Konfiguration GPON SFP Modul Telekom in OPNSense

[wagman77]

Hallo zusammen,

für unsere Firma habe eine OPNSense Appliance im 19" Zoll Format gebaut, eine Intel Server-Netzwerkkarte bei 2 SFP Einschüben installiert und bei der Telekom dieses Modul erworben.
https://geschaeftskunden.telekom.de/internet-dsl/produkt/digitalisierungsbox-glasfasermodem-kaufen
Soweit so gut, Modul wird erkannt und kann adressiert werden. Aktuell ist am Glasfaseranschluss noch ein Glasfasermodem. Ich würdoe gern über dieses GPON Modul online gehen. Wie die Einwahl funktioniert (PPPoE, VLAN 7, Zugangsnummer, Anschlusskennung etc.) ist bekannt.
Soweit ich gelesen habe, muss ich "nur" auf dem Modul die PLOAM/SLID/Installationskennung eintragen.
Und hier genau hier ist mein Problem.
Trotz Anleitung https://github.com/xvzf/zyxel-gpon-sfp komme ich nicht auf das Modul.
SSH geht nicht. Es heißt, falsches Passwort.

Wer hat damit Erfahrung und kann mir weiterhelfen?

[wagman77]

Ich glaube, die Password-Frage habe ich mir selbst beantwortet.
Schaut mal auf der github-Seite nach wird das Thema mit dem nicht funktionierenden Passwort diskutiert. Ich probiere das morgen aus und bei Erfolg markiere ich den Thread als gelöst.

[meyergru]

In dem Thread gibt es zwei mögliche Lösungen:

1. Es wird ein neues Admin-Passwort genannt (9dsxsqcq6t), das für neuere Versionen gilt. Früher war es admin oder 1234.
2. Man kann sich ins Webinterface als guest/guest einloggen und danach mit einer speziellen URL das Admin-Passwort setzen.

Am Rande: Wenn Du auch bei aktiver Verbindung auf den ONT drauf willst, mach outbound NAT auf 10.10.1.0/24 und weise dem WAN-Interface eine IP aus dem Range zu. Der ONT hat nämlich keine Route und kann deswegen nicht zurück in Dein LAN.

Ansonsten hat bei mir die Anleitung funktioniert. Sowie man S/N und PLOAM richtig hat, funktioniert's meistens.

Vorsicht mit der 2.5 GBit-Einstellung: Die würde auf einer DEC 7x0 / 27x0 vermutlich nicht funktionieren, weil die beiden SFP+-Slots nur gemeinsam umgeschaltet werden können. Ich habe in einem Slot ein 10 GBit DAC Kabel drin und im anderen den Telekom ONT.

[wagman77]

Hast du das Teil am Laufen? Ich weiß z.B. nicht, wie ich das Modul konfigurieren muss um auf das Webinterface zu kommen. Wenn ich die SSH-Befehle absetze, endet das darin, dass ich nicht mehr auf den WebGui der Opnsense zugreifen kann. Mein Modell ist aus Sommer 2023. Ich hab das mit dem neueren Passwort leider noch nicht probieren können.

[meyergru]

Hatte ich, habe inzwischen aber die DEC750 verkauft. Meins war die alte Firmware mit dem alten Passwort, da ging das alles ganz einfach.

Kommst Du per SSH drauf? Wie gesagt, notwendig ist dazu normalerweise eine NAT-Regel, weil keine Route gesetzt ist. Wenn die Passworteingabe klappt, kannst Du ja aller Parameter auch per SSH setzen.

Die Weboberfläche ist da eher beschränkt - ich weiß aber nicht, ob die bei neuerer Firmware bzw. ohne ONT-Status O5 überhaupt aktiv ist.

Ich verwende aber inzwischen einen normalen Ethernet-ONT, der aber 2.5 GBit kann (ZTE F6005). Das ist mit den SFP-GPONs auch möglich, nur kann fast kein SFP+-Slot auch HSGMII. Und ich will 2.5 GBit/s, damit die 940 Mbps Beschränkung nicht mehr greift. Dadurch habe ich bei meinem ISP jetzt 1100 MBps.

[wagman77]

Ich komme bis zum SSH-Login, aber keines der Passwörter funktioniert. Ich würde ja gerne die vorgeschlagene Methode zum Passwort-Reset anwenden wollen https://github.com/xvzf/zyxel-gpon-sfp/issues/6 aber scheinbar bin ich einfach zu doof, die OPNSense so zu konfigurieren, dass ich auf das Webinterface des Zyxel Moduls zugreifen kann
Ich hab das mit der NAT Regel versucht, aber ich vermute mal, das ist nicht korrekt.

[wagman77]

Der Hntergrund ist , warum ich das Zyxel Modul einsetzen will, dass ich damit das Glasfasermodem, das einen extra 230V Anschluss braucht, überflüssig mache. Wir haben hier öfters Stromausfälle. Die OPNsense hängt an der USV, das Modem ist im Hausanschlussraum. Ich dachte, die 25 Meter überbrücke ich einfach mit dem "Glasfaser-Patchkabel" (im PE Rohr durch die Zwischendecke verlegt), Zyxel GPON in den SFP rein und fertig.

[meyergru]

Die NAT-Regel ist fehlerhaft, weil die NAT-Adresse nicht Dein OpnSense WAN-Interface, sondern die Ziel-IP des ONT ist. Außerdem, falls WAN Dein pppoe-Interface ist, wäre auch das falsch.

Die Interface-Hierarchie bei Deiner Variante PPPoE über VLAN 7 ist normalerweise so:

ONT (Physisches Interface, z.B. ax0) mit 10.10.1.2/24 -> VLAN7 (z.B. ax0_vlan7, ohne IP) -> WAN (pppoe0 mit Credentials).

Mich wundert allerdings, dass Du per SSH draufkommst und per HTTP nicht. Vermutlich liegt es daran, dass WAN aktuell nicht pppoe0 ist und dass Du SSH von der OpnSense selbst machst, während Du HTTP vom LAN aus versuchst.

Das solltest Du erstmal glattziehen. Und dann: Warum so kompliziert? Die Netzwerke und IPs stehen als Aliase im Dropdown der NAT-Regel zur Verfügung, die sollte man auch nutzen. Sieht dann so aus wie im Anhang.

Und zum Thema SFP-Modul vs. externer ONT: Wenn Du sowieso ein Glasfaserkabel legst, kannst Du das Modem ja auch neben Deine OpnSense stellen und auch per USV versorgen.

[wagman77]

Da merkt man wieder, dass ich OPNSense-Anfänger bin... Ich muss gestehen, ich bekomme die SSH-Verbindung mir von der OPNSense aus hin, heißt, ich logge mich per SSH auf den Sense ein, und mach dein ein SSH auf das ONT. Ich zieh das so glatt wie von dir beschrieben.
Außerdem denke ich zu kompliziert. Mit dem bereits verlegten Glasfaserkabel, kann ich ja das Glasfasermodem vom Hausanschlussraum in meinen "Datenschrank" patchen hab die 230V Stromversorgung und die USV und geh einfach mit einem kurz RJ45 Patchkabel drauf. Fertig.

[tall1oN]

Hey, ich habe vermutlich das gleiche Problem, aber hab leider nicht die alternative das Glasfasermodem zu nutzen.

Ich bekomme jetzt nach einigen Jahren Wartezeit einen Glasfaseranschluss von DNS:NET (XGS-PON). Mitgeliefert wurde eine Fritz-Box, die leider keinen Bridge-Mode mehr hat und die ich auch nicht nutzen will. Ein separates Modem gibt es nicht (wie es eigentlich bei den Info-Veranstaltungen angekündigt wurde), sondern es läuft alles über einen XGS-PON/GPON Transceiver in der Fritz-Box.

Als alternative hatte ich mir jetzt den XGS-ONU-25-20NI von fs.com rausgesucht, der exakt den Anforderungen/Spezifikationen des Netzes von DNS:NET entspricht. Das Problem ist jetzt die Einrichtung in OPNSense inkl. Telnet-Zugriff auf den Transceiver (Falls DNS:NET ggf. die Seriennummer/MAC braucht).

Habt ihr da Tipps wie ich vorgehen muss? Ich bin leider kein OPNSense/NAT/VLAN Experte.

Generell hab ich schon versucht alles ca. so einzustellen, aktuell geht die 10.10.1.2 aber immer auf OPNSense (Hab ich da noch was anderes falsch eingestellt?).

Es ist auch gut möglich, dass ich da eine andere IP nutzen muss. Laut fs.com Doku ist die Standard-IP für das Modul 192.168.100.1. Der Support hat mir noch abweichend 192.168.1.10 genannt, ich habe aber bis jetzt nichts davon hinbekommen. (Ist auch beides ungünstig, weil 192.168.1.0 mein LAN-Netz ist und auf 192.168.100.1 das Vodafone Modem läuft, wo ich auch ohne Outbound NAT raufkomme)

[meyergru]

Die Seriennummer herauszubekommen ist nicht das Problem, die steht ggf. drauf, sieht man auch schon auf der Abbildung von FS. Ist eher die Frage, wie viele Hürden DNS:NET Dir in den Weg legt, diese Seriennummer auch bei sich einzutragen. Dass man die S/N ggf. ändern kann, sollte der Dokumentation von FS zu entnehmen sein bzw. dem hier (scheint jedenfalls so). Die IP ist übrigens auch laut Hack GPON 192.168.100.1.

Es gibt auch XGS-PON Alternativen bei hack-gpon.org, auch externe ONTs (z.B: Huawei, Nokia und ZTE). Der Abbildung von FS entnehme ich einen riesigen Kühlkörper an dem Modul, dass Böses erahnen lässt... wobei die externen ONT auch mittels 10 GbE angebunden werden müssen, die auch ziemlich warm werden. Der Tatsache, dass Du ein SFP+-Modul herausgesucht hast, entnehme ich, dass Dein Router einen SFP+-Slot hat.

Es wäre übrigens vorab von Vorteil, die Fritzbox mal testweise in Betrieb zu nehmen, um anderweitige Probleme auszuschließen. Man hat schon Pferde kotzen sehen.

[tall1oN]

Die Seriennummer bei DNS:NET zu hinterlegen sollte hoffentlich keine Problem werden, eigentlich bewerben sie schon recht offen, dass jedes eigene GPON Glasfasermodem mit PPPoE Router genutzt werden kann.

Mein Router ist aktuell so konfiguriert:
AMD Ryzen 7 3800X
24GB Samsung ECC-RAM
Intel X520-DA1 - 82599EN (von 10Gtek®, hier ist das SFP+ Modul schon drin und wird auch erkannt)
Intel X710-DA4
Intel E1G42ET - 82576

Kühlung sollte auch kein zu großes Problem werden, habe eine ganze Menge Lüfter verbaut und die Netzwerkkarten bekommen den Großteil davon ab.

Ja die Fritzbox lasse ich dran bis da das 1. mal erfolgreich Internet läuft (steht so auch in der Einrichtungsanleitung von DNS:NET, da das Gerät vorbereitet ist und bei Aktivierung des Anschlusses den Vertrag automatisch aktiviert).

Hack GPON ist auf jedenfall eine coole Seite, die werde ich mir nochmal genauer anschauen. Da du da ja schon die IP 192.168.100.1 rausgesucht hast: Was wäre denn der einfachste Weg darauf Zugriff zu bekommen. Aktuell kollidiert es bei mir im Netz ja etwas mit dem Vodafone Router/Modem welcher sich irgendwie automatisch schon die 192.168.100.1 schnappt.

[tall1oN]

Achso und die Seriennummer vom Modul ist dann wirklich auch die, die an DNS:NET geschickt wird? Dann könnte ich mir die Arbeit vllt. wirklich sparen und müsste nur das PPPoE einrichten (Also wenn DNS:NET die Seriennummer dann wirklich auf Anfrage ohne Probleme hinterlegt)

[tall1oN]

Okay habe jetzt nochmal mit FS gesprochen und es ist wohl sicher die richtige Seriennummer. Ich habe jetzt mal nach einer Anleitung in OPNSense PPPoE vorbereitet. Mal sehen wie es dann am Freitag läuft.

[meyergru]

Hängt davon ab, was DNS:NET will, kann ggf. auch zusätzlich noch das PLOAM-Passwort sein, aber auch das kann man ändern, genau wie die Management-IP.

Die internen Lüfter helfen bei einem von außen angesteckten Modul nur bedingt, bei Deiner Konstellation ist das aber kein Problem. Normalerweise ist es schwierig, wenn in einem Switch oder Router mehrere SFP+-Slots nebeneinander sind und sich die Module gegenseitig aufheizen.