Swisscom fiber (business) an Ubiquiti USG Pro?

@gra eine Registrierung ist aber zwingend notwendig um die Internetdienste zum laufen zubringen.

OTO ID kann weiter helfen und Standortangabe, wenn Gewünscht PM an mich.

Wichtig ist auch das die USG sich per DHCP und PPOE (Für fixe IP)  gleichzeitig anmeden kann.

https://www.galaxus.ch/de/s1/product/questions/ubiquiti-usg-unifi-security-gateway-router-5776945

https://community.swisscom.ch/t5/Festnetztelefonie/Dokumentation-zum-ADB-ST-6840-Router/td-p/505292

Hardware Alternative Mikrotik: https://mikrotik.com/product/rb4011igs_rm#fndtn-testresults

Mit der Mikrotik Hardware funktioniert die Doppel Anmeldung.

@Tux0ne  weitere Tips ?

Was wird denn dabei registriert? Es kann doch nur die MAC Adresse sein, denn mehr sieht man ja nicht. Und diese habe ich korrigiert (wobei ich nicht 100% sicher bin, dass die MAC auf dem Sticker tatsächlich die WAN MAC ist, aber sie ist plausibel, da sie unterhalb der MAC Adressen liegt, die ich auf der LAN Seite sehe).

Nicht sicher bin ich betreffend "PPPoE und DHCP gleichzeitig". Ich kann beim USG nur PPPoE oder DHCP konfigurieren.  Meines Wissens haben aber User auch schon den USG am Swisscom Glas benutzt, vielleicht kann da jemand Auskunft geben?

Müsste denn nicht auch "PPPoE und DHCP" letztlich PPPoE sein (mit DHCP dann encapsulated oder so), d.h. die PPPoE-Discovery Pakete müssten beantwortet werden?

Hier der tcpdump, den ich auf dem USG ausführte (WAN Interface ist eth2):

admin@ubnt:~$ sudo tcpdump -npi eth2 -w x4
tcpdump: listening on eth2, link-type EN10MB (Ethernet), capture size 262144 bytes
^C2 packets captured
2 packets received by filter
0 packets dropped by kernel

admin@ubnt:~$ base64 x4
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

Den base64 könnt ihrdirekt in Wireshark anschauen - man sieht darin nur 2 Dinge, eben die IGMPv3 Pakete von Swisscom (802.1Q VLAN pri 7/vfi 0/id 10) und PPPoE Discovery (PADI) vom Router (802.1Q VLAN pri0 / cfi 0 / id 10), welche aber unbeantwortet bleiben. Ich würde denken, auch DHCP in PPPoE müsste darauf mit PADO Paketen reagieren...?

lg Andreas

PS: Ich habe übrigens auch versucht, mit Hilfe des Mediakonverters den Router von Swisscom anzusniffen (also sein Glas in einen 2. Mediakonverter und von dort via Ethernet auf Laptop mit Sniffer), da sah ich aber gar nichts... diese Mediakonverter funktionieren wohl nur in eine Richtung? Die Idee wäre, zu sehen, was der Router tatsächlich rausschickt.

Anmerkung: Von Kundendienst wurden wir (genauer gesgagt jemand Anderes von unserer Organisation, weil wir sie bisher nicht direkt kontaktierne durften) an swisscom.ch/registration verwiesen. Nur:

• mit dem neuen Router können wir die Seite logischerweise nicht ansurfen (weil er ja nicht mal ne IP bekommt)
• von einem anderen Anschluss aus können wir uns zwar mit der Seriennummer einloggen, bekommen aber nur eine "Your Internet access has been successfully configured" Seite, da kann ich nur noch Mobilnummern, Emails, oder Security Packages eintragen, aber keinen Router resetten. Wo kann ich hier eine neue MAC eintragen, oder den Anschluss resetten?

Abgesehen vom eventuellen technischen Problem (DHCP+PPPoE), falls das überhaupt eines wäre, ist die Frage also, ob und wie eine Registration überhaupt gemacht wird, nachdem eben schon ein alter Router registriert wurde... und ob dies überhaupt notwendig ist. *sigh*

@BurningRoli kanst Du da weiterhelfen ?

Danke, das mit VLAN 11 scheint in der Tat zu klappen - ich bin zwar noch nicht am Ziel, habe aber immerhin eine IP bekommen auf einem pppoe2 Interface. Ich werde mal weiter schauen.

Allerdings glaube ich, das mit swisscom.ch/register ist trotzdem notwendig - aber auf eine spezielle Weise (das ist jetzt etwas spekulativ):

• Neuen Router konfigurieren und rebooten - er wird initial nicht eine IP bekommen
• Über einen anderen Internet Zugang GLEICHZEITIG auf swisscom.ch/register gehen, sich dort mit Seriennummer und Firmennamen authentisieren. Dann auf dieser Seite unten rechts den Button "Finalisieren" oder "Beenden" drücken (man kann hier gar nix konfigurieren). Es kommt dann ein Fenster, dass die Internet Verbindung eingerichtet werde.
• Dann den Router nochmals rebooten. Offenbar ist das Konto jetzt erst in einem Zustand wo ein neuer Router durchkommt.

Mir fiel auf, dass ich nach meinem Teilerfolg der alte Swisscomrouter keine IP mehr bekam (weil ich ja das Problem nicht vollständig lösen konnte, wollte ich den Alten wieder nutzen), bis ich diese Prozedur nochmals durchführte. Ich kann aber auch nicht ausschliessen, dass eine halbe Stunde warten auch funktioniert hätte. Es wäre sehr nett, wenn Swisscom uns erklären würde, wie diese Resitrationsprozedur genau abzulaufen hat (eben mit Gleichzeitigkeiten zwischen zu aktivierendem Router unt Webseite)....

Jeder neuer Router hat auch eine neue MAC-Adresse, die muss mit dem WSG (Swisscom-System) Serienummer (Abo) verknüpft werden über www.swisscom.ch/access oder www.swisscom/registration. Dies muss aber auf dem Anschluss direkt geschehen.

Hintergrund: Wenn ich den registrieten Router an einem anderen Ort anschliesse bezieht  er genau dasselbe Profil laut (Abo). Wenn eine Natelnummer beim Account hinterlegt wurde bekommt der Kunde eine SMS-Info, das an seinem Anschluss der Router ausgetauscht wurde (Security Info).

Naja, es geht ja nicht auf dem Anschluss selber, da der keine IP bekam, das musste also - eben gleichzeitig - über einen anderen Anschluss erfolgen. Aber egal, das hat ja jetzt geklappt - leider habe ich ein neues Problem:

Wir haben, wie gesagt, einen /26 Range (64 IPs). Auf dem USG habe ich jetzt auf dem WAN Anschluss von Swisscom jedoch ein /32 "Netz" bekommen, also für genau eine Haupt-IP (und NATting darüber funktioniert jetzt auch). Nun möchte ich auf dem 2. LAN des USG (eth1) eine DMZ für die anderen IPs aufbauen, ohne NAT dazwischen, da laufen dann halt auch Server. Weiss jemand, wie man dies Swisscom-seitig aufbauen muss? Mich irritiert, dass ich via PPPoE statt dem /26 nur ein /32 Netz bekommen habe. Wie erwartet Swisscom nun Pakete von/zu den anderen IPs? Müsssen die in die PPPoE+802.1Q+Ethernet Layers eingepackt werden, genau wie die für die Haupt-IP (ich müsste dann wohl den Netrange des pppoe Interfaces auf ein /26 Netz "erzwingen"), oder müssen diesese Pakete auf SC Seite ganz ohne PPPoE Header geschickt werden (die PPPoE Verbindung würde die quasi parallel authentisieren und nur noch auf die MAC schauen)? Dokumentiert ist dies leider nicht, und ich kann auf dem Originalteil von Swisscom ja auch nciht sniffen, was er aufs WAN schickt. Und wie man das dan auf dem USG konfiguriert, ist eine andere Frage - zuerst muss ich aber wissen, was SC da genau erwartet.

[EDIT]: Konnte ich jetzt auch lösen, offenbar muss man in der Tat das /26 erzwingen... habe auf dem USG ein 2. LAN mit genau unserem Swisscom Range eingerichtet, und auf diesen IPs NAT deaktiviert. Damit man die Server noch erreichen kann, waren für diese noch Port Forwards notwendig, und jetzt scheint es endlich zu klappen 🙂 Danke für eure Hilfe (v.a. die Sache mit VLAN ID 11).

Wenn du ein Subnet beziehst, so hast du ja die Netzwerkadresse des Subnets (nie nutzbar). Die Router Adresse +1 der Netzadresse (nutzbar bei PPPoE), die nutzbaren IP Adressen zwischen Router IP und Broadcast, sowie die Broadcast Adresse des Subnets.

Wenn du jetzt eine PPPoE Verbindung zu Swisscom machst, so bezieht der Router die Router Adresse mit der CIDR /32.

Jetzt ist es vom Router abhängig wie man die nutzbaren IP's des Blocks verwenden kann.

Von Swisscom wird einfach der ganze Block auf die Router Adresse geroutet. Wie man diese im Netz dann verteilt ist eben Systemsache, bridge, VIP, NAT oder was auch immer.

Hallo zusammen nochmals,

Also, es klappt mittlerweile recht gut, danke für eure Hilfe. Jetzt habe ich aber noch ein weiteres Problem: nach einigen Tagen scheint der Router tot zu sein und ich muss ihn rebooten... ich finde den Router vorher in einem Zustand, dass sein PPPoE verloren ging (ich sehe das ppp0 Interface, aber ohne IP, und kein pppoe2 Interface mehr). Meine Frage dazu: kann es sein, dass Swisscom ein pppoe Login nach einer Zeit terminiert und dann ein Neulogin erwartet? Das könnte das Problem erklären. Hintergrund: ein Prozesss eines Systems der DMZ schickt regelmässig UDP Pakete nach aussen, in einer hohen Frequenz (das ist der Grund, weshalb der Swisscom Router selber nicht genügte). Wenn der Unifi Router diese Pakete nicht rausschicken kann - eben weil z.B. Swisscom die Verbindung terminierte und ein Neulogin erwartet - kommt er aufgrund der sofort wachsenden Queue offenbar in einen Overload und reagiert nicht mehr. Ich werde mal versuchen, diese UDP-Quelle unter einen Guard zu stellen, die pausiert, sobald die Internet Verbindung weg ist. Was aber schon ein bisschen lästig ist, und ich fände ein solches Vorgehen auf einem Business Anschluss unverständlich, da es ja jeweils Paketverluste bedeuten würde?