Glasfaser Nordwest, PLZ 26524, OPNsense, SFP+, Transceiver, VLANs?

Moin. Ich möchte für zwei neu gebaute (Glasfaser Nordwest, PLZ 26524) Glasfaseranschlüsse eigene Firewalls verwenden und den Kauf unnötiger Hardware vermeiden. Meine Firewalls unterstützen SFP+, aber ich habe keine Ahnung, was für Transceiver ich benötige, um mit den Glasfaseranschlüssen zu kommunizieren.

Was mir auch nicht klar ist, ist welche "Sprache" zwischen dem Glasfaseranschluss (HÜP?) und meinen lokalen Geräten gesprochen wird. Ist das irgendein obskures Protokoll oder kommt da bei mir DHCPv4/-v6 an? Erwartet die Gegenseite ein bestimmtes VLAN? Kann OPNsense das mit Bordmitteln (oder wenig Verrenkungen)? OpenWRT möchte ich vermeiden.

Gesamtsituation

Mein Haus und das Haus meiner Eltern sind relativ lang und ich brauche mehrere getrennte Segmente für verschiedene Zwecke. Daher habe ich Verlegekabel, mehrere VLAN-fähige Switches (inkl. SFP+) und mehrere VLAN-fähige Access Points im Einsatz. Außerdem verwende ich OPNsense-basierte Firewall Appliances, die SFP+ unterstützen. Die Verlegekabel sind Kupfer, aber für einen Teil der Hausverkabelung habe ich auch Glasfaser (LC-LC OM3/OM4 Duplex). Ausbau in PLZ 26524 erfolgt über Glasfaser Nordwest. Für meine Eltern habe ich via EWE bestellt, für mich selbst via Telekom Geschäftskunden. Wenn ich bei EWE bestelle, wird die FRITZ!Box 5690 mit angeboten. Bei der Telekom gibt's ein SFP+-Modul (oder SFP?) inklusive. Wenn ich mir die FRITZ!Box 5690 angucke, sehe ich links einen grünen, scheinbar festverbauten Simplex-Port beschriftet mit "Fiber" statt eines SFP-/SFP+-Moduls.

Riesendank schonmal, das ist sehr hilfreich.

Spricht etwas dagegen, direkt am HÜP einen Switch anzuschließen (Tagged VLAN 7 laut Übersicht VLAN-IDs und Einwahlkonfigurationen verschiedener Anbieter, wenn ich die Tabelle richtig verstehe) und das dann an meine Firewall durchzureichen? Und die Firewall muss dann PPPoE machen?

Zumindest die EWE scheint sich bzgl. Endgerätewahlfreiheit nicht zu sehr anzustellen. Die "Modem-ID" im zitierten Text ist dann die ID der GPON-Hardware?

Zitat

vielen Dank für Ihren Auftrag. Gute Nachrichten: Sie können Ihr Produkt Glasfaser 300 bald nutzen.

Ihr Schaltungstermin: 24.11.2025 in der Zeit zwischen 6 und 17 Uhr

Ihre Anwesenheit vor Ort ist nicht erforderlich.

Verbindung bis zum Router: Damit Ihr Glasfaseranschluss läuft, muss der angeschlossene Router bei uns in der Technik einmal registriert werden. Dafür benötigen wir am Schalttag die Modem-ID von Ihnen. Sie finden diese in der Regel auf dem Typenschild auf der Unterseite des Geräts.

Die Modem-ID können Sie selbst im Serviceportal zwischen 6 und 17 Uhr hinterlegen oder Sie rufen uns an. Erst mit der Eingabe der Modem-ID am Schalttag und dem angeschlossenen Router wird die Schaltung gestartet.

Konfiguration Ihres Routers: Benutzernamen und Passwörter für die manuelle Einrichtung des Internetzugangs und der Rufnummer(n) generieren Sie sich im Serviceportal. Diese benötigen Sie jedoch nur, wenn Sie ein eigenes Endgerät nutzen oder Ihr Endgerät manuell einrichten möchten. Hinweis: Wenn Sie eine FRITZ!Box von uns nutzen, richtet sich Ihr Zugang nach dem Schaltungstermin automatisch ein.

Alles anzeigen

Okay, also sinngemäß:

• SFP-GPON-Transceiver in SFP+-Port meines Switches (Mikrotik CSS-326) und mit HÜP oder Gf-TA verkabeln (da, wo die Glasfaser ins Haus kommt, korrekte Begriffe sind mir noch nicht ganz klar)
• Switchport für VLAN 7 tagged konfigurieren
• VLAN 7 per Trunk an die Firewall durchreichen
• WAN-Subinterface auf der Firewall für VLAN 7 erstellen und für PPPoE konfigurieren

Zitat

Du solltest nur darauf achten, das die elektrische Seite des Moduls lediglich mit dem WAN-Port der OpenSense kommunizieren kann.

Das wäre bei meinem Aufbau nicht der Fall, weil die elektrische Seite des GPON-Moduls mit dem Switch und nicht mit der Firewall verbunden wäre. Wäre das beim skizzierten Aufbau ein Problem?

Okay, es geht also drum, dass da auf der Leitung auf der das PPPoE läuft "Ruhe ist" und kein sonstiges Ethernet gesprochen wird?

So, nach langer Odyssee habe ich für den ersten der beiden Anschlüsse folgendes funktionierendes Setup:

• Geräte
  • opnSense-Firewall in PCZinophyte-Appliance (3x 2.5G Kupfer igc0,igc1,igc2, 2x 10G SFP+ ix0,ix1): "fw"
  • 2x CSS326-24G-2S+ (24x 1G Kupfer p01-p24, 2x 10G SFP+ sfp1,sfp2)
    • Erdgeschoss: "css326-eg"
    • Obergeschoss: "css326-og"
  • SFP-Transceiver "Digitalisierungsbox Glasfaser" (aka Zyxel PMG3000-D20B) installiert in css326-eg.sfp2
  • Das mitgelieferte Kabel des Zyxel PMG3000-D20B war mit 2m etwas zu kurz, daher habe ich es durch ein 3m-Kabel "SC/APC auf LC/APC Stecker, Simplex 9/125μm" ersetzt
• Verkabelung
  • Gf-TA --LC/APC--SC/UPC-- Zyxel PMG3000
  • Mehrere Kupferports als Trunk zwischen css326-eg und css326-og: "switchtrunk"
  • css326-og.p11 per Kupfer mit fw.igc2 verbunden
• Konfiguration
  • css326-eg.sfp2 konfiguriert für "strict, tagged, VLAN 7"
  • switchtrunk beidseitig als Member von VLAN 7 konfiguriert
  • css326.og.p11 konfiguriert als "strict, untagged, VLAN 7"
  • fw.igc2 aktiv ohne IP-Konfiguration
  • fw.pppoe0 als PPPoE-Device mit Telekom-PPPoE-Zugangsdaten auf dem physischen Interface fw.igc2 erstellt (via opnSense-Konfiguration: Interfaces>Devices>Point-to-Point)
  • Assignment in opnSense-Einstellungen gemacht: pppoe0=>WAN_Glasfaser_PPPoE
  • Interface-Konfiguration für WAN_Glasfaser_PPPoE:
    • Enable Interface: true
    • Prevent interface removal: true
    • IPv4 Configuration Type PPPoE
    • IPv6 Configuration Type: PPPoeV6 DHCPv6
  • Interne Interface-Konfiguration:
    • IPv6 Configuration Type: Track Interface
    • Parent interface: WAN_Glasfaser_PPPoE
    • Prefix ID: entspricht meinen internen VLAN-Nummern
    • Optional interface ID: ::254