Konfiguration GPON SFP Modul Telekom in OPNSense

[2nice4u]

Achso und die Seriennummer vom Modul ist dann wirklich auch die, die an DNS:NET geschickt wird? Dann könnte ich mir die Arbeit vllt. wirklich sparen und müsste nur das PPPoE einrichten (Also wenn DNS:NET die Seriennummer dann wirklich auf Anfrage ohne Probleme hinterlegt)

Ich selber benutze bei DNS:NET ein modifiziertes Huawei MA5671A Modul, bei dem ich nur die Modem-ID: AVMG XXXX XXXX eingetragen habe die auf der Rückseite meiner mitgelieferten Fritzbox 5530 stand. DNS:NET fragt demnach nur die ID ab. Leider habe ich keine Erfahrung damit, ob neue Seriennummern/ID´s anstandslos provisioniert werden. Ich habe mich dagegen entschieden, da meistens nur eine ID im System hinterlegt werden kann und ich bei Problemen oder im Falle eines Supports einfach wieder das originale/mitgelieferte Modul+Fritzbox anschließen kann.

Andere Frage, muss man denn zwangsweise ein XGS-PON Modul verwenden oder kann man mit einem normalen SFP+ GPON und HSGMII die volle Bandbreite herausholen? Bin der Meinung mal was gelesen zu haben das GPON und XGS-PON zusammen auf einer Faser sein können aber nur in der Kombination GPON ONT an einem XGS-GPON OLT. Wenn dem tatsächlich so ist, wäre ich ja bis einem 2,5Gbit Tarif auf der sicheren Seite.
Das mit dem HSGMII sollte z.B. mit einer HP 530SFP+ funktionieren. Die Ports werden unabhängig behandelt und 2,5Gbit auf dem einem und ein 10Gbit DAC auf dem anderen Port sollen wohl kein Problem sein.

P.S.: Ich hätte übrigens noch ein paar modifizierte Huawei Module hier auf meinem Tisch liegen 
Einfach PN an mich 

[meyergru]

Ja, meistens können die XGS-OLTs zumindest theoretisch wohl beide Verfahren.

HSGMII ist leider bei vielen SFP+-Slots ein Problem, weil es meist nicht unterstützt wird. Gilt z.B. für die DEC 750 und auch für Intel X520, die HP kenne ich nicht, allerdings haben HP und Dell oft Intel-Chips verbaut.

Gerade, wenn man den Speed im ONT nur statisch setzen kann, ist das problematisch, weil dann kein Rücksetzen in diesem Slot mehr möglich ist (been there - done that).

Da ist ein echtes XGS-ONT einfacher zu handhaben, da es dann eben wirklich die nativen 10 Gbit macht - allerdings auch teurer.

Die von mir inzwischen bevorzugte Variante gegenüber SFP-GPONs ist ein externer ONT mit 2.5 GBps, der läuft dann mit vielen billigen China-Routern mit I225/I226 Anschlüssen. Wenn der Tarif nicht mehr als 2.5 GBps hat, ist das sowieso gut von wegen Stromverbrauch und Kosten. Außerdem hilft es auch bei 1 GBps, weil damit die Limitierung auf 940 Mbps durch den Protokoll-Overhead umgangen wird, wobei die meisten ISPs eh überprovisionieren. Deswegen schaffe ich z.B. 1.1 Gbps an einem GPON-Anschluss (siehe Signatur).

P.S.: Ich verwende auch immer die selbe S/N, aus den selben Gründen wie Du.

[2nice4u]

Ja, meistens können die XGS-OLTs zumindest theoretisch wohl beide Verfahren.

HSGMII ist leider bei vielen SFP+-Slots ein Problem, weil es meist nicht unterstützt wird. Gilt z.B. für die DEC 750 und auch für Intel X520, die HP kenne ich nicht, allerdings haben HP und Dell oft Intel-Chips verbaut.

Gerade, wenn man den Speed im ONT nur statisch setzen kann, ist das problematisch, weil dann kein Rücksetzen in diesem Slot mehr möglich ist (been there - done that).

Da ist ein echtes XGS-ONT einfacher zu handhaben, da es dann eben wirklich die nativen 10 Gbit macht - allerdings auch teurer.

Die von mir inzwischen bevorzugte Variante gegenüber SFP-GPONs ist ein externer ONT mit 2.5 GBps, der läuft dann mit vielen billigen China-Routern mit I225/I226 Anschlüssen. Wenn der Tarif nicht mehr als 2.5 GBps hat, ist das sowieso gut von wegen Stromverbrauch und Kosten. Außerdem hilft es auch bei 1 GBps, weil damit die Limitierung auf 940 Mbps durch den Protokoll-Overhead umgangen wird, wobei die meisten ISPs eh überprovisionieren. Deswegen schaffe ich z.B. 1.1 Gbps an einem GPON-Anschluss (siehe Signatur).

P.S.: Ich verwende auch immer die selbe S/N, aus den selben Gründen wie Du.

Wenn Du jetzt von einem externem ONT mit 2.5GBps sprichst, um was für ein Teil genau handelt es sich da? Dieses hier? --> https://hack-gpon.org/ont-zte-f6005/

Die HP-Karte hat übrigens einen Broadcom-Chip.
https://hack-gpon.org/broadcom-57810s/

[meyergru]

Siehe Signatur: ja, es ist ein ZTE F6005.

Ich habe dazu übrigens eine Quelle aus Italien, da solche Dinger nicht so einfach zu beschaffen sind, zumindest nicht mit "offener Firmware". Was viele nicht wissen: Hack GPON wird überwiegend von ein paar Italienern betrieben. Dort ist man mit Glasfaser viel weiter als bei uns - dort werden z.B. 2.5 GBps-Tarife per GPON-Technik wirklich offiziell angeboten (und günstiger als Gigabit hier).

Die Jungs sind sub-zero: Zwei haben sich privat OLTs gekauft und flashen damit ONTs mit offener Firmware. Die haben auch Erfahrungen mit anderen Modellen. Beispielsweise raten sie vom externen Luleey ab, weil die Firmware noch unreif ist (funktioniert angeblich nicht bei Anschlüssen ohne VLAN).

Inzwischen gibt es auch in Deutschland Provider, die vernünftige Hardware anbieten: Clevernet bietet einen 2.5 Gbps Genexis Fibertwist (habe ich nirgends direkt bekommen) und die Telekom aktuell das "Glasfasermodem 2", das übrigens dies hier ist. Letzteres wäre aktuell mein Go-To, da "offen" zu sein scheint, gut verfügbar und billig ist.

Es wird oft behauptet, dass die externen ONTs wegen des zusätzlichen Netzteils mehr verbrauchen, das dürfte sich aber in Grenzen halten. Ein weiterer Vorteil ist, dass man damit eben einen Fallback bei einem Ausfall hat.

[2nice4u]

Ich habe tatsächlich die Möglichkeit einen Genexis FiberTwist-G2110C zu testen.
Wenn der funzt, kann ich dem Bekannten das Teil abkaufen. Er will irgendwas um die 30€ haben.
Und jaaa...schwer zu kriegen die Teile.
Dann werd ich meine Installation vielleicht wohl auch nochmal überdenken weil der FiberTwist ja auch direkt auf meinen DNS:NET Anschluß passt. Er wurde halt nur nicht benutzt weil ich mit einem Patchkabel direkt in das SFP-Modul gegangen bin. Ich bin gespannt und werde mich nochmal melden.

[meyergru]

Ich habe trotz direktem Kontakt zu Genexis Deutschland kein Exemplar bekommen können. Ich weiß auch nicht, ob die Geräte jeweils "offen" sind.

Hack GPON beschreibt z.T. Versionen, die sie selbst mit der OLT-Methode gehackt haben, während provider-spezifische zugenagelt sind. Kauft man z.B. ein ZTE F6005 von Ebay direkt aus Italien, sind das Provider-Versionen. Ob das Telekom Glasfasermodem 2 offen ist, weiß ich auch nicht. Bei der SFP-Variante scheinen neuere Versionen jetzt geänderte Passworte zu haben.

Anders als die SFP-GPONs kommt man bei externen ONTs meist an die serielle Schnittstelle heran, was helfen kann, aber nicht muss. Wenn man auf die Änderung der S/N verzichten kann, ist das natürlich egal.

[wagman77]

Die NAT-Regel ist fehlerhaft, weil die NAT-Adresse nicht Dein OpnSense WAN-Interface, sondern die Ziel-IP des ONT ist. Außerdem, falls WAN Dein pppoe-Interface ist, wäre auch das falsch.

Die Interface-Hierarchie bei Deiner Variante PPPoE über VLAN 7 ist normalerweise so:

ONT (Physisches Interface, z.B. ax0) mit 10.10.1.2/24 -> VLAN7 (z.B. ax0_vlan7, ohne IP) -> WAN (pppoe0 mit Credentials).

Mich wundert allerdings, dass Du per SSH draufkommst und per HTTP nicht. Vermutlich liegt es daran, dass WAN aktuell nicht pppoe0 ist und dass Du SSH von der OpnSense selbst machst, während Du HTTP vom LAN aus versuchst.

Das solltest Du erstmal glattziehen. Und dann: Warum so kompliziert? Die Netzwerke und IPs stehen als Aliase im Dropdown der NAT-Regel zur Verfügung, die sollte man auch nutzen. Sieht dann so aus wie im Anhang.

Und zum Thema SFP-Modul vs. externer ONT: Wenn Du sowieso ein Glasfaserkabel legst, kannst Du das Modem ja auch neben Deine OpnSense stellen und auch per USV versorgen.

Feedback an dieser Stelle: herzlichen Dank. Mit deiner Anleitung bin ich auf das Web-Interface des Moduls gekommen und auch per SSH vom Client aus... mit den "Standard-Passwörtern" (admin/admin) bzw. admin/1234.
Darauf hin hab ich bei der Telekom Geschäftskunden Technik-Hotline angerufen und den Wunsch geäußert, dass ich das GPON ONT in Betrieb nehmen möchte... Alles, was der nette Herr an der Hotline von mir wissen wollte, war die Modem ID, die auf dem ONT steht. 5 Minuten später war ich mit der OPNSense und über das SFP-Modul online. Eine Modifikation der Daten auf dem Modul war nicht notwendig. Sicherlich habe ich etwas im Vorfeld falsch verstanden. Ergebnis: 500Mbit Down, 100 MBit Up, so wie bestellt.

Als Fallback-Option hab ich noch die Variante verprobt, das Glasfaser-Modem über das bereits gelegt Glasfaserkabel in den Datenschrank zu bringen. Aufgrund der unterschiedlichen Stecker-Typen ging dieser Plan aber nicht auf

[kruemelmonster]

Als Fallback-Option hab ich noch die Variante verprobt, das Glasfaser-Modem über das bereits gelegt Glasfaserkabel in den Datenschrank zu bringen. Aufgrund der unterschiedlichen Stecker-Typen ging dieser Plan aber nicht auf

Unpassende Stecker sollten kein Problem darstellen. Habe das Thema LWL-Patchleitungen auf Grund zu erwartendem eigenen Bedarf etwas beleuchtet. Solche Leitungen sind mit unterschiedlichen Steckern teilweise bis zu 30 Metern zu bekommen. Und die kosten kein Vermögen.

[tall1oN]

Hey, wollte auch noch mal ein Update zu meiner Situation bringen. Ich hatte den Freitag DNS:NET angerufen und die Seriennummer weitergegeben, allerdings hatten sie es nicht mehr geschafft diese zu hinterlegen. Ich hab mich dann am Wochenende entschieden, einfach die Seriennummer vom Fritz-Box Modul auf den XGS-ONU-25-20NI zu hinterlegen, was auch perfekt geklappt hat. Wichtige Info dazu: Der XGS-ONU-25-20NI ist nur erreichbar wenn er an einer aktiven Glasfaser hängt, sonst ist die Management-IP nicht erreichbar (hat leider viel länger als nötig gedauert das rauszufinden).

Witzigerweise hat DNS:NET es bis jetzt immer noch nicht geschafft, die Seriennummer zu hinterlegen. Ich hab noch mal angerufen und mir wurde nur gesagt dass es eventuell Kompatibilitätsprobleme gibt, da man ja nicht mit einem SFP-Modul ins Internet kann . Mir ist das jetzt erstmal egal, da ich mir das ja selber eingestellt habe und erstmal alles funktioniert.

Ich hab dann noch ein bisschen mit den Tunables rumgespielt, bis ich diesen schönen Speedtest (siehe Anhang) geschafft hab.

Nochmal danke für die Hilfe.

[meyergru]

Interessant. Das Ergebnis sieht nach GPON, nicht nach XGS-PON aus, bzw. wäre auch damit erzielbar.

Hast Du mal geguckt, ob das Modul mit GPON oder XGS-PON connected? Wenn man eh keinen höheren Tarif hat, wäre bei Rückwärtskompatibilität auf Kundenseite ja gar keine XGS-PON Hardware notwendig. GPON ist billiger und verbraucht vermutlich weniger.

P.S.: Dass die Module meist nur mit aktiver Glasfaser erreichbar sind, ist normal/bekannt.

[tall1oN]

P.S.: Dass die Module meist nur mit aktiver Glasfaser erreichbar sind, ist normal/bekannt.

War mir leider nicht klar, ist wie gesagt das erste mal, dass ich mit Glasfaser WAN zu tun habe und weder der FS.com Support noch die Anleitung zum Modul hat das erwähnt.

Interessant. Das Ergebnis sieht nach GPON, nicht nach XGS-PON aus, bzw. wäre auch damit erzielbar.

Hast Du mal geguckt, ob das Modul mit GPON oder XGS-PON connected? Wenn man eh keinen höheren Tarif hat, wäre bei Rückwärtskompatibilität auf Kundenseite ja gar keine XGS-PON Hardware notwendig. GPON ist billiger und verbraucht vermutlich weniger.

Bin mir leider unsicher wie ich das über das Modul rausfinden könnte. In OPNSense wird jedenfalls "Line Rate 10.00 Gbit/s" und "10Gbase-LR" angezeigt. In der Installationsanleitung von DNS:NET steht jedenfalls auch klar,  dass es sich ab dem 2,5 Gbit/s Tarif um XGS-PON handelt und die Tarife bis 1 Gbit/s GPON nutzen.

[meyergru]

Du kannst doch auf den ONT zugreifen, sonst hättest Du die S/N nicht ändern können. Normalerweise per SSH, meist auch per Web-GUI.

Normalerweise gibt es dort eine Seite, die über den Status der Glasfaserverbindung Auskunft gibt, da müsste das draus hervorgehen.

P.S.: Um den ONT auch während des Betriebs zugänglich zu machen, brauchst Du eine IP auf dem WAN-Interface, also bei PPPoE auf dem physischen Parent, bzw. ohne VLAN mit DHCP eine VIP. Die muss aus dem Subnet der Default-IP des ONT sein (für 192.168.1.1 z.B. 192.168.1.2). Da die Back-Route normalerweise nicht gesetzt ist, muss man eine outbound NAT-Regel für den Zugriff auf das Subnetz (im Beispiel 192.168.1.0/24) einrichten, damit alle Zugriffe mit der Absenderadresse 192.168.1.2 erscheinen.

[tall1oN]

Du kannst doch auf den ONT zugreifen, sonst hättest Du die S/N nicht ändern können. Normalerweise per SSH, meist auch per Web-GUI.

Normalerweise gibt es dort eine Seite, die über den Status der Glasfaserverbindung Auskunft gibt, da müsste das draus hervorgehen.

P.S.: Um den ONT auch während des Betriebs zugänglich zu machen, brauchst Du eine IP auf dem WAN-Interface, also bei PPPoE auf dem physischen Parent, bzw. ohne VLAN mit DHCP eine VIP. Die muss aus dem Subnet der Default-IP des ONT sein (für 192.168.1.1 z.B. 192.168.1.2). Da die Back-Route normalerweise nicht gesetzt ist, muss man eine outbound NAT-Regel für den Zugriff auf das Subnetz (im Beispiel 192.168.1.0/24) einrichten, damit alle Zugriffe mit der Absenderadresse 192.168.1.2 erscheinen.

Das Ding ist wahrscheinlich leider nicht so nutzerfreundlich wie andere Geräte auf dem Markt. Ich hab dir mal ein paar Screenshots in den Anhang gepackt mit Infos die ich gefunden hab. Die Doku (https://resource.fs.com/mall/doc/20231013115510av3loa.pdf) ist leider auch echt schrott.

[meyergru]

Ahja, das Ding hat tatsächlich kein Web-UI. Es gibt noch ein paar mehr minishell-Befehle: https://hack-gpon.org/xgs/ont-fs-XGS-ONU-25-20NI-cli/ (man muss unten den Eintrag aufklappen).

Z.B.: /traffic/pon/hw/show oder /traffic/pon/ca/show

[helixxx]

Ich hatte das "Telekom Glasfasermodem" (= Zyxel PMG3000-D20B ) hier im Einsatz mit einer opnsense 24 und mit einer Broadcom 57810S basierten Netzwerkkarte (HP 530SFP+).

Achtung, das Modul ist nicht 100% SFP Standard konform, dadurch wird es nicht an allen Karten erkannt, bzw aktiv geschaltet. Es gibt die Möglichkeit eine winzige Löt-Brücke auf der Karte zu setzen damit das GPON immer Strom kriegt.

Kurzer Erfahrungsbericht:
Es lief, allerdings kam ich im besten Fall auf 910Mbit (Protokoll-Overhead limitiert das ganze).
PPPoE mit VLAN 7 bei Telekom, Zugangsdaten rein und los gings. Bis dahin ziemlich harmlos.

Aber:
Anfangs kam ich per SSH auf das Teil über die 10.10.1.1 - allerdings war das bei _identischer_ Konfiguration irgendwann nichtmals mehr mit ping möglich anzusprechen. Die Internetverbindung an für sich lief.
Es hat auch keinen Unterschied gemacht ob Glasfaser gesteckt war oder nicht - tatsächlich klappte es vorher auch ohne Verbindung zum OLT per SSH auf das Modul zu kommen. Auch mit anderem Betriebssystem (Ubuntu) bin ich nicht mehr drauf gekommen. Ziel war ursprünglich mal das Modul auf 2.5Gbit am SFP Port zu schalten (nie gemacht).

Schlussendlich ging das Teil zurück. Kein opnsense spezifisches Problem also, aber für alle die auf diesen Thread stoßen zumindest mal ein Hinweis.

Empfehlung:
Ich bin inzwischen auf ein Huawei MA5671A umgestiegen, der bei meiner opnsense mit 2.5Gbit am SFP Port schafft ohne dass ich am GPON was geändert hätte - am Zyxel wäre das nötig gewesen. Dank Überprovisionierung seitens Telekom kommen am Ende sogar fast 1.1Gbit dabei rum.
Egal welcher GPON, für die 2.5Gbit nativ braucht es gepatchte Treiber für die Netzwerkkarte und Änderungen an der Firmware Konfig der Karte. Ob hier der "Löt"-Hack nötig ist weiß ich nicht, da mein SFP+ Port bereits diese Modifikation hatte.