OPNsense an einem Hybrid7-Anschluss

Netzwerk, ,

Bei Hybrid7 handelt es sich um ein symmetrisches Gigabit-Glasfaser-Angebot von Init7. Im Gegensatz zu Fiber7 (auch von Init7), bei welchem die Faser direkt auf einen Init7-Switch führt, muss Init7 hier auf die BBCS Plattform von Swisscom zurückgreifen. Für den Nutzer bedeutet dies, dass die Adressierung der WAN-Schnittstelle nicht per DHCP, sondern via PPPoE in Verbindung mit Radius erfolgt. Als wäre dies nicht schon genug, muss der ganze WAN-Verkehr zusätzlich auch noch mit der VLAN-ID 11 getaggt werden.

Folgende Handgriffe sind dafür nötig:

VLAN-Tagging

Das VLAN-Tagging kann grundsätzlich an zwei Orten erfolgen: Direkt auf der Firewall, oder auf einem zwischengeschaltetem Switch, bzw. Medienkonverter. In meinem Fall erledigt dies ein der Firewall vorgeschalteter Cisco-Switch mit folgender Portkonfiguration:

interface GigabitEthernet0/12
 description Hybrid7
 switchport trunk allowed vlan 11
 switchport trunk native vlan 99
 switchport mode trunk
 spanning-tree portfast edge

Soll OPNsense das Tagging übernehmen, so ist hierfür ein VLAN-Subinterface auf der WAN-Schnittstelle zu erstellen und anschliessend zuzuweisen:

WAN-Schnittstelle

General configuration

PPPoE configuration

DHCPv6 Client configuration

Send Options

ia-na 0, ia-pd 0

Abschluss

Nach erfolgter Konfiguration müsste der WAN-Schnittstelle anschliessend eine IPv4- sowie eine IPv6-Adresse zugeteilt worden sein:

Hat dies geklappt, können anschliessend den lokalen Netzen nach Lust und Laune IPv6-Netze aus dem riesigen /48-Prefix (= 65000 x /64-Netze!) zugeteilt werden.

15 Gedanken zu „OPNsense an einem Hybrid7-Anschluss

  1. Hallo Andreas

    Besten Dank für deine Infos hier. Persönlich nutze ich folgendes Setup:

    Deciso DEC750 Appliance, Fiber von der Wohnung direkt verbunden mit einem TP-Link TL-SM321B SFP Modul in einem der zwei SFP+ Ports der DEC750.
    VLAN11 und PPPOE entsprechend deiner Anleitung konfiguriert.

    Der zweite SFP+ Slot ist via DAC mit einem Ubiquiti Switch verbunden (LAN Interface). Darauf laufen 8 VLANS. Ebenfalls ist Zenarmor aktiv für das LAN Interface.

    Mit Hybrid7 P2P 1G symmetrisch erhalte ich im Speedtest um die 930Mbit Down und 870Mbit up.

    Antworten

  2. Ich habe heute versucht anhand dieser Anleitung meine Opnsense DEC740 Firewall hinter den Init7 Zyxel-Router zu hängen und diese dann als Router zu nutzen. Das hat zuerst nicht funktioniert, obwohl ich der Anleitung gefolgt bin. Ich habe dann festgestellt das ich das VLAN in Opnsense nicht einrichten muss, da dies auf dem Zyxel trotz Bridge-Mode schon aktiv war bzw. eingestellt werden kann. Es reichte aus nur den WAN-Port mit PPPoE zu konfigurieren.

    Antworten

  3. Hallo Andreas
    Kurze Frage zum VLAN, muss auf dem Switch vlan11 und auf dem Zyxel vlan11 eingestellt werden oder nur auf dem Switch? Ich habe nämlich Upload Werte zu init7 von 60mbit und deren Support ist ratlos.
    Danke für dein Feedback.

    Antworten

    1. Hallo Michael

      Das Vlan scheinst du korrekt konfiguriert zu haben, andernfalls hättest du nämlich gar keinen Internetzugriff.
      Handelt es sich bei dir um einen Hybrid7 oder einen Copper7-Anschluss? 60Mbps klingen stark danach… oder hast du Mbit mit MByte verwechselt?

      Gruss

      Antworten

      1. Hoi Andreas,
        Habe ich auch so vermutet. Nein, sind schon 60Mbps an einem Hybrid7 Anschluss. Im Downstream komme ich auf cirka 2GbE, im upstream zu init7 speedtest lediglich 60Mbps. Zu Netrics komischerweise aber U/D 1.5-2GbE.
        Router-Tausch auch bereits durch, ohne Erfolg. Ich nutze jedoch eine virtuelle pfsense auf ESX. Ich bin da aktuell Ratlos und bin mir eigentlich ziemlich sicher das es nicht an meiner Infrastruktur liegt, den Anfangs hatte ich 1GbE u/d synchron beim erschliessen des Gebäudes.

        Antworten

        1. Oh, somit ein XPON-Anschluss… Da bin ich echt überfragt. Wenns aber zu anderen Speedservern läuft, muss das Setup ja +/- passen. Setzt du auch die paravirtuellen-NICs ein in ESX? Offloading mal de- oder aktiviert? MTU passt? Wer terminiert die PPPoE-Session, die Sense oder der Zyxel-Router?

          Antworten

          2. Pfsense terminiert den Anschluss, yep mit vmxnet3, mtu auch von 1400-1500 getestet (wird nur langsamer). Mit dem Offloading hane ich auch schon rumgespielt ohne Effekt. Naja mal schauen 😄, ich habe die Hoffnung das ihrgendwo bei Swisscom noch ein Knopf/Engpass ist, der noch gelöst wird. Heute im Call mit init7 wurde erstmals gesagt, das ich nicht der einzige mit dem Problem bin – somit hoffe ich auf eine Lösung seitens Provider. Ja, mir wäre ein p2p Anschluss auch viel lieber gewesen..

            Antworten

            1. Hallo Michael

              Hatte ähnliche Uploadwerte wie du, nutze den Zyxelrouter auch nur als Bridge und eine kleine Amazon-Box für OPNSense. Ich musste VLAN Tagging nur auf dem Router setzen, als ich diesen als Bridge konfiguriert habe. Alles mögliche an Konfigurationsversuchen auf der FW brachte nix.

              Probier mal den Speedtest in Edge auszuführen, oder, falls du eine Linux Kiste hast, mit der speedtest CLI. Damit erreiche ich nun tatsächlich Problemlos 900+mbit in beide Richtungen.

              Antworten

              1. Hoi Serge
                Die Performance ist plus/minus in jedem Browser gleich, aber mit einer Linux VM erreiche ich den throughput.. komische Sache. Testweise eine Windows Server 2022 VM erstellt aufgrund diesem Forumeintrag. Upload ist da etwas besser mit 90mbit anstatt 60mbit. Ich befürchte, das ich hier am Ende meines Netzwerk-Latein bin ;). Grüsse michael
                https://docs.microsoft.com/en-us/answers/questions/330172/extreamly-slow-upload-speed-in-windows-all-other-o.html

                Antworten

  4. Hallo Andreas

    Du betreibst die OPNSense auf einer Apu4c4 zusammen mit Initi7 ( Hybrid7)? Hattest du keine Probleme die 900Mps synchron zu erreichen?

    Gruss,
    Patrick

    Antworten

  5. Hallo Struband, danke für deine tolle Anleitung.
    Bin gerade am Durchspielen, kriegs aber irgendwie nicht hin.
    Dein vlan erscheint nicht in der Seitenspalte Interfaces? Oder ist das nur im printscreen so!
    Muss man das vlan Interface noch zusätzlich konfigurieren?

    Vielen Dank!
    Hoffe, ich bekomme es mit deiner Anleitung noch hin.
    Geüsse mik

    Antworten

    1. Hallo Mik

      In meinem Fall übernimmt der Switch das VLAN-Tagging, eine Vlan-Subinterface ist auf der OPNsense daher nicht nötig.
      Der Vorgang ist aber relativ einfach: Einfach ein VLAN-Interface erstellen, dieses zuweisen und anschliessend das neue OPT-Interface gemäss Anleitung aktivieren und konfigurieren.

      Gruss
      Andi

      Antworten

      1. Hallo Andi
        Besten Dank.
        Ich habe es dann mit einigem Pröbeln rausgefunden.
        Am Schluss war es die PPPoE config auf dem VLAN und nicht auf dem WAN Interface. Es läuft auf jeden Fall jetzt.

        Aber vielen Dank trotzdem.
        Ansonsten findet man ja kaum etwas im Netz.
        Ich schreibe ebenfalls noch eine Doku.

        Grüsse
        Michi

        Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert