Erste Erfahrungen mit 10 Gbit/s XGS-PON Anschluss

@Wunauckie53 Wie kaetho schreibt, habe ich auch nur Geräte mit 1Gbit/s Netzwerkkarten. Auf Speedtest.net komme ich beim "optimalen Server" natürlich immer auf ca. 900Mbit/s, wenn ich noch Laptop und weitere Geräte am Router anhänge und den Speedtest auf allen gleichzeitig laufen lasse, auch überall solche Werte. Aber habe nicht so viel Geräte um z.B. einen permanenten Download von total 4 oder 5 Gbit/s zu erzeugen / testen. Aber bei der Verbindung zwischen IB3 und Server (Router Test) gibt es am Abend auch mal "nur"  6000 Mbit/s an, spät Abends oder Nachts dann leicht über 8000 Mbit/s je nach Auslastung. Eigentlich hätte ich auch beim alten 1Gbit/s Abo bleiben können da ich selten an diese Grenzen stosse, aber im Kundencenter wurde es mir schmackhaft gemacht mit "Neu 10Gbit/s"...

Ob ich es allerdings gemacht hätte, wenn ich mich vorher über die XGS-PON Technik informiert hätte, weiss ich nicht, trotz Verschlüsselung und riesigen Datenmengen habe ich ein ungutes Gefühl, wenn meine Daten als Broadcast an bis zu 31 andere Dosen gesendet werden, statt über die Glasfaser direkt in meine Wohnung, aber das ist wohl eher unberechtigte Paranoia von mir 🙂 Und wirklich 100% habe ich mich auch nicht mit den Techniken befasst. Trotzdem faszinierend, wenn ich mich an die 90er Jahre erinnere wo man sich mit dem 56K Modem noch "eingewählt" hatte...

@Chainsaw 

Deine Risikoüberlegung zum Thema Broadcast finde ich nicht völlig absurd, aber zumindest sind es bei XGS-PON „nur“ 31 bekannte Nachbarn, denn im WLAN und im Mobilfunk sind es tendenziell alle, welche sich zu einem bestimmten Zeitpunkt im Empfangsbereich befinden...

Also schlussendlich alles eine Frage der Qualität der verwendeten Anschluss-Verschlüsselung.

Hinzu kommt dann noch die bei den meisten Datenströmen verwendete eigentliche Verbindungsverschlüsselung, z.B. SSL bei Webseiten-Aufrufen.

Man sollte ein Risiko sicher nie als 0.0 einstufen, aber das zusätzliche Datenschutzrisiko durch XGS-PON ist sicher als „Ultra-Mega-Hyper“-klein einzuschätzen.

Danke Werner für Deine Erläuterung. Ich finde das Alles eben auch wahnsinnig spannend / interessant. Und bei 31 Nachbarn, wenn dann überhaupt so viele gleichzeitig am "gleichen Anschluss" hängen müsste ja auch noch ein böser Hacker sitzen, der die Technologie, das  nötige Wissen und bösartige Absichten gleichzeitig hat. Und dann müsste ich noch via Internet Dinge tun, die für einen Hacker überhaupt interessant wären oder mit denen er irgendwas anstellen könnte.  Da ist wirklich jedes WLAN gefährlicher, oder wäre ich ein potenzielles Angriffsziel, würden Angreifer wohl eher den PC / Betriebssystem direkt attackieren bevor sie an einer OTO Dose rumbasteln würden.

Also der Sicherheitsaspekt finde ich ehrlichgesagt sekundär. Soweit ich weiss wird bei XGS-PON AES für den US (Upstream) und DS (Downstream) verwendet. Ich habe die Implementierung nicht recherchiert aber unabhängig von der Schlüssellänge denke ich, dass die Session Keys regelmässig erneuert werden. Natürlich muss der "Master Secret" Austausch auch sicher gestaltet sein aber da der Standard sehr jung ist nehme ich an das dieser auch mit aktuellen Methoden  umgesetzt worden sind. "DH" "PFS" währen das Stichworte. Dies findet vermutlich bei der Registrierung des ONT (Endgerät/Modem/Router) am OLT ("Gerät" in der Zentrale, dass den PON Strang verwaltet/Gegenstelle) statt, da ja das OLT in diesem Prozess ja auch das neue ONT in die Zeit-Verteilung aufnehmen muss. (XGS-PON verwendet ein "Time Division Multiplex" Verfahren was bedeutet das jeder Teilnehmer Zeit-Slots zur Verfügung gestellt bekommt)

Wenn wir da jetzt eine Auslegeordnung machen: 

• 32 Teilnehmer (Ich gehe davon aus, dass die Swisscom möglichst immer "Auffüllt" sonst ist es weniger wirtschaftlich).
• Ohne Zugriff auf den BEP (Building entry point) , auf die Schächte mit den Splittern oder sonstigen physischen Zugriff ist es nur möglich den Verschlüsselten Download der Endgeräte mitzuhören.
• Um eine Leitung abzuhören benötigt man spezifische Hardware und entsprechende Software die zudem den XGS-PON Protokoll Stack verstehen und den verschlüsselten Payload somit aus dem restlichen Verkehr extrahieren können. 
• Mit Brut Force halte ich das entschlüsseln selbst mit kleinen Schlüssellängen (128bit) als absolut aussichtslos mit der heute zur Verfügung stehenden Hardware. (Ich glaube man kann die Schlüssellänge variieren sollte dies in Zukunft fundamental anders sein). 
• Für die Verwendeten Kryptografischen Methoden die ich bisher im Standarddokument der ITU gefunden habe gibt es keine bekannten Angriffe.

Somit ist es aus meiner Sicht, selbst wenn man viel Geld dafür investiert, heute nicht möglich an einem XGS-PON Strang Traffic für andere Teilnehmer zu entschlüsseln. Zudem sind viele Aktivitäten dann ja auch nochmals Verschlüsselt (z.B. auf einer HTTPS Seite, oder STMPS, IMAPS etc.)

Die Wahrscheinlichkeit, dass einer Deiner Nachbarn diese kriminelle Energie aufbringt ist aus meiner Sicht unwahrscheinlich. Zudem sollte im Normalfall das was ein potentieller Angreifer gewinnen kann im Verhältnis zu seinem Aufwand stehen, den er betreiben musste. 

Wer sich für den Standard interessiert: 

https://www.itu.int/rec/dologin_pub.asp?lang=e&id=T-REC-G.9807.1-201606-I!!PDF-E&type=items

Was ich als viel wahrscheinlicher und problematischer halte sind Störungen ungewollt oder gewollter Art. In einem PONG Strang kann man leicht mit sehr einfacher Hardware mit Licht in der richtigen Wellenlänge den ganzen PONG Strang ausser betrieb setzen und für den Betreiber ist es sehr aufwändig den Verursacher zu finden. Insbesondere dann wenn die Splitter nicht in der Zentralle sondern wie üblich in irgendeinem Strassenschacht sind. 

Ich denke das wird mitunter ein Grund sein warum die Swisscom nicht mehr als 32 Teilnehmer an einem Strang zusammenhängt. Das ist aber natürlich reine Mutmassung, ich habe keinerlei Kontakte zu Swisscom und bin auch Branchenfremd.

Vielen Dank Chicheitti30 für diese ausführliche und interessante Antwort und den Link. Auch die Sache bezüglich gewollten / ungewollten Störungen. Aber eben, die Chance das diesbezüglich irgendwas passiert, ist wirklich geringer als viele andere Dinge bzw. "Störfaktoren" oder "Sicherheitsrisiken" die passieren können. Trotzdem äusserst spannend und interessant. Ich arbeite nicht in diesem Bereich, aber bin äusserst begeistert von den modernen Technologien, vor allem wenn ich mich zurück erinnere an 56K Modems und die damaligen Zeiten 🙂

Hat man noch eine IPv4 Adresse nach der Umstellung auf 10 Gbit/s XGS-PON?

Danke fuer eine Antwort.

VG

@Joffiotte29 

Selbstverständlich hat man noch eine IPv4 Adresse das wäre gar nicht gut wenn es nur noch IPv6 Adressen gäbe.

Na, klar.

---

@Joffiotte29  schrieb:

Hat man noch eine IPv4 Adresse nach der Umstellung auf 10 Gbit/s XGS-PON?

---

Warum sollte es keine IPv4 geben durch XGS-PON?

Hat ja nix miteinander zu tun....

---

@Joffiotte29  schrieb:

Hat man noch eine IPv4 Adresse nach der Umstellung auf 10 Gbit/s XGS-PON?

---

Ich vermute mal, dass von CGNAT gesprochen wird…

Kann passieren.

Wenn eine öffentlich benötigt würde, wird man sie auch wieder bekommen.

@Herby Bedeutet dies, dass man bei einem XGS-PON Anschluss keine öffentliche IP erhält und somit keine Ports mehr öffnen kann?

@Bergler nein, sicher nicht. Auch mit xgs-pon kannst du weiterhin eine öffentliche IPv4-Adresse haben.

---

@Bergler  schrieb:

Bedeutet dies, dass man bei einem XGS-PON Anschluss keine öffentliche IP erhält und somit keine Ports mehr öffnen kann?

---

Unwahrscheinlich. GenaNATete IP's bekommt man derzeit vor allem in den "Niedrigpreis-Abos" von Swisscom.

Wenn man InOne home S,S,S oder InOne "Light" hat eher wahrscheinlich - und bei InOne L,L,L sehr unwahrscheinlich.

Und wenn, kann man es derzeit (noch) über MyService ausschalten lassen

Auch bei M-Budget und Wingo-Internet bekommt man per default einen geNATete IP, bei Wingo kann man es sogar selbst per Kundencenter aussschalten - bei M-Budget auch auf Wunsch nicht

Wie bereits geschrieben. Kann passieren.

Aber ein Anruf bei der Hotline und die Leute dort sollten es ohne Probleme ändern können.

Im Prinzip sollte ja das Swisscom „System“ ja schon im Voraus Wissen, ob eine „Öffentlich IP Adresse“ gebraucht wurde oder eben nicht und daher richtig agieren.

Liebe Leute,

habe seit 12/2020 XGS-PON 10GBit in Kreuzlingen (Neubau, frisch erschlossen).

Was soll ich sagen, die Geschwindigkeit des Router-Speedtests ist beeindruckend (Ping 3-5ms, ca 8GBit up/download).

Über meinen iMac habe ich mit der internen 1Gbase-T Netzwerkkarte knapp 900 MBit im Up und Download, ebenso mit einer externen PCI Karte mit 1GBit SFP+ Modul (Kupfer).

Ich habe mir jetzt spasseshalber 2 verschiedene 10GBase-T SFP+ Module geholt und am 2.5GBit Anschluss der IB 3 probiert. Das Ubiquiti Modul funktioniert gar nicht (kein Link weder unter Mac OS Catalina noch unter Ubuntu Linux, ethtool hat nicht geholfen).

Das 10GTek-Modul (interessanter Vergleichstest auf servethehome.com) läuft wenigstens, allerdings nur mit AutoNegotiation (was, soweit ich verstanden hab bei GBase-T Pflicht ist) und dann wird sowohl unter Mac OS als auch Linux für das Modul ein 10GBit Link angezeigt (merkwürdig, denn der IB3 Port kann ja nur 2.5GBit).

Downstream erreiche ich 2.3GBit/s (Ookla Speedtest), Upstream nur 200-300 MBit/s ???

Und das reproduzierbar. Ich sehe keinen packet loss.

Jetzt frage ich mich, woran kann das liegen, dass der Upstream reproduzierbar unter 10Gbase-T um Faktor 4-5 einbricht im Vergleich zu 1GBase-T??? Liegt das schon wieder am Modul? Duplex mismatch etc?

Ich weiss, das ist schon Klagen auf hohem Niveau, aber hat das schon jemand ausser mir beobachtet und Ideen dazu?

Herzlich grüsst,

roscho

EDIT: Firmware update der IB3 auf letzte Beta FW gemacht, ohne Änderung.

Guten Abend zusammen

Ich habe genau dasselbe Problem. 

Der Download liegt mit Overhead sozusagen bei 100% (quasi bei jeder Messung 2350Mbit) und verdammt stabil.
Der Upload hingegen, ist seit Monaten zwischen 350-850Mbit (mit Ausreisser auf 1150Mbit).

Von Juli 2020 bis zirka Oktober 2020 habe ich mehrere Messungen durchgeführt, bei welchen der Down- und Upload zirka 2350mbit erreicht haben (+/- 20mbit Unterschied von Down- zu Upload).

Bei den letzten Speedtests auf der IB3 fiel mir auf, dass der Download ziemlich lange getestet wird (ungefähr 35-40 Sekunden) und stabil läuft, wobei die Geschwindigkeit bis zirka Sekunde 20 stetig zulegt. Der Upload Test hingegen war nach 3-4 Sekunden auf dem Maximum fiel ab Sekunde 5 auf 0 und wurde nach 8 Sekunden abgeschlossen. Die Uploadwerte entsprechen jedoch nicht jenen, welche mit OOKLA Speedtest durchgeführt werden.

Die Pingzeiten sind generell sehr gut und liegen zwischen 2 - 10ms.

Test auf IB3:
7511 Download

6825 Upload

Test via OOKLA (Standort Fribourg, Mess-Server Wingo Lausanne):

2355 Download

799 Upload

Test via OOKLA (Standort Fribourg, Mess-Server Netplus Martigny):

2357 Download

391 Upload

Test via OOKLA (Standort Fribourg, Mess-Server SolNet Solothurn):

2355 Download

457 Upload

Test via OOKLA (Standort Fribourg, Mess-Server Infomaniak Genf):

2352 Download

851 Upload

Test via OOKLA (Standort Fribourg, Mess-Server Sunrise Zürich):

2355 Download

612 Upload

Wie oben beschrieben ist der Download extrem stabil. Die letztjährigen Werte auf Wingo Lausanne (stabilster Wert: 2354 Download, 2352 Upload) werden jedoch nicht mehr erreicht. 

Das Muster ist klar ersichtlich und betrifft nicht nur einen Messserver. 

Das Helpdesk (immer freundlich und hilfsbereit, muss auch mal gesagt werden) bezieht sich einzig und alleine auf den Test via IB3, was ich auch verstehen kann. Aber irgendwo ist der Wurm drin.

Und wie es scheint bin ich nicht der Einzige, welcher betroffen ist.

Es wäre also sehr interessant dem Ganzen mal auf den Grund zu gehen.

Freundliche Grüsse und ein schönes Weekend euch allen

Guten Abend SchnD,

das sind interessante Erkenntnisse, vielen Dank fürs Teilen!

Was mich noch interessieren würde, benutzt Du eine dedizierte NBase-T Karte oder eine 10GBit Karte, die auch NBase-T (2.5/5 GBit) kann? Ist es eine Karte mit fest verbautem RJ-45 Port oder SFP?

Wenn ich Dich richtig verstehe, ist Dein Upstream bei unveränderter Hardware quasi zum Jahreswechsel eingebrochen?

Könnte ja möglicherweise auch auf veränderte Protokolle / Konfigurationen providerseitig hinweisen, genauso wie die Tatsache, dass ich mit 2.5GBase_T einen langsameren Uplink habe als mit 1GBase-T. Eventuell Drosselung???

Schönes WE Euch allen,

roscho

Guten Abend roscho

Kein Thema, immer gerne.

Messungsaufbau für alle Tests:

(Alle Geräte verfügen nativ über 10Gbit NICs)

Mac mini

RJ-45 zu 

Switch 1

RJ-45 zu 

Switch 2 (kann kein NBASE, "nur" 10/100/1000/10000 *)

SFP+ zu

Switch 3 (kann NBASE und verbindet zum Router)

RJ-45 zu 

IB3

* darum wurde der Switch 3 dazwischen geschaltet.

Um die Geschwindigkeit über Switch 1, 2 und 3 zu ermitteln, habe ich mittels iPerf zwei Messungen zwischen Mac mini und einem Windows Rechner (Asus 10Gbit NIC) durchgeführt. Folgenden Ergebnisse wurden ermittelt:

Messung 1 (iPerf3 Server Windows)

825 MBytes   6.92 Gbits/sec                 

820 MBytes   6.88 Gbits/sec                 

832 MBytes   6.98 Gbits/sec                 

824 MBytes   6.91 Gbits/sec                 

832 MBytes   6.98 Gbits/sec                 

828 MBytes   6.94 Gbits/sec                 

834 MBytes   7.00 Gbits/sec                 

832 MBytes   6.98 Gbits/sec                 

834 MBytes   6.99 Gbits/sec                 

827 MBytes   6.94 Gbits/sec                 

- - - - - - - - - - - - - - - - - - - - - - - - -

Transfer          Bitrate

8.09 GBytes   6.95 Gbits/sec                  sender

8.09 GBytes   6.95 Gbits/sec                  receiver

Messung 2 (iPerf3 Server Mac mini)

Transfer            Bandwidth

 647 MBytes    5.43 Gbits/sec

596 MBytes    5.00 Gbits/sec

613 MBytes    5.14 Gbits/sec

575 MBytes    4.83 Gbits/sec

624 MBytes    5.24 Gbits/sec

604 MBytes    5.07 Gbits/sec

623 MBytes    5.22 Gbits/sec

596 MBytes    5.00 Gbits/sec

606 MBytes    5.09 Gbits/sec

580 MBytes    4.87 Gbits/sec

- - - - - - - - - - - - - - - - - - - - - - - - -

Transfer           Bandwidth

5.92 GBytes    5.09 Gbits/sec                  sender

5.92 GBytes    5.09 Gbits/sec                  receiver

Die Inhouse-Werte liegen weit über den Möglichkeiten von NBASE-T (2.5). Somit besteht kein Flaschenhals. Es ist ebenfalls zu erwähnen, dass die Kabelstrecke vom Switch 3 zum Windows Rechner, im Test, zirka 10m länger ist als vom Switch 3 zum Router. Alle Kabel entsprechen mindestens der Kategorie CAT 6a. Somit kann ein Problem aufgrund der Kabellänge ebenfalls ausgeschlossen werden.

Stimmt in meinem Fall nicht ganz. Ich vermute der Einbruch geschah im Verlauf Oktober-November. Ganz genau weiss ich es nicht mehr. 

Genau das wäre interessant herauszufinden.

Danke gleichfalls.

SchnD

Hallo miteinander

Seit Freitag, 5. Februar 2020, neu XGS-PON, bis jetzt der einzige auf dem BEP.

Ich habe ein durchgehendes 10G-Ethernet, habe aber trotzdem die Messungen wie folgt vorgenommen:

IB3 - CAT6A-Kabel 2m - 10GB Ethernet Port via Thunderbolt 3 - Mac Notebook.

Die niedrigste Messung Down ist wg. Einsatzes eines VPN.

Die höchste Messung Up is wg. Einsatz eines VPN (Wireguard).

Die Ausreiser bei ICMP RTT ist auch wg. VPN Einsatz.

cnlab über die 3 Tage mit ingesamt 20 verwertbaren Tests (plus 1 Test VPN).

Das gleiche vom Arbeits-Mac Mini mit 10GB Ethernet card, ie IB3 - UBI 10G Switch - 10m Cat6a - MacMini mit 10G-Karte.

IB3 zeigt Down 7.6, Up 7.4....

Von Seite Swisscom noch ein Telefon um 23 Uhr am Freitag: Problem eskaliert.

Tests der Swisscom über cnlab am Montag zugesendet und um Stand des Tickets gebeten.

Ich bin ehrlich gesagt paff: Interne Messungen der IB3 zeigen Normalbetrieb, der jedoch nicht so stattfindet.

Frage: Hat jemand solche Messungen mit der IB3 gehabt, aber tatsächlichen Normalbetrieb (ie symetrisch) nicht aber auf dem Zyxel AX7501?

Aus den Bergen grüsst smallpot.

ACHTUNG: Das ist Klagen auf höchstem Niveau, einfach technisch gesehen Alice im Wunderland. Ich kann mir einfach keinen Reim draus machen, RealMessungen vs IB3 (wie auch Swisscom Report: Keine Leitungsprobleme...)