Ciao, vi scrivo per un consiglio. Sono in uno scenario standard: Fastweb FTTH via Fastgate FGA2130FWB, dove quest'ultimo fa un po' di tutto: modem, router, switch, server DHCP, Internet "Firewall", etc…

Vorrei provare ad evolvere questa configurazione base con le seguenti caratteristiche:

  • VLAN logicamente separate per dispositivi non sicuri
  • Firewall per impedire la comunicazione inter-VLAN
  • porta ETH dedicata ad una connessione VPN ad un server remoto, in modo che il dispositivo ad essa connesso usi quel tunnel.

Insomma, tutta una serie di cose non supportate dal Technicolor con il firmware Fastweb. Documentandomi, ho visto che sono percorribili le seguenti opzioni.

1. Router in cascata (bridge mode)

Aggiungendo un apparato avanzato (e.g., MikroTik) dietro al Fastgate, tutto si potrebbe fare. L'ideale sarebbe far sì che il Fastgate lavorasse solamente in bridge mode come modem. Ovviamente la cosa non è possibile a meno di:

1.1 Fare il root sul dispositivo

Procedura complessa e rischiosa. Si rischia di compromettere l'HW. Non fa per me.

1.2 Utilizzare un menu nascosto

Sembra ci sia un menu nascosto dell'interfaccia Web del Technicolor qui http://192.168.1.254/#/ont (dove 192.168.1.254 è l'IP del vostro Fastgate). Esiste davvero! Ne ho letto un accenno qui ma non ho trovato alcun riferimento sulla fattibilità della cosa.

2. DMZ

Ho trovato questa guida di @celeste_lightblue che consiste nel far lavorare il nuovo apparato nella DMZ del Fastgate.

3. Buttare via il Fastgate

L'alternativa è dismettere completamente il Fastgate FGA2130FWB, con tutte le problematiche burocratiche e tecniche che possono originare. Non saprei però su cosa orientarmi, dato ciò che mi serve.

Sono combattuto sul da farsi tra le opzioni 2 e 3. Vorrei chiedervi secondo voi quali potrebbero essere i pro ed i contro dei due approcci. Grazie per la pazienza nella lettura 🙂

    Nessuno ha eventualmente esperienza di una connessione Fastweb in fibra con un device diverso da quello del provider introdotto in seguito?

    floatingpurr L'alternativa è dismettere completamente il Fastgate FGA2130FWB, con tutte le problematiche burocratiche e tecniche che possono originare. Non saprei però su cosa orientarmi, dato ciò che mi serve.

    Ciao, hai la seguente opzione, comprare un ONT moddabile nella fattispecie questo:
    http://xbest.pl/index.php?p5117,ont-gpon-lxt-010h-d-leox-1x2-5ge-1xgpon-sc-apc

    Copiarci sopra il gpon serial number del tuo Fastgate (dovrebbe cominciare con TMBB12345678) + alcuni dati

    GPON SN: "TMBB12345678"
Vendor: "TMBB"
Software version: "V1.7.6-170626"
Hardware version: "R1"
Equip ID: "RTL9601B"

    In questo modo simulerai sugli OLT di Fastweb un ONT ampiamente whitelistato.
    Qui trovi tutta la guida per la modifica dei dati: https://hack-gpon.org/ont-leox-lxt-010h-d/
    Il gruppo telegram della wiki può comunque aiutarti nel troubleshooting.
    Trovi nel link la guida per inserire questi dati

    A questo punto la linea pon si allinerà, ora non ti resta che comprare un router che supporti le seguenti cose:

    • spoof mac address della wan: devi clonare il macaddress del Fastgate (scritto sul retro)
    • inviare dhcp option: askey_HW_ES1_SW_0.00.47/dslforum.org (questa va sempre bene)

    Openwrt/PFsense/Mikrotik/Ubiquiti Dream Machine SE vanno tutti bene ma ce ne sono molti altri.

    E tutto dovrebbe funzionare. Potrai buttare il fastgate in cantina per sempre dato che la scelta del modem libero andava fatta in fase di adesione contrattuale ed ora non te lo daranno più.
    In questo modo oltretutto hai modo di sfruttare i 2,5gbit su singolo dispositivo se acquisti un router con doppia porta 2,5gbit (WAN e LAN)

        grazie @Daniel_e88, molto interessante! Approfitto della tua disponibilità per farti ancora alcune domande (scusa la raffica 😃)

        • Non conosco assolutamente xbest.pl, né il LEOX LXT-010H-D, ma immagino sia un prodotto sicuro. Nel link che mi hai inviato il costo è 0, mi sembra strano. Non ho trovato altri modi per acquistarlo.
        • In alternativa, potrei semplicemente sostituire il Fastgate con un altro modem/router che supporti spoof del mac address, dhcp option e sul quale possa copiare sopra il gpon serial number? Così farei tutto con un unico device.
        • Sei sicuro che non ci sia più possibilità di passare al modem libero? Mi sembrava di aver capito di sì. Nel caso fosse possibile, mi parrebbe un approccio più lineare. Qui mi erano sembrati possibilisti: https://forum.fibra.click/d/13971-come-richiedere-il-modem-libero-fastweb/11, ma potrei averi capito male

        Scusa se ho chiesto banalità o ho detto imprecisioni. Mi sto avvicinando a questo mondo da poco 🙂

        EDIT: Ho parlato adesso col Call Center Fastweb e mi han detto che "dovrebbe" essere possibile usare un modem libero. Non dovrebbero più avere blocchi al riguardo. Se così fosse, forse mi converebbe indagare in tal senso perché potrebbe essere la via più semplice. Sono nuovo del form, mi conviene aprire una nuova discussione vertical su questo tema per una connessione FTTH?

          floatingpurr Non conosco assolutamente xbest.pl, né il LEOX LXT-010H-D, ma immagino sia un prodotto sicuro. Nel link che mi hai inviato il costo è 0, mi sembra strano. Non ho trovato altri modi per acquistarlo.

          Si, ci abbiamo comprato in molti su quel sito, devi farti fare una quota mi pare

          floatingpurr In alternativa, potrei semplicemente sostituire il Fastgate con un altro modem/router che supporti spoof del mac address, dhcp option e sul quale possa copiare sopra il gpon serial number? Così farei tutto con un unico device.

          Non puoi perché il Fastgate che hai ha l'ont integrato, quindi devi splittare la parte ottica (con un ONT a parte) dalla parte di routing (che supporti spoof mac address e dhcp option, dati che vuole fastgate per autenticare il tuo FG)

          floatingpurr Sei sicuro che non ci sia più possibilità di passare al modem libero? Mi sembrava di aver capito di sì. Nel caso fosse possibile, mi parrebbe un approccio più lineare. Qui mi erano sembrati possibilisti: https://forum.fibra.click/d/13971-come-richiedere-il-modem-libero-fastweb/11, ma potrei averi capito male

          Cosa giò verificata da molti, da una certa data in poi hanno adottato questa politica, modem libero solo in fase di sottoscrizione. Poi se FW ha cambiato politica non saprei. Dipende quanto è vecchio il tuo contratto.

          floatingpurr EDIT: Ho parlato adesso col Call Center Fastweb e mi han detto che "dovrebbe" essere possibile usare un modem libero. Non dovrebbero più avere blocchi al riguardo. Se così fosse, forse mi converebbe indagare in tal senso perché potrebbe essere la via più semplice. Sono nuovo del form, mi conviene aprire una nuova discussione vertical su questo tema per una connessione FTTH?

          No puoi continuare questo, magari cambia il titolo (se puoi) in qualcosa di più parlante, tipo Fastweb - modalità per avere modem libero

                  • [cancellato]

                  • Messaggio #7

                  floatingpurr Sei sicuro che non ci sia più possibilità di passare al modem libero?

                  La direttiva AGCOM non prevede che la scelta debba essere fatta in fase di sottoscrizione - poi però ci sono operatori che remano contro. Se riesci ad ottenere da Fastweb un ONT separato e l'attivazione del "modem libero" sicuramente ti semplifichi la vita.

                  Mettere il Fastgate in bridge non so se sia possibile - Fastweb usa DHCP e quindi non valgono nemmeno i "trucchi" possibili con PPPoE - se permette di impostare le rotte lato LAN si può usare quella modalità per fare solo routing fra il router/fw in cascata e il Fastgate, eliminando il doppio NAT delle "DMZ" (il NAT lo fa solo il Fastgate) - anche se così l'apertura delle porte deve essere fatta (anche) sul Fastgate. Poi come firewall se ne può usare uno evoluto a valle così da poter far regole più sofisticate, e gestire le VLAN - anche il resto dei servizi (DHCP, DNS, ecc.) li sposti sul router in cascata.

                  Anche accedere all'ONT via menu nascosto non so se permette di impostare una modalità bridge, quella deve farla poi il resto del sistema fra l'interfaccia dell'ONT e la Ethernet alla quale è connesso il dispositivo in cascata.

                  IMHO l'alternativa migliore è proprio eliminare il Fastgate, anche se può richiedere un po' di effort "burocratico" e di tempo.

                      Grazie @Daniel_e88, purtroppo non posso cambiare il titolo a questo post, ma poco male, continuerò qui.

                      Cosa giò verificata da molti, da una certa data in poi hanno adottato questa politica, modem libero solo in fase di sottoscrizione. Poi se FW ha cambiato politica non saprei. Dipende quanto è vecchio il tuo contratto.

                      Il mio è un contratto di fine 2020. Dal CallCenter mi han detto che non ci sono blocchi. Spero che sia così, il primo livello spesso non ha informazioni precisissime.

                      [cancellato], grazie. Per completare il quadro il mio abbonamento ha un IP statico associato. Non so se la cosa faciliti o meno le cose.

                      se permette di impostare le rotte lato LAN si può usare quella modalità per fare solo routing fra il router/fw in cascata e il Fastgate, eliminando il doppio NAT delle "DMZ" (il NAT lo fa solo il Fastgate) - anche se così l'apertura delle porte deve essere fatta (anche) sul Fastgate.

                      Credo che il Fastgate non permetta questa cosa, ma potrei sbagliarmi

                      Anche accedere all'ONT via menu nascosto non so se permette di impostare una modalità bridge, quella deve farla poi il resto del sistema fra l'interfaccia dell'ONT e la Ethernet alla quale è connesso il dispositivo in cascata.

                      Non ho trovato esperienze documentate in merito, non mi ci addentrei...

                      IMHO l'alternativa migliore è proprio eliminare il Fastgate, anche se può richiedere un po' di effort "burocratico" e di tempo.

                      Mi sono quasi convinto di provare così. Avete un buon prodotto da consigliarmi che può fare al caso mio? Mantenere la parte VoIP sarebbe cosa gradita, ma non è un requisito fondamentale.

                      Grazie ancora a tutti

                          floatingpurr Mi sono quasi convinto di provare così. Avete un buon prodotto da consigliarmi che può fare al caso mio?

                          Ecco, la parte voip è il problema più grande. Fastweb a meno di non avere contrattualmente il modem libero, non ti da le credenziali voip, quindi se cambi router le perderesti.

                          Come device un qualunque router che permetta di installare openwrt o pfsense va bene.

                            • [cancellato]

                            • Messaggio #10

                            floatingpurr Avete un buon prodotto da consigliarmi che può fare al caso mio? Mantenere la parte VoIP sarebbe cosa gradita,

                            Alcuni te li ha già indicati Daniel_e88 - dipende poi quanto vuoi spendere e che facilità d'uso vuoi - se vuoi on all-in-one con anche WiFi e ATA VoIP oppure no, se vuoi qualcosa che faccia parte di una famiglia di prodotti gestibili centralmente o no...

                            Ci potrei aggiungere DrayTek e qualcosa della serie Omada di TP-Link.

                            VoIP e WiFi si possono sempre aggiungere con dipositivi separati, si spende un po' di più, si ha un po' più di roba in giro ma aumenta la flessibilità del sistema, si può scegliere i dispositivi più adatti e sostituirli separatamente.

                              Grazie @Daniel_e88 e @[cancellato]! Vi aggiorno: ho riparlato con FW e mi han confermato che col mio abbonamento posso utilizzare il "modem libero" comunicando il mac address del device. Non dovrebbe esserci necessità di simulare l'ONT del Fastgate, ma c'è libertà di scelta. Ricapitolando, il panorama funzionale dovrebbe assumere questa forma:

                              Fibra
|
Modem ONT
|
Router (Firewall, WiFI)
|
| - porta ETH per VLAN 1
| - porta ETH per VLAN 2
| - porta ETH mappata su Tunnel VPN in uscita
| - ecc...

                              Il VoIP può attendere. Come vedete, le mie esigenze non sono trascendentali. Sto cercando di capire se esista un qualcosa all-in-one che funzioni bene, o se convenga separare le competenze modularmente, quantomeno in due parti, quindi:

                              • un device con modem ONT (del quale comunicherò il MAC address a FW)
                              • un router a valle per la gestione delle reti locali che dovrebbe essere completamente trasparente a FW

                              Si tratta perlopiù di esperimenti (in "produzione" 😃) su una rete domestica. Un budget di 150 / 200 euro potrebbe bastare? Non ho proprio idea di su che cosa orientarmi. Ogni consiglio / esempio architetturale - vostra pazienza permettendo - è molto gradito.

                              EDIT:
                              Questo è quanto indica FW nella sezione "altri modem":

                              Nel caso di Fibra Ottica GPON, la porta WAN Ethernet del modem scelto dal cliente alternativo a quello fornito da Fastweb deve essere collegata alla terminazione ottica (ONT) fornita da Fastweb mediante un cavo di rete Ethernet Categoria 5e o superiore, in modalità untagged.

                              Nel caso di Fibra BS-GPON la porta WAN Ethernet del modem scelto dal cliente alternativo a quello fornito da Fastweb deve essere collegata alla terminazione ottica (ONT) fornita da Open Fiber mediante un cavo di rete Ethernet Categoria 5e o superiore, in modalità tagged (VLAN ID 835; CoS 0 per traffico dati e CoS 1 per traffico voce).

                              Nel caso di Fibra VULA FTTH la porta WAN Ethernet del modem scelto dal cliente alternativo a quello fornito da Fastweb deve essere collegata alla terminazione ottica (ONT) fornita da TIM mediante un cavo di rete Ethernet Categoria 5e o superiore, in modalità tagged (VLAN ID 835; CoS 0 per traffico dati e CoS 2 per traffico voce).

                              L'apparato scelto dal cliente per la connessione dati deve avere una interfaccia di rete WAN di tipo Gigabit Ethernet Full-Duplex Auto-Sensing.

                                floatingpurr un device con modem ONT (del quale comunicherò il MAC address a FW)

                                No questo te lo deve fornire Fastweb, non esiste libertà di scelta su quello. Ed il MAC address è quello del tuo router, non quello dell'ONT che non viene usato per l'autenticazione.

                                    x_term, intendi dire che devo chiedere il modem ONT a FW e poi comunicare il MAC address del router che inserirò a valle? Scusa forse ho capito male io il tuo post. Dal Call Center non mi hanno detto nulla al riguardo, mi hanno solamente detto che dovrò comunicare loro il MAC address del nuovo device, senza ulteriori specificazioni e pensavo fosse quello del modem.

                                    • x_term ha risposto a questo messaggio

                                        floatingpurr eh no, ti devono fornire loro l'ONT, non esistono ufficialmente possibilità di aggiungerlo/sostituirlo in autonomia. Poi che sia fattibile come descritto sopra anche senza dire nulla a Fastweb è un altro discorso, dipende quale soluzione vuoi perseguire. Fastweb secondo me farà resistenza comunque.

                                            • [cancellato]

                                            • Messaggio #15
                                            • Modificato

                                            floatingpurr Un budget di 150 / 200 euro potrebbe bastare?

                                            Il supporto per le VLAN temo possa far salire un po' il budget, perché raramente è disponibile su dispositivi consumer e devi andare sulla fascia prosumer che costa un po' di più.

                                            Puoi provare a dare un'occhiata ai mini PC cinesi - e installarci sopra pfSense/OPNSense (o OpenWRT, del quale non sono un fan), probabilmente trovi qualcosa nel tuo budget. Una macchina con i *Sense però non è proprio adatta a fare da AP WiFi, se non per esigenze minime.

                                            Di quante porte Ethernet hai bisogno? Non è strettamente necessario avere una porta dedicata ad ogni VLAN, le porte in trunk accettano più VLAN e poi internamente il router o firewall è in grado di vedere da che VLAN arriva il traffico. Però perché funzioni i dispositiivi a valle, almeno gli switch, devono essere in grado di taggare il traffico.

                                            Anche per la VPN in uscita, che prestazioni ti attendi? Perché se il router deve fare da terminatore VPN su una FTTH, per raggiungere certe prestazioni ci vuole CPU e/o accelerazione in hardware della crittografia.

                                            WiFi cosa ti attendi? Es. quale versione, numero di stream MIMO, ecc.

                                            Un router/fw/AP/ATA come il DrayTek Vigor 2135Vac lo trovi sui 250 euro e fa un po' tutto quello che ti serve (non supporta Wireguard). È solo un possibile esempio - devi guardarti un po' intorno.

                                            floatingpurr n router a valle per la gestione delle reti locali che dovrebbe essere completamente trasparente a FW

                                            Il router principale non può essere "trasparente" a Fastweb perché è quello che deve stabilire la connessione Internet - quindi deve presentare il suo MAC Address e configurarsi via DHCP. Tieni presente che l'ONT funziona da bridge, incapsulando i pacchetti Ethernet in frame PON per farli passare sulla fibra ottica fino all'OLT.

                                                  x_term ok, ma quindi quando loro mi dicono che ho attiva l'opzione "modem libero" e che "basta" che gli comunichi il nuovo MAC address, come immaginino dovrebbe avvenire la cosa, se togliendo il Fastgate non posso usare un altro modem ONT?

                                                  [cancellato] su un'utenza domestica non uso quasi mail il WiFi ma vado quasi sempre via cavo, Mi bastano anche 4 porte ETH, che poi posso "ampliare" in cascata con switch non gestiti senza tag, come già faccio ora con il Fastgate. Non dovrei aver bisogno del trunk. Brutto ma mi basta.

                                                  Per la VPN in uscita, è terminata su un server che sta un un altro domicilio ma sempre nella rete FW. Usata principalmente streaming video, nulla di trascendentale come prestazioni, credo.

                                                  Per il WiFi mi basterebbe avere quanto offre il Fastgate ad oggi. Non lo uso molto.

                                                  Non ho esplorato in profondità, ma ho visto che ci sono molti mikrotik sotto i 100 € che hanno molte di queste feature. Potrebbero andare?

                                                  l router principale non può essere "trasparente" a Fastweb perché è quello che deve stabilire la connessione Internet - quindi deve presentare il suo MAC Address e configurarsi via DHCP. Tieni presente che l'ONT funziona da bridge, incapsulando i pacchetti Ethernet in frame PON per farli passare sulla fibra ottica fino all'OLT.

                                                  Chiaro, certo. Scusate la mia imprecisione (non mastico reti quotidianamente). Come scrivevo su, non capisco come risolvere ufficialmente l'introduzione di un nuovo "modem libero" ONT, se deve essere fornito da loro. A parte lo spoofing, s'intende.

                                                        • [cancellato]

                                                        • Messaggio #17

                                                        floatingpurr ma ho visto che ci sono molti mikrotik sotto i 100 €

                                                        Vedi se reggono una gigabit, specialmente con una VPN attiva, e il firewall. C'è il vantaggio che Fastweb usa DHCP e non PPPoE che è più pesante dal punto di vista computazionale.

                                                        floatingpurr non capisco come risolvere ufficialmente l'introduzione di un nuovo "modem libero" ONT, se deve essere fornito da loro

                                                        Se Fastweb accetta la conversione della tua linea in "modem libero" deve fornirti l'ONT. A quel punto di basta comunicargli il MAC Address del tuo router e la connessione si attiva. Altrimenti devi usare uno dei workaround non ufficiali per utilizzare un tuo ONT e poi spoofare il MAC Address del Fastgate - anche se non sarebbe permesso e se smette di funzionare non puoi lamentarti con l'ISP.

                                                              [cancellato] la cosa strana riguardo all'ONT è che il loro primo livello continua a dirmi che devo mettere tutto io e comunicargli il mac address. A questo punto immagino che o mi inviano il modem ONT e io metto il router, oppure bisogna procedere con il workaround che mi avevi indicato.

                                                                  • [cancellato]

                                                                  • Messaggio #19

                                                                  floatingpurr

                                                                  Se attivano il "modem libero" e adesso hai l'ONT integrato nel Fastgate (la fibra ottica è direttamente collegata al Fastgate) devono fornirti un ONT esterno - l'ONT è il terminatore della rete operatore e tocca all'operatore fornirlo.

                                                                  Se invece hai già l'ONT esterno (la fibra è collegata ad uno scatolotto dal quale parte un cavo Ethetnet collegato al Fastgate) allora non devono darti altro - colleghi il tuo router al posto del Fastgate. In questo caso potresti già provare spoofando il MAC (perdi il VoIP).

                                                                      [cancellato] no no, confermo che la fibra è direttamente collegata al Fastgate, dovrebbero mettermi l'ONT esterno allora. Ho capito va: faccio prima a scrivere ad xbest.pl per il LXT-010H-D LEOX 😃 (peraltro va pure a 2.5 Gbps in download). Parallelamente cerco un buon router.

                                                                      In questo modo oltretutto hai modo di sfruttare i 2,5gbit su singolo dispositivo se acquisti un router con doppia porta 2,5gbit (WAN e LAN)
                                                                      A questo punto la linea pon si allinerà, ora non ti resta che comprare un router che supporti le seguenti cose:

                                                                      • spoof mac address della wan: devi clonare il macaddress del Fastgate (scritto sul retro)
                                                                      • inviare dhcp option: askey_HW_ES1_SW_0.00.47/dslforum.org (questa va sempre bene)

                                                                      Devo cercare un router che faccia al caso mio (tra l'altro l'opzione del dhcp serve anche in caso di IP statico già preimpostato da Fastweb?).

                                                                      Devo guardare con calma. Eventualmente posso ancora approfittare di questo thread senza che mi banniate per stalking? 😃

                                                                      Grazie ragazzi, il vostro aiuto è preziosissimo!

                                                                          Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                                                          P.I. IT16712091004 - info@fibraclick.it

                                                                          ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile