Swisscom FTTH ohne Internetbox

Die neue Glasfaser Technik für Internetanschlüsse verbreitet sich in der Schweiz immer mehr. Einer der Marktführer ist Swisscom.
Zum grossen Leid vieler technisch versierter Kunden lässt sich mit dem Swisscom Glasfaser-Router „Internetbox“ leider kein sogenanntes „bridging“, oder „PPPoE Passthrough“ mehr machen. Das heisst man bekommt die öffentliche IP nicht mehr direkt an einem externen Gateway oder Firewall, die „Internetbox“ gibt nur noch private Netwerk IPs an die angeschlossenen Geräte weiter. Zwar lassen sich mit der „DMZ-Funktion“ die meisten Ports an ein Gerät weiter leiten, doch das ist nicht wirklich zufriedenstellend, wenn man selbst ein Gateway/Firewall/Router betreibt und „Herr über den Datenverkehr“ sein will.

Doch zum Glück gibt es Abhilfe! Denn Swisscom hat keinen Router-Zwang, so kann man beispielsweise auch einen anderen Internet-Router an das Glasfaser Kabel anhängen. Und es geht sogar noch besser: Mittels einem Switch mit SFP-Ports, einem Medienkonverter oder einer entsprechenden Fiber-Netzwerkkarte lässt sich sogar ganz auf den Internetrouter verzichten!
Dieser Beitrag zeigt Lösungen auf um wieder die öffentliche IP direkt an der Firewall terminieren zu können.

[stextbox id=“alert“ caption=“Achtung bei 10 GBit“]Seit dem 10 GBit Ausbau von Swisscom wird ein Routerzwang eingeführt, was heisst, dass sobald man die „Umstellung“ auf 10 GBit macht, das verwenden eines Fremdrouters nicht mehr möglich ist! Man ist dann derzeit dazu gezwungen die „InternetBox 3“ von Swisscom oder einen „zertifizierten“ Router aus der Swisscom router Whitelist zu verwenden.[/stextbox]

Grundsätzlich gibt es einige Möglichkeiten die „Internetbox“ der Swisscom zu ersetzen, mit:

  • einem Fiber-Router
  • einem Medienkonverter, z.B.: TP-LINK TP-Link MC220L
  • einer Fiber-Netzwerkkarte, z.B.: Intel X520-SR1
  • einem Switch mit integrierten Fiber (SFP) Ports, z.B.Zyxel GS1920-24

Ich werde hier vor allem letzteres, nämlich die Variante mit dem SFP-Switch erklären, doch das Konzept lässt sich auch einfach auf die andere Hardware Anwenden.

Inhalt

Voraussetzungen

Einige Voraussetzungen sind nötig um den Swisscom-Router abzulösen:

  • Man Braucht ein Gerät wo man den Mini-GBIC der „Internetbox“ reinstecken kann (SFP-Port)
  • Der (SFP-)Port an dem das Glasfaserkabel hängt muss im VLAN ID: 10 sein und die Pakete auch alle mit VLAN ID: 10 taggen. Dies kann entweder direkt am switch passieren, oder beim Router; der Switch muss aber auf jeden Fall mit VLANs und VLAN-Tagging umgehen können.
  • Der DHCP-Client muss die „dhcp-option 60“ (vendor-class-identifier) mit dem Wert: „100008,0001,,My Device“ setzen

Vorbereitung

Setzen der dhcp-option 60

Zunächst einmal muss sicher gestellt werden, dass das Gateway (z.B. Linux, pfsense, usw.) die „dhcp-option 60“ korrekt setzt, denn sonst wird man von Swisscom 60 Minuten für die Wiedereinwahl gesperrt!

Dabei sind beim String:

"100008,0001,,My Device"

nur die ersten zwei Nummern (100008,0001) relevant, für „My Device“ kann irgendein Text (z.B. Name des Gateways) angegeben werden.

Bei Linux kann man in der Konfigurationsdatei /etc/dhcp/dhclient.conf diese Option wie folgt setzen (eth0 ist dabei mit dem Namen der Netzwerkkarte zu ersetzen welche die öffentliche IP erhalten wird!):

interface "eth0" {
  send vendor-class-identifier "100008,0001,,gateway dhclient 1.0";
}

[stextbox id=“note“ caption=“Hinweise für pfsense“]Unter pfsense lautet die Option nicht wie überall sonst „vendor-class-identifier“, sondern „dhcp-class-identifier“.
Ab pfsense 2.3 kann man zudem unter der Konfiguration des WAN Interface unter Advanced bei: „DHCP Client Configuration“ die Option: „[X] Configuration Override“ anklicken.
Dann macht man in pfsense eine neue Datei, z.B.: /conf/dhclient.conf (Achtung: Dateien in /etc/ werden nach jedem Neustart gelöscht!) mit folgendem Inhalt:

interface "{interface}" {
send dhcp-class-identifier "100008,0001,,pfsense 2.3";
}

um die DHCP Option 60 korrekt zu setzen.[/stextbox]

Nun sollte das getestet werden. Zunächst wird eine neue Konsole auf dem gateway geöffnet wo man mittels tcpdump:

tcpdump -w dhcp.pcap -i eth0 -n -e -s 65535 port 67 or port 68

den Netzwerkverkehr aufzeichnet.

Nun wird die Konfiguration der  Internet-NIC (hier: eth0) auf DHCP gestellt und diese z.B.: mittels:

/etc/init.d/networking restart

bzw. bei pfsense im Admin-GUI:
Status -> Interfaces; release/renew

[stextbox id=“warning“ caption=“pfsense und CLI“]Möchte man auf der pfsense Konsole (via SSH) testen, muss in der dhclient.conf Datei der Platzhalter {interface} auf den echten Interface Namen (z.B: emX) gesetzt werden, da der Platzhalter nur beim reload vom GUI mit dem Interface-Namen ersetzt wird!

Danach muss man dem dhclient noch sagen, dass er die Konfiguration aus der Datei verwenden soll.

dhclient -c /conf/dhclient_cli.conf emX

[/stextbox]

neu gestartet.

Danach wird die Datei dhcp.pcap auf die Workstation kopiert und mittels Wireshark analysiert.

So sollte es aussehen wenn alles geklappt hat:

wireshark

[stextbox id=“tip“ caption=“Alternative: dhcpdump“]Alternativ kann man auch das Programm „dhcpdump“ verwenden, welches jedoch meist noch nachinstalliert werden muss.[/stextbox]

Einbau des GBIC

Nun wird der GBIC aus der „Internetbox“ entfernt und beim Switch in einen der SFP-Ports gesteckt.

Port: 24: WAN (SFP) Port 23: WAN (RJ45)
Port: 24: WAN (SFP)
Port 23: WAN (RJ45)

Konfigurieren des Switches

Beim Switch muss nun ein neues VLAN mit der ID: 10 erstellt werden. Der SFP-Port, so wie ein weiterer RJ45 Port müssen in diesem VLAN sein (ansonsten sollte kein andrer Port in dem VLAN sein!).

So sieht das dann in etwa aus:

vlan-01

Nun muss noch eingestellt werden, dass der Switch alle Pakete auf dem SFP-Port mit der VLAN-ID: 10 taggt:

vlan-02

Verbinden und DHCP-Request auslösen

Als letztes wird nun der Internet-Port am Gateway mit dem VLAN 10 Port des Switches verbunden und einen DHCP-Request gemacht:

/etc/init.d/networking restart

[stextbox id=“alert“ caption=“Achtung“]Es darf mit den nächsten Schritten erst fortgefahren werden, wenn die dhcp-option 60 richtig gesetzt wird, ansonsten wird man von Swisscom für 60 Minuten komplett gesperrt![/stextbox]

Wenn alles geklappt hat, sollte die Netzwerkkarte nun eine öffentliche IP direkt von Swisscom beziehen.

Swisscom TV

Während Swisscom ReplayTV ohne weiteres funktionieren müsste, muss für Swisscom LiveTV noch der igmproxy auf dem Gateway kompiliert & installiert werden.

[stextbox id=“note“ caption=“igmproxy“]Unter Linux habe ich Swisscom LiveTV mit dem igmproxy nicht zu laufen gekriegt. Unter pfsense 2.3.2-RELEASE-p1 läuft hingegen LiveTV (bisher) stabil (pfsense 2.3.1 hatte da gemäss aussagen mancher Leute Probleme).
Man muss allerdings beachten, dass man aufgrund des Bugs #6099 den IGMP Proxy nicht auf VLAN Interfaces benutzen kann. Auf einer ESXi VM lässt sich das VLANs tagging auf dem Hypervisor machen. Wer physische Hardware verwendet, sollte dedizierte Interfaces verwenden.

Die Nachfolgende Anleitung bezieht sich deshalb derzeit auschliesslich auf pfsense ab Version 2.3.2.

[/stextbox]

IGMP proxy

Unter Services -> IGMP Proxy werden zwei neue interfaces erstellt, ein upstream und downstream Interface:

Downstream Interface

InterfaceLAN
DescriptionSwisscomTV downstream
TypeDownstream Interface
Threshold1
NetworksLokales Netzwerk, in dem die Swisscom TV Box drin ist (z.B. 10.1.1.0/24)

Upstream Interface

InterfaceWAN
DescriptionSwisscomTV upstream
TypeUpstream Interface
Threshold1
Networks224.0.0.0/4
213.3.72.0/24
195.186.0.0/16

 Firewall

Nachfolgend müssen noch einige Firewall-Regeln gemacht werden.

Damit Swisscom TV funktioniert muss man ausgehend Multicast erlauben. Am einfachsten geht dies, wenn man bei der Regel welche ausgehenden IPv4 Verkehr erlaubt, unter Advanced Options:„This allows packets with IP options to pass. Otherwise they are blocked by default. This is usually only seen with multicast traffic.“, markiert.

Interface: LAN

ActionPass
InterfaceLAN
Address FamiyIPv4
Protocolany
SourceLAN net
Destinationany
DescriptionDefault allow LAN to any rule
Advanced Options[X] Allow IP options

Interface: WAN

ActionPass
InterfaceWAN
Address FamiyIPv4
Protocol IGMP
Source any
Destination any
Description IGMP (Swisscom TV)
Advanced Options[X] Allow IP options
ActionPass
InterfaceWAN
Address FamiyIPv4
Protocol UDP
Source224.0.0.0/4
213.3.72.0/24
Destination224.0.0.0/4
213.3.72.0/24
DescriptionMulticast (Swisscom TV)
Advanced Options[X] Allow IP options
ActionPass
InterfaceWAN
Address FamiyIPv4
Protocol UDP
Source 195.186.0.0/16
Destination any
Description UDP Swisscom infrastructure (SwisscomTV)

Switch

Damit das Netzwerk nicht mit Multicast Traffic geflutet wird, empfiehlt es sich noch bei allen switches in der Kette (von der TV Box bis zum WAN Interface) die Option: „igmp snooping“ zu aktivieren; dazu ist ein „managed switch“ von Nöten.

IPv6

Da swisscom ihre Netze schon vollständig „IPv6-Kompatibel“ gemacht hat, bietet es sich an bereits mit dem neuen Protokoll ins Internet zu gehen. 😉

[stextbox id=“warning“ caption=“Achtung: IPv6 seit 25.02.2017 nicht mehr funktionsfähig“]
Seit 25.02.2017 funktioniert der Zugriff auf das Internet mit IPv6 von pfsense aus nicht mehr.
Update: Seit dem 27.11.2017 geht IPv6 wieder!
Update: Mittlerweile muss zusätzlich noch die MTU auf 1472 Bytes gesetzt werden.
[/stextbox]

Unter pfsense sind dazu die folgenden Schritte nötig:

Interfaces -> WAN

IPv6 Configuration Type6rd Tunnel
6RD Prefix2a02:1200::/28
6RD Border relay193.5.29.1
6RD IPv4 Prefix length0
MTU1472

Interfaces -> LAN

IPv6 Configuration TypeTrack Interface
IPv6 InterfaceWAN
IPv6 Prefix ID0

Firewall -> Rules -> LAN

Hier muss man sicher stellen, dass die „Default allow LAN IPv6 to any rule“ vorhanden ist oder eine ähnliche erstellen:

ActionPass
InterfaceLAN
Address FamiyIPv6
Protocolany
SourceLAN net
Destinationany
DescriptionAllow LAN IPv6 to any
Advanced Options[X] Allow IP options

Neu-Aktivierung

Wann immer man ein anderes Gerät (z.B. neue „Swisscom Internetbox“) anschliesst und dann wieder der eigene router muss zwingend eine Neu-Aktivierung gemacht werden, in dem man die Seite: http://www.swisscom.ch/start aufruft; also sicher beim ersten Mal.
Dazu muss dann auch die DNS-Auflösung zwingend über einen der Swisscom-DNS Server: 195.186.1.162 oder 195.186.4.162 erfolgen.

[stextbox id=“info“ caption=“Beispiel wann eine Neu-Aktivierung erforderlich ist“]
Als ich meine Abo von „Vivo“ auf „inOne“ gewechselt hatte, wurde mir eine neue „Internetbox“ zugestellt. Diese musste einmalig angeschlossen werden, um das neue Abo zu aktivieren.

Nachdem ich dann wieder zurück auf meinen pfsense router wechseln worde ging erstmal gar nichts mehr, Internet war komplett tot. Fast jedenfalls: Der router bekam die Public-IP Adresse und auch das Gateway der Swisscom liess sich pingen.
Und über die Swisscom DNS-Server konnte ich auch namensafragen machen.
Also habe ich auf einem Client den Swisscom-NS konfiguriert und konnte so die URL: swisscom.ch/start aufrufen.

Näheres dazu im Swisscom Community thread: Gehen Fremdrouter nach wechsel auf inOne noch?[/stextbox]

Quellen

Published by

Steven Varco

Steven ist ein Redhat RHCE- und Kubernetes CKA Zertifizierter Linux-Crack und ist seit über 20 Jahren sowohl beruflich wie auch privat auf Linux spezialisiert. In seinem Keller steht ein Server Rack mit diversen ESX und Linux Servern.

9 thoughts on “Swisscom FTTH ohne Internetbox”

  1. Danke für die Zusatz-Infos und cool, dass es geklappt hat! 😉

    Man kann das VLAN Tagging entweder direkt auf dem switch machen, oder auf dem router (pfsense), aber irgendwo muss es schon mit der ID 10 getaggt werden. 🙂

  2. Hallo,
    Habe das ganze mal bei Wingo versucht.

    Ich bekomme die öffentliche IP4, aus pfSense raus kann ich über den Wan Port auch 8.8.8.8 usw Pingen. -> Vom lan Port aus, komm ich aber nicht raus…. Keine ahnung, überall steht das man mit dem Lanport automatisch raus kommt… ich anscheinend nicht.

    Eine Idee?

    Danke

    1. Prüfe ob du unter Firewall/ NAT / Outbound eine NAT Regel besteht um den Traffic vom LAN ins WAN zu routen.
      Und dann unter Firewall / Rules / LAN ob eine Firewall Regel für ausgehenden Traffic (LAN net) besteht.

      1. Danke für die schnelle Antwort.
        Also ich erreiche meine Pfsense aus dem Internet. Das heisst die Verbindung besteht definitiv.
        Bekomms aber nicht hin das die LAN Ports online kommen. Verzweifle gerade 🤣. Irgendwas mache ich falsch….

        1. Ok, also bekommst nicht hin.
          Darf ich dich kontaktieren um evt. der sache auf den Grund zu gehen?

          Wäre auch für eine entschädigung bereit 😀😄.

          Gruss

          1. Es funktioniert!

            Vielleicht hilft es jemandem:

            Wingo:
            – IP4 Adresse bekommt man in dem man in dem man bei mywingo in den Einstellungen die Ports und alles direkt durch leitetet (das erste mal muss dafür die Wingo eigene BOX angehängt werden. Ansonsten bleiben die Settings ausgegraut! Hat man die Einstellungen gesetzt, 10-15 Minuten warten, bis die Box die neue ipv4 erhält!

            PFSENSE funktioniert direkt an Glasfaser (SFP-Modul)! Kein Modem, Kein weiterer Router. Nur pfSense direkt am Glasfaser!

            Zu meinem Problem folgendes:

            Ich musste ->
            – „Manual Outbound NAT rule generation.
            (AON – Advanced Outbound NAT)“ setzen.
            – Dann WAN-Interface to Any

            Ich hatte also irgend ein Problem mit dem NAT, muss mich hier noch einlesen, was meine Einstellungen bewirken! 😀

Schreibe einen Kommentar zu Onkl Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert