OPNsense an einem Hybrid7-Anschluss

Netzwerk, ,

Bei Hybrid7 handelt es sich um ein symmetrisches Gigabit-Glasfaser-Angebot von Init7. Im Gegensatz zu Fiber7 (auch von Init7), bei welchem die Faser direkt auf einen Init7-Switch führt, muss Init7 hier auf die BBCS Plattform von Swisscom zurückgreifen. Für den Nutzer bedeutet dies, dass die Adressierung der WAN-Schnittstelle nicht per DHCP, sondern via PPPoE in Verbindung mit Radius erfolgt. Als wäre dies nicht schon genug, muss der ganze WAN-Verkehr zusätzlich auch noch mit der VLAN-ID 11 getaggt werden.

Folgende Handgriffe sind dafür nötig:

VLAN-Tagging

Das VLAN-Tagging kann grundsätzlich an zwei Orten erfolgen: Direkt auf der Firewall, oder auf einem zwischengeschaltetem Switch, bzw. Medienkonverter. In meinem Fall erledigt dies ein der Firewall vorgeschalteter Cisco-Switch mit folgender Portkonfiguration:

interface GigabitEthernet0/12
 description Hybrid7
 switchport trunk allowed vlan 11
 switchport trunk native vlan 99
 switchport mode trunk
 spanning-tree portfast edge

Soll OPNsense das Tagging übernehmen, so ist hierfür ein VLAN-Subinterface auf der WAN-Schnittstelle zu erstellen und anschliessend zuzuweisen:

WAN-Schnittstelle

General configuration

PPPoE configuration

DHCPv6 Client configuration

Send Options

ia-na 0, ia-pd 0

Abschluss

Nach erfolgter Konfiguration müsste der WAN-Schnittstelle anschliessend eine IPv4- sowie eine IPv6-Adresse zugeteilt worden sein:

Hat dies geklappt, können anschliessend den lokalen Netzen nach Lust und Laune IPv6-Netze aus dem riesigen /48-Prefix (= 65000 x /64-Netze!) zugeteilt werden.

3 Gedanken zu „OPNsense an einem Hybrid7-Anschluss

  1. Hallo Struband, danke für deine tolle Anleitung.
    Bin gerade am Durchspielen, kriegs aber irgendwie nicht hin.
    Dein vlan erscheint nicht in der Seitenspalte Interfaces? Oder ist das nur im printscreen so!
    Muss man das vlan Interface noch zusätzlich konfigurieren?

    Vielen Dank!
    Hoffe, ich bekomme es mit deiner Anleitung noch hin.
    Geüsse mik

    Antworten

    1. Hallo Mik

      In meinem Fall übernimmt der Switch das VLAN-Tagging, eine Vlan-Subinterface ist auf der OPNsense daher nicht nötig.
      Der Vorgang ist aber relativ einfach: Einfach ein VLAN-Interface erstellen, dieses zuweisen und anschliessend das neue OPT-Interface gemäss Anleitung aktivieren und konfigurieren.

      Gruss
      Andi

      Antworten

      1. Hallo Andi
        Besten Dank.
        Ich habe es dann mit einigem Pröbeln rausgefunden.
        Am Schluss war es die PPPoE config auf dem VLAN und nicht auf dem WAN Interface. Es läuft auf jeden Fall jetzt.

        Aber vielen Dank trotzdem.
        Ansonsten findet man ja kaum etwas im Netz.
        Ich schreibe ebenfalls noch eine Doku.

        Grüsse
        Michi

        Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.