Messages

Das war nach dem Upgrade auf Version 25.1, davor war nichts sichtbar.
Habe leider keinen Screenshot gemacht, aber kann es recht einfach beschreiben. Unter Interfaces/Assignments ist die pflog-Schnittstelle im Reiter "Assign a new Interface" neben den normalen anderen Netzwerkschnittstellen aufgetaucht. Das war eben der Grund warum ich stutzig geworden bin, kannte ich so nicht.
EDIT: In dem Reiter war die Schnittstelle ohne Namen als -() nicht als (-) aufgeführt, sorry. Die Klammern sind leer wegen der fehlenden MAC, das ist klar, aber warum fehlte sogar der Namen? Das war ja das komische. Erst als ich die Schnittstelle hinzugefügt hatte, konnte ich am identifier erkennen, dass es sich um die pflog-Schnittstelle handelte. Kannst du eventuell noch etwas zu dem Eintrag Promiscuos-
Listeners etwas sagen? Hast du eventuell einen Screenshot deiner Sense, wie es normalerweise aussehen sollte - nur zum Vergleich?

Das "Problem"(Die Sense lief die ganze Zeit trotzdem problemlos) war nach der besagten Neuinstallation auch wieder weg. Mir ist lediglich aufgefallen dass es bei jedem Neustart recht lange gedauert hat, bis die WAN-Schnittstelle initialisiert war. Nachdem bei mir zahlreiche Geräte angefangen haben ein Eigenleben zu entwickeln bin ich natürlich erstmal misstrauisch geworden...
Gehört eigentlich nicht hier her, aber habe die Sense auch schon unter Proxmox laufen gehabt, und das unterliegende Debian legt immer automatisch einen Tap an, und seit dem läuft das Geraffel auch nur noch baremetal wie ich mir es wünsche. Bin mir nicht sicher ob das normal ist, aber wie gesagt, gehört nicht hier her.

Ganz einfach,

Ok, dann ist das natürlich erstmal erklärt.
Habe neu installiert weil ich mich mangels Erfahrung mit der OPNsense noch nicht so gut auskenne und IT generell nicht mein Gebiet ist. Die Konfiguration ist auch nicht so wild dass das neuinstallieren besonders aufwendig wäre.
Auch das mit dem Promiscuos-Mode ist so korrekt?
Bleibt nur die Frage, warum wurde mir die Schnitstelle plötzlich zum Assignment angeboten, war das ein Bug?

Hallo,

Habe mir unter System/Overview schon vor einiger Zeit die Beschreibung der pflog-Schnittstelle genauer angeschaut, und stehe vor einem Rätsel. kanns mir jedenfalls nicht erklären... Bin darauf gekommen, nachdem mir die enc- und die pflog-Schnittstelle unter assignments als (-) zum hinzufügen angezeigt wurde, was ich so nicht kannte. Habe mir zunächst nichts dabei gedacht, allerdings behebt selbst eine Neuinstallation nicht das Problem, egal mit welcher Opnsense-Version. Ich habe im Haushalt einen Xerox-Netzwerkdrucker mit WLAN-Anbindung stehen, der aber momentan gar nicht mit dem Netzwerk verbunden und die meiste Zeit sogar ausgeschaltet ist.
Kann jemand nachvollziehen was hier passiert sein könnte?

Grüße,
J.L.

Es läuft 👌

Habe zwar bis zum Schluss keinen Zugriff vom Client auf den ONT gehabt (trotz mehrfacher Überprüfung der NAT-Regel) allerdings ging es über die Opnsense-Shell. Danke euch :)

Scheinbar braucht man wohl auch nichtmal mehr Zugangsdaten für den PPPoE-Zugang. Habe dort nur "Test" eingetragen und damit läuft es... Oder meine Fantasie-Zugangsdaten wurden während der Konfiguration vom OLT übernommen.

Das die Sfp-Modems schwer einzurichten sind kann ich so nicht bestätigen. Eingesteckt - läuft (zumindest hardwareseitig) Allerdings habe ich auch den Intel-codierten geordert. Ich denke das die Vendor-ID die einzige wirkliche Hürde ist. Und da der SFP-Standard aus der Industrie und nicht dem Consumer-Bereich kommt, kocht eben jeder sein eigenes Süppchen. Möglicherweise ist der X533 aber auch großzügiger was das angeht, who knows.

Ja, das Modul wird warm, aber der Energieverbrauch hält sich absolut gesehen in Grenzen. Laut FS unter 2 Watt - das sollte weniger als bei einem externen ONT sein. Das Problem ist eher der kompakte Formfaktor, und wenn dann nebendran noch zwei 10g-RJ45 Heizgeräte stecken raucht das vermutlich ab. Auf lange Sicht werde ich aber im Verteiler noch für etwas Belüftung sorgen, dann hab ich da keine Bedenken.

Abschließend nochmals Danke euch 👍

Das mit der Registrierseite scheint auch relativ neu zu sein. Der Techniker hat im Prinzip nur die GF-TA gesetzt und eine "Glasfaser-ID" hinterlassen. Über diese ID kommt man dann auf die Registrierseite der Telekom und kann die Modem-ID eintragen.
Die Maske lässt sowohl 12- als auch 16-stellige IDs zu. Auf dem FS-Modul ist aber eine 11-stellige S/N aufgedruckt. Ein Buchstabe gefolgt von 10 Ziffern (z.B. A0123456789). Ist dann der Buchstabe in Hex umzuwandeln und die anderen Ziffern unverändert einzutragen? Dann würde zumindest eine 12-stellige ID rauskommen. Oder sollte ich lieber gleich den gesamten ASCII/Hex-Mischmasch in 16-stelligen Hex umwandeln? Aber woher weiß was an der Nummer dann Hex ist und was ASCII...?

Die Outbound-NAT-Regel habe ich ja schon eingerichtet, aber vermutlich ist mir da ein Fehler unterlaufen, das gucke ich mir daheim noch Mal an. Ich glaube ich habe als Quelle den WAN-Port angegeben und nicht das LAN-Netzwerk.

Danke auch für den Tipp mit dem SSH-Key. Allerdings verstehe ich nicht warum man auf einem aktuellen/neu verkauften ONT mit veralteten Key-Algorithmen arbeitet. Naja was soll's...
Habe bisher immer von der Windows-Konsole versucht zuzugreifen, die hat eine Shell integriert. Das funktioniert zu OpnSense auch ganz gut. Dann sollte das auch ohne PUTTY gehen oder?

Die Einschränkungen mit der LAN-Brücke sind mir bekannt, allerdings nur soweit dass eben der Ressourcenverbrauch relativ hoch ist und daher die Performance leiden kann. Sollte aber mit dem 8-Kern Atom kein Problem sein, zudem ist bei mir kein extremer Traffic zu erwarten. Ein zusätzlicher Switch wäre bei mir äußert ungeschickt, da der Rechner in einem Unterputz-Medienverteiler steckt und es da schon relativ eng her geht. Thermisch wäre das grenzwertig, außerdem müsste ich Kabel ziehen und darauf hab ich vorerst keine Lust. Oder gibt es da noch mehr Probleme?

Hallo zusammen,

habe den Schritt gewagt und bin im Zuge eines ISP-Wechsels zur Telekom nun auf Opnsense umgestiegen. Das Setup funktioniert ganz grundsätzlich zumindest lokal auch, die WAN-Verbindung macht mir aber noch etwas Kopfschmerzen.

            :
      .-----+-----.
      |  SFP-ONT  | Modem: 192.168.1.10 (DHCP->?)
      '-----+-----'
            |
        WAN | IP(PPPoE)
            |
      .-----+------.
      | OPNsense+  | WAN-Port: 192.168.1.1/24 (DHCP-Server)
      | LAN Bridge | LAN-Bridge: 192.168.2.1/24 (DHCP Server)
      '-----+------' 
            |
        LAN | 192.168.2.1 (DHCP)
            |
            |
    ...-----+------... (Clients/Servers)

Bei der Hardware handelt es sich um einen AliExpress-PC (vermute Qotom) mit Intel-Atom C3000 CPU, 32Gb Ram, 4xSfp + 4x RJ45. Das ONT in Form eines Sfp-Moduls ist das halbwegs bekannte FS.com GPON mit MAC.
OpnSense läuft direkt ohne VM auf der Hardware. Interfaces:

ix0 - ix3 -> Sfp+-ports
igc0- igc3 -> RJ45-ports

Da ich kein Netzwerkprofi bin, habe ich versucht alles erstmal etwas einfacher zu halten und nur die Einstellungen verändert/konfiguriert, die ich verstehe oder notwendig sind.

Dazu gehört:
Interfaces zugeordnet
ix0 -> WAN
ix1-ix3+igc0-igc3 -> opt1-7 -> bridge -> LAN

VLAN7 + VLAN99 -> parent ix0
(für den Telekom-GF-Anschluss - PPPoe fehlt noch, ist mir bewusst - dazu später mehr)

Lan-Brücke und physischem WAN-port statische IPv4 zugewiesen, DHCP ein
SSH-Access für den root-Account erlaubt
Outbound-NAT auf das physische WAN-Interface angewendet
Intel QAT aktiviert

Ein paar tunables verändert (wie im Guide für Lan-Brücke Beschrieben)

Das sollte es schon gewesen sein.

Nachdem der GF-Anschluss gestern wohl freigeschaltet wurde, wollte ich zuerst die S/N des ONTs bei der Telekom registrieren lassen - dazu bekommt man einen Link, bei der man das selbst ohne Telefonkontakt erledigen kann - allerdings gibt die Maske im Eingabefenster das Format vor und dort passt die S/N des FS-ONTs nicht hinein. Also gut, dann eben die S/N im ONT ändern, sollte bei diesem Modul ja per SSH problemlos möglich sein.
Leider aber bekomme ich das nicht hin.
Das ONT lässt sich problemlos anpingen, bei versuchtem SSH Zugriff über die Opnsense-Shell bekomme ich jedoch den Fehler dass der SSH-Handshake aufgrund inkompatibler Keys nicht ausgehandelt werden kann (?), bei direktem SSH-Zugriff über einen Client bekomme ich gar keine Antwort.

Ich habe schon gelesen, dass das wohl daran liegen kann, dass der Zugriff nur möglich ist wenn das ONT aktiv ist. Aber wann ist es denn aktiv? Wenn das Modul eingesteckt ist? Oder die Faser angeschlossen ist? Oder erst wenn der WAN-Zugang funktioniert?
Mir stellt sich auch die Frage ob das ONT einen DHCP-Server stellt oder ob die IP einfach nur statisch ist. Im ersten Fall wäre natürlich ein IP-Adresskonflikt möglich - Pingen geht ja aber...

Abgesehen davon dass die Konfig für den WAN-Anschluss noch nicht abschließend möglich ist - habe keine Zugangsdaten für die PPPoE-Einwahl - wäre mein Ziel jetzt also erstmal, eine zuverlässige SSH-Verbindung zum ONT herzustellen.

Wer hat einen heißen Tipp?