[cancellato] Poiché i bridge funzionano solo a livello layer 2 tutto il traffico arriva al pfSense che deve essere ovviamente configurato per stabilire la connessione TCP/IP (PPPoE o IPoE/DHCP, a seconda del provider) e fare NAT per IPv4.

Sull'ONT non devi in pratica configurare nulla (specialmente se è già configurato dall'ISP per collegarsi all'OLT), lo colleghi al pfSense e configuri tutto quanto necessario sulla porta scelta come WAN. Se devi fare port forwarding verso dispositivi interni lo fai direttamente sul pfSense.

Mi piacerebbe molto capire meglio ciò che hai scritto.
Supponendo di avere un ONT bridge dovrei fare quello che scrivevi qui un anno fa, giusto?
Mi devo studiare quella discussione perchè, anche se in quel caso c'era una FTTH di Fastweb (poco probabile nel mio caso), non ho mai settato la WAN in quel modo, in layer 3...
Se non ci riuscissi, male che vada, modem libero a monte del pfSense...

Maledetta ignoranza! 😐
Stasera provo a giocherellare nelle impostazioni del pfSense e vediamo se ci capisco qualche cosa...

Alfoele Allora, il pc è un mini-itx (Shuttle XH410G)

Questo è #pornfiber 🐷

        hashmenow Questo è #pornfiber

        ?? 🤔

            era una battuta, volevo complimentarmi con te per l'hardware a tua disposizione

            • Alfoele ha risposto a questo messaggio

                hashmenow Non capivo il senso pornografico della cosa 🤣🤣

                    Alfoele Ho riciclato il modo di dire di un subreddit a cui sono iscritto 😁
                    r/LabPorn/ => Subreddit for pictures of epic Lab setups with the coolest equipment

                      • [cancellato]

                      • Messaggio #26
                      • Modificato

                      hashmenow Mi piacerebbe molto capire meglio ciò che hai scritto.
                      Supponendo di avere un ONT bridge dovrei fare quello che scrivevi qui un anno fa, giusto?

                      Sì, dove l'interfaccia "FTTH" in quel caso era quella WAN, ovviamente. In quel caso poi c'era da impostare una specifica opzione DHCP necessaria quando si cerca di sostituire il Fastgate non avendo l'opzione "modem libero" attiva, che ha complicato un po' le cose.

                      L'ONT in bridge funziona senza necessità di configurazioni che non siano quelle che l'ISP deve inserire per autenticarsi con l'OLT nella "centrale". e questa autenticazione è una specificità di GPON; non di un bridge. Serve perché l'ONT riceve il traffico di tutti gli utenti sull'albero e deve selezionare e decrittare solo quello che gli compete.

                      Per il resto per te è trasparente. Considera il bridge uno switch (unmanaged) semplificato, Impara da solo gli indirizzi MAC per dove mandare i pacchetti, e quindi fa passare il traffico fra l'interfaccia GPON della fibra a quelle Ethernet senza necessità di configurare alcunché. Il tutto funziona a livello Ethernet, cosa c'è sopra lo ignora.

                      Ovviamente per questo motivo non è in grado di stabilire la connessione TCP/IP. A quello ci deve pensare il dispositivo collegato, in questo caso il pfSense. Per l'interfaccia WAN bisogna fare una configurazione apposita che è dettata dai requisiti dell'ISP. Ci sarà da impostare la VLAN richiesta, ci sarà da configurare PPPoE o DHCP a seconda dell'ISP, ci sarà da configurare il NAT - tutte cose che si fanno tranquillamente, È sì un po' più complesso che assegnare semplicemente un IP all'interfaccia WAN, ma a meno di esigenze particolari si fa in pochi click, non è diverso che configurare un altro router.

                      Evita solo Sky come ISP. Poiché è IPv6 nativo e usa un protocollo chiamato MAP-T per supportare IPv4. pfSense non lo supporta.

                          [cancellato] Per l'interfaccia WAN bisogna fare una configurazione apposita che è dettata dai requisiti dell'ISP. Ci sarà da impostare la VLAN richiesta, ci sarà da configurare PPPoE o DHCP a seconda dell'ISP, ci sarà da configurare il NAT

                          Per farti capire le mie (sudatissime capacità) ti posso dire che a casa ho 3 LAN a valle del pfSense, una DMZ e una VPN; filtro qualunque cosa app/software/hardware tramite pfblockerng installato sul pfSense con una rigida politica sui DNS e una istanza di Pi-hole per i dispositivi IOT che fanno i furbi e bypassano la porta 53 (per ora su una Raspberry, un domani virtualizzata su Proxmox appena mi decido a montare il server). In ufficio gestisco 3CX per la telefonia, NAS ufficio<->casa, macchine virtuali e simili. Mi sono persino impallinato col selfhosting (Proxmox, Docker, etc.) anche se sono un po' scettico ad aprire la porta 80 e 443 per il reverse-proxy.
                          Spero di riuscire a configurare ciò che dici sia necessario a far dialogare l'ONT con pfSense.
                          Il mio problema è: queste configurazioni chi me le dice? L'ISP? Anche se io gli ho espressamente detto che non voglio il loro modem? Sto cercando qualche screen di una situazione simile alla mia ma per ora non ho trovato nulla.

                          [cancellato] Evita solo Sky come ISP. Poiché è IPv6 nativo e usa un protocollo chiamato MAP-T per supportare IPv4. pfSense non lo supporta.

                          Urca, IPv6 nativo? Non sapevo ne esistessero già, almeno in Italia. Grazie della dritta!
                          Come ISP sarei orientato su pianetafibra.

                          Grazie mille per il tempo che mi hai dedicato!

                                • [cancellato]

                                • Messaggio #28
                                • Modificato

                                hashmenow Per farti capire le mie (sudatissime capacità) ti posso dire

                                Beh dai, hai una buona esperienza.

                                hashmenow Spero di riuscire a configurare ciò che dici sia necessario a far dialogare l'ONT con pfSense.

                                L'ONT come detto è trasparente - il pfSense alla fine deve dialogare con i sistemi dell'ISP a monte dell'ONT.

                                Per PPPoE le configurazioni che ti interessano sono queste:

                                https://docs.netgate.com/pfsense/en/latest/interfaces/ppp.html#pppoe-point-to-point-protocol-over-ethernet

                                Ma si setta anche direttamente dalla pagina dell'interfaccia selezionando PPPoE come tipo. Mentre per DHCP sono quelle che trovi qui:

                                https://docs.netgate.com/pfsense/en/latest/interfaces/configure-ipv4.html

                                hashmenow Il mio problema è: queste configurazioni chi me le dice? L'ISP?

                                Sì. Le trovi pubblicate di solito nelle loro pagine sul "modem libero"

                                hashmenow Anche se io gli ho espressamente detto che non voglio il loro modem?

                                È proprio in questo caso che sono costretti dalla direttiva a darti le configurazioni necessarie. Però attento che sono generiche - come configurare ogni dispositivo spetta al cliente

                                hashmenow Urca, IPv6 nativo? Non sapevo ne esistessero già

                                Gli IPv4 sono proprio finiti, in Europa.

                                hashmenow Come ISP sarei orientato su pianetafibra.

                                Beh, oltre al supporto che trovi qua avrai anche un canale ben più diretto con il supporto dell'ISP per le configurazioni.

                                              [cancellato] anche se è una banale PPPoE

                                              L'ho scritta io quella guida, specificatamente perché IPv6 richiede un'impostazione specifica "Do not wait for a RA" senza la quale IPv6 non funziona. Il resto è standard PPPoE.

                                                  • [cancellato]

                                                  • Messaggio #31

                                                  itsmatteomanf

                                                  Mi sembra che la sezione sul configurare gli indirizzi IPv6 non sia chiarissima. Ad esempio usi correttamente il prefisso da usare nella documentazione, ma poi non c'è scritto esplicitamente quale indirizzo in realtà dovrebbe usare l'utente. Forse è il caso di chiarire che deve usare una subnet del prefisso assegnato.

                                                  Vedo che poi anche se il prefisso è assegnato via DHCP fai una configurazione statica dell'interfaccia. Hai provato a usare "track interface" per configurarla automaticamente? Se il prefisso non cambia mai ha poca importanza, comunque.

                                                      [cancellato] Hai provato a usare "track interface" per configurarla automaticamente?

                                                      Si, ma il problema è che fondamentalmente sembra (e dopo controllerò meglio) non funzionare. Non arrivandogli RA non sa nemmeno che IP gli sono assegnati, quindi niente track interface. L'interfaccia WAN ha solo l'IP link-local, non gli viene assegnato altro.

                                                      [cancellato] Forse è il caso di chiarire che deve usare una subnet del prefisso assegnato.

                                                      Ti riferisci a questa frase?

                                                      Qui assegniamo una subnet scegliendo l’IP dell’interfaccia, nel mio caso ho scelto l’IP ::1 della subnet 10, rendendo l’IP dell’interfaccia 2001:db8:0109:010a::1/64.

                                                      Lo specifico sopra, in realtà, che questo è solo il formato. Poi mi sembrava palese che non si sarebbe dovuto usare un IPv6 a caso, ma quello assegnato da PF stessa.

                                                      In IPv4 Address potrete trovare il vostro IPv4 pubblico, che se è statico corrisponderà a quello elencato nel portale cliente Pianeta Fibra. L’IPv6 non è un indirizzo pubblico, ma link-local, che è corretto, il prefisso assegnatoci, nel formato 2001:db8:0109:0100::/56, verrà configurato nella prossima sezione per le interfacce interne.

                                                            • [cancellato]

                                                            • Messaggio #33

                                                            itsmatteomanf L'interfaccia WAN ha solo l'IP link-local, non gli viene assegnato altro.

                                                            Sì, ma dovrebbe funzionare con il prefisso delegato via DHCPv6 alla WAN, e quello pfSense dovrebbe vederlo, una volta che è stata impostata per l'interfaccia LAN il tracking dell'interfaccia WAN che ottiene la delega. È comunque una mia curiosità, visto che al momento non ho un sistema con il quale testare. Se la WAN usa solo l'indirizzo link-local non so se è anche da selezionare "Request only an IPv6 prefix".

                                                            itsmatteomanf poi mi sembrava palese che non si sarebbe dovuto usare un IPv6 a caso, ma quello assegnato da PF stessa.

                                                            Sì, per chi ha un attimo di confidenza con IPv6 è vero, ma considera che magari c'è chi configura un pfSense per la prima volta e non ha mai usato IPv6 prima, è che è abituato a usare indirizzi privati sulla LAN - e non sa nemmeno che quel prefisso è riservato alla documentazione.

                                                                  [cancellato] Sì, ma dovrebbe funzionare con il prefisso delegato via DHCPv6 alla WAN, e quello pfSense dovrebbe vederlo, una volta che è stata impostata per l'interfaccia LAN il tracking dell'interfaccia WAN che ottiene la delega.

                                                                  Non sembra vederlo, appena provato e se uso "track interface" mi prende solo il link-local.

                                                                  [cancellato] Se la WAN usa solo l'indirizzo link-local non so se è anche da selezionare "Request only an IPv6 prefix".

                                                                  Non serve, mi sembra di ricordare fosse controproducente. Si può forse non selezionare il "Send IPv6 prefix hint", ma di norma è giusto metterlo in quasi tutti gli operatori...

                                                                  Chiediamo allora a @[cancellato] se mi può aggiornare la frase sopra così, cosa ne dici @[cancellato]?

                                                                  In IPv4 Address potrete trovare il vostro IPv4 pubblico, che se è statico corrisponderà a quello elencato nel portale cliente Pianeta Fibra. L’IPv6 non è un indirizzo pubblico, ma link-local, che è corretto, il prefisso assegnatoci, nel formato 2001:db8:0109:0100::/56 (qui usiamo un prefisso per la documentazione, sarà da sostituire con quello assegnato all'utente, visibile nel proprio portale), verrà configurato nella prossima sezione per le interfacce interne.

                                                                        • [cancellato]

                                                                        • Messaggio #37

                                                                        itsmatteomanf Non sembra vederlo, appena provato e se uso "track interface" mi prende solo il link-local.

                                                                        Ok, interessante, devo riuscire a fare qualche prova perché così sembrerebbe un bug. A meno che non cambi comportamento usando appunto il flag Request only an IPv6 prefix". Non solo dovrebbe vedere il prefisso delegato, ma anche la dimensione del prefisso e modificare la descrizione sotto "(hexadecimal from 0 to 0)" con l'intervallo usabile. Se è una /56 dovrebbe apparire "(hexadecimal from 0 to FF)"

                                                                        itsmatteomanf (qui usiamo un prefisso per la documentazione, sarà da sostituire con quella assegnata all'utente, visibile nel proprio portale)

                                                                        Sì, così mi sembra completamente non ambiguo e dice anche all'utente dove reperire quel dato, perché altrimenti deve cercarselo da qualche parte in pfSense o appunto nella documentazione dell'ISP.

                                                                              [cancellato] Se è una /56 dovrebbe apparire "(hexadecimal from 0 to FF)"

                                                                              Appare così, ma perché gli indico io cosa aspettarsi sopra (se cambio quello cambia senza altre modifiche, o almeno sembra), in "DHCPv6 Prefix Delegation size". Sono passati un paio di mesi, se non di più, ma ricordo di aver fatto prove con tutte le possibili combinazioni di spunte.

                                                                                • [cancellato]

                                                                                • Messaggio #39

                                                                                hashmenow Urca, IPv6 nativo? Non sapevo ne esistessero già, almeno in Italia. Grazie della dritta!
                                                                                Come ISP sarei orientato su pianetafibra.

                                                                                In verità non è corretto perchè anche noi e molti altri siamo nativi. Loro semplicemente hanno la rete IPv6 only. La prassi più comune attualmente invece è una rete dual-stack.

                                                                                itsmatteomanf Chiediamo allora a @matteo-rock se mi può aggiornare la frase sopra così, cosa ne dici @kmorwath?

                                                                                Faccio, grazie

                                                                                      [cancellato] grazie!

                                                                                      Hai news poi su RA? Mi abiliterebbe IPv6 in una nuova location e credo permetterebbe di usare il track interface di pfSense così da semplificare la guida per gli utenti.

                                                                                          • [cancellato]

                                                                                          • Messaggio #41
                                                                                          • Modificato

                                                                                          itsmatteomanf se vuoi delle feature nuove puoi mandare email con i dettagli della richiesta a sviluppatori [at] pianetafibra [dot] it . Se raggiunge un buon numero di richieste o comunque può migliorare il servizio viene accettata e messa in todo list 👌🏽

                                                                                              Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                                                                              P.I. IT16712091004 - info@fibraclick.it

                                                                                              ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile