Vorwort
Herzlich Willkommen zu meiner Anleitung in der es darum geht, eine Pfsense Firewall hinter einem Glasfaser Anschluss der Swisscom zu betreiben. Diese Anleitung basiert auf Wissen aus dem Swisscom Forum sowie von verschiedenen Webseiten und vor allem aus meiner eigenen Erfahrung. Es gibt bereits einige Tutorials welche dieses Thema beschreiben und Lösungsmöglichkeiten bieten. Trotzdem schreibe ich noch einmal ein eigenes Tutorial. Ich bin der Meinung, dass es einige unklare Punkte gibt, welche man dann mühsam zusammen suchen muss. Dieses Tutorial/Anleitung enthält ganz klar persönliche Meinungen und ist nicht neutral geschrieben.
Einleitung
Nachdem die wichtigste Frage geklärt ist, warum man überhaupt einen 10 Gbit’s oder noch schnelleren Internetanschluss benötigt können wir endlich beginnen.
Als Erstes musst du dir Gedanken machen, was du erreichen möchtest und was für einen physikalischen Anschluss du hast. Es gibt 4 verschiedene Arten wie deine Wohnung / Haus / Firma physikalisch angeschlossen wird von der Swisscom. Ich schreibe im weiteren Verlauf immer von einer Wohnung das trifft aber auch auf einen Hausanschluss oder auf einen Firmenanschluss (KMU bis Grossunternehmen) zu.
ADSL (Asymmetric Digital Subscriber Line) | Anschluss mit Telefondraht (2-Adrig) |
Glasfaser P2P | 4 Fasern pro Wohnung mit 1 Gbit’s symetrisch |
Glasfaser P2MP (XGS-PON) | 1 Faser pro Wohnung mit 10 Gbit’s symetrisch (Fan-Out) |
4G/5G via Mobilfunknetz | 1 oder mehrere Empfänger/Sender pro Wohnung |
Eine Anschlussart wird vorhanden sein, ich beziehe mich vor allem auf die P2MP Variante in diesem Tutorial. Nicht mit allen Anschlussarten sind die gleichen Setup’s möglich und es wird unterschiedliche Hardware benötigt. Eines möchte ich hier noch anmerken. Warum ist das P2P Glasfaser der Swisscom nur mit 1 Gigabit Modulen bestückt? Ich nehme mal an, damit man die “neue” Technologie XGS-PON respk. P2MP besser verkaufen kann. Technisch und wohl auch finanziell, völliger Unsinn! Aus meiner Sicht eine Marketing Strategie welche nicht gefördert werden sollte. Init 7 kann es sich leisten auf 25 Gbit’s Module umzurüsten.
Nun noch kurz etwas zur Swisscom, die Swisscom wird in 3 “Abteilungen” respk. Kundensegmente unternteilt, ich möchte diese kurz erklären.
Swisscom Grossunternehmen
Falls du einen Grosskunden Anschluss hast, melde dich am besten bei der Swisscom. Ich nehme an, dass auf deiner Rechnung am Monatsende eine hohe 5-7 stellige Zahl steht, welche dir den grössten Ärger erspart. Damit solltest du Kompetenten Support oder vielleicht sogar weitere technische Vorteile geniessen können. Da ich nie Grosskunde war, kann ich das leider nicht beurteilen.
Swisscom KMU Kunden
Jetzt wird es schon schwieriger, man hat zwar einen gesonderte Hotline aber wird technisch behandelt wie ein Endkunde. Es gibt jedoch auch technisch einen Vorteil und zwar kannst du die “Business Geräte” der Swisscom erhalten (Router/Firewall). Dabeit geht es vorallem um die Centro Business Reihe für die wir uns interessieren.
- Centro Business – Das Standardmodell (Funktionsübersicht) – Kommt nur bei ADSL Anschlüssen in Frage
- Centro Business 2 – Das Premiummodell (Funktionsübersicht) – Kommt nur bei ADSL Anschlüssen in Frage oder Glasfaser bis 1 Gbit’s
- Centro Business 3 – Das Premiummodell (Vergleichsübersicht) – Das ist unser Gerät für 10 Gbit’s Anschlüsse
Für diese Geräte musst du ein KMU Kunde sein, wie man das anstellt da gibt es verschiedene Möglichkeiten. Hier nun eine wichtige Infos: PPPoE Passthrough gibt es nur beim Centro Business 3.0 und dafür muss man eine fixe IP haben.
Eigentlich kann man diese Geräte direkt retournieren falls man den Fokus auf das Internet legt und beim Internet wirklich alle Möglichkeiten zur Verfügung haben will.
Swisscom Privatkunde
In deinem Abopreis ist wie bei der KMU Abteilung auch eine Schweizer Hotline inbegriffen, welche dir aber in dieser Thematik nicht weiterhelfen wird/kann/will/darf. Technisch ist der Anschluss wie ein KMU Anschluss anzusehen. Es gibt jedoch andere Hardware und man hat nicht die Möglichkeit PPPoE oder IP Passthrough einzusetzen.
- Internetbox 3 – ADSL und Glasfaser
- Internetbox 4 – Kommt nur in Frage wenn man keine eigene Firewall/Router einsetzen will, hat aber 10 Gbi’t Lan Port.
Somit besteht nur die Möglichkeit ein “Swisscom” konformes Gerät zu kaufen, welches dann einen Bridge Mode erlaubt. Das ist die einzige Möglichkeit den eigenen Internetanschluss und die Freiheit zurück zu erhalten.
Backup der Konfiguration / Administration / Support
Die Konfiguration wird inzwischen oftmals in der Cloud gespeichert demzufolge auch bei der Swisscom. Da ziehen aber mittlerweile viele ISP’s mit und auch Hardware Hersteller. Grundsätzlich ist dem nichts auszusetzen, ausser man hat Sicherheitsbedenken (die sollte man auch zurecht haben). Cloudkonfigurationen dies bringt für den Support extreme Vorteile und es können sogar aus der Ferne Einstellungen vorgenommen werden welche Einfluss haben auf dein Netzwerk. Bei der Swisscom kann der Mitarbeiter sogar ein Admin-Passwort deines Routers temporär freischalten. Ob man eine Person aus dem Support auf sein Netzwerk lassen will, welche nicht einmal die Marke Zyxel kennt? Demzufolge wäre es ja schön, wenn man die Einstellungen vom Centro Business 2.0 direkt auf das Centro Business 3.0 migrieren könnte, das geht aber leider nicht. Diese Informationen sollte man einfach immer im Hinterkopf haben wenn man sich schon um sein Netzwerk kümmert.
Unser Vorhaben
In unserem Vorhaben möchten wir eine Pfsense Firewall einsetzen und diese wird an einem P2MP Glasfaseranschluss von der Swisscom betrieben. Dieser einfache Satz kann schwindelerregend viel Aufwand bedeuten und einem zur Verzweiflung bringen. Fairerweise muss ich sagen, dass es keinen Routerzwang gibt bei der Swisscom und somit genau dieses Vorhaben möglich ist.
Benötigte Hardware
Nach dieser Einführung kann es nun sachlicher werden und wir schauen uns die Hardware an.
- Zyxel AX7501-B0 (habe ich gekauft)
- Huawei EchoLife HN8250Ts (müsste auch funktionieren)
Es gibt ein PDF welches nachgeführt wird und die zertifizierten Geräte auflistet (Wholesale Link). Ich habe mir den oben erwähnten Zyxel Router gekauft.
Die Einstellungen für Fremdgeräte findet man unter folgenden Link: Fremdgeräte Einstellungen Swisscom
Diese wichtigen Dokumente und Informationen sind öffentlich zugänglich jedoch muss man diese zuerst finden. Bei der Hotline erhält man diese Information nur mit Glück. Grundsätzlich würde ich beim AX7501-B0 favorisieren und zwar aus dem Grund, da Zyxel am ehesten zukünftige Changes mitbekommt und allenfalls mit einem Firmware Update reagieren kann/wird.
Inbetriebnahme
Die folgenden Schritte sind wichtig und sollten in dieser Reihenfolge durchgeführt werden. Als erstes muss der Anschluss aufgeschaltet werden von der Swisscom und die OTO-Dose muss montiert sein. Bei einem XGS-PON Anschluss ist nur eine Faser verfügbar bei mir ist das die Faser 2. Demzufolge sind die Ports 1 + 3 + 4 leer an diesen wird man sicher kein Netz erhalten.
Als erstes sollte der Anschluss mit dem gelieferten Swisscom Router in Betrieb genommen werden. Das bedeutet der Swisscom Router wird ausgepackt und angeschlossen. Hilfreich ist es wenn man das alles nicht am Boden machen muss und einen Laptop dabei hat welcher ein RJ45 Anschluss hat, diesen kann man direkt am Lan Port beim Swisscom Router einstecken. Glasfaser anstecken + Strom anschliessen, danach den Swisscom Router starten (Internetbox 4 oder Centro Business 2 / 3). Ich würde einmal 30 Minuten abwarten. Danach den Laptop einstecken am Lanport vom Swisscom Router.Der Laptop sollte sich nun verbinden und man sollte den Browser öffnen und direkt Internet haben.
Erste Rekapitulation, falls du jetzt kein Internet hast und dein Zyxel Router hoffentlich noch eingepackt neben dir steht, solltest du dir nun definitiv einen Stuhl und Tisch besorgen. Ich empfehle in diesem Fall keine weiteren Komponenten anzuschliessen sondern direkt auf Fehlersuche zu gehen. Folgende Probleme könnte es in diesem Fall geben.
- Glasfaseranschluss ist nicht aufgeschaltet
- Glasfaseranschluss ist defekt
- Der Laptop hat eine fixe IP und es wurde daher via DHCP keine IP zugewiesen
- Die gelieferte Internetbox oder Centro Business ist defekt
- Die gelieferte Internetbox oder Centro Business ist nicht korrekt bei der Swisscom registriert
- Das Lankabel funktioniert nicht korrekt
- Die Kabel sind falsch eingesteckt (Glasfaser, Lan)
Ich gehe nun einmal davon aus, dass der Laptop Internet hat und dass das Swisscom Internet grundsätzlich funktioniert. Natürlich kann man hierfür auch den Swisscom Support mit einbeziehen, denn bis jetzt ist kein Fremdrouter in Betrieb. Für natives IPv6 empfehle ich ausserdem dies gleich zu aktivieren und zu überprüfen, dass auf dem Swisscom Router auch eine IPv6 Adresse geliefert wird.
Inbetriebnahme Fremdgeräte (Zyxel AX7501-B0)
Nun nehmen wir den Zyxel AX7501-B0 in Betrieb, dafür schalten wir den Swisscom Router (Internetbox 3/4 oder Centro Business 2/3) ab. Beim öffnen vom Zyxel Router sehen wir, dass ein komischer Standfuss beigelegt ist. Ich weiss leider nicht wie der genau zu montieren ist. Deshalb lasse ich den einmal weg, er ist auch ein wenig überflüssig. Zyxel liefert zudem ein eigenes Glasfaserkabel mit, ich habe dieses verwendet und bei der OTO Dose eingesteckt (Port 2) und natürlich am AX7501-B0 wo der Glasfaseranschluss ist.
Wenn man nun den Zyxel Router startet und den Laptop am Zyxel Router anschliesst sollte man mit 192.168.1.1 das Admin Interface erreichen. Die Logindaten sind auf dem Router aufgedruckt. Obwohl diese Version speziell mit dem VLAN 10 vor konfiguriert daher kommt fehlen Einstellungen. Es gibt verschiedene Modelle vom Zyxel AX7501-B0! Ich denke das da alle funktionieren werden aber trotzdem sollte man am besten diese Version nehmen welche die Nummer AX7501-B0 hat.
Als nächstes melden wir uns beim Zxel Router an und machen die nötigen Einstellungen. Für natives IPv6 wird zwingend die Firmware V5.17(ABPC.2)D0_20220707 benötigt. Es ist also gut möglich, dass Ihr zuerst dieses Firmware Update benötigt und installieren müsst. Da Ihr später nicht mehr auf den Zyxel Router zugreifen könnt sobald es im Bridge Modus ist, müssen alle Einstellungen korrekt sein und auch das Firmware muss vorher gemacht werden. Ansonsten müsst ihr später den Zyxel Router zurücksetzen via Reset und die Konfiguration noch einmal vornehmen.
Daher empfehle ich als erstes das Firmware Upgrade durchzuführen.
Die Datei kann in diesem Menü ausgewählt werden nach dem Update natürlich den AX7501-B0 neu starten und sich erneut anmelden. Man muss die Datei bei Upgrade Firmware auswählen und nicht bei “WWAN Package”.
Als nächstes nehmen wir nun die Einstellungen vor welche Swisscom spezifisch sind und wohl nur noch bei Wingo angewendet werden können. Wir gehen ins Broadband Menü.
Unter “Modify” verändern wir die Einstellungen und setzen diese so wie auf dem nächsten Bild. Sobald der Mode auf “Bridge” und Apply angewählt ist, wird man den Zugriff auf den Zyxel Router verlieren. Das bedeutet dass die anderen Einstellungen wie auf der rechten Seite zu sehen sind vorher natürlich korrekt gesetzt werden müssen. Die MTU kann auf 1500 gesetzt werden, das funktioniert ohne Probleme. Es gibt diverse Empfehlungen hier eine andere Einstellung vorzunehmen, ich vermute, dass es früher einmal anders war. ACHTUNG: Ich empfehle vorab einen Testlauf zu machen und daher den Bridge Mode noch nicht zu aktivieren.
Man müsste jetzt, bereits mit dem Laptop welcher am Zyxel Router angeschlossen ist, Internet erhalten. Falls man auf dem Laptop beim Browser öffnen folgendes Bild erhält muss zuerst noch das Fremdgerät in unserem Fall der Zyxel AX7501-B0 bei der Swisscom registriert werden und die MAC Adresse kann via Kundencenter eingetragen werden. Der Support kann euch keinen Aktivierungscode geben, das ist auch nicht nötig. Der einfachste Weg ist die MAC Adresse vom Zyxel Router via Kundendienst hinterlegen zu lassen.
Wenn Ihr euch für einen Testlauf entschieden habt und den Zyxel Router nicht in den Bridge Modus gesetzt habt müsst Ihr wohl noch die DHCP Option 60 aktivieren. Wenn die Registrierung funktioniert hat und die DHCP Option 60 auch gesetzt ist müsste definitiv nun Internet vorhanden sein auf eurem Laptop. Ein Reboot könnte sicher nicht schaden damit er auch korrekt die Verbindung aufbauen kann.
Nach dem Neustart und erneutem einloggen sollte es unter System Info in etwa so aussehen. Der Laptop welcher verbunden ist sollte im Internet nun via XGS-PON surfen und die vollen 10 Gbit’s könnten nun verwendet werden falls man sich mit dem Zyxel Router zufrieden gibt.
Wir möchten aber nicht den Zyxel Router benützen, sondern unsere Pfsense. Das bedeutet, dass wir zurück gehen und unter Broadband die Konfiguration ändern und den AX7501-B0 in den Bridge Modus versetzen. Sobald man diese Einstellung bestätigt ist fungiert unser AX7501-B0 als Modem. Wer bis hierhin alles durchgelesen hat und durchgearbeitet hat weiss, dass die Hardware und der Glasfaseranschluss korrekt funktionieren. Bei einer späteren Fehlersuche ist das extrem hilfreich zu Wissen.
Pfsense Konfiguration für Swisscom XGS-PON Glasfaseranschluss
Bitte vergewissere dich, dass der Glasfaseranschluss funktioniert und der Zyxel AX7501-B0 korrekt im Bridge Modus ist. Wenn du nicht sicher bist, dann lies bitte den gesamten oberen Teil dieses Tutorials durch. Ansonsten kann es sein, dass du nun verzweifelst und dich fragst warum es nicht funktioniert. Die Thematik CGNAT ist ganz unten beschrieben, auch dieser Punkt muss beachtet werden und ihr dürft nicht im CGNAT Netz sein.
Nun konfigurieren wir die Pfsense Firewall, als erstes wird das WAN konfiguriert. Wie man sieht, funktioniert das auch wenn die Pfsense virtualisiert ist. Das muss natürlich nicht sein und man kann diese Einstellungen natürlich auch auf einer physischen Pfsense vornehmen. Im WAN Interface werden die hier gezeigten Einstellungen gemacht.
Wir haben vorhin gelernt, dass das Gerät welches als Router / Firewall fungiert bei der Swisscom registriert sein muss. Also die MAC Adresse muss in eurem Kundenkonto als Fremdgerät eingetragen sein. Wenn Ihr nun die Pfsense reinhängt muss diese MAC Adresse auf die MAC Adresse von eurem WAN Anschluss der Pfsense geändert werden. Das bedeutet ihr müsst noch einmal mit dem Support telefonieren falls die Zyxcel MAC Adresse hinterlegt ist. Bei mir ist die virtuelle MAC Adresse hinterlegt welche vom ESXI vergeben wird, es ist einfach die MAC Adresse vom RJ45 Anschluss wo das Internet auf die Firewall kommt.
Nun kommt der wichtigste und komplexe Teil der Pfsense Konfiguration. Es muss “Configuration Override” angewählt werden. Vorab muss eine Datei angelegt werden. Ich habe das via dem Menüpunkt “Diagnostics” gemacht und die Datei habe ich “swisscom.conf” benannt.
Hier siehst du nun den Inhalt der Datei. Das “pfsense 2.6” kann auch weggelassen werden oder etwas anderes hineingeschrieben werden. Wichtig ist der Interface name sowie die anderen angaben. Es muss alles 1:1 so eingetragen werden ansonsten funktioniert es nicht. Das sind die Einstellungen DHCP Option 60 so wie es von Swisscom verlangt wird. Die Datei wird dann bei Configuration File Override angegeben (oberes Bild).
Die weiteren Einstellungen welche direkt auch für IPv6 gelten, hier bei IPv6 wird kein Configuration Override benötigt.
Es kann ein DNS Server gesetzt werden, natürlich ist dieser hier nur ein exemplarisches Beispiel.
Blue TV (Swisscom TV)
Es ist auch möglich Blue TV zu betreiben hinter der Pfsense. Dafür müssen aber einige Einstellungen vorgenommen werden. Auch hier könnte man es einfacher machen aber es geht auch kompliziert, schliesslich kann die Pfsense so ziemlich alles. Diese Regeln müssen für das Lan Segment gelten sowie für das WAN damit Blue TV funktioniert.
IPv6
Wenn Ihr alles richtig gemacht habt, dann sollte es möglich sein IPv6 Adressen auf euren Endgeräten zu erhalten. Auch hier müssen noch ein paar Dinge beachtet werden. Ich zeige hier keine Firewall Einstellungen denn dies gehört nicht zu diesem Tutorial und haben nichts mit der Swisscom zu tun. Bedenkt bitte, dass Sicherheit bei IPv6 ein hoher Stellenwert haben sollte.
Als erstes wird unter Networking IPv6 erlaubt.
Auf den normalen Lan Interfaces sieht es dann wie folgt aus. Wichtig ist zu beachten, dass das IPv6 Prefix sich pro Interface jeweils um eine Zahl erhöht.
VLAN 10 Tagging
Ich habe bei mir extra noch einmal nachgeschaut und habe den Anschluss nun seit längeren und einigen Neustarts in Betrieb. Das VLAN 10 Tagging passiert bei mir vermutlich auf der Zyxel Bridge weil ich weder auf der Pfsense noch auf dem ESXI ein VLAN 10 Tagge. Das wäre gut zu wissen ob das bei anderen auch der Fall ist.
Fehlersuche via Wireshark
Via Wireshark können die Pakete abgefangen werden und ich empfehle dies zu tun. So sieht man ob die “Option 60” korrekt gesetzt ist. Gut zu erkennen sind auch die Details: Vendor class identifier sowie der Text welcher eingegeben wurde in der Pfsense Konfiguration.
CGNAT Swisscom (Carrier-Grade Network Adress Translation)
Falls Ihr auf eurem Zyxel Gerät oder auf eurer Pfsense eine IPv4 Adresse erhaltet welche mit 100.95.XXX.XXX anfängt. Seit Ihr im Swisscom CGNAT Netz und ihr könnt eigentlich darin nicht viel anstellen. In diesem Fall müsst Ihr auch die Hotline anrufen und sagen, dass Sie bitte euren Anschluss aus dem CGNAT nehmen sollen und Ihr eine echte IPv4 Adresse haben möchtet. Der Support kann und muss das auf Wunsch machen, danach solltet Ihr eine echte IPv4 Adresse erhalten wo kein NAT mehr dazwischen geschaltet ist.
Schlusswort
Dieses Tutorial sollte einiges abdecken und die wichtigsten Einstellungen zeigen welche zwingend gemacht werden müssen damit das funktioniert. Bei Fragen könnt Ihr mich natürlich via meinem Formular auf dieser Webseite kontaktieren. Grundsätzlich übernehme ich keine Haftung und ich garantiere auch keinen Support. Falls diese Konfiguration in einem Unternehmen eingesetzt wird beachtet, dass es keinen Support von Swisscom gibt. Ich musste die Einstellungen selber austesten und die Informationen zusammentragen aus verschiedenen Orten. Dieses Tutorial ist wohl auch das einzige dass natives IPv6 via XGS-PON und einem Fremdrouter (AX7501-B0) erklärt und zeigt. Ich habe 5 Monate gebraucht damit dies alles funktioniert, es kann natürlich sein, dass sich etwas ändert. Ich werde falls ich Änderungen vornehme an meiner Konfiguration diese Anleitung updaten.