@Wunauckie53 wahrscheinlich +/- etwa das hier. Aber auch nur, wenn der PC, auf dem der Test zu speedtest.net gestartet wurde, eine Netzwerkkarte > 1 GBit/s hat und dieser direkt am 2,5GBit-Port der IB3 hängt 
@Wunauckie53 Wie kaetho schreibt, habe ich auch nur Geräte mit 1Gbit/s Netzwerkkarten. Auf Speedtest.net komme ich beim “optimalen Server” natürlich immer auf ca. 900Mbit/s, wenn ich noch Laptop und weitere Geräte am Router anhänge und den Speedtest auf allen gleichzeitig laufen lasse, auch überall solche Werte. Aber habe nicht so viel Geräte um z.B. einen permanenten Download von total 4 oder 5 Gbit/s zu erzeugen / testen. Aber bei der Verbindung zwischen IB3 und Server (Router Test) gibt es am Abend auch mal “nur” 6000 Mbit/s an, spät Abends oder Nachts dann leicht über 8000 Mbit/s je nach Auslastung. Eigentlich hätte ich auch beim alten 1Gbit/s Abo bleiben können da ich selten an diese Grenzen stosse, aber im Kundencenter wurde es mir schmackhaft gemacht mit “Neu 10Gbit/s”…
Ob ich es allerdings gemacht hätte, wenn ich mich vorher über die XGS-PON Technik informiert hätte, weiss ich nicht, trotz Verschlüsselung und riesigen Datenmengen habe ich ein ungutes Gefühl, wenn meine Daten als Broadcast an bis zu 31 andere Dosen gesendet werden, statt über die Glasfaser direkt in meine Wohnung, aber das ist wohl eher unberechtigte Paranoia von mir 
Und wirklich 100% habe ich mich auch nicht mit den Techniken befasst. Trotzdem faszinierend, wenn ich mich an die 90er Jahre erinnere wo man sich mit dem 56K Modem noch “eingewählt” hatte…
Deine Risikoüberlegung zum Thema Broadcast finde ich nicht völlig absurd, aber zumindest sind es bei XGS-PON “nur” 31 bekannte Nachbarn, denn im WLAN und im Mobilfunk sind es tendenziell alle, welche sich zu einem bestimmten Zeitpunkt im Empfangsbereich befinden…
Also schlussendlich alles eine Frage der Qualität der verwendeten Anschluss-Verschlüsselung.
Hinzu kommt dann noch die bei den meisten Datenströmen verwendete eigentliche Verbindungsverschlüsselung, z.B. SSL bei Webseiten-Aufrufen.
Man sollte ein Risiko sicher nie als 0.0 einstufen, aber das zusätzliche Datenschutzrisiko durch XGS-PON ist sicher als “Ultra-Mega-Hyper”-klein einzuschätzen.
Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
Danke Werner für Deine Erläuterung. Ich finde das Alles eben auch wahnsinnig spannend / interessant. Und bei 31 Nachbarn, wenn dann überhaupt so viele gleichzeitig am “gleichen Anschluss” hängen müsste ja auch noch ein böser Hacker sitzen, der die Technologie, das nötige Wissen und bösartige Absichten gleichzeitig hat. Und dann müsste ich noch via Internet Dinge tun, die für einen Hacker überhaupt interessant wären oder mit denen er irgendwas anstellen könnte. Da ist wirklich jedes WLAN gefährlicher, oder wäre ich ein potenzielles Angriffsziel, würden Angreifer wohl eher den PC / Betriebssystem direkt attackieren bevor sie an einer OTO Dose rumbasteln würden.
2 Monate später
Also der Sicherheitsaspekt finde ich ehrlichgesagt sekundär. Soweit ich weiss wird bei XGS-PON AES für den US (Upstream) und DS (Downstream) verwendet. Ich habe die Implementierung nicht recherchiert aber unabhängig von der Schlüssellänge denke ich, dass die Session Keys regelmässig erneuert werden. Natürlich muss der “Master Secret” Austausch auch sicher gestaltet sein aber da der Standard sehr jung ist nehme ich an das dieser auch mit aktuellen Methoden umgesetzt worden sind. “DH” “PFS” währen das Stichworte. Dies findet vermutlich bei der Registrierung des ONT (Endgerät/Modem/Router) am OLT (“Gerät” in der Zentrale, dass den PON Strang verwaltet/Gegenstelle) statt, da ja das OLT in diesem Prozess ja auch das neue ONT in die Zeit-Verteilung aufnehmen muss. (XGS-PON verwendet ein “Time Division Multiplex” Verfahren was bedeutet das jeder Teilnehmer Zeit-Slots zur Verfügung gestellt bekommt)
Wenn wir da jetzt eine Auslegeordnung machen:
- 32 Teilnehmer (Ich gehe davon aus, dass die Swisscom möglichst immer “Auffüllt” sonst ist es weniger wirtschaftlich).
- Ohne Zugriff auf den BEP (Building entry point), auf die Schächte mit den Splittern oder sonstigen physischen Zugriff ist es nur möglich den Verschlüsselten Download der Endgeräte mitzuhören.
- Um eine Leitung abzuhören benötigt man spezifische Hardware und entsprechende Software die zudem den XGS-PON Protokoll Stack verstehen und den verschlüsselten Payload somit aus dem restlichen Verkehr extrahieren können.
- Mit Brut Force halte ich das entschlüsseln selbst mit kleinen Schlüssellängen (128bit) als absolut aussichtslos mit der heute zur Verfügung stehenden Hardware. (Ich glaube man kann die Schlüssellänge variieren sollte dies in Zukunft fundamental anders sein).
- Für die Verwendeten Kryptografischen Methoden die ich bisher im Standarddokument der ITU gefunden habe gibt es keine bekannten Angriffe.
Somit ist es aus meiner Sicht, selbst wenn man viel Geld dafür investiert, heute nicht möglich an einem XGS-PON Strang Traffic für andere Teilnehmer zu entschlüsseln. Zudem sind viele Aktivitäten dann ja auch nochmals Verschlüsselt (z.B. auf einer HTTPS Seite, oder STMPS, IMAPS etc.)
Die Wahrscheinlichkeit, dass einer Deiner Nachbarn diese kriminelle Energie aufbringt ist aus meiner Sicht unwahrscheinlich. Zudem sollte im Normalfall das was ein potentieller Angreifer gewinnen kann im Verhältnis zu seinem Aufwand stehen, den er betreiben musste.
Wer sich für den Standard interessiert:
https://www.itu.int/rec/dologin_pub.asp?lang=e&id=T-REC-G.9807.1-201606-I!!PDF-E&type=items
Was ich als viel wahrscheinlicher und problematischer halte sind Störungen ungewollt oder gewollter Art. In einem PONG Strang kann man leicht mit sehr einfacher Hardware mit Licht in der richtigen Wellenlänge den ganzen PONG Strang ausser betrieb setzen und für den Betreiber ist es sehr aufwändig den Verursacher zu finden. Insbesondere dann wenn die Splitter nicht in der Zentralle sondern wie üblich in irgendeinem Strassenschacht sind.
Ich denke das wird mitunter ein Grund sein warum die Swisscom nicht mehr als 32 Teilnehmer an einem Strang zusammenhängt. Das ist aber natürlich reine Mutmassung, ich habe keinerlei Kontakte zu Swisscom und bin auch Branchenfremd.
Vielen Dank Chicheitti30 für diese ausführliche und interessante Antwort und den Link. Auch die Sache bezüglich gewollten / ungewollten Störungen. Aber eben, die Chance das diesbezüglich irgendwas passiert, ist wirklich geringer als viele andere Dinge bzw. “Störfaktoren” oder “Sicherheitsrisiken” die passieren können. Trotzdem äusserst spannend und interessant. Ich arbeite nicht in diesem Bereich, aber bin äusserst begeistert von den modernen Technologien, vor allem wenn ich mich zurück erinnere an 56K Modems und die damaligen Zeiten
3 Monate später
Hat man noch eine IPv4 Adresse nach der Umstellung auf 10 Gbit/s XGS-PON?
Danke fuer eine Antwort.
VG
Selbstverständlich hat man noch eine IPv4 Adresse das wäre gar nicht gut wenn es nur noch IPv6 Adressen gäbe.
Installationen, Netzwerk, Internet, Computertechnik, OS Windows, Apple und Linux.
Warum sollte es keine IPv4 geben durch XGS-PON?
Hat ja nix miteinander zu tun….
….keep on rockin'
Ich vermute mal, dass von CGNAT gesprochen wird…
Kann passieren.
Wenn eine öffentlich benötigt würde, wird man sie auch wieder bekommen.
#user63
@Bergler schrieb:
Bedeutet dies, dass man bei einem XGS-PON Anschluss keine öffentliche IP erhält und somit keine Ports mehr öffnen kann?
Unwahrscheinlich. GenaNATete IP’s bekommt man derzeit vor allem in den “Niedrigpreis-Abos” von Swisscom.
Wenn man InOne home S,S,S oder InOne “Light” hat eher wahrscheinlich - und bei InOne L,L,L sehr unwahrscheinlich.
Und wenn, kann man es derzeit (noch) über MyService ausschalten lassen
Auch bei M-Budget und Wingo-Internet bekommt man per default einen geNATete IP, bei Wingo kann man es sogar selbst per Kundencenter aussschalten - bei M-Budget auch auf Wunsch nicht
….keep on rockin'
Wie bereits geschrieben. Kann passieren.
Aber ein Anruf bei der Hotline und die Leute dort sollten es ohne Probleme ändern können.
Im Prinzip sollte ja das Swisscom “System” ja schon im Voraus Wissen, ob eine “Öffentlich IP Adresse” gebraucht wurde oder eben nicht und daher richtig agieren.
#user63
21 Tage später
Liebe Leute,
habe seit 12/2020 XGS-PON 10GBit in Kreuzlingen (Neubau, frisch erschlossen).
Was soll ich sagen, die Geschwindigkeit des Router-Speedtests ist beeindruckend (Ping 3-5ms, ca 8GBit up/download).
Über meinen iMac habe ich mit der internen 1Gbase-T Netzwerkkarte knapp 900 MBit im Up und Download, ebenso mit einer externen PCI Karte mit 1GBit SFP+ Modul (Kupfer).
Ich habe mir jetzt spasseshalber 2 verschiedene 10GBase-T SFP+ Module geholt und am 2.5GBit Anschluss der IB 3 probiert. Das Ubiquiti Modul funktioniert gar nicht (kein Link weder unter Mac OS Catalina noch unter Ubuntu Linux, ethtool hat nicht geholfen).
Das 10GTek-Modul (interessanter Vergleichstest auf servethehome.com) läuft wenigstens, allerdings nur mit AutoNegotiation (was, soweit ich verstanden hab bei GBase-T Pflicht ist) und dann wird sowohl unter Mac OS als auch Linux für das Modul ein 10GBit Link angezeigt (merkwürdig, denn der IB3 Port kann ja nur 2.5GBit).
Downstream erreiche ich 2.3GBit/s (Ookla Speedtest), Upstream nur 200-300 MBit/s???
Und das reproduzierbar. Ich sehe keinen packet loss.
Jetzt frage ich mich, woran kann das liegen, dass der Upstream reproduzierbar unter 10Gbase-T um Faktor 4-5 einbricht im Vergleich zu 1GBase-T??? Liegt das schon wieder am Modul? Duplex mismatch etc?
Ich weiss, das ist schon Klagen auf hohem Niveau, aber hat das schon jemand ausser mir beobachtet und Ideen dazu?
Herzlich grüsst,
roscho
EDIT: Firmware update der IB3 auf letzte Beta FW gemacht, ohne Änderung.
Guten Abend zusammen
Ich habe genau dasselbe Problem.
Der Download liegt mit Overhead sozusagen bei 100% (quasi bei jeder Messung 2350Mbit) und verdammt stabil.
Der Upload hingegen, ist seit Monaten zwischen 350-850Mbit (mit Ausreisser auf 1150Mbit).
Von Juli 2020 bis zirka Oktober 2020 habe ich mehrere Messungen durchgeführt, bei welchen der Down- und Upload zirka 2350mbit erreicht haben (+/- 20mbit Unterschied von Down- zu Upload).
Bei den letzten Speedtests auf der IB3 fiel mir auf, dass der Download ziemlich lange getestet wird (ungefähr 35-40 Sekunden) und stabil läuft, wobei die Geschwindigkeit bis zirka Sekunde 20 stetig zulegt. Der Upload Test hingegen war nach 3-4 Sekunden auf dem Maximum fiel ab Sekunde 5 auf 0 und wurde nach 8 Sekunden abgeschlossen. Die Uploadwerte entsprechen jedoch nicht jenen, welche mit OOKLA Speedtest durchgeführt werden.
Die Pingzeiten sind generell sehr gut und liegen zwischen 2 - 10ms.
Test auf IB3:
7511 Download
6825 Upload
Test via OOKLA (Standort Fribourg, Mess-Server Wingo Lausanne):
2355 Download
799 Upload
Test via OOKLA (Standort Fribourg, Mess-Server Netplus Martigny):
2357 Download
391 Upload
Test via OOKLA (Standort Fribourg, Mess-Server SolNet Solothurn):
2355 Download
457 Upload
Test via OOKLA (Standort Fribourg, Mess-Server Infomaniak Genf):
2352 Download
851 Upload
Test via OOKLA (Standort Fribourg, Mess-Server Sunrise Zürich):
2355 Download
612 Upload
Wie oben beschrieben ist der Download extrem stabil. Die letztjährigen Werte auf Wingo Lausanne (stabilster Wert: 2354 Download, 2352 Upload) werden jedoch nicht mehr erreicht.
Das Muster ist klar ersichtlich und betrifft nicht nur einen Messserver.
Das Helpdesk (immer freundlich und hilfsbereit, muss auch mal gesagt werden) bezieht sich einzig und alleine auf den Test via IB3, was ich auch verstehen kann. Aber irgendwo ist der Wurm drin.
Und wie es scheint bin ich nicht der Einzige, welcher betroffen ist.
Es wäre also sehr interessant dem Ganzen mal auf den Grund zu gehen.
Freundliche Grüsse und ein schönes Weekend euch allen
Guten Abend SchnD,
das sind interessante Erkenntnisse, vielen Dank fürs Teilen!
Was mich noch interessieren würde, benutzt Du eine dedizierte NBase-T Karte oder eine 10GBit Karte, die auch NBase-T (2.5/5 GBit) kann? Ist es eine Karte mit fest verbautem RJ-45 Port oder SFP?
Wenn ich Dich richtig verstehe, ist Dein Upstream bei unveränderter Hardware quasi zum Jahreswechsel eingebrochen?
Könnte ja möglicherweise auch auf veränderte Protokolle / Konfigurationen providerseitig hinweisen, genauso wie die Tatsache, dass ich mit 2.5GBase_T einen langsameren Uplink habe als mit 1GBase-T. Eventuell Drosselung???
Schönes WE Euch allen,
roscho
Guten Abend roscho
Kein Thema, immer gerne.
Messungsaufbau für alle Tests:
(Alle Geräte verfügen nativ über 10Gbit NICs)
Mac mini
RJ-45 zu
Switch 1
RJ-45 zu
Switch 2 (kann kein NBASE, “nur” 10/100/1000/10000 *)
SFP+ zu
Switch 3 (kann NBASE und verbindet zum Router)
RJ-45 zu
IB3
* darum wurde der Switch 3 dazwischen geschaltet.
Um die Geschwindigkeit über Switch 1, 2 und 3 zu ermitteln, habe ich mittels iPerf zwei Messungen zwischen Mac mini und einem Windows Rechner (Asus 10Gbit NIC) durchgeführt. Folgenden Ergebnisse wurden ermittelt:
Messung 1 (iPerf3 Server Windows)
825 MBytes 6.92 Gbits/sec
820 MBytes 6.88 Gbits/sec
832 MBytes 6.98 Gbits/sec
824 MBytes 6.91 Gbits/sec
832 MBytes 6.98 Gbits/sec
828 MBytes 6.94 Gbits/sec
834 MBytes 7.00 Gbits/sec
832 MBytes 6.98 Gbits/sec
834 MBytes 6.99 Gbits/sec
827 MBytes 6.94 Gbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
Transfer Bitrate
8.09 GBytes 6.95 Gbits/sec sender
8.09 GBytes 6.95 Gbits/sec receiver
Messung 2 (iPerf3 Server Mac mini)
Transfer Bandwidth
647 MBytes 5.43 Gbits/sec
596 MBytes 5.00 Gbits/sec
613 MBytes 5.14 Gbits/sec
575 MBytes 4.83 Gbits/sec
624 MBytes 5.24 Gbits/sec
604 MBytes 5.07 Gbits/sec
623 MBytes 5.22 Gbits/sec
596 MBytes 5.00 Gbits/sec
606 MBytes 5.09 Gbits/sec
580 MBytes 4.87 Gbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
Transfer Bandwidth
5.92 GBytes 5.09 Gbits/sec sender
5.92 GBytes 5.09 Gbits/sec receiver
Die Inhouse-Werte liegen weit über den Möglichkeiten von NBASE-T (2.5). Somit besteht kein Flaschenhals. Es ist ebenfalls zu erwähnen, dass die Kabelstrecke vom Switch 3 zum Windows Rechner, im Test, zirka 10m länger ist als vom Switch 3 zum Router. Alle Kabel entsprechen mindestens der Kategorie CAT 6a. Somit kann ein Problem aufgrund der Kabellänge ebenfalls ausgeschlossen werden.
Stimmt in meinem Fall nicht ganz. Ich vermute der Einbruch geschah im Verlauf Oktober-November. Ganz genau weiss ich es nicht mehr.
Genau das wäre interessant herauszufinden.
Danke gleichfalls.
SchnD
9 Tage später
Hallo miteinander
Seit Freitag, 5. Februar 2020, neu XGS-PON, bis jetzt der einzige auf dem BEP.
Ich habe ein durchgehendes 10G-Ethernet, habe aber trotzdem die Messungen wie folgt vorgenommen:
IB3 - CAT6A-Kabel 2m - 10GB Ethernet Port via Thunderbolt 3 - Mac Notebook.
| Download-Datenrate [kbit/s] | 713′919 | 2′175′887 | 2′333′234 |
| Upload-Datenrate [kbit/s] | 157′789 | 267′190 | 594′013 |
| Antwortzeit (Round Trip Time, TCP RTT) [ms] | 5.6 | 6.2 | 6.7 |
| Antwortzeit (Round Trip Time, ICMP RTT) [ms] | 5.3 | 49.1 | 922.0 |
Die niedrigste Messung Down ist wg. Einsatzes eines VPN.
Die höchste Messung Up is wg. Einsatz eines VPN (Wireguard).
Die Ausreiser bei ICMP RTT ist auch wg. VPN Einsatz.
cnlab über die 3 Tage mit ingesamt 20 verwertbaren Tests (plus 1 Test VPN).
Das gleiche vom Arbeits-Mac Mini mit 10GB Ethernet card, ie IB3 - UBI 10G Switch - 10m Cat6a - MacMini mit 10G-Karte.
IB3 zeigt Down 7.6, Up 7.4….
Von Seite Swisscom noch ein Telefon um 23 Uhr am Freitag: Problem eskaliert.
Tests der Swisscom über cnlab am Montag zugesendet und um Stand des Tickets gebeten.
Ich bin ehrlich gesagt paff: Interne Messungen der IB3 zeigen Normalbetrieb, der jedoch nicht so stattfindet.
Frage: Hat jemand solche Messungen mit der IB3 gehabt, aber tatsächlichen Normalbetrieb (ie symetrisch) nicht aber auf dem Zyxel AX7501?
Aus den Bergen grüsst smallpot.
ACHTUNG: Das ist Klagen auf höchstem Niveau, einfach technisch gesehen Alice im Wunderland. Ich kann mir einfach keinen Reim draus machen, RealMessungen vs IB3 (wie auch Swisscom Report: Keine Leitungsprobleme…)