OPNsense an einem Hybrid7-Anschluss

Bei Hybrid7 handelt es sich um ein symmetrisches Gigabit-Glasfaser-Angebot von Init7. Im Gegensatz zu Fiber7 (auch von Init7), bei welchem die Faser direkt auf einen Init7-Switch führt, muss Init7 hier auf die BBCS Plattform von Swisscom zurückgreifen. Für den Nutzer bedeutet dies, dass die Adressierung der WAN-Schnittstelle nicht per DHCP, sondern via PPPoE in Verbindung mit Radius erfolgt. Als wäre dies nicht schon genug, muss der ganze WAN-Verkehr zusätzlich auch noch mit der VLAN-ID 11 getaggt werden.

Folgende Handgriffe sind dafür nötig:

<Ergänzung von Luca Poltera>

Super Anleitung Danke.

Einzig der Schritt, dass als erstes der Anschluss über VLAN10 (DHCP) einmalig (bei der Swisscom) aktiviert werden muss, ist nicht enthalten.

Dies ist natürlich nur bei NEUEN INIT7 Anschlüssen der Fall, bei bereits aktivierten, fällt diese Schritt weg und deine Anleitung ist „korrekt“.

Schritt 1 VLAN10 -> DHCP ->Fiber Anschluss aktivieren
Schritt2 VLAN 11 -> PPPoE -> Internet …

</Ergänzung>

VLAN-Tagging

Das VLAN-Tagging kann grundsätzlich an zwei Orten erfolgen: Direkt auf der Firewall, oder auf einem zwischengeschaltetem Switch, bzw. Medienkonverter. In meinem Fall erledigt dies ein der Firewall vorgeschalteter Cisco-Switch mit folgender Portkonfiguration:

interface GigabitEthernet0/12
 description Hybrid7
 switchport trunk allowed vlan 11
 switchport trunk native vlan 99
 switchport mode trunk
 spanning-tree portfast edge

Soll OPNsense das Tagging übernehmen, so ist hierfür ein VLAN-Subinterface auf der WAN-Schnittstelle zu erstellen und anschliessend zuzuweisen:

WAN-Schnittstelle

General configuration

PPPoE configuration

DHCPv6 Client configuration

Send Options

ia-na 0, ia-pd 0

Abschluss

Nach erfolgter Konfiguration müsste der WAN-Schnittstelle anschliessend eine IPv4- sowie eine IPv6-Adresse zugeteilt worden sein:

Hat dies geklappt, können anschliessend den lokalen Netzen nach Lust und Laune IPv6-Netze aus dem riesigen /48-Prefix (= 65000 x /64-Netze!) zugeteilt werden.

22 Gedanken zu „OPNsense an einem Hybrid7-Anschluss

  1. Funktioniert das Heute immer noch so? Die PPPoE Konfiguration Seite sieht ja inzwischen wenig anders aus, z.B. gibt es den prevent release nicht mehr.

    Ich habe von der Fritzbox auf Opnsense (23.7.10_1 auf DEC740) gewechselt und v6 so eingerichtet wie beschrieben. Ich sehe jeweils das v4 für eine Sekunde hoch kommt, sobald die Box aber V6 versucht bricht es ab und das Interface geht auf Down. Nach ein paar Sekunden beginnt es wieder von vorne. Wenn ich V6 deaktiviere funktioniert es stabil.

    1. Ich bin zwar noch auf OPNsense 23.7.5 bei meiner DEC740, aber da läuft es so noch, obwohl es „Prevent release“ auch dort nicht mehr gibt. Ich hatte am Anfang aber auch sehr viele Probleme IPv6 zum Laufen zu bringen und musste das komplette Setup mehrmals machen, bis es dann mal funktioniert hat. Woran es am Ende lag habe ich nie herausfinden können.

      1. Danke! Nachdem ich vorher einfach die Anleitung genommen habe und danach nach Gefühl oder halb zufällig herumprobiert habe, habe ich nun einen halben Tag nochmals Systematisch Optionen probiert.

        Ich habe nun eine Konfiguration die mehr oder weniger funktioniert:
        * Ich musste beim WAN Interface Non-Temporary Address Allocation abwählen. Der Prevent Release ist nun unter den generellen Interface Settings.
        * Das /48 Prefix wird vom Init7 LNS zu mir geroutet. Opnsense scheint aber davon nichts zu wissen. So zeigt es mir nirgends an welches Prefix er bekommen hat und auch die Option Track als v6 Typ auf den internen Interfaces geht nicht. Wenn ich das Prefix (gemäss Datenblatt von Init7) aber statisch auf den internen Interfaces konfiguriere haben die Clients funktionierendes IPv6.

        Bin nun noch etwas unsicher ob ich das einfach so lassen soll oder noch weiter probiere.

      1. Fiber7 kommt leider erst im Sommer wenn es in der Umgebung Flächendeckend FTTH gibt/geben soll. Aktuell sind nur etwa 5 Häuser mit P2P FTTH erschlossen. Bis dahin bleibt nur Hybrid7.

  2. Super Anleitung Danke.

    Einzig der Schritt, dass als erstes der Anschluss über VLAN10 (DHCP) einmalig (bei der Swisscom) aktiviert werden muss, ist nicht enthalten.

    Dies ist natürlich nur bei NEUEN INIT7 Anschlüssen der Fall, bei bereits aktivierten, fällt diese Schritt weg und deine Anleitung ist „korrekt“.

    Schritt 1 VLAN10 -> DHCP ->Fiber Anschluss aktivieren
    Schritt2 VLAN 11 -> PPPoE -> Internet …

  3. Hallo Andreas

    Besten Dank für deine Infos hier. Persönlich nutze ich folgendes Setup:

    Deciso DEC750 Appliance, Fiber von der Wohnung direkt verbunden mit einem TP-Link TL-SM321B SFP Modul in einem der zwei SFP+ Ports der DEC750.
    VLAN11 und PPPOE entsprechend deiner Anleitung konfiguriert.

    Der zweite SFP+ Slot ist via DAC mit einem Ubiquiti Switch verbunden (LAN Interface). Darauf laufen 8 VLANS. Ebenfalls ist Zenarmor aktiv für das LAN Interface.

    Mit Hybrid7 P2P 1G symmetrisch erhalte ich im Speedtest um die 930Mbit Down und 870Mbit up.

  4. Ich habe heute versucht anhand dieser Anleitung meine Opnsense DEC740 Firewall hinter den Init7 Zyxel-Router zu hängen und diese dann als Router zu nutzen. Das hat zuerst nicht funktioniert, obwohl ich der Anleitung gefolgt bin. Ich habe dann festgestellt das ich das VLAN in Opnsense nicht einrichten muss, da dies auf dem Zyxel trotz Bridge-Mode schon aktiv war bzw. eingestellt werden kann. Es reichte aus nur den WAN-Port mit PPPoE zu konfigurieren.

  5. Hallo Andreas
    Kurze Frage zum VLAN, muss auf dem Switch vlan11 und auf dem Zyxel vlan11 eingestellt werden oder nur auf dem Switch? Ich habe nämlich Upload Werte zu init7 von 60mbit und deren Support ist ratlos.
    Danke für dein Feedback.

    1. Hallo Michael

      Das Vlan scheinst du korrekt konfiguriert zu haben, andernfalls hättest du nämlich gar keinen Internetzugriff.
      Handelt es sich bei dir um einen Hybrid7 oder einen Copper7-Anschluss? 60Mbps klingen stark danach… oder hast du Mbit mit MByte verwechselt?

      Gruss

      1. Hoi Andreas,
        Habe ich auch so vermutet. Nein, sind schon 60Mbps an einem Hybrid7 Anschluss. Im Downstream komme ich auf cirka 2GbE, im upstream zu init7 speedtest lediglich 60Mbps. Zu Netrics komischerweise aber U/D 1.5-2GbE.
        Router-Tausch auch bereits durch, ohne Erfolg. Ich nutze jedoch eine virtuelle pfsense auf ESX. Ich bin da aktuell Ratlos und bin mir eigentlich ziemlich sicher das es nicht an meiner Infrastruktur liegt, den Anfangs hatte ich 1GbE u/d synchron beim erschliessen des Gebäudes.

        1. Oh, somit ein XPON-Anschluss… Da bin ich echt überfragt. Wenns aber zu anderen Speedservern läuft, muss das Setup ja +/- passen. Setzt du auch die paravirtuellen-NICs ein in ESX? Offloading mal de- oder aktiviert? MTU passt? Wer terminiert die PPPoE-Session, die Sense oder der Zyxel-Router?

          1. Pfsense terminiert den Anschluss, yep mit vmxnet3, mtu auch von 1400-1500 getestet (wird nur langsamer). Mit dem Offloading hane ich auch schon rumgespielt ohne Effekt. Naja mal schauen 😄, ich habe die Hoffnung das ihrgendwo bei Swisscom noch ein Knopf/Engpass ist, der noch gelöst wird. Heute im Call mit init7 wurde erstmals gesagt, das ich nicht der einzige mit dem Problem bin – somit hoffe ich auf eine Lösung seitens Provider. Ja, mir wäre ein p2p Anschluss auch viel lieber gewesen..

            1. Hallo Michael

              Hatte ähnliche Uploadwerte wie du, nutze den Zyxelrouter auch nur als Bridge und eine kleine Amazon-Box für OPNSense. Ich musste VLAN Tagging nur auf dem Router setzen, als ich diesen als Bridge konfiguriert habe. Alles mögliche an Konfigurationsversuchen auf der FW brachte nix.

              Probier mal den Speedtest in Edge auszuführen, oder, falls du eine Linux Kiste hast, mit der speedtest CLI. Damit erreiche ich nun tatsächlich Problemlos 900+mbit in beide Richtungen.

              1. Hoi Serge
                Die Performance ist plus/minus in jedem Browser gleich, aber mit einer Linux VM erreiche ich den throughput.. komische Sache. Testweise eine Windows Server 2022 VM erstellt aufgrund diesem Forumeintrag. Upload ist da etwas besser mit 90mbit anstatt 60mbit. Ich befürchte, das ich hier am Ende meines Netzwerk-Latein bin ;). Grüsse michael
                https://docs.microsoft.com/en-us/answers/questions/330172/extreamly-slow-upload-speed-in-windows-all-other-o.html

  6. Hallo Andreas

    Du betreibst die OPNSense auf einer Apu4c4 zusammen mit Initi7 ( Hybrid7)? Hattest du keine Probleme die 900Mps synchron zu erreichen?

    Gruss,
    Patrick

  7. Hallo Struband, danke für deine tolle Anleitung.
    Bin gerade am Durchspielen, kriegs aber irgendwie nicht hin.
    Dein vlan erscheint nicht in der Seitenspalte Interfaces? Oder ist das nur im printscreen so!
    Muss man das vlan Interface noch zusätzlich konfigurieren?

    Vielen Dank!
    Hoffe, ich bekomme es mit deiner Anleitung noch hin.
    Geüsse mik

    1. Hallo Mik

      In meinem Fall übernimmt der Switch das VLAN-Tagging, eine Vlan-Subinterface ist auf der OPNsense daher nicht nötig.
      Der Vorgang ist aber relativ einfach: Einfach ein VLAN-Interface erstellen, dieses zuweisen und anschliessend das neue OPT-Interface gemäss Anleitung aktivieren und konfigurieren.

      Gruss
      Andi

      1. Hallo Andi
        Besten Dank.
        Ich habe es dann mit einigem Pröbeln rausgefunden.
        Am Schluss war es die PPPoE config auf dem VLAN und nicht auf dem WAN Interface. Es läuft auf jeden Fall jetzt.

        Aber vielen Dank trotzdem.
        Ansonsten findet man ja kaum etwas im Netz.
        Ich schreibe ebenfalls noch eine Doku.

        Grüsse
        Michi

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert