pfSense mit Swisscom FTTH
Wer zu den glücklichen zählt und bereits einen Glasanschluss von Swisscom zu Huase, dürfte von der Swisscom einen Centro Router (Update 30. Mai 2015: einen Internet Box Router) erhalten. Für die meisten Benutzer dürfte dieser Router vollkommen ausreichen. Möchte man jedoch die Möglichkeiten des FTTH Anschlusses voll ausschöpfen, bietet sich da pfSense an, eine auf FreeBSD basierende Firewall Distribution.
Um den Glas Anschluss überhaupt mit pfSense benutzen zu können, benötigt man einen Media Converter (1310 nm TX/1550 nm RX, Simplex Single Mode Fiber), wie beispielsweise den Planet FT-806A20, welchen man bei Techmania für gut 100 Fr. bekommt.
Zusätzlich zum Media Converter benötigt man ein Interface, welches VLAN Tagging beherrscht, wie z.B. die Intel 1000 Karten.
Hat man die Hardware zusammen, kann es zur Konfiguration gehen:Auf dem WAN Interface ein VLAN mit der ID 10 konfigurieren. Der Traffic nach draussen darf ausschliesslich nur über das VLAN ID 10 gehen.
Anschliessend muss die DHCP Option 60 korrekt gesetzt werden. Leider kann man mit der akutellen pfSense 2.1 Version diese Option nicht übers Webinterface setzen, weshalb diese Option manuell gesetzt werden muss. Hierfür editieren wir das File /etc/inc/interfaces.inc und suchen die Stelle, wo das dhclient.conf erstellt wird.
$dhclientconf .= <<<EOD
interface "{$wanif}" {
timeout 60;
retry 1;
select-timeout 0;
initial-interval 1
In die Interface Definition setzt man die DHCP Option:
send dhcp-class-identifier "100008,0001,,pfSense dhclient 2.1";
Und so sollte die Stelle dann aussehen
$dhclientconf .= <<<EOD interface "{$wanif}" { send dhcp-class-identifier "100008,0001,,pfSense dhclient 2.1"; timeout 60; retry 1; select-timeout 0; initial-interval 1
Zum Abschluss muss die Firewall neu gestartet werden.
Wenn alles korrekt gemacht wurde, sollte nun die Option 60 korrekt gesendet werden.
Anmerkung
- Wenn man die NanoBSD Version verwendet, muss das / zuerst read/write gemountet werden. Wie das geht, ist hier beschrieben.
- Schliesst man die pfSense direkt an den FTTH Anschluss und schickt DHCP Requests ohne die Option 60, wird der Anschluss für ca. 60 Minuten gesperrt.
Update (30. Mai 2015)
Um Gigabit Speed zu nutzen, benötigt man einen TP-Link MC220L Media-Converter, den man für für weniger als 30 Franken bekommt – siehe Toppreise.
Im Gegensatz zum weiter oben erwähnten 100 MBit Media Converter Planet FT-806A20, benötigt man beim TP-Link MC220L ein SFP Modul, welches man sich extra beschaffen muss. Wenn man von der Swisscom den Internet Box Router erhalten hat, kann man das mitgelieferte SFP Modul im TP-Link MC220L benutzen.
Falls man kein SFP Modul hat, muss man sich eines mit den oben genannten Spezifikationen beschaffen. Die Wellenlänge ist für 100 MBit und Gigabit die gleiche.
Für die Konfiguration von pfSense für Swisscom TV und 6rd für IPv6, hat TuxOne einen einen Beitrag in seinem in seinem Blog erstellt.
Update (5. September 2016)
Wer pfSense mit Swisscom TV benutzen möchte, sollte den pfSense Bug #6099 beachten: Demnach funktioniert der IGMP Proxy nicht mit VLAN interfaces. Für Swisscom TV müssen in diesem Fall dedizierte Interfaces benutzt werden.
Bin selber in Zürich am Swisscom FTTH, habe aber einen anderen Anbieter. Welche Media Converter sind den Empfehlenswert? Bis jetzt hab ich noch nicht all zu viel aufschlussreiche Infos dazu finden können.
Mögliche 100BaseFX/100BaseTX Media Converter die ich ausser den oben genannten auf anhieb fand:
CVT-2512W2A(SM-20)-LC
http://www.studerus.ch/de/products/media-konverter-ftth-fe/
Dlink DMC-300SC
http://www.dlink.com/-/media/Business_Products/DMC/DMC%20300SC/Datasheet/DMC-300SC_ds.pdf
Gibts da Spreu und Weizen, oder kann bedenkenlos zu gegriffen werden?
Von FX Netzwerken hab ich schlicht keine Ahnung, weshalb ich für Tips natürlich sehr Dankbar wäre!
Der von CTS CVT-2512 Studerus beherrscht VLAN tagging. Das heisst, dass man Kupfer Port ungetaggte Pakete raus lassen kann. Falls du jedoch VLAN tagging mit deinem Router machen kannst, würde ich den billigeren Planet FT-806A20 nehmen.
Ich persönlich für eher den FT-806A20 nehmen. Der CVT-2512 soll auch funktionieren, bringt jedoch eine grössere Komplexität mit sich, was eine zusätzliche Fehlerquelle ist.
Habe gerade vom ISP support erfahren das die EWZ mir ein Gerät stellen wird, das vorgeschrieben ist. Dies obschon der Hausanschluss eigentlich durch die Swisscom gemacht wurde.
http://dkt.net.dynamicweb.dk/Products/Optical/01.-FTTH-CPE-gateways.aspx?M=Shop&PID=161&ProductID=140
Ich hab also eh nicht die Wahl.
Ich nehme an das hat mit speziellen Regelungen im Zusammenhang mit diesem Zürinet projekt zu tun. Ausserdem hab ich natürlich auch einen Privatkundenanschluss bestellt. Ich werde auch nur eine IPv6 bekommen.
Die DHCP option 60 definiert den vendor class ID des clients. Kann der wert hierdrin irgend einer sein (sollte natürlich sinn machen)?
Relevant sind nur die ersten beiden Zahlen, mit denen der ISP bestimmt wird.: 100008,0001.
Was hinter diesen Zahlen steht, ist egal.
Hey Ihsan, danke für deine Anleitung.
Ich kämpfe gerade mit einem Setup in dem ein ZyXEL FMG2035 als Bridge konfiguriert sein sollte und dahinter ein Ubiquiti EdgeRouter LITE als DHCP Client die öffentliche IP erhalten sollte.
Ich hab’s soweit hingekriegt, dass das Ubiquiti Gerät korrekt die DHCP Option 60 versendet (hab’s auf Wireshark), jedoch krieg ich dennoch keine IP auf dem Interface. Ich hab’s so konfiguriert, dass das VLAN 10 mit Priorität “3” (802.1p) auf dem WAN drauf ist und zugleich auch “Enable VLAN on LAN side”. Somit hab ich dann das VLAN auf dem eth1 Port des Ubiquiti getagged, bin aber bislang erfolglos…
Hast du irgendwelche Vorschläge/Tipps?
Danke und Gruss,
F.
Hallo Flavio,
Von Schiff aus die Lage zu beurteilen ist ein bisschen schwierig. Wenn du den Swisscom Router anschliesst, kriegst du dann noch IP? Evtl. wurdest dein Anschluss für eine Stunde gesperrt.
Hy Ihsan…
Ich hab nun was anderes am Laufen, kriege es aber dennoch nicht hin: auf dem Cisco Switch (SG500X-24P) hab ich das SFP vom Swisscom-Geräte reingesteckt und darauf das VLAN 10 tagged konfiguriert. An einem anderen Port (1/1/24) hab ich mein Ubiquiti Gerät angeschlossen und diesen Switchport untagged im VLAN 10 gesteckt. Wieso meinst du, läuft’s so nicht?
F.
OK, update: nach langem rumpröbeln hat sich nun die Public IP auf meinem Ubiquiti Router festgesetzt… leider kann ich diese aber NICHT pingen!!!
Was macht Swisscom hier?
F.
Die Swisscom blockt eigentlich keinen Traffic. Ich tippe mal vorsichtig darauf, dass evtl. etwas an deiner Konfiguration nicht stimmt.
tcpdump hilft hier weiter. 🙂
Die Swisscom sperrt nur, wenn die Option 60 nicht korrekt gesetzt wird. So lange die Option gesendet wird, funktionierts.
Hallo Ihsan,
hast du die pfSense nachwievor erfolgreich direkt am Glasfaseranschluss in Betrieb?
Ich scheitere momentan dabei, SCTV bzw. den IGMP-Proxy zu nutzen. Hast du SCTV ebenfalls in Benutzung?
Sobald ich die IGMP Proxy Konfiguration wie hier beschrieben (http://www.tuxone.ch/2012/06/pfsense-21-mit-swisscom-access.html) aktiviere, verliert mein Media Converter den Link auf Glasfaserseite für ca. 3 Minuten. Sobald der Link zurück ist UND auch die IGMP Proxy Konfiguration deaktiviert ist, läuft die Internetverbindung einwandfrei weiter. Nur leider gibt’s kein SCTV ohne diesen IGMP Proxy.
Merci und Grüsse
Hallo Ralph,
Passiert das ausschliesslich mit Multicast oder passiert das auch wenn “normalen” Traffic auf der Leitung hast?
Hallo Ihsan,
vielen Dank für deine schnelle Rückmeldung. Der Linkabbruch passiert sobald ich die IGMP Proxy Einstellungen in der pfSense aktiviere und die Firewall-Einstellungen wie im verlinkten Blog-Post von Tuxone übernehme. Wenn nur eines von beidem konfiguriert ist, bricht der Link nicht ab.
Ohne diese Einstellungen läuft die Verbindung stabil und schnell. Es sieht also so aus, dass sobald das Multicast-Zeug raus geht, der Link abbricht.
Nutzt du auch Swisscom TV hinter der pfSense?
Was ich hier noch nicht erwähnt habe: Der Linkabbruch scheint so weit zu gehen, dass meine Nachbarschaft auch davon betroffen ist. Auf Swisscom-Seite scheint da eine Komponente abzustürzen und 2-3 Minuten für einen Neustart zu brauchen.
Mit der Internet-Box funktioniert (leider) alles einwandfrei…
Merci und Grüsse
Ralph
Hallo Ralph,
Ja, ich nutze ebenfalls Swisscom TV mit der pfSense. Funktioniert so weit einwandfrei.
Das tönt ein bisschen nach einem Problem in der Zentrale.
Hast du bei der Internet-Box das 100 MBit SFP oder das Gigabit SFP in Betrieb?
Falls du ein Gigabit SFP hast, wäre es interessant, wenn du den Test mit einem Centro Router machen könntest. Der Centro Router hat ebenfalls ein 100 MBit Interface und du müsstest den gleichen Fehler haben wie mit der pfSense.
Hi Ihsan,
Ich habe eine Internet-Box mit einem Gigabit-SFP (welches nun im Media Converter steckt) und einen Centro Grande mit fix eingebautem 100 MBit SFP (weil die 300 MBit-Option erst später aufgeschaltet wurde).
Der Anschluss / Swisscom TV funktioniert mit *beiden* Geräten von Swisscom einwandfrei.
Zwischenzeitlich habe ich die pfSense noch auf komplett anderer Hardware installiert -> leider dasselbe Phänomen.
Darum (und weil die x86 Box sowieso nur eine Übergangslösung darstellt) bin ich jetzt bei einer anderen Router-Software gelandet -> MikroTik RouterOS. Hier funktioniert alles einwandfrei.
Danke für deinen Support und Grüsse
Ich konnte den Fehler mittlerweile reproduzieren, kann aber nicht sagen was die Ursache ist. Das Problem trat aber nur auf der neuen Gigabit Infrastruktur auf.
Hallo, wie ist das denn mit der IP Zuweisung bei swisscomm fibre? Werden da adressen per dhcp vergeben und bleiben erhalten, solange man nichts am router oder dessen mac ändert? Also wie bei Cable?
Oder wird die IP zwangsweise geändert (zeitintervall oder router restart)?
Die IP Zuweisung erfolgt über DHCP und so lange man online ist, bleibt sie gleich. Meistens auch nach einem Restart des Routers.
Falls sich die MAC Adresse des Routers ändert, muss man Pairing neu machen und das führt Zwangsweise zu einer neuen IP.
Ok, Danke. Also ein Zeitlimit gibt es keines. Könntest Du das “meistens” etwas genauer erläutern? Gibt es da ein erkennbares Muster?
Ist es so, dass man im Grunde nur eine neue IP bekommt, wenn sich die Router MAC ändert oder wird z.B. bei längerem Ausschalten des Routers die Wahrscheinlichkeit hoch, dass es eine neue gibt.
Der Grund der Frage ist, dass ein kleiner Gameserver dahinter laufen soll bei dem es gut wäre, wenn die IP möglichst lange gleich bleibt. 🙂
Much appreciated!
Nach meinen Erfahrungen ändert sich die IP über Monate hinweg nicht, dass heisst, auch nauch einem Reboot des Routers bekommt man die gleiche IP.
Eine neue IP gibt es sehr unregelmässig (vielleicht 1-2 mal im Jahr). Ich nehme mal an, dass dies mit Wartungsarbeiten zu tun hat.
Wenn sich die MAC Adresse des Routers ändert, muss man das Pairing neu machen. Das heisst, die MAC Adresse mit dem Kunden verknüpfen. Das ist ein manuelles Prozedere mit einem Browser, was man nur beim ersten Mal macht.
Habt ihr das aktuell noch so in Betrieb?
Bei mir hat das ganze über ein Jahr lang sehr gut funktioniert.
Seit gestern erscheint beim Surfen die Meldung “Der Anschluss muss registriert werden” wenn ich den Anschluss registriere läuft der inet Zugang für ein paar Minuten und dann erscheint wieder die Meldung “Der Anschluss muss registriert werden”
Mit dem originalen Swisscom Router funktioniert es problemlos. Einer eine Idee was hier angepasst wurde? Resp. was angepasst werden muss damit die pfsense wieder funktioniert?
Ist das nach einen Upgrade von pfSense passiert?
Nein, einfach auf einmal am Morgen als ich aufgewacht bin war das so..
Eine Idee woran das liegen könnte?
Gibts auch eine Anleitung für FTTH von den SGSW ?
Habe einen clearfog pro mit passendem SFP Modul und würde das gern in Betrieb nehmen. Habe auch das VLAN Tagging auf 132 gesetzt wie mir gesagt wurde, aber am dhclient hab ich nix angeruehrt und ich erhalte auch 0 Pakete zurueck.
Waere schoen wenn sich damit auch wer auskennen wuerde??
Nicht von meiner Seite, aber vielleicht kann ja einer Kommentarschreiber helfen.
Hat sich erledigt – das board das ich benutze (clearfog pro) ist noch bissl sehr in Entwicklung. Mit Hilfe vom Support von solid-run hab ich jetzt ein Image bekommen das soweit gut ausschaut. Ich erhalte auch eine IP jetzt, aber eine bisschen komische. 172.x.x.x – das ist nicht meine statische IP die ich eigentlich erhalten sollte 😉
Vermute ich brauch da jetzt auch was spezielles mit der dhclient.conf – aber was muss da rein wenn man SGSW Kunde ist? Und wozu sind die Zahlen?
Kurzer Nachtrag, hier paar Auszüge:
root@clearfog:/home/debian# dhclient -v eth3
Internet Systems Consortium DHCP Client 4.3.1
Copyright 2004-2014 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/
Listening on LPF/eth3/00:50:43:41:be:f0
Sending on LPF/eth3/00:50:43:41:be:f0
Sending on Socket/fallback
DHCPDISCOVER on eth3 to 255.255.255.255 port 67 interval 8
DHCPREQUEST on eth3 to 255.255.255.255 port 67
DHCPOFFER from 172.22.0.2
DHCPACK from 172.22.0.2
bound to 172.22.125.x — renewal in 21008 seconds.
root@clearfog:/home/debian# cat /etc/resolv.conf
domain SGSW
search SGSW
nameserver 172.28.224.11
Ist halt leider überhaupt nicht das was ich eigentlich habe … die statische IP fängt glaub mit 84. an die ich gemietet habe 🙁
Und Internet klappt leider auch nicht, frage mich was da abgeht
Vielen Dank für deine Anleitung, mit der ich nun endlich die public IP wieder an der firewall terminieren kann! 🙂
Ich habe den GBIC aus der Internetbox direkt in den STP port meines switches gesteckt, diesen, sowie einen weiteren ins VLAN 10 genommen und beim dhclient die Option 60 (vendor-class-identifier) korrekt gesetzt. Dann DHCP gemacht und surfe nun komplett ohne die Internetbox! 😀
PS: Unter LINUX heisst die Option in dhclient.conf
NICHT:
send dhcp-class-identifier “100008,0001,,dhclient”;
SONDERN:
send vendor-class-identifier “100008,0001,,dhclient”;
Mit pfsense 2.3 ist übrigens kein rumfrickeln an den internen Dateien mehr nötig, da kann man unter WAN -> Advanced bei: “DHCP Client Configuration” die Option: “[X] Configuration Override” anklicken.
Dann macht man in pfsense eine neue Datei, z.B.: /etc/dhclient.conf mit folgendem Inhalt:
interface “{interface}” {
send dhcp-class-identifier “100008,0001,,pfsense 2.3”;
}
Somit wird die DHCP Option 60 korrekt gesetzt. 🙂
Habe nun Swisscom LiveTV mit pfsense 2.3 stabil am laufen und zumindest mit der allerneusten Version (2.3.2-RELEASE-p1) scheint es problemlos zu klappen, auch bei längerem schauen und zappen! 😉
Ich musste allerdings noch eine zusätzliche firewall Regel fürs WAN-Interface erstellen:
Protocol: UDP
Source: 224.0.0.0/4; 213.3.72.0/24
Destination: 224.0.0.0/4; 213.3.72.0/24
Die ganze Anleitung habe ich auf meiner Webseite aufgeschrieben:
http://www.tech-island.com/kb/hardware/swisscom-ftth-ohne-internetbox
Bei mir funktioniert das SwisscomTV mit pfSense mit der allen neusten Version einwandfrei. Was ich noch nicht probiert habe ist das ganze über ein VLAN zu betreiben.
Auch die DHCP Option 60 funktioniert perfekt.
Danke an alle die solche helfende Therds erstellen und pflegen.
Kann mir jemand ein Paar Ratschläge geben? Ich habe ein Managed Switch von Zyxel (GS1900-24). Ich dachte, ich könnte eine VLAN einrichten, welche nur ein GBIC mit einem Ethernet Port verbindet. Der Ethernet-Port würde dann in die WAN vom pfSense gehen. Wie muss ich aber genau das VLAN konfigurieren? Ich wäre um Hinweise/Anleitungen sehr dankbar!
Seitens Swisscom musst du das VLAN 10 konfigurieren. Zur pfSense kannst du das entweder tagged als VLAN 10 oder untagged weiter geben.
Danke! Mal schauen, was da passiert!
Also, wenn ich richtig verstanden habe, brauche ich nur diese Einstellungen:
https://www.dropbox.com/s/dfacfgrhd7zbo2e/Screenshot%202018-06-03%2020.24.59.png?dl=0
https://www.dropbox.com/s/tmi1kb9yxfj2cd6/Screenshot%202018-06-03%2020.24.18.png?dl=0
https://www.dropbox.com/s/bjjojlbj44l8g6y/Screenshot%202018-06-03%2020.23.30.png?dl=0
Dann eben Glasfaser von der Swisscom-Dose auf GBIC (port 26) und Ethernet Port 23 auf die WAN von pfSense. Korrekt?