pfSense mit Swisscom FTTH

Author: | Posted in FreeBSD, pfSense 32 Comments

Wer zu den glücklichen zählt und bereits einen Glasanschluss von Swisscom zu Huase, dürfte von der Swisscom einen Centro Router (Update 30. Mai 2015: einen Internet Box Router) erhalten. Für die meisten Benutzer dürfte dieser Router vollkommen ausreichen. Möchte man jedoch die Möglichkeiten des FTTH Anschlusses voll ausschöpfen, bietet sich da pfSense an, eine auf FreeBSD basierende Firewall Distribution.

Um den Glas Anschluss überhaupt mit pfSense benutzen zu können, benötigt man einen Media Converter (1310 nm TX/1550 nm RX, Simplex Single Mode Fiber), wie beispielsweise den Planet FT-806A20, welchen man bei Techmania für gut 100 Fr. bekommt.

Zusätzlich zum Media Converter benötigt man ein Interface, welches VLAN Tagging beherrscht, wie z.B. die Intel 1000 Karten.

Hat man die Hardware zusammen, kann es zur Konfiguration gehen:Auf dem WAN Interface ein VLAN mit der ID 10 konfigurieren. Der Traffic nach draussen darf ausschliesslich nur über das VLAN ID 10 gehen.

Anschliessend muss die DHCP Option 60 korrekt gesetzt werden. Leider kann man mit der akutellen pfSense 2.1 Version diese Option nicht übers Webinterface setzen, weshalb diese Option manuell gesetzt werden muss. Hierfür editieren wir das File /etc/inc/interfaces.inc und suchen die Stelle, wo das dhclient.conf erstellt wird.

$dhclientconf .= <<<EOD
interface "{$wanif}" {
timeout 60;
retry 1;
select-timeout 0;
initial-interval 1

In die Interface Definition setzt man die DHCP Option:

send dhcp-class-identifier "100008,0001,,pfSense dhclient 2.1";

Und so sollte die Stelle dann aussehen

$dhclientconf .= <<<EOD
interface "{$wanif}" {
send dhcp-class-identifier "100008,0001,,pfSense dhclient 2.1";
timeout 60;
retry 1;
select-timeout 0;
initial-interval 1

Zum Abschluss muss die Firewall neu gestartet werden.
Wenn alles korrekt gemacht wurde, sollte nun die Option 60 korrekt gesendet werden.

Screenshot from 2013-10-15 141210

Anmerkung

  • Wenn man die NanoBSD Version verwendet, muss das / zuerst read/write gemountet werden. Wie das geht, ist hier beschrieben.
  • Schliesst man die pfSense direkt an den FTTH Anschluss und schickt DHCP Requests ohne die Option 60, wird der Anschluss für ca. 60 Minuten gesperrt.

 

Update (30. Mai 2015)

Um Gigabit Speed zu nutzen, benötigt man einen TP-Link MC220L Media-Converter, den man für für weniger als 30 Franken bekommt – siehe Toppreise.

Im Gegensatz zum weiter oben erwähnten 100 MBit Media Converter Planet FT-806A20, benötigt man beim TP-Link MC220L ein SFP Modul, welches man sich extra beschaffen muss. Wenn man von der Swisscom den Internet Box Router erhalten hat, kann man das mitgelieferte SFP Modul im TP-Link MC220L benutzen.

Falls man kein SFP Modul hat, muss man sich eines mit den oben genannten Spezifikationen beschaffen. Die Wellenlänge ist für 100 MBit und Gigabit die gleiche.

Für die Konfiguration von pfSense für Swisscom TV und 6rd für IPv6, hat TuxOne einen einen Beitrag in seinem in seinem Blog erstellt.

 

Update (5. September 2016)

Wer pfSense mit Swisscom TV benutzen möchte, sollte den pfSense Bug #6099 beachten: Demnach funktioniert der IGMP Proxy nicht mit VLAN interfaces. Für Swisscom TV müssen in diesem Fall dedizierte Interfaces benutzt werden.

 

Update (2. Oktober 2016)
Mit pfSense 2.3 muss man die dhclient.conf nicht mehr manuell anpassen. Die dhclient.conf kann nun in der Interfaces Konfiguration angepasst werden. Herzlichen Dank an Steven für den Hinweis.
pfsense-2-3-wan_options-02
Ich werde immer wieder gefragt, ob ich mit diesem Setup auch Swisscom TV benutzen konnte. Ja, dass geht. Mit der Anleitung von TuxOne geht dies problemlos – auch Live TV über Multicast. Man muss allerdings beachten, dass man aufgrund des Bugs #6099 den IGMP Proxy nicht auf VLAN Interfaces benutzen kann. Ich hatte pfSense in einer ESXi VM am Laufen und habe die VLANs auf dem Hypervisor gemacht. Wer physische Hardware verwendet, sollte dedizierte Interfaces verwenden.
Weiter sollte man beachten, dass man Switches benutzt, welche IGMP Snooping unterstützen. Wer 4k schauen möchte, sollte allerdings über Switches mit entsprechendem Durchsatz verwenden. Der weit verbreitete Netgear GS108Tv2 Switch ist für 4k zu schwach.
Comments
  1. Posted by Asaper
    • Posted by Ihsan Dogan
      • Posted by Asaper
  2. Posted by Benedikt Thelen
    • Posted by Ihsan Dogan
  3. Posted by Flavio
    • Posted by Ihsan Dogan
      • Posted by Flavio
        • Posted by Flavio
          • Posted by Ihsan Dogan
        • Posted by Ihsan Dogan
  4. Posted by Ralph
    • Posted by Ihsan Dogan
      • Posted by Ralph
        • Posted by Ihsan Dogan
          • Posted by Ralph
        • Posted by Ihsan Dogan
  5. Posted by at-f
    • Posted by Ihsan Dogan
      • Posted by at-f
        • Posted by Ihsan Dogan
  6. Posted by Daniel
    • Posted by Ihsan Dogan
      • Posted by Daniel
  7. Posted by Oli
    • Posted by Ihsan Dogan
      • Posted by Oli
        • Posted by Oli
  8. Posted by Steven
  9. Posted by Steven
  10. Posted by Steven
  11. Posted by Marco

Add Your Comment