Grazie @Daniel_e88, purtroppo non posso cambiare il titolo a questo post, ma poco male, continuerò qui.

Cosa giò verificata da molti, da una certa data in poi hanno adottato questa politica, modem libero solo in fase di sottoscrizione. Poi se FW ha cambiato politica non saprei. Dipende quanto è vecchio il tuo contratto.

Il mio è un contratto di fine 2020. Dal CallCenter mi han detto che non ci sono blocchi. Spero che sia così, il primo livello spesso non ha informazioni precisissime.

[cancellato], grazie. Per completare il quadro il mio abbonamento ha un IP statico associato. Non so se la cosa faciliti o meno le cose.

se permette di impostare le rotte lato LAN si può usare quella modalità per fare solo routing fra il router/fw in cascata e il Fastgate, eliminando il doppio NAT delle "DMZ" (il NAT lo fa solo il Fastgate) - anche se così l'apertura delle porte deve essere fatta (anche) sul Fastgate.

Credo che il Fastgate non permetta questa cosa, ma potrei sbagliarmi

Anche accedere all'ONT via menu nascosto non so se permette di impostare una modalità bridge, quella deve farla poi il resto del sistema fra l'interfaccia dell'ONT e la Ethernet alla quale è connesso il dispositivo in cascata.

Non ho trovato esperienze documentate in merito, non mi ci addentrei...

IMHO l'alternativa migliore è proprio eliminare il Fastgate, anche se può richiedere un po' di effort "burocratico" e di tempo.

Mi sono quasi convinto di provare così. Avete un buon prodotto da consigliarmi che può fare al caso mio? Mantenere la parte VoIP sarebbe cosa gradita, ma non è un requisito fondamentale.

Grazie ancora a tutti

      floatingpurr Mi sono quasi convinto di provare così. Avete un buon prodotto da consigliarmi che può fare al caso mio?

      Ecco, la parte voip è il problema più grande. Fastweb a meno di non avere contrattualmente il modem libero, non ti da le credenziali voip, quindi se cambi router le perderesti.

      Come device un qualunque router che permetta di installare openwrt o pfsense va bene.

        • [cancellato]

        • Messaggio #10

        floatingpurr Avete un buon prodotto da consigliarmi che può fare al caso mio? Mantenere la parte VoIP sarebbe cosa gradita,

        Alcuni te li ha già indicati Daniel_e88 - dipende poi quanto vuoi spendere e che facilità d'uso vuoi - se vuoi on all-in-one con anche WiFi e ATA VoIP oppure no, se vuoi qualcosa che faccia parte di una famiglia di prodotti gestibili centralmente o no...

        Ci potrei aggiungere DrayTek e qualcosa della serie Omada di TP-Link.

        VoIP e WiFi si possono sempre aggiungere con dipositivi separati, si spende un po' di più, si ha un po' più di roba in giro ma aumenta la flessibilità del sistema, si può scegliere i dispositivi più adatti e sostituirli separatamente.

          Grazie @Daniel_e88 e @[cancellato]! Vi aggiorno: ho riparlato con FW e mi han confermato che col mio abbonamento posso utilizzare il "modem libero" comunicando il mac address del device. Non dovrebbe esserci necessità di simulare l'ONT del Fastgate, ma c'è libertà di scelta. Ricapitolando, il panorama funzionale dovrebbe assumere questa forma:

          Fibra
|
Modem ONT
|
Router (Firewall, WiFI)
|
| - porta ETH per VLAN 1
| - porta ETH per VLAN 2
| - porta ETH mappata su Tunnel VPN in uscita
| - ecc...

          Il VoIP può attendere. Come vedete, le mie esigenze non sono trascendentali. Sto cercando di capire se esista un qualcosa all-in-one che funzioni bene, o se convenga separare le competenze modularmente, quantomeno in due parti, quindi:

          • un device con modem ONT (del quale comunicherò il MAC address a FW)
          • un router a valle per la gestione delle reti locali che dovrebbe essere completamente trasparente a FW

          Si tratta perlopiù di esperimenti (in "produzione" 😃) su una rete domestica. Un budget di 150 / 200 euro potrebbe bastare? Non ho proprio idea di su che cosa orientarmi. Ogni consiglio / esempio architetturale - vostra pazienza permettendo - è molto gradito.

          EDIT:
          Questo è quanto indica FW nella sezione "altri modem":

          Nel caso di Fibra Ottica GPON, la porta WAN Ethernet del modem scelto dal cliente alternativo a quello fornito da Fastweb deve essere collegata alla terminazione ottica (ONT) fornita da Fastweb mediante un cavo di rete Ethernet Categoria 5e o superiore, in modalità untagged.

          Nel caso di Fibra BS-GPON la porta WAN Ethernet del modem scelto dal cliente alternativo a quello fornito da Fastweb deve essere collegata alla terminazione ottica (ONT) fornita da Open Fiber mediante un cavo di rete Ethernet Categoria 5e o superiore, in modalità tagged (VLAN ID 835; CoS 0 per traffico dati e CoS 1 per traffico voce).

          Nel caso di Fibra VULA FTTH la porta WAN Ethernet del modem scelto dal cliente alternativo a quello fornito da Fastweb deve essere collegata alla terminazione ottica (ONT) fornita da TIM mediante un cavo di rete Ethernet Categoria 5e o superiore, in modalità tagged (VLAN ID 835; CoS 0 per traffico dati e CoS 2 per traffico voce).

          L'apparato scelto dal cliente per la connessione dati deve avere una interfaccia di rete WAN di tipo Gigabit Ethernet Full-Duplex Auto-Sensing.

            floatingpurr un device con modem ONT (del quale comunicherò il MAC address a FW)

            No questo te lo deve fornire Fastweb, non esiste libertà di scelta su quello. Ed il MAC address è quello del tuo router, non quello dell'ONT che non viene usato per l'autenticazione.

                x_term, intendi dire che devo chiedere il modem ONT a FW e poi comunicare il MAC address del router che inserirò a valle? Scusa forse ho capito male io il tuo post. Dal Call Center non mi hanno detto nulla al riguardo, mi hanno solamente detto che dovrò comunicare loro il MAC address del nuovo device, senza ulteriori specificazioni e pensavo fosse quello del modem.

                • x_term ha risposto a questo messaggio

                    floatingpurr eh no, ti devono fornire loro l'ONT, non esistono ufficialmente possibilità di aggiungerlo/sostituirlo in autonomia. Poi che sia fattibile come descritto sopra anche senza dire nulla a Fastweb è un altro discorso, dipende quale soluzione vuoi perseguire. Fastweb secondo me farà resistenza comunque.

                        • [cancellato]

                        • Messaggio #15
                        • Modificato

                        floatingpurr Un budget di 150 / 200 euro potrebbe bastare?

                        Il supporto per le VLAN temo possa far salire un po' il budget, perché raramente è disponibile su dispositivi consumer e devi andare sulla fascia prosumer che costa un po' di più.

                        Puoi provare a dare un'occhiata ai mini PC cinesi - e installarci sopra pfSense/OPNSense (o OpenWRT, del quale non sono un fan), probabilmente trovi qualcosa nel tuo budget. Una macchina con i *Sense però non è proprio adatta a fare da AP WiFi, se non per esigenze minime.

                        Di quante porte Ethernet hai bisogno? Non è strettamente necessario avere una porta dedicata ad ogni VLAN, le porte in trunk accettano più VLAN e poi internamente il router o firewall è in grado di vedere da che VLAN arriva il traffico. Però perché funzioni i dispositiivi a valle, almeno gli switch, devono essere in grado di taggare il traffico.

                        Anche per la VPN in uscita, che prestazioni ti attendi? Perché se il router deve fare da terminatore VPN su una FTTH, per raggiungere certe prestazioni ci vuole CPU e/o accelerazione in hardware della crittografia.

                        WiFi cosa ti attendi? Es. quale versione, numero di stream MIMO, ecc.

                        Un router/fw/AP/ATA come il DrayTek Vigor 2135Vac lo trovi sui 250 euro e fa un po' tutto quello che ti serve (non supporta Wireguard). È solo un possibile esempio - devi guardarti un po' intorno.

                        floatingpurr n router a valle per la gestione delle reti locali che dovrebbe essere completamente trasparente a FW

                        Il router principale non può essere "trasparente" a Fastweb perché è quello che deve stabilire la connessione Internet - quindi deve presentare il suo MAC Address e configurarsi via DHCP. Tieni presente che l'ONT funziona da bridge, incapsulando i pacchetti Ethernet in frame PON per farli passare sulla fibra ottica fino all'OLT.

                              x_term ok, ma quindi quando loro mi dicono che ho attiva l'opzione "modem libero" e che "basta" che gli comunichi il nuovo MAC address, come immaginino dovrebbe avvenire la cosa, se togliendo il Fastgate non posso usare un altro modem ONT?

                              [cancellato] su un'utenza domestica non uso quasi mail il WiFi ma vado quasi sempre via cavo, Mi bastano anche 4 porte ETH, che poi posso "ampliare" in cascata con switch non gestiti senza tag, come già faccio ora con il Fastgate. Non dovrei aver bisogno del trunk. Brutto ma mi basta.

                              Per la VPN in uscita, è terminata su un server che sta un un altro domicilio ma sempre nella rete FW. Usata principalmente streaming video, nulla di trascendentale come prestazioni, credo.

                              Per il WiFi mi basterebbe avere quanto offre il Fastgate ad oggi. Non lo uso molto.

                              Non ho esplorato in profondità, ma ho visto che ci sono molti mikrotik sotto i 100 € che hanno molte di queste feature. Potrebbero andare?

                              l router principale non può essere "trasparente" a Fastweb perché è quello che deve stabilire la connessione Internet - quindi deve presentare il suo MAC Address e configurarsi via DHCP. Tieni presente che l'ONT funziona da bridge, incapsulando i pacchetti Ethernet in frame PON per farli passare sulla fibra ottica fino all'OLT.

                              Chiaro, certo. Scusate la mia imprecisione (non mastico reti quotidianamente). Come scrivevo su, non capisco come risolvere ufficialmente l'introduzione di un nuovo "modem libero" ONT, se deve essere fornito da loro. A parte lo spoofing, s'intende.

                                    • [cancellato]

                                    • Messaggio #17

                                    floatingpurr ma ho visto che ci sono molti mikrotik sotto i 100 €

                                    Vedi se reggono una gigabit, specialmente con una VPN attiva, e il firewall. C'è il vantaggio che Fastweb usa DHCP e non PPPoE che è più pesante dal punto di vista computazionale.

                                    floatingpurr non capisco come risolvere ufficialmente l'introduzione di un nuovo "modem libero" ONT, se deve essere fornito da loro

                                    Se Fastweb accetta la conversione della tua linea in "modem libero" deve fornirti l'ONT. A quel punto di basta comunicargli il MAC Address del tuo router e la connessione si attiva. Altrimenti devi usare uno dei workaround non ufficiali per utilizzare un tuo ONT e poi spoofare il MAC Address del Fastgate - anche se non sarebbe permesso e se smette di funzionare non puoi lamentarti con l'ISP.

                                          [cancellato] la cosa strana riguardo all'ONT è che il loro primo livello continua a dirmi che devo mettere tutto io e comunicargli il mac address. A questo punto immagino che o mi inviano il modem ONT e io metto il router, oppure bisogna procedere con il workaround che mi avevi indicato.

                                              • [cancellato]

                                              • Messaggio #19

                                              floatingpurr

                                              Se attivano il "modem libero" e adesso hai l'ONT integrato nel Fastgate (la fibra ottica è direttamente collegata al Fastgate) devono fornirti un ONT esterno - l'ONT è il terminatore della rete operatore e tocca all'operatore fornirlo.

                                              Se invece hai già l'ONT esterno (la fibra è collegata ad uno scatolotto dal quale parte un cavo Ethetnet collegato al Fastgate) allora non devono darti altro - colleghi il tuo router al posto del Fastgate. In questo caso potresti già provare spoofando il MAC (perdi il VoIP).

                                                  [cancellato] no no, confermo che la fibra è direttamente collegata al Fastgate, dovrebbero mettermi l'ONT esterno allora. Ho capito va: faccio prima a scrivere ad xbest.pl per il LXT-010H-D LEOX 😃 (peraltro va pure a 2.5 Gbps in download). Parallelamente cerco un buon router.

                                                  In questo modo oltretutto hai modo di sfruttare i 2,5gbit su singolo dispositivo se acquisti un router con doppia porta 2,5gbit (WAN e LAN)
                                                  A questo punto la linea pon si allinerà, ora non ti resta che comprare un router che supporti le seguenti cose:

                                                  • spoof mac address della wan: devi clonare il macaddress del Fastgate (scritto sul retro)
                                                  • inviare dhcp option: askey_HW_ES1_SW_0.00.47/dslforum.org (questa va sempre bene)

                                                  Devo cercare un router che faccia al caso mio (tra l'altro l'opzione del dhcp serve anche in caso di IP statico già preimpostato da Fastweb?).

                                                  Devo guardare con calma. Eventualmente posso ancora approfittare di questo thread senza che mi banniate per stalking? 😃

                                                  Grazie ragazzi, il vostro aiuto è preziosissimo!

                                                      floatingpurr Eventualmente posso ancora approfittare di questo thread senza che mi banniate per stalking?

                                                      Si non c'è problema, unico dubbio, vuoi splittare la parte wifi dal router? O vuoi un all in one?

                                                          floatingpurr Parallelamente cerco un buon router.

                                                          Potresti valutare sia i keenetic perdendo però il multi gigabit sul singolo dispositivo oppure la combo MiniPC con OPNSense+AP,dove ti puoi sbizzarire abbastanza
                                                          Per il keenetic ho scritto anche una guida su come usarlo senza dover dare nessuna autorizzazione a fastweb

                                                          In qualunque caso una di queste due opzioni fa al caso tuo,si tratta solo di fare una valutazione su cosa ritieni più comfortevole

                                                              Ottima guida, ci sono esattamente i 2 step che indicavo nel mio post:

                                                              Daniel_e88 spoof mac address della wan: devi clonare il macaddress del Fastgate (scritto sul retro)
                                                              inviare dhcp option: askey_HW_ES1_SW_0.00.47/dslforum.org (questa va sempre bene)

                                                              Unica accortezza @floatingpurr se tu hai un Fastgate con pon diretto vuol dire che sei su rete proprietaria Fastweb quindi nel TUO specifico caso, la vlan non la devi considerare, visto che su proprietaria fastweb la wan è su vlan nativa.

                                                              Aggiungo inoltre che potresti pure fare la combo, e prendere un keenetic con cage sfp, e quindi non prendere un ont esterno ethernet, bensì un sfp gpon ed inserirlo direttamente al suo interno.
                                                              In quel caso non dovresti nemmeno alimentare con una presa separata l'ont visto che l'sfp verrebbe alimentato direttamente dal router.

                                                              In quel caso, sempre LEOX ma sfp:

                                                              https://hack-gpon.org/ont-leox-lxt-010s-h/

                                                              Sempre dallo stesso sito di prima.

                                                                    • [cancellato]

                                                                    • Messaggio #24
                                                                    • Modificato

                                                                    floatingpurr l'opzione del dhcp serve anche in caso di IP statico già preimpostato da Fastweb?

                                                                    Sì, anche se il DHCP ti assegna sempre lo stesso IP - il router si deve presentare con un MAC Address riconosciuto per autenticarsi con Fastweb.

                                                                      Daniel_e88 la vlan non la devi considerare, visto che su proprietaria fastweb la wan è su vlan nativa.

                                                                      Per questo avevo scritto sulla guida di consultare il sito fastweb,sulla proprietaria esplicitano di non usare nessun tag vlan (chissà poi di questa scelta,reminescenze della metroweb?)

                                                                          Rekko Si senz'altro lo hai scritto e anche bene, volevo solo sottolinearlo anche qua

                                                                            Daniel_e88 e Rekko vorrei minimizzare il ferro (e le prese), per cui se trovassi un device all-in-one sarebbe l'ideale. MI piacerebbe provare pfSense / OpenSense per approfondire questo mondo. Un mini pc fanless potrebbe essere la via più flessibile, anche se andrei overbudget. Diciamo che se ci fosse un mini pc con porte 2.5GbE che facesse anche da AP WiFi (con esigenze davvero minimali), sarebbe perfetto. Avreste un consiglio in tal senso?

                                                                            Ciao!

                                                                                  Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                                                                  P.I. IT16712091004 - info@fibraclick.it

                                                                                  ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile