EON ONT

    Hallo zusammen,

    bei uns hier im Dorf läuft seit ein paar Wochen der Tiefbau, ich rechne zwar noch mit mehreren Monaten, bis die fertig sind, aber immerhin, es passiert jetzt nach fast zwei Jahren was. Der Ausbauer ist Westconnect und ich habe schon vor längerer Zeit einen Vertrag mit EON gemacht.

    Im Moment habe ich DSL von 1und1 mit einer Fritzbox und direkt dahinter eine IPFire.

    Ich überlege gerade, ob ich, wenn denn irgendwann der Glasfaseranschluss geschaltet wurde, die Fritzbox rausnehmen könnte und direkt vom ONT auf meine IPFire gehen könnte.

    Meine Frage ist, was liegt denn am Ethernetport des ONT an?

    Ich habe irgendwo gelesen, dass ich vom Anbieter eine DHCP IP bekomme,, braucht das dann noch eine Authentifizierung?

    Wenn ja, welche? PPPoE oder IPo oder was muss ich da einrichten?


    Danke für eure Hilfe

    Einmal editiert, zuletzt von uha (22. Dezember 2024 um 16:41) aus folgendem Grund: Typo

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
    Zitat von uha

    Im Moment habe ich DSL von 1und1 mit einer Fritzbox und direkt dahinter eine IPFire.

    Wenn Du vorhast anfangs diese Fritze hinter dem ONT zu betreiben, dann tue dir und uns den Gefallen, die FRITZ!Box vor dem Anschluss an den ONT auf Werkseinstellungen zurückzusetzen und von Hand den Internetaccess zu konfigurieren.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
    Zitat von HubeBube

    Wenn Du vorhast anfangs diese Fritze hinter dem ONT zu betreiben, dann tue dir und uns den Gefallen, die FRITZ!Box vor dem Anschluss an den ONT auf Werkseinstellungen zurückzusetzen und von Hand den Internetaccess zu konfigurieren.

    Nö, eigentlich habe ich genau das nicht vor, denn DHCP und VLAN kann der Linux Router auch. Die Fritzbox hängt im Moment nur dort, weil die eben DSL kann.

    Zitat von Phino

    Und wozu benötigst du die FB? Zielführend wäre ONT > IPFire, damit hat es sich. Die FB kannst du noch dahinter hängen für Telefonie, wenn Bedarf besteht.

    Ich brauche die noch genau so lange, bis EON mal fertig wird mit dem GF-Anschluss, dann soll die raus, hatte ich nicht oben geschrieben, dass ich es genau so machen will?

    Was ich mich noch frage, wie ich das mit der abweichenden VLAN-ID für Telefonie konfiguriere.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Hatte nicht IPFire die Einschränkung, dass nur ein VLAN pro NIC unterstützt wird?

    Ist es supported virtuelle NICs anzulegen und dann ggf. via Bonding mit einer physischen NIC zu aggregieren?

    https://linuxconfig.org/configuring-virtual-network-interfaces-in-linux

    Introduction to Linux interfaces for virtual networking | Red Hat Developer
    Get an introduction to Linux virtual interfaces, including commonly used interfaces, when to use them, and how to create them.
    developers.redhat.com
    Zitat von HubeBube

    Hatte nicht IPFire die Einschränkung, dass nur ein VLAN pro NIC unterstützt wird?

    Ja scheint so zu sein.

    Vielleicht macht das aber auch nix, weil:

    Nun ja, eine Firewall ist eben kein Router, auch wenn manchmal Firewall-Appliances dafür missbraucht werden. Das führt dann zu komplizierten Workarounds.

    Besser ist es einen Router wie z.B. MikroTIK zu verwenden und dessen Firewallfunktionalitäten zu nutzen. Für den Privatmensch reicht das völlig aus. Wer es filigraner haben möchte, muss eben mit zwei Appliances (Router + Firewall) arbeiten.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
    Zitat von uha

    Ja scheint so zu sein.

    Vielleicht macht das aber auch nix, weil:

    evtl. hilft auch dieser Post/ Thread weiter:

    Beitrag

    RE: Unifi Dream Machine SE an Glasfaseranschluss

    Wenn du eine öffentliche, dynamische IP buchst brauchst du keine 2 VLANs am WAN Port. Die Route für die SIP Proxys wird im öffentlichen VRF geleaked, sind also auch darüber erreichbar.


    Bzgl SFP ONT kann ich leider nich helfen, wenn du einen passenden Kontakt bei Vitroconnect findest, kann man dir da aber bestimmt weiterhelfen.
    kingpin42
    24. August 2024 um 21:35

    So habe die freien Tage mal genutzt und das ganze neu aufgesetzt. Die IPFire ist gelöscht, habe auf der gleichen Hardware nun OPNsense auf PVE installiert, damit sollte ich gerüstet sein.

    Zitat von HubeBube

    Nun ja, eine Firewall ist eben kein Router, auch wenn manchmal Firewall-Appliances dafür missbraucht werden. Das führt dann zu komplizierten Workarounds.

    Ja, eine Firewall ist kein Router, aber zu sagen, das Firewall-Appliance dazu missbraucht werden, sehe ich aber als falsch.

    Wenn man ein komplexeres Netzwerk hat mit mehreren WAN-Ports und VLAN, dann kann je nach Tiefe die Firewall nur ihre Aufgaben nachgehen, wenn sie auch für die Netzwerkadministration (Routing, DHCP, etc.) zuständig ist. Nur so kann sie zum Beispiel eigene SSL-Zertifikate ausliefern an die Clients, um auch in verschlüsselten Datenverkehr hineinschauen zu können (IDS/IPS/Deep Packet Inspection). So halten es alle Schwergewichten von Firewalls, außer wohl Palo Alto, die tickt ja etwas anders.
    Aber grundsätzlich sind die Übergänge fließend. FW steht für einen Teil der Netzwerksicherheit, aber meiner Meinung nach setzt diese schon viel früher an und ist weiter zu fassen. Je nach Umfeld bei Netzwerk-zugänglichkeiten (LAN/WLAN/Gastnetze) Nutzerverwaltung/Clientverwaltung, aber auch in den Köpfen der User.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    SSL Interception ist so ein Thema, dass hoffentlich mit neuen TLS Versionen und der zunehmenden Endpoint-Security begraben wird. Ich persönlich bin kein Freund davon.

    Letztlich bedingt eine SSL Interception Maschinerie in der logischen Konsequenz den Aufbau und Betrieb einer PKI ausschließlich für die Interception. Wer will denn schon einer Interception-Appliance, die eigene valide Zertifikate erstellt, bei einer Kompromittierung die Möglichkeit geben (bzw. dem Angreifer), dass AD zu übernehmen?

    Ich sehe jetzt nicht was Palo Alto dort anders macht, abgesehen davon dass diese eine Applikationsfirewall ist und daher erkennt, wenn über 443 kein HTTPS geht und dann die Schotten dicht macht. Palo Alto ist keine portbasierte Firewall, kann das jedoch auch.

    Hat aber alles nichts mit Gf zu tun😉

    Zitat von mbo77

    Spätestens bei SDN wie NSX ist diese Art der Diskussion doch recht müßig.

    Grundsätzlich gebe ich dir Recht, jedoch ist nicht alles virtualisiert und auch für die alten legacy Systeme muss ein gewisser Schutz bestehen. Letztlich sterben gerade die Proxyprodukte, da der Traffic und Bandbreitenbedarf so angestiegen ist, dass diese Appliances die Anforderungen nicht mehr abdecken.

    Vernünftige Perimeterfirewalls, Mikrosegmentierung mit Verfolgbarkeit der Pakete zwischen den Endpunkten (ganz wichtig für Troubleshooting und IDS/IPS) und Endpoint-Security ist in meinen Augen eine sehr gute Kombination.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
    Zitat von HubeBube

    Letztlich bedingt eine SSL Interception Maschinerie in der logischen Konsequenz den Aufbau und Betrieb einer PKI ausschließlich für die Interception. Wer will denn schon einer Interception-Appliance, die eigene valide Zertifikate erstellt, bei einer Kompromittierung die Möglichkeit geben (bzw. dem Angreifer), dass AD zu übernehmen?

    Das ist in sicherheitsrelevanten Umgebungen Standard (Banken, Polizei, Forschungseinrichtungen etc.). Klar auch kein hundertprozentiger Schutz, aber auf jeden Fall deutlich höhere Erkennungsrate damit bei Schadsoftware die nachgeladen wird oder "schlechte" Kommunikation ausführt.

    So lief dies bis vor kurzen so bei einer Polizeibehörde bis diese die direkte Internetnutzung von allen Clients (10.000) jetzt nur noch per Remote machen, aber da passiert dies natürlich auch SSL Interception auf dem Server.

    Das hätte wohl auch besser damals das Amtsgericht Berlin so mit den Rechnern der Richter machen sollen. Aber die wehrten sich gegen diese Überwachung, mit der Vorgabe "Richter sind frei". Nun ja, jetzt nicht mehr, nach 8 Wochen Ausfall des Gerichtes. Die Richter haben separate Laptops mit LTE für Recherchen bekommen, ohne Zugang zum Behördennetz. War vor dem "Problem" als zu teuer angesehen worden. :D Ich glaube, mit dem Einsparen dieses Schadens hätte man damals alle Schüler in Berlin mit Laptops ausstatten können. ;)

    Hör' mir mit den Gerichten auf... Das eBO Verfahren ist dermaßen kompliziert (vorgeschrieben), dass die Einhaltung von Fristen ohne Ersatzverfahren gar nicht möglich ist. Hinzu kommt noch, das die Justiz NRW als zentraler Host für Deutschland nicht stabil, manchmal mit tagelangen Ausfällen, läuft.

    Der vorgeschriebene X-Justizdatensatz bei der Übermittlung enthält von Gerichten kommend manchmal kein Aktenzeichen oder ein Phantasiekürzel. Obwohl nicht nur die Struktur, sondern auch die Inhalte Pflichtentitäten sind. Warum? Weil die Gerichte es können...

    Wenn das so auch bei X-Rechnung läuft, dann gute Nacht.