Keine Verbindung zum ONT möglich (Telekom Glasfaser)

Started by J.L., January 31, 2025, 03:31:54 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
January 31, 2025, 03:31:54 PM
Hallo zusammen,

habe den Schritt gewagt und bin im Zuge eines ISP-Wechsels zur Telekom nun auf Opnsense umgestiegen. Das Setup funktioniert ganz grundsätzlich zumindest lokal auch, die WAN-Verbindung macht mir aber noch etwas Kopfschmerzen.

            :
      .-----+-----.
      |  SFP-ONT  | Modem: 192.168.1.10 (DHCP->?)
      '-----+-----'
            |
        WAN | IP(PPPoE)
            |
      .-----+------.
      | OPNsense+  | WAN-Port: 192.168.1.1/24 (DHCP-Server)
      | LAN Bridge | LAN-Bridge: 192.168.2.1/24 (DHCP Server)
      '-----+------' 
            |
        LAN | 192.168.2.1 (DHCP)
            |
            |
    ...-----+------... (Clients/Servers)

Bei der Hardware handelt es sich um einen AliExpress-PC (vermute Qotom) mit Intel-Atom C3000 CPU, 32Gb Ram, 4xSfp + 4x RJ45. Das ONT in Form eines Sfp-Moduls ist das halbwegs bekannte FS.com GPON mit MAC.
OpnSense läuft direkt ohne VM auf der Hardware. Interfaces:

ix0 - ix3 -> Sfp+-ports
igc0- igc3 -> RJ45-ports

Da ich kein Netzwerkprofi bin, habe ich versucht alles erstmal etwas einfacher zu halten und nur die Einstellungen verändert/konfiguriert, die ich verstehe oder notwendig sind.

Dazu gehört:
Interfaces zugeordnet
ix0 -> WAN
ix1-ix3+igc0-igc3 -> opt1-7 -> bridge -> LAN

VLAN7 + VLAN99 -> parent ix0
(für den Telekom-GF-Anschluss - PPPoe fehlt noch, ist mir bewusst - dazu später mehr)

Lan-Brücke und physischem WAN-port statische IPv4 zugewiesen, DHCP ein
SSH-Access für den root-Account erlaubt
Outbound-NAT auf das physische WAN-Interface angewendet
Intel QAT aktiviert

Ein paar tunables verändert (wie im Guide für Lan-Brücke Beschrieben)

Das sollte es schon gewesen sein.

Nachdem der GF-Anschluss gestern wohl freigeschaltet wurde, wollte ich zuerst die S/N des ONTs bei der Telekom registrieren lassen - dazu bekommt man einen Link, bei der man das selbst ohne Telefonkontakt erledigen kann - allerdings gibt die Maske im Eingabefenster das Format vor und dort passt die S/N des FS-ONTs nicht hinein. Also gut, dann eben die S/N im ONT ändern, sollte bei diesem Modul ja per SSH problemlos möglich sein.
Leider aber bekomme ich das nicht hin.
Das ONT lässt sich problemlos anpingen, bei versuchtem SSH Zugriff über die Opnsense-Shell bekomme ich jedoch den Fehler dass der SSH-Handshake aufgrund inkompatibler Keys nicht ausgehandelt werden kann (?), bei direktem SSH-Zugriff über einen Client bekomme ich gar keine Antwort.

Ich habe schon gelesen, dass das wohl daran liegen kann, dass der Zugriff nur möglich ist wenn das ONT aktiv ist. Aber wann ist es denn aktiv? Wenn das Modul eingesteckt ist? Oder die Faser angeschlossen ist? Oder erst wenn der WAN-Zugang funktioniert?
Mir stellt sich auch die Frage ob das ONT einen DHCP-Server stellt oder ob die IP einfach nur statisch ist. Im ersten Fall wäre natürlich ein IP-Adresskonflikt möglich - Pingen geht ja aber...

Abgesehen davon dass die Konfig für den WAN-Anschluss noch nicht abschließend möglich ist - habe keine Zugangsdaten für die PPPoE-Einwahl - wäre mein Ziel jetzt also erstmal, eine zuverlässige SSH-Verbindung zum ONT herzustellen.

Wer hat einen heißen Tipp?
January 31, 2025, 05:25:40 PM #1 Last Edit: January 31, 2025, 05:44:21 PM by motorsense1
Hallo,

bin zwar auch Telekom FTTH Kunde, aber kenne die Selbstregistrierungswebsite nicht. Falls diese Seite nur 16 Stellen bei der GPON ID zulässt, musst du die ersten 4 Stellen der GPON ID des FS.com Moduls in HEX umrechnen. Weiß gerade nicht mehr, wie die GPON ID auf dem FS.com stand.
Aufbau GPON ID:
12 Stellig: 4 Stellen ASCII + 8 Stellen HEX
16 Stellig: 8 Stellen HEX + 8 Stellen HEX

Um von einem Client auf das Modul zu kommen, musst du Outbound NAT einrichten. Dazu auf Firewall->NAT->Außgehend auf Hybrid umstellen. Dann eine neue Regel erstellen:
Schnittstelle WAN
Quelladresse: LAN Netzwerk
Zieladresse: 192.168.1.0/24
Übersetzung/Ziel: Schnittstellenadresse

Nach Übernehmen der Regel solltest du von einem Client mit z. B. PUTTY auf das Modul kommen. Falls du die GPON ID auf die des GF Modems ändern willst, umgekehrt die ersten 8 Stellen von HEX in ASCII umrechnen und dann eingeben.

Bitte berichtigt mich, wenn ich falsch liege, aber das mit der Bridge solltest lieber lassen. Das funktioniert wohl unter BSD nicht richtig.

Grüße
AMD 7840HS 8C/16T, 32GB DDR5, 256 GB NVMe, Broadcom BCM957810A1006G, FS.com GPON-ONU-34-20BI
1060 down / 530 up Bufferbloat A+
January 31, 2025, 05:38:19 PM #2 Last Edit: January 31, 2025, 05:41:00 PM by meyergru
1. Das Format der S/N der Geräte ist ziemlich verworren. Teilweise wird die gesamte S/N in Hex angegeben, teilweise vorne die Herstellerbezeichnung im Klartext, gefolgt von Hexziffern (z.B. Nokia/Alcatel "ALCLf9ea6a57"). Man kann das an der Länge ablesen.

2. Wenn Du vom SSH-Client eine Fehlermeldung bekommst, geht die IP-Verbindung trotz nicht aktiver Glasfaser (hängt vom Modul ab). Modernere SSH-Clients haben aber die alten Kryptografieverfahren per Default nicht aktiviert, Du musst vermutlich ssh so aufrufen:

Code Select
ssh -o HostkeyAlgorithms=+ssh-rsa -o PubkeyAcceptedAlgorithms=+ssh-rsa -o KexAlgorithms=+diffie-hellman-group1-sha1 xyz
Intel N100, 4 x I226-V, 16 GByte, 256 GByte NVME, ZTE F6005

1100 down / 440 up, Bufferbloat A+
January 31, 2025, 08:30:11 PM #3
Das mit der Registrierseite scheint auch relativ neu zu sein. Der Techniker hat im Prinzip nur die GF-TA gesetzt und eine "Glasfaser-ID" hinterlassen. Über diese ID kommt man dann auf die Registrierseite der Telekom und kann die Modem-ID eintragen.
Die Maske lässt sowohl 12- als auch 16-stellige IDs zu. Auf dem FS-Modul ist aber eine 11-stellige S/N aufgedruckt. Ein Buchstabe gefolgt von 10 Ziffern (z.B. A0123456789). Ist dann der Buchstabe in Hex umzuwandeln und die anderen Ziffern unverändert einzutragen? Dann würde zumindest eine 12-stellige ID rauskommen. Oder sollte ich lieber gleich den gesamten ASCII/Hex-Mischmasch in 16-stelligen Hex umwandeln? Aber woher weiß was an der Nummer dann Hex ist und was ASCII...?

Die Outbound-NAT-Regel habe ich ja schon eingerichtet, aber vermutlich ist mir da ein Fehler unterlaufen, das gucke ich mir daheim noch Mal an. Ich glaube ich habe als Quelle den WAN-Port angegeben und nicht das LAN-Netzwerk.

Danke auch für den Tipp mit dem SSH-Key. Allerdings verstehe ich nicht warum man auf einem aktuellen/neu verkauften ONT mit veralteten Key-Algorithmen arbeitet. Naja was soll's...
Habe bisher immer von der Windows-Konsole versucht zuzugreifen, die hat eine Shell integriert. Das funktioniert zu OpnSense auch ganz gut. Dann sollte das auch ohne PUTTY gehen oder?

Die Einschränkungen mit der LAN-Brücke sind mir bekannt, allerdings nur soweit dass eben der Ressourcenverbrauch relativ hoch ist und daher die Performance leiden kann. Sollte aber mit dem 8-Kern Atom kein Problem sein, zudem ist bei mir kein extremer Traffic zu erwarten. Ein zusätzlicher Switch wäre bei mir äußert ungeschickt, da der Rechner in einem Unterputz-Medienverteiler steckt und es da schon relativ eng her geht. Thermisch wäre das grenzwertig, außerdem müsste ich Kabel ziehen und darauf hab ich vorerst keine Lust. Oder gibt es da noch mehr Probleme?
January 31, 2025, 09:06:23 PM #4
Quote from: J.L. on January 31, 2025, 08:30:11 PMAuf dem FS-Modul ist aber eine 11-stellige S/N aufgedruckt.
Habe mir gerade mal ein Foto des Moduls angeschaut, das Aufgedruckte ist die SN, nicht die GPON ID.Da kommst wohl nicht ums auslesen per SSH herum.
AMD 7840HS 8C/16T, 32GB DDR5, 256 GB NVMe, Broadcom BCM957810A1006G, FS.com GPON-ONU-34-20BI
1060 down / 530 up Bufferbloat A+
January 31, 2025, 09:18:25 PM #5 Last Edit: January 31, 2025, 09:33:49 PM by meyergru
Ich weiß nicht, was FS.COM da für eine S/N hat. Wenn Du SSH-Zugriff bekommst, kannst Du vermutlich die richtige ID auslesen. Eine Seriennummer kann ja auch "nur" eine Fabrikationsnummer sein.

Es kann noch Probleme mit dem Modul geben, weil erfahrungsgemäß GPONs sehr viel Strom ziehen, was einerseits Temperaturprobleme verursachen kann und andererseits auch teilweise in manchen SFP-Slots gar nicht geht. Nebenbei sind die Module oft sehr komplex aufzusetzen, siehe auch hier.

Was den veralteten SSH-Server angeht: Diese GPON-Module wurden überwiegend vor 10 Jahren und mehr entwickelt (aktuell sind wir ja bei XGS-PON). Oft basierte das auf OpenWRT-Versionen, die meist dropbear als SSH-Daemon verwenden. Wenn die Firmware dann einmal stabil läuft, gibt es meist keine Updates mehr dafür. Clients dagegen werden irgendwann aktualisiert und dann werden die Diskrepanzen sichtbar.
Intel N100, 4 x I226-V, 16 GByte, 256 GByte NVME, ZTE F6005

1100 down / 440 up, Bufferbloat A+
February 01, 2025, 08:09:43 PM #6
Es läuft 👌

Habe zwar bis zum Schluss keinen Zugriff vom Client auf den ONT gehabt (trotz mehrfacher Überprüfung der NAT-Regel) allerdings ging es über die Opnsense-Shell. Danke euch :)

Scheinbar braucht man wohl auch nichtmal mehr Zugangsdaten für den PPPoE-Zugang. Habe dort nur "Test" eingetragen und damit läuft es... Oder meine Fantasie-Zugangsdaten wurden während der Konfiguration vom OLT übernommen.

Das die Sfp-Modems schwer einzurichten sind kann ich so nicht bestätigen. Eingesteckt - läuft (zumindest hardwareseitig) Allerdings habe ich auch den Intel-codierten geordert. Ich denke das die Vendor-ID die einzige wirkliche Hürde ist. Und da der SFP-Standard aus der Industrie und nicht dem Consumer-Bereich kommt, kocht eben jeder sein eigenes Süppchen. Möglicherweise ist der X533 aber auch großzügiger was das angeht, who knows.

Ja, das Modul wird warm, aber der Energieverbrauch hält sich absolut gesehen in Grenzen. Laut FS unter 2 Watt - das sollte weniger als bei einem externen ONT sein. Das Problem ist eher der kompakte Formfaktor, und wenn dann nebendran noch zwei 10g-RJ45 Heizgeräte stecken raucht das vermutlich ab. Auf lange Sicht werde ich aber im Verteiler noch für etwas Belüftung sorgen, dann hab ich da keine Bedenken.

Abschließend nochmals Danke euch 👍
Print
Go Up Pages1
User actions