Swisscom Community – Kunden helfen Kunden
DE
Gelöst
  • Der Fragesteller hat diesen Beitrag als gelöst markiert.
  • Geschlossen

SFP in switch, public IP direkt an der firewall terminieren

guybrush82
Level 2
Level 2
1 von 4
‎17.10.2016 12:18

Hallo Zusammen

 

Ich bin gerade erst von cablecom zu swisscom (fibre) gewechselt; hauptsächlich weil ich vom Swisscom TV 2.0 begeistert war und ich ganz neu (endlich!) einen FTTH-Anschluss bekommen hab. 😉

 

Dann der erste Schock: Die "Internetbox" der swisscom unterstützt kein bridging, d.h. ich kann die öffentliche IP nicht in meinem Internetgateway (derzeit noch eine debian "eigenbau" router/firewall, zukünftig dann pfsense) terminieren was den Internetanschluss für mich praktisch unbrauchbar macht. Abgesehen davon, dass die DMZ-Funktion bei mir irgendwie nicht läuft, will ich auch dass router/firewall direkt angesprochen werden können, ohne port-forwarding (es ist ja nicht mal ein 1:1 NAT).

 

Ich war kurz davor mein neues swisscom abo wieder zu künden (und reumütig zur cablecom zurück zu kehren :D), doch habe ich zuerst mal google angeworfen und dann die grosse Erleichterung: Es gibt abhilfe für das Problem! 😄

Durch lesen von zahlreichen post hier, so wie der blogpost von @Anonym http://www.tuxone.ch/2012/06/pfsense-21-mit-swisscom-access.html und https://blog.dogan.ch/2013/10/20/pfsense-mit-swisscom-ftth/ las ich heraus, dass swisscom immerhin keinen router-zwang für deren schrottige Internetbox hat und man den GBIC der IB auch in einem anderen device einstecken kann. 😉

 

Da ich einen Zyxel GS1910-24 switch besitze welcher 4 SFP ports hat, brauche ich wohl keinen medien-konverter(?).

 

Also habe ich:

  • Den GBIC von der Internetbox in den SFP-Port 24 des switches gesteckt
  • Den WAN port an der Netzwerkkarte vom Gateway mit dem RJ45-Port 23 des switches verbunden
  • Am switch ein VLAN (ID: 10) über die Ports 23 und 24 konfiguriert
  • Den DHCP-Client beim gateway so einegsetllt, dass die Option 60 (vendor-class-identifier) auf: "100008,0001,,gateway dhclient 3.0" gesetzt wird
  • DHCP request am WAN port gemacht

Leider scheint noch irgendwas nicht geklappt zu haben, denn es ist keine IP Adresse zurück gekommen... 😞

Habe dann bei den beiden ports noch VLAN-Tagging kurz aktiviert, was jedoch auch nichts gebracht hat.

 

Als ich gleich danach den GBIC wieder in die IB gesteckt hatte, bekam diese sofort wieder eine IP (also wurde ich nicht gesperrt, bw, die dhcp option 60 wurde korrekt übermittelt 🙂 ).

 

Nun möchte ich fragen ob jemand hier einen Denkfehler sieht, bzw. ob sonst noch was zu machen ist?

 

Und gleich eine Frage zum tagging:

  • Muss getaggt werden?
  • Wenn ja, was muss getaggt werden: Nur Port 24 (SFP), Nur Port 23 (WAN) oder beide?
  • Wo, muss getaggt werden: Reicht es auf dem switch port oder muss auch am WAN interface am gateway schon getaggt werden (ist das einzige was ich noch nicht ausporbiert habe 😄 )

 

Danke schon mal für euren input,

guybrush

 

Editiert

Benutzer, die für diese Nachricht Likes vergeben haben

0 Likes
HILFREICHSTE ANTWORT1

Akzeptierte Lösungen
guybrush82
Level 2
Level 2
3 von 4
Antwort auf Beitrag 2,
‎17.10.2016 20:40

Danke @Anonym

 

Als ich heute nach Hause gekommen bin habe ich es nochmals probiert und beim switch tagging am Port 24 (wo der SC-GBIC hängt) eingeschaltet, DHCP request gemacht und ca. 30 bange Sekunden später:

 

root@gateway:~# /etc/init.d/networking restart

Listening on LPF/wan0/00:50:43:41:be:f0
Sending on LPF/wan0/00:50:43:41:be:f0 Sending on Socket/fallback

 

 DHCPDISCOVER on wan0 to 255.255.255.255 port 67 interval 8

NEIN!

 DHCPDISCOVER on wan0 to 255.255.255.255 port 67 interval 8

NEIN!

 DHCPDISCOVER on wan0 to 255.255.255.255 port 67 interval 8

NEIN!

 DHCPDISCOVER on wan0 to 255.255.255.255 port 67 interval 8

NEIN!

DHCPOFFER from ###.###.###.###
DHCPACK from ###.###.###.###
bound to 188.62.#.# — renewal in 21008 seconds.

WOOHOO!

 

Es hat geklappt! :smileyvery-happy:

Ich muss wohl gestern in der hektik vergessen haben das VLAN-tagging am switch auch tatsächlich zu applizieren... :smileysurprised:

 

Die Internetbox habe ich bereits abgebaut und werde heute Nacht wohl das erste mal seit zwei Wochen wieder ruhig schlafen können... 😄

 

 

Vielen Dank an allen hier im Forum, die mir mit Hinweisen indirekt zu Lösung verholfen haben!

 

Wichtiger Hinweis für linux user:

Unter linux heisst die Option in dhclient.conf nicht: dhcp-class-identifier, sondern: vendor-class-identifier.

 

Zudem kann man das auch noch auf das WAN-Interface beschränken:

interface "eth0" {
  send vendor-class-identifier "100008,0001,,mygateway";
}

 

Editiert

Benutzer, die für diese Nachricht Likes vergeben haben

0 Likes
3 Kommentare 3
Tux0ne
Level 9
Level 9
2 von 4
‎17.10.2016 12:46

Hoi @guybrush82

 

Eventuell kannst du dich an dieser Anleitung orientieren:

https://www.studerus.ch/fr/support/download/58552_1

 

Eigentlich muss nur der SFP Port getagged werden.

Zudem würde ich den Option String kürzen: 100008,0001,deb

Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient

Benutzer, die für diese Nachricht Likes vergeben haben

0 Likes
guybrush82
Level 2
Level 2
3 von 4
Antwort auf Beitrag 2,
‎17.10.2016 20:40

Danke @Anonym

 

Als ich heute nach Hause gekommen bin habe ich es nochmals probiert und beim switch tagging am Port 24 (wo der SC-GBIC hängt) eingeschaltet, DHCP request gemacht und ca. 30 bange Sekunden später:

 

root@gateway:~# /etc/init.d/networking restart

Listening on LPF/wan0/00:50:43:41:be:f0
Sending on LPF/wan0/00:50:43:41:be:f0 Sending on Socket/fallback

 

 DHCPDISCOVER on wan0 to 255.255.255.255 port 67 interval 8

NEIN!

 DHCPDISCOVER on wan0 to 255.255.255.255 port 67 interval 8

NEIN!

 DHCPDISCOVER on wan0 to 255.255.255.255 port 67 interval 8

NEIN!

 DHCPDISCOVER on wan0 to 255.255.255.255 port 67 interval 8

NEIN!

DHCPOFFER from ###.###.###.###
DHCPACK from ###.###.###.###
bound to 188.62.#.# — renewal in 21008 seconds.

WOOHOO!

 

Es hat geklappt! :smileyvery-happy:

Ich muss wohl gestern in der hektik vergessen haben das VLAN-tagging am switch auch tatsächlich zu applizieren... :smileysurprised:

 

Die Internetbox habe ich bereits abgebaut und werde heute Nacht wohl das erste mal seit zwei Wochen wieder ruhig schlafen können... 😄

 

 

Vielen Dank an allen hier im Forum, die mir mit Hinweisen indirekt zu Lösung verholfen haben!

 

Wichtiger Hinweis für linux user:

Unter linux heisst die Option in dhclient.conf nicht: dhcp-class-identifier, sondern: vendor-class-identifier.

 

Zudem kann man das auch noch auf das WAN-Interface beschränken:

interface "eth0" {
  send vendor-class-identifier "100008,0001,,mygateway";
}

 

Editiert

Benutzer, die für diese Nachricht Likes vergeben haben

0 Likes
Tux0ne
Level 9
Level 9
4 von 4
‎17.10.2016 21:01
My home my castle ist nur wenigen vergönnt. Gut Nacht 🙂
Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient

Benutzer, die für diese Nachricht Likes vergeben haben

0 Likes
Nach oben