Switch statt ONT nutzen.

Port Based VLANs sind doch legacy.

Zitat von jokergermany

So richtig verstanden habe ich noch nicht wann man PVLans verwendet und wann Port based Vlans.

Verstehe ja das Problem an Tag based Vlans, aber nicht so wirklich den Unterschied zwischen PVLans und Port based Vlans...

Ich erkläre jetzt nicht PVLAN, weil du das nicht brauchst. Setze deinen Switch bitte wieder auf den Ausgangszustand.

Lösung mit Standard-VLAN: Ich gehe davon aus, dass es in deinem Switch ein Default-VLAN gibt (häufig VLAN 1 - schau mal in Manual, ob es dazu Infos gibt), und dass alle Ports Access-Ports für das Default-VLAN darstellen. Dann kann jeder Port mit jedem anderen kommunizieren.

Denke dir jetzt ein VLAN aus, das nicht dem Default-VLAN entspricht. Ich nehme jetzt bspw. mal VLAN 100. Jetzt konfiguriere den Uplink-Port für das SFP-Modul und den gewünschten Port für den Router-Anschluss als Access-Ports für VLAN 100. Fertig. Die Bezeichnung "Access-Port" kommt aus der Cisco-Welt, bei deinem Switch heißt das vermutlich anders, schau im Manual: Soweit ich es (kurz überflogen) sehe, ist bei deinem Switch das Default-VLAN=1. Füge also ein VLAN 100 (oder etwas ungleich 1) hinzu und deklariere die beiden Ports als "untagged members" von VLAN 100. Die PVID für diese beiden Ports muss auch auf VLAN 100 gesetzt werden.

Ok, dann müssen die Ethernet-Frames ingress/egress am SFT-Port mit VLAN 200 getagged sein.

Verwende also statt VLAN 100 das VLAN 200.

Außerdem muss der SFP-Port nun ein "tagged member" von VLAN 200 sein.

Den Router-Port kannst du auf "untagged member" von VLAN 200 belassen. Dann brauchst du am WAN-Port des Routers nichts mit VLAN konfigureren.

Mmmh, ich wuerde:

1) Port 28 (das ist der SFP Port, oder?) und Port 26 aus VLAN1 rausschmeissen

2) Port 28 und Port 26 in VLAN200 packen

3) Port 28 aks Tagged Port konfigurieren

4) Port 26 entweder auch als Tagged Port konfigurieren (dann muss der Router auch VLAN 200 verwenden) oder als Untagged Port (dann braucht der Router kein VLAN Tag auf dem WAN Interface).

Port Mirroring verwendet mann gerne wenn mann Paket-Mitschnitte anfertigen will ohne den Traffic selber zu stoeren.

Und funktioniert es wenn Du den WAN Port im Router mit Port 26 verbindest und mit VLAN200 taggst?

Ich wuerde Port Miroring hier ignorieren... Du willst wirklich nur etwas gaaanz einfaches von Deinem Switch:

a) ein VLAN fuer SFP-Port und Router WAN

b) ein anderes VLAN fuer den ganzen Rest.

Zitat von jokergermany

So, SFP Modul ist heute angekommen:
Digitalisierungsbox Glasfasermodem | Telekom Geschäftskunden
Dass habe ich jetzt eingestellt und im Router die Vlan ID 200 raus genommen, aber es funktioniert noch nicht.

Habe ich was falsch eingestellt oder muss ich Montag mal meinen Internet Provider kontaktieren um zu schauen ob er noch nach anderen Daten checkt als nur den PPoE Zugangsdaten.

Das Teil ist doch NEU? Was hast du mit dem alten ONT gemacht? Hast du seine Modem-ID übernommen?
Ansonsten müsste man doch die neue Modem-ID bei ISP priorisieren.

Zitat von jokergermany

Dass habe ich jetzt eingestellt und im Router die Vlan ID 200 raus genommen, aber es funktioniert noch nicht.

Port 26 muss ein "untagged member" von VLAN 200 sein, wenn du im Router VLAN 200 herausgenommen hast. Außerdem musst du die PVID von Port 26 auf VLAN 200 einstellen.

Zitat von jokergermany

Hab VLAN ID 200 wieder reingenommen beim Router
Wenn du Port-based VLAN meinst, dass steht schon drin:
https://www.glasfaserforum.de/attachment/4628-grafik-png/

Satz 1: Ok, dann muss Port 26 ein "tagged member" von VLAN 200 sein, wie eingestellt.

Satz 2: Ja, das meinte ich: PVID = Port-based VLAN, obwohl diese Einstellung für tagged Ports nicht mehr so relevant ist (deckt den Fall ab, welchem VLAN ein Frame zugeordnet werden soll, wenn es untagged zum Port herein kommt - sowas sollte nicht mehr auftreten, wenn der Router mit VLAN 200 getaggte Frames sendet)

Zitat von jokergermany

Nein habe ich bisher noch nicht, wollte es erst mal so testen und checken ob sie vielleicht nur mit Anmeldedaten arbeiten.

Also, da es GPON ist, muss der neue ONT (Digitalisierungsbox Glasfasermodem) erst priorisiert werden oder die Modem-ID des Alten reingehackt werden.
Ansonsten wird dein SFP-ONT gar nicht ins Netz gelassen. Es kommt gar nicht zur Authentifizierung und IP-Adresszuteilung.

Das ONT wird provisioniert.

Damit wird dein Datenstrom im Downstream verschlüsselt.

Zitat von jokergermany

Mir wäre das reingehackt am liebsten, weil:

Ohne Provisionierung läuft im GPON nichts, da kannst Du hacken was Du möchtest. Es wird keinen Erfolg haben.

Unter Umständen kann nach der erfolgreichen Provisionierung des Moduls durch den Provider auch noch zusätzlich der ONT akzeptiert werden, das ist durch experimentieren herauszufinden. Wenn das nicht geht, dann muß erneut der Huawei ONT provisioniert werden. Bei Deutsche Glasfaser ist das durch den Kunden selbst möglich (Self-Service). Mit welchem Gf-Anbieter hast Du den Vertrag geschlossen?

Mmmh, je nach dem welche Werte der ISP bei der Provisionierung verwendet, kann mann diese erfolgreich vom offiziellen ONT klonen und hat dann zwei ONTs die aus Sicht des ISPs nicht unterscheidbar sind.

Ich wuerde erstmal schauen wie aufwendig es ist bei Deinem ISP einen ONT provisioniert zu bekommen, um zu bewerten ob sich ein Klon-Versuch ueberhaupt lohnt.

Zitat von pufferueberlauf

Mmmh, je nach dem welche Werte der ISP bei der Provisionierung verwendet, kann mann diese erfolgreich vom offiziellen ONT klonen und hat dann zwei ONTs die aus Sicht des ISPs nicht unterscheidbar sind.

Sind sie schon, wenn man zB Softwarestände vergleicht.