Fibra FTTH con Pfsense senza ONT

2022-02-02T11:21:18+00:00

Ciao a Tutti, Dopo l'annuncio della fibra di iliad a a 5gbps ho iniziato a fantasticare su cosa è possibile fare, e quindi sono qui per farmi tornare con i...

Mckernan

[cancellato]
Non conosco pfsense!

Spero di non dire stupidaggini!
Ma a differenza della 2.5G offerta da Vodafone, che necessita operazioni particolari vedi Post!
Questa EPON di Illiad con Modulo ONT in SFP, dove fornito, necessita solo di un Router come il CCR2004 ( @LSan83 potrà suggerire il Router appropriato visto che i Moduli SFP sembrano compatibili con il Mikrotik) per spremere i 5G.

Paolo

[cancellato]

Se necessita solo di un Router non vedo perchè non dovrebbe funzionare con pfsense/openwrt 🙂

Mckernan Hai detto che i moduli SFP sembrano compatibili, dove hai visto che modelli installano ? così verifico se sono compratibili con la mia scheda SFP+

[cancellato]

[cancellato] non ho ancora l'allacciamento FTTH, dovrebbe essere disponibile dal 2023

Se sai le date le opzioni sono due: o FiberCop o area bianca; nessuna delle due servita da Iliad (al momento).

[cancellato] sembra che non montino nessun ONT

Usano miniONT SFP+; su una rete PON l'ONT c'è sempre ed è obbligatorio.

[cancellato] Se si vogliono quindi sfruttare i 5 Gbps bisogna prendere un modem diverso spendendo un bel pò di soldi.

Router, non modem. E comunque al 99,999% della popolazione probabilmente i 5Gbps non servono a nulla.

[cancellato] È fattibile ?

Aspetta di essere cablato. Muoversi ora significa buttare i soldi; quando hai contratto disponibile e ordinato valuterai il da farsi a seconda della scelta compiuta. 😉

[cancellato] i moduli SFP sembrano compatibili, dove hai visto che modelli installano ?

C'era la foto in uno dei thread Iliad, sono moduli Hisense di cui non si trova una mazza in giro per il web. Se hai la scheda che accetta ottiche generiche, ragionevolmente funzionano.

Mckernan

[cancellato]
Questa è una mia supposizione poiché forniscono una giuda x la configurazione del RB4011 come modem libero; a meno che non venga fornito un ONT esterno.
Vedi post relativo a Illiad.
In questo momento non posso cercarlo perché ti sto rispondendo con il cellulare.

Paolo

[cancellato]

Grazie a tutti per le risposte
[cancellato] Sono in zona Grigia/Nera e dovrei essere coperto dal Piano Italia 1Gbit/s (bandaultralarga)

[cancellato] La macchina che ho intenzione di usare con pfsense è una VM su esxi con xeon E5-2609 v3 (un pò stretta ma dovrebbe farcela), per il MAP-E spero che la comunity o direttamente netgate si inventi qualcosa :/

Mckernan Dalle guide sul sito iliad sembra che usino la porta spf anche per la configurazione del RB4011

[cancellato]

[cancellato] oppure l'ftth usa dei protocolli particolari

Esatto. Iliad usa EPON. L'SFP immagino sia un ONT EPON in formato SFP. Dall'ONT - che sia esterno o in formato SPF poi "esce" normale traffico Ethernet. Se gli slot SFP(+) che hai sono compatibili con l'ONT SFP EPON è fattibile inserirlo direttamente lì.

Poi la macchina pfSense deve avere abbastanza potenza di calcolo per gestire i 5Gb/s. Qui trovi ad esempio le performance dei vari dispositivi Netgate a seconda del tipo di processore e NIC usati:

https://www.netgate.com/appliances

Rimane il problema che Iliad per IPv4 usa MAP-E e pfSense non lo supporta. Forse si può fare qualcosa a mano, come suggerito per i Mikrotik, ma non so se il supporto è sufficiente.

[cancellato]

[cancellato] per il MAP-E spero che la comunity o direttamente netgate si inventi qualcosa :/

Gli ho aperto una feature request nove mesi fa, ma la risposta è stata:

Unlikely this would come to pfSense since AFAIK there isn't any implementation of MAP for FreeBSD/pf. If someone wants to create one, then perhaps it could be considered.

Ad oggi non ci sono novità. Anche in questo caso se non c'è pressione dal mercato per averlo, non arriverà a breve a meno che qualcuno non la aggiunga a FreeBSD - se per qualche motivo Netgate stessa l'aggiunge non è detto che arrivi subito nella versione Community - pfSense Plus e Community potrebbero divergere non poco nel futuro.

Nota comunque che a differenza di quanto pensassi, l'SFP di Iliad non sarebbe usabile senza l'IliadBox.

Edit: è possibile che la configurazione a mano del tunnel IPIP6 sia fattibile in pfSense, compresa l'impostazione del range di porte per il NAT. Andrebbe testato.

mark129

[cancellato] Sono in zona Grigia/Nera e dovrei essere coperto dal Piano Italia 1Gbit/s (bandaultralarga)

Quindi devi attendere i bandi per conoscere sia chi li vincerà (e se iliad opera su quella infrastruttura) sia i tempi (le scadenze sono ignore e presumibilmente lunghe).

Nicola86

[cancellato]
ciao, per caso ci sono notizie a riguardo?
io vivo a torino e mi hanno installato ieri la fibra iliad in casa.
dal muro c'è il GPON ONT di openfiber, che va verso il router iliad (modalità ONT), a cui io ho messo pfsense a cascata.

al momento sta andando malissimo nella risoluzione dei dns e varie applicazioni che usiamo per lavoro non vanno (ms teams, ms outlook, ...). onestamente non so cosa fare, vedo tre opzioni non so quale sia preferibile:

rimettere il router iliad in modalità router, a cascata pfsense in dmz --> forse la più facile, mi perdo poi qualcosa come potenzialità?
provare a insistere con questo setup, capendo se devo cambiare qualcosa nelle impostazioni di wan/ routing
mettere direttamente pfsense dopo il gpon ont di open fiber --> forse la cosa più pulita anche perchè comincio ad avere ont, router, router, switch, ap😅... e la mia ragazza mi vuole sparare

L0r3

[cancellato]
Prova a vedere questo link
In pratica il codice per supportare MAP-E è già da anni integrato su pfSense ma non c'è la GUI che non è mai stata implementata, un vero peccato...

L0r3

Qul0 come ha scritto [cancellato] :

Cit.: "ll fatto che ci sia il codice in FreeBSD è ovviamente importante, ma per renderla operativa va aggiunta la UI e poi deve essere testato il tutto perché funzioni senza problemi con tutto il resto dell'implementazione di pfSense.

La patch alla quale ti riferisci ad una prima occhiata sembra limitata alla corretta selezione delle porte lato NAT - con MAP-E/T c'è poi da gestire la configurazione passata via DHCPv6 per inizializzare correttamente il sistema."

Vedi link

[cancellato]

Nicola86 ciao, per caso ci sono notizie a riguardo?

È arrivata la versione 2.6 ma ovviamente niente MAP. Sinceramente, se uno vuole usare pfSense al momento fare Iliad o Sky non è una buona scelta. Anche se con MAP-E al contrario di MAP-T si può provare a fare il tunnel 4in6 a mano.

Nicola86 forse la più facile, mi perdo poi qualcosa come potenzialità?

Direi che ti perdi IPv6 - e con le reti IPv6 native funziona, ma IMHO non è la soluzione ideale. Se fosse possibile configurare il routing sull'IliadBox sarebbe meglio disabilitare il NAT sul pfSense e fargli fare solo da router/firewall. Il port forwarding in IPv4 lo fai sull'IliadBox, mentre in IPv6 puoi aprire tutto e fare firewalling solo sul pfSense.

Nicola86 provare a insistere con questo setup

Qual è il setup attuale?

Nicola86 mettere direttamente pfsense dopo il gpon ont di open fiber

Puoi provare - in questo caso devi configurare a mano il tunnel 4in6 e il range di porte per il NAT.

Nicola86

ieri usavo la iliadbox come ONT ma c'erano dei grossi problemi nella gestione dell'IPV4... da ieri notte ho messo l'iliadbox come router, wifi disabilitato e pfsense a cascata con tutta la rete.
l'esperienza utente come navigazione è decisamente migliorata... prima c'erano sicuramente un sacco di problemi con il dns su ipv4...

cosa intendi dicendo che mi perdo ipv6?

vedendo il tuo consiglio mi viene in mente che potrei quasi quasi mettere il mio home assistant direttamente sotto all'iliadbox e fargli port forwarding da lì... però a questo punto avrebbe in qualche modo problemi a dialogare con i device sotto al pfsense? altri problemi? (oltre allo spreco, ma direi di tenerlo finchè non usciranno guide/ soluzioni più solide per questa combo di device)

[cancellato]

Nicola86 ma c'erano dei grossi problemi nella gestione dell'IPV4...

Con l'iiadbox in modalità ONT MAP-E a chi tocca? Non avendo ancora visto un router Iliad non ho ben chiaro come funzioni.

Nicola86 cosa intendi dicendo che mi perdo ipv6?

Se semplicemente metti il pfSense in DMZ IPv4 e non c'è alcuna delega di prefisso IPv6 (o setup a mano) il pfSense funzionerà solo in IPv4.

Nicola86 però a questo punto avrebbe in qualche modo problemi a dialogare con i device sotto al pfsense?

Dipende da come è configurato il tutto, e che configurazioni permette l'home assistant.

simonebortolin

@[cancellato] @Mckernan @[cancellato] @[cancellato] facciamo una precisazione sull'ONT/SFP dato che son passati 15 giorni e le cose si sanno meglio...

Attualmente iliad fornisce un modulo SFP epon (hisense o wtd) che è semplicemente un BOSA (convertitore ottico elettrico - come quello del Fritz 5530 o del TIM HUB+ Executive) e tutta la parte di ONT (autenticazione ed ethernet) viene gestita dall'iliadbox. Nel caso di modem libero teoricamente viene dato lo stick SFP EPON + un oggetto come F-MDCONU5A (o speriamo il P-MDCONU5A che garantisce i 10Gbps, mentre il primo no) che ti fa uscire con un sfp dove puoi pui mettere un DAC, un SFP+ copper, un SFP+ fiber.

simonebortolin

[cancellato] Con l'iiadbox in modalità ONT MAP-E a chi tocca? Non avendo ancora visto un router Iliad non ho ben chiaro come funzioni.

La parte 4in6 dall'iliadbox,
La parte nat44 verso il set di 16k di porte dal router proprio.

[cancellato]

simonebortolin La parte nat44 verso il set di 16k di porte dal router proprio.

Ok, quindi c'è da capire se in pfSense impostando un range di porte in Translation per una regola di NAT che matchi tutto il traffico in uscita dalle LAN si riesce a restringere le porte alle sole assegnate. Bisognerà impostare Manual Outbound NAT e creare la regola adatta.

simonebortolin

[cancellato] cerca il post di opn00 su https://www.hwupgrade.it/forum/showthread.php?t=2956541

lui dice che c'è riuscito

[cancellato]

simonebortolin

Sì, ha fatto come ho suggerito sopra. Lui ha modificato le regole che gli sono state direttamente create quando ha switchato in NAT manuale, bisogna vedere cosa aveva prima, magari si può anche semplificare con una regola "catch all" messa per ultima. Comunque vuol dire che funziona.

Non so perché ma il fatto che l'impostazione Port possa avere anche un range non è ancora documentata. Non so ad esempio se si possono avere range che si sovrappongono in diverse regole o no - basta provare, comunque e vedere quel che succede.

whatsnew

[cancellato]
Ciao a tutti, ho impostato l'IliadBox in modalità ONT e ci ho collegato il mio router pfSense.
Ho configurato il Manual Outbound NAT come indicato nel post di opn00 sul forum di hwupgrade e mi sembra che tutto funzioni a dovere tranne il protocollo ICMP.
Mi spiego meglio: ping6 funziona senza problemi. ping normale (IPv4) invece, quando pingo verso l'esterno (es. ping google.it), mi funziona in media una volta su 4... che è lo stesso rapporto tra le porte che ci dà Iliad su IPv4 rispetto alle 65535 normalmente presenti. Però mi chiedo, a parte il fatto che nelle regole di Manual Outbound NAT ho impostato come protocollo any, cioè tutti, e quindi incluso anche ICMP, in realtà ICMP non usa le porte, giusto? Quindi dovrebbe andare e tornare senza problemi, no? E allora perché l'echo reply torna solo una volta su 4 o giù di lì? Mi scoccia non poter fare ping, traceroute, mtr...

[cancellato]

whatsnew in realtà ICMP non usa le porte, giusto?

Esatto. ICMP è un protocollo allo stesso livello di TCP e UDP, e funziona dirottamente sopra IP. Ed il problema con MAP è esattamente questo. In gerere senza porte non c'è modo per il BR di sapere come procedere per l'inoltro fra le macchine che condivido l'IP. Per farlo dovrebbe mantenere una qualche forma di stato, ma i protocolli MAP sono stati pensati per alleggerire il lavoro del BR evitando di mantenerli al contrario di un CG-NAT classico.

Però ci sono specifiche (RFC 6145 e seguenti) per la gestione della transizione fra ICMP e ICMPv6, e le implementazione MAP-E dovrebbero rispettare quanto nella sezione 8.2 della RFC 7597

ICMP comunque è già un’eccezione, altri protocolli portless non hanno supporto. Nel tuo caso il comportamento è dovuto al fatto che anche il CE deve gestire correttamente ICMP in MAP-E (vedi link sopra), non credo che il pfSense lo faccia visto che non ha supporto esplicito, e quindi solo nel caso l'header contenga un valore casualmente corretto il BR sia in grado di inviare i pacchetti indietro correttamente.

whatsnew

[cancellato]
Grazie mille, molto esauriente, soprattutto per aver linkato la sezione apposita dell'RFC!
MAP è ancora una creatura sconosciuta per me.
Giusto una conferma per verificare se ho capito: il problema è che pfSense (il MAP CE), quando invia i pacchetti ICMP echo request, non inserisce nell'header ICMP un ID che dica: "guarda, io sono quello delle porte 49152-65535" e quindi inserisce un valore a caso (o cmq in base ad altri criteri) che statisticamente è corretto una volta su 4.
Ad ogni modo, non è accettabile non poter usare ICMP, quindi tornerò in modalità routed. Sapete come devo fare? C'è modo di accedere all'interfaccia di configurazione dalla modalità ONT? O devo ripristinare la IliadBox allo stato di fabbrica? Grazie ancora.

[cancellato]

whatsnew Giusto una conferma per verificare se ho capito: il problema è che pfSense (il MAP CE), quando invia i pacchetti ICMP echo request, non inserisce nell'header ICMP un ID

Esatto. La conferma si potrebbe avere solo catturando i pacchetti e ispezionando gli header, ma IMHO è un'ipotesi plausibile. Attenzione che l'ID dipende da chi genera il pacchetto ICMP - il CE in MAP-E dovrebbe intercettare i pacchetti e modificare l'ID con un valore nel range delle porte - una sorta di NAT/ALG specifico per ICMP. Invece il pfSense immagino si limiterà a modificare l'indirizzo IP, che non è sufficiente.

whatsnew

whatsnew Sapete come devo fare? C'è modo di accedere all'interfaccia di configurazione dalla modalità ONT? O devo ripristinare la IliadBox allo stato di fabbrica?

Mi rispondo da solo. Non sono riuscito a capire se c'è modo di tornare alla modalità routed senza ripristinare l'iliadbox allo stato di fabbrica, ma penso che non ci sia.
Per ripristinare la iliadbox allo stato di fabbrica, ho proceduto come da queste istruzioni.

Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile