Messages

Es läuft 👌

Habe zwar bis zum Schluss keinen Zugriff vom Client auf den ONT gehabt (trotz mehrfacher Überprüfung der NAT-Regel) allerdings ging es über die Opnsense-Shell. Danke euch :)

Scheinbar braucht man wohl auch nichtmal mehr Zugangsdaten für den PPPoE-Zugang. Habe dort nur "Test" eingetragen und damit läuft es... Oder meine Fantasie-Zugangsdaten wurden während der Konfiguration vom OLT übernommen.

Das die Sfp-Modems schwer einzurichten sind kann ich so nicht bestätigen. Eingesteckt - läuft (zumindest hardwareseitig) Allerdings habe ich auch den Intel-codierten geordert. Ich denke das die Vendor-ID die einzige wirkliche Hürde ist. Und da der SFP-Standard aus der Industrie und nicht dem Consumer-Bereich kommt, kocht eben jeder sein eigenes Süppchen. Möglicherweise ist der X533 aber auch großzügiger was das angeht, who knows.

Ja, das Modul wird warm, aber der Energieverbrauch hält sich absolut gesehen in Grenzen. Laut FS unter 2 Watt - das sollte weniger als bei einem externen ONT sein. Das Problem ist eher der kompakte Formfaktor, und wenn dann nebendran noch zwei 10g-RJ45 Heizgeräte stecken raucht das vermutlich ab. Auf lange Sicht werde ich aber im Verteiler noch für etwas Belüftung sorgen, dann hab ich da keine Bedenken.

Abschließend nochmals Danke euch 👍

Das mit der Registrierseite scheint auch relativ neu zu sein. Der Techniker hat im Prinzip nur die GF-TA gesetzt und eine "Glasfaser-ID" hinterlassen. Über diese ID kommt man dann auf die Registrierseite der Telekom und kann die Modem-ID eintragen.
Die Maske lässt sowohl 12- als auch 16-stellige IDs zu. Auf dem FS-Modul ist aber eine 11-stellige S/N aufgedruckt. Ein Buchstabe gefolgt von 10 Ziffern (z.B. A0123456789). Ist dann der Buchstabe in Hex umzuwandeln und die anderen Ziffern unverändert einzutragen? Dann würde zumindest eine 12-stellige ID rauskommen. Oder sollte ich lieber gleich den gesamten ASCII/Hex-Mischmasch in 16-stelligen Hex umwandeln? Aber woher weiß was an der Nummer dann Hex ist und was ASCII...?

Die Outbound-NAT-Regel habe ich ja schon eingerichtet, aber vermutlich ist mir da ein Fehler unterlaufen, das gucke ich mir daheim noch Mal an. Ich glaube ich habe als Quelle den WAN-Port angegeben und nicht das LAN-Netzwerk.

Danke auch für den Tipp mit dem SSH-Key. Allerdings verstehe ich nicht warum man auf einem aktuellen/neu verkauften ONT mit veralteten Key-Algorithmen arbeitet. Naja was soll's...
Habe bisher immer von der Windows-Konsole versucht zuzugreifen, die hat eine Shell integriert. Das funktioniert zu OpnSense auch ganz gut. Dann sollte das auch ohne PUTTY gehen oder?

Die Einschränkungen mit der LAN-Brücke sind mir bekannt, allerdings nur soweit dass eben der Ressourcenverbrauch relativ hoch ist und daher die Performance leiden kann. Sollte aber mit dem 8-Kern Atom kein Problem sein, zudem ist bei mir kein extremer Traffic zu erwarten. Ein zusätzlicher Switch wäre bei mir äußert ungeschickt, da der Rechner in einem Unterputz-Medienverteiler steckt und es da schon relativ eng her geht. Thermisch wäre das grenzwertig, außerdem müsste ich Kabel ziehen und darauf hab ich vorerst keine Lust. Oder gibt es da noch mehr Probleme?

Hallo zusammen,

habe den Schritt gewagt und bin im Zuge eines ISP-Wechsels zur Telekom nun auf Opnsense umgestiegen. Das Setup funktioniert ganz grundsätzlich zumindest lokal auch, die WAN-Verbindung macht mir aber noch etwas Kopfschmerzen.

            :
      .-----+-----.
      |  SFP-ONT  | Modem: 192.168.1.10 (DHCP->?)
      '-----+-----'
            |
        WAN | IP(PPPoE)
            |
      .-----+------.
      | OPNsense+  | WAN-Port: 192.168.1.1/24 (DHCP-Server)
      | LAN Bridge | LAN-Bridge: 192.168.2.1/24 (DHCP Server)
      '-----+------' 
            |
        LAN | 192.168.2.1 (DHCP)
            |
            |
    ...-----+------... (Clients/Servers)

Bei der Hardware handelt es sich um einen AliExpress-PC (vermute Qotom) mit Intel-Atom C3000 CPU, 32Gb Ram, 4xSfp + 4x RJ45. Das ONT in Form eines Sfp-Moduls ist das halbwegs bekannte FS.com GPON mit MAC.
OpnSense läuft direkt ohne VM auf der Hardware. Interfaces:

ix0 - ix3 -> Sfp+-ports
igc0- igc3 -> RJ45-ports

Da ich kein Netzwerkprofi bin, habe ich versucht alles erstmal etwas einfacher zu halten und nur die Einstellungen verändert/konfiguriert, die ich verstehe oder notwendig sind.

Dazu gehört:
Interfaces zugeordnet
ix0 -> WAN
ix1-ix3+igc0-igc3 -> opt1-7 -> bridge -> LAN

VLAN7 + VLAN99 -> parent ix0
(für den Telekom-GF-Anschluss - PPPoe fehlt noch, ist mir bewusst - dazu später mehr)

Lan-Brücke und physischem WAN-port statische IPv4 zugewiesen, DHCP ein
SSH-Access für den root-Account erlaubt
Outbound-NAT auf das physische WAN-Interface angewendet
Intel QAT aktiviert

Ein paar tunables verändert (wie im Guide für Lan-Brücke Beschrieben)

Das sollte es schon gewesen sein.

Nachdem der GF-Anschluss gestern wohl freigeschaltet wurde, wollte ich zuerst die S/N des ONTs bei der Telekom registrieren lassen - dazu bekommt man einen Link, bei der man das selbst ohne Telefonkontakt erledigen kann - allerdings gibt die Maske im Eingabefenster das Format vor und dort passt die S/N des FS-ONTs nicht hinein. Also gut, dann eben die S/N im ONT ändern, sollte bei diesem Modul ja per SSH problemlos möglich sein.
Leider aber bekomme ich das nicht hin.
Das ONT lässt sich problemlos anpingen, bei versuchtem SSH Zugriff über die Opnsense-Shell bekomme ich jedoch den Fehler dass der SSH-Handshake aufgrund inkompatibler Keys nicht ausgehandelt werden kann (?), bei direktem SSH-Zugriff über einen Client bekomme ich gar keine Antwort.

Ich habe schon gelesen, dass das wohl daran liegen kann, dass der Zugriff nur möglich ist wenn das ONT aktiv ist. Aber wann ist es denn aktiv? Wenn das Modul eingesteckt ist? Oder die Faser angeschlossen ist? Oder erst wenn der WAN-Zugang funktioniert?
Mir stellt sich auch die Frage ob das ONT einen DHCP-Server stellt oder ob die IP einfach nur statisch ist. Im ersten Fall wäre natürlich ein IP-Adresskonflikt möglich - Pingen geht ja aber...

Abgesehen davon dass die Konfig für den WAN-Anschluss noch nicht abschließend möglich ist - habe keine Zugangsdaten für die PPPoE-Einwahl - wäre mein Ziel jetzt also erstmal, eine zuverlässige SSH-Verbindung zum ONT herzustellen.

Wer hat einen heißen Tipp?