzlichen Interfaces (optX) müssen diese manuell erstellt werden.
Die ausgehende Regel benötigst Du nicht, das ist by default immer erlaubt.

Für die Outbound-NAT-Regel kannst Du alle Standardeinstellungen beibehalten, nur das Interface musst Du auf ix0 stellen.

Das mit den Firewallregeln könnte daran liegen, dass die Einrichtung mit dem OnboardLAN als LAN Interface eingerichtet wurde. Da nun aber meine DAC-Kabel angekommen sind, kann ich direkt von der Intel X-520 mit den 10Gbit in den Switch gehen. Das hab ich tatsächlich nicht mehr auf dem Schirm gehabt und das System hat ja noch kein Glaskugel-Plugin um das plötzliche Wechseln der LAN Schnittstelle zu erkennen  ;D

Das was mich gerade noch am meisten ärgert, ist das zusätzliche NAT von DNS:NET.
Da muss ich mir noch was einfallen lassen für Teamspeak, Minecraft und Mailserver.
Ohne einen ständig offenen Tunnel nach draußen, komme ich nicht vom Internet aus ins Heimnetz bzw Services sind nicht erreichbar.
Das bedeutet natürlich auch Performanceverlust durch längere Laufzeiten über Cloudflare usw. Eine direkte Verbindung mit Wireguard und dynDNS wie in der Vergangenheit wirds dann nicht mehr geben  :-[ außer man bucht die Static IP für nen 10er zusätzlich im Monat  >:(

[- Glasfaseranschluß von DNS:NET funktioniert nun mit eigenem GPON Modul an der OPNsense]

Ggfs. auch mal "Ferner Gateway" aktivieren, da deine WAN-Adresse eine /32 ist. Bei PPP sollte das eigentlich nicht notwendig sein, aber wer weiß. Ein ganz grundsätzliches Problem scheinst Du ja nicht zu haben, der PPPoE-Verbindungsaufbau klappt offensichtlich. Da dein ISP 100.64.0.0/10 verwendet kann es auch erforderlich sein, "block private networks" auf dem WAN-Interface zu deaktivieren.

Um das Management-Interface des SFPs erreichbar zu machen, assignst Du einfach ix0 und konfigurierst es statisch mit z. B. 192.168.1.9/30. Outbound-NAT brauchst Du wahrscheinlich auch.

Der Tip das Blockieren der privaten Netzwerke zu deaktivieren war super.  ;)
Zusätzlich habe ich noch das Gateway auf Upstream und Ferner gesetzt.
Zum Schluß musste ich noch eine Firewallregel für LAN_ix1 erstellen, bei der ich alles erlaube.
Ohne eine Firewallregel ging es nicht. War mir so auch noch nicht bewusst.
Aber was das betrifft, muss ich mich noch einarbeiten.
Das mit dem Outbound-NAT weiß ich nicht ob ich das auf Anhieb hinkriege. Dort sind aktuell nur automatische Regeln aktiviert und bei manuellen Regeln werde ich förmlich erschlagen mit Einstellmöglichkeiten  :o Nur mit der Zuweisung von ix0 und statischer IP, hat es eben nicht funktioniert.
Da muss ich nochmal schauen wie ich das am dümmsten mache.
Für 4 Tage mit OPNsense ist dieser Fortschritt aber gerade echt super.


Aktueller Stand:

- letzte Änderungen + unter WAN wurde Private Netze blockieren deaktiviert
                             + unter WAN Gateway wurde Ferner und Upstream aktiviert
                             + Firewallrule für LAN Interface wurde erstellt (vorerst eine, die alles erlaubt)

- Glasfaseranschluß von DNS:NET funktioniert nun mit eigenem GPON Modul an der OPNsense

Das Interface war noch aktiviert weil ich es tatsächlich an meine VDSL-Fritzbox angeschlossen hatte um von unterwegs via Wireguard noch etwas "spielen" zu können. Jetzt wo ich wieder daheim bin, ist die Schnittstelle deaktiviert und nur noch das Gateway vom WAN in der Liste.   

Aktueller Stand:

- auch mit nur einem Gateway keine Verbindung zum Internet

Hallo liebe Community, ich versuche seit einigen Tagen den Glasfaseranschluss an einem OPNsense Router zum Laufen zu bringen aber schaffe es nicht. Ich bin Neuling was OPNsense betrifft und tippe mal auf einen kleinen Konfigurations oder Denkfehler.
Mit der Fritzbox 5530 inkl. FritzGPON läuft der Anschluß wunderbar.
Ich möchte mir aber die zusätzliche Fritzbox im Netzwerk sparen und habe mir deshalb die Huawei Module aus Italien besorgt und diese gerootet bzw. mit anderer Firmware geflasht.

Der aktuelle Aufbau sieht so aus:

      WAN / Internet
            : CGNAT mit 100.1XX.XXX.XXX Gateway
            : PPPoE via vlan37
            : GPON Huawei MA5671A (FS Modded Firmware)
            : Das Huawei GPON Modul steckt ein einer unlocked Intel X520-DA2
      .-----+-----.
      |  OPNsense  |
      '-----+-----'
            |
        LAN | 10.10.10.1/24
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (Clients)


Aktueller Stand:
- Das Huawei Modul mit der geclonten Fritzbox Modem-ID verbindet sich mit dem DNS:NET Gateway
- Verbindung wird nach genau 24h unterbrochen und wieder neu aufgebaut
- mir wird vom ISP eine private IP aus dem CGNAT Bereich zugewiesen 100.1XX.XXX.XXX
- ich kann nicht über das LAN-Netzwerk ins Internet bzw. das Gateway vom ISP anpingen

Es gibt keine Firewall Rules bisher und viele andere Einstellungen sind automatisch erzeugt.
Haber außer den Schnittstellen, PPPoE, VLAN, DHCP nichts weiter geändert



Ein nächster Punkt wäre noch das Verfügbarmachen des Moduls über seine eigene IP-Adresse: 192.168.1.10.

Wenn noch zusätzlich Daten benötigt werden um mir zu helfen, werde ich die gerne umgehend bereitstellen.