Stiegeler Glasfaser mit Opnsense.

[der-itler]

Hallo liebes Forum,

aktuell habe ich einen Glasfaseranschluss von Stiegeler. Derzeit führt das Glasfaserkabel direkt in das GPON-Modul meiner Fritzbox 5590 Fiber.

Zukünftig würde ich die Fritzbox jedoch gerne nur noch für die Telefonie nutzen und sie per Kupferkabel an meiner OPNsense betreiben. Deshalb würde ich gerne die OPNsense direkt am Glasfaseranschluss betreiben, also ohne ein separates ONT dazwischen.

Die Hardware dafür habe ich noch nicht, da bin ich noch völlig frei. Ich hatte an einen kleinen Mini-PC gedacht, der einen SFP-Port besitzt.

Ist es möglich die OPNsense so zu konfigurieren, dass sie direkt am Glasfaseranschluss betrieben werden kann? Hat jemand Erfahrungen mit einem solchen Setup?

Vielen Dank!

[Patrick M. Hausen]

Kipp doch mal "glasfaser sfp+" in die Suchfunktion, da findest du jede Menge Threads zum Thema.

[meyergru]

Das würde ich nicht machen:

1. SFP-ONTs für GPON werden meist sehr heiß aufgrund der Baugröße, was praktisch aktive Kühlung erzwingt (die aber am Slot nicht gut wirkt). Über XGS-PON wollen wir lieber schweigen...

2. Die Geschwindigkeiten könnten technisch 1, 2.5 oder 10 Gbps sein. Die meisten SFP-GPONs könnten nur 1 und vielleicht auch 2.5 Gbps, aber letzteres nur mit SGMII, was die meisten SFP+-Slots nicht können. De facto also Beschränkung auf 1 Gbps, was je nach Tarif, Provisionierung und Übertragungsprotokoll (DHCP vs. PPPoE) eine Einschränkung sein kann (siehe meine Signatur).

Externe ONTs werden meist kostenlos mitgeliefert, können aufgrund der Endgerätefreiheit aber durch eigene ersetzt werden, was a. die Möglichkeit bietet, solche mit 2.5 Gbps statt 1 Gbps einzusetzen (wird auch von den meisten Mini-PCs mit I225/6 unterstützt) und b. hat man damit ein Cold Standby. Es gibt z.B. den LXT-010H-D bei WISP.PL für < 40€.

Am Rande: Die "großen" Fritzboxen brauchen meist ziemlich viel Strom, dafür, dass man sie nur noch für Telefonie einsetzt. Eine 7530 ist da wesentlich sparsamer (<5 Watt). Man bekommt sie oft günstig in der Bucht. Das spart mehr als der kleine Unterschied zwischen externem ONT und SFP+-Modul (wenn er überhaupt existiert).

[Tuxtom007]

SFP-ONTs für GPON werden meist sehr heiß aufgrund der Baugröße, was praktisch aktive Kühlung erzwingt (die aber am Slot nicht gut wirkt). Über XGS-PON wollen wir lieber schweigen...

Das kann ich bestätigen, das Teil wird schon ohne gesteckte Glasfaser extrem heiss, ich weiss nicht, ob das eine lange Lebensdauer haben word, wenns im MiniPC eingesteckt ist.
Funktionieren tut es unter OPNSense, ich konnte schon auf die WebUI des Moduls zugreifen

[Maurice]

Warm werden sie, ja. Mein Zyxel PMG3000-D20B liegt dauerhaft über 60 Grad (ohne aktive Kühlung).
Dennoch hat diese Lösung ihre Vorteile (platzsparend, weniger Kabel, ein Netzteil weniger) und hat sich bei mir bewährt. Kompatibilitätsprobleme zwischen SFP und NIC sind aber wohl in der Tat häufiger als bei "normalen" SFPs.

OPNsense ist das übrigens völlig egal, aus dessen Sicht ist das einfach nur Ethernet (ggfs. mit VLAN und / oder PPPoE).

Falls es bei der Telefonie ausschließlich um DECT geht, dann würde ich eine dedizierte IP-DECT-Basis empfehlen. Die gibt es gebraucht sehr günstig, wahlweise auch mit PoE und sie sind  wesentlich stromsparender als jede Fritzbox.

Grüße
Maurice

[bamf]

Ich habe hier auch ein Zyxel PMG3000-D20B für den kommenden Telekom Glasfaser-Anschluss rumliegen.

Mein Router hat keine aktive Kühlung und wird so schon ziemlich heiß. Die SSDs kämpfen bei jedem Scrub oder SMART-Test mit der Hitze.  Wär das dann eher eine schlechte Idee, das Ding im SFP-Port zu verwenden?

Ich würde eigentlich gerne den I226-V komplett umgehen und alles über den X553 laufen lassen.

Wäre es möglich, einen kleinen Switch wie den Mikrotik CRS305 quasi als "externes Gehäuse" für das SFP-Modul zu verwenden? Mit Bridge auf dem Switch über die beiden Ports?

[Maurice]

Wäre es möglich, einen kleinen Switch wie den Mikrotik CRS305 quasi als "externes Gehäuse" für das SFP-Modul zu verwenden?

Klar, falls Du ohnehin einen Switch mit SFP-Ports hast, dann kann das GPON-SFP auch da rein.

Bei mir steckt es in einem kleinen MikroTik-Router (hEX S), der zum einen als Switch dient und zum anderen als PPPoE-Offloader.

[bamf]

Also baut der Switch bei dir die PPPoE Verbindung auf?

Das würde ich explizit nicht wollen. Mein Plan wäre, am Switch (CRS305-1G-4S+IN) zwei Ports zu bridgen, den Port, an dem der GPON Stick steckt sowie den Port, der zum Router geht. So dass die OPNSense direkt auf Layer 2 den GPON Stick sieht. Dann Einwahl über die OPNSense.

Mit meinem Netzwerk würde ich den Switch mit dem RJ45 Port verbinden und darüber zugleich via PoE speisen.

Dann auf der OPNSense eine VIP aus dem Subnetz des Sticks, damit ich auf die WebUI des Sticks komme.

Klingt der Plan so umsetzbar?

[Patrick M. Hausen]

[...] zum anderen als PPPoE-Offloader.

Wie geht das? Dann hat doch der hEX die öffentliche IP-Adresse auf seinem PPPoE-Interface? Oder gibt es da einen "Offload-Modus", von dem ich noch nichts mitbekommen habe?

[Maurice]

Also baut der Switch bei dir die PPPoE Verbindung auf?

Ja richtig, wobei "Router" es bei mir besser beschreibt, da ich das SFP explizit nicht bridge.

Mein Plan wäre, am Switch (CRS305-1G-4S+IN) zwei Ports zu bridgen, den Port, an dem der GPON Stick steckt sowie den Port, der zum Router geht. So dass die OPNSense direkt auf Layer 2 den GPON Stick sieht. Dann Einwahl über die OPNSense.

Das geht natürlich auch. Wobei das nur Sinn ergibt, falls Du auch Verwendung für die anderen Switch-Ports hast. Ansonsten wäre das Standalone-ONT der Telekom (Glasfasermodem 2) oder ein einfacher Media-Converter (1x SFP, 1x RJ45) naheliegender.

Wie geht das? Dann hat doch der hEX die öffentliche IP-Adresse auf seinem PPPoE-Interface?

Über ein eigenes Script. Die guten Scripting-Fähigkeiten sind etwas, was ich bei MikroTik sehr schätze.
Das Script entfernt die IPv4-Adresse vom PPPoE-Interface und fügt sie zum Pool des DHCPv4-Servers hinzu. Für IPv6 ist es noch einfacher, da generiert der DHCPv6-Client ohnehin einen Pool für das erhaltene PD-Präfix. Diesen Pool kann man dann wiederum im DHCPv6-Server verwenden.
Für LTE mache ich es ähnlich (im USB-Port des hEX S steckt ein LTE-Stick).

So habe ich eine saubere Aufgabentrennung: Der hEX S beherbergt die "spezielle" Hardware (ONT, LTE-Modem) und kümmert sich um deren Protokolle (PPPoE, MBIM). OPNsense macht einfach nur DHCP über Ethernet.

Grüße
Maurice

[Maurice]

Dann auf der OPNSense eine VIP aus dem Subnetz des Sticks, damit ich auf die WebUI des Sticks komme.

Das wäre in diesem Fall keine VIP, sondern eine normale Interface-Adresse. Denn das eigentliche WAN-Interface ist dann ja ein PPPoE-Device.

[Patrick M. Hausen]

Das Script entfernt die IPv4-Adresse vom PPPoE-Interface und fügt sie zum Pool des DHCPv4-Servers hinzu.

Und dann? Bridge? Das ist für die OPNsense dann doch eine Broadcast-Domain, also mindestens /30. Und sie braucht einen Default-GW und da muss jemand auf ARP antworten ...?

Das ist ja mal echt interessant, hast du da Links zu?

[bamf]

Mein Plan wäre, am Switch (CRS305-1G-4S+IN) zwei Ports zu bridgen, den Port, an dem der GPON Stick steckt sowie den Port, der zum Router geht. So dass die OPNSense direkt auf Layer 2 den GPON Stick sieht. Dann Einwahl über die OPNSense.

Das geht natürlich auch. Wobei das nur Sinn ergibt, falls Du auch Verwendung für die anderen Switch-Ports hast. Ansonsten wäre das Standalone-ONT der Telekom (Glasfasermodem 2) oder ein einfacher Media-Converter (1x SFP, 1x RJ45) naheliegender.

Ich habe ja den ONT-Stick der Telekom, also den Zyxel PMG3000-D20B. Mein Ziel ist es, den I226-V im Router gar nicht zu verwenden, also kein RJ45. Den Switch würde ich nur als externes Gehäuse verwenden wollen, um der Hitzeentwicklung entgegenzuwirken. Den würde ich auch extra dafür anschaffen.

Externe ONTs mit SFP-Uplink zum Router scheint es ja nicht zu geben? Ich habe zumindest bisher keine gefunden.

[meyergru]

Ich verstehe den Ansatz nicht:

Du willst einen extra Switch anschaffen, in den dann ein GPON-SFP-Modul gesteckt wird und den Switch dann auch per DAC-Kabel an einen SFP-Port des Routers anschließen?

Im Gegensatz zu: Einfach einen externen ONT per RJ45 mit dem Router zu verbinden?

[Maurice]

Und dann? Bridge?

Nein, klassisches Routing.

Das Script tut natürlich noch etwas mehr. :) Es berechnet das kleinstmögliche Subnetz, in das neben der öffentlichen IPv4-Adresse noch eine zweite passt. Das Interface, auf dem der DHCPv4-Server läuft wird dann mit dieser zweiten Adresse konfiguriert, außerdem wird sie im DHCPv4-Server als Gateway-Adresse konfiguriert.

Ja, eine Handvoll öffentliche IPv4-Adressen wird dadurch unerreichbar. Praktische Auswirkungen hatte das bisher nie. Das sind ja Adressen, die anderen Kunden des ISPs dynamisch zugewiesen werden und die sehr wahrscheinlich keine Dienste hosten, auf die ich zugreifen müsste.

Das ist ja mal echt interessant, hast du da Links zu?

Ich kann die Konfiguration gerne mal in ein Gist schieben. Würde es aber vorher noch etwas bereinigen und dokumentieren. Besteht konkretes Interesse?