Blog

Energis-Glasfaseranschluss ohne Fritzbox

  • Beitrags-Autor:
  • Beitrags-Kategorie:IT, Software & Co.
  • Lesedauer:14 min Lesezeit

„Es muss nicht immer Fritzbox sein!“ – mit einem solchen Satz kann man einen Deutschen zur Verzfeiflung bringen. Das Produkt von AVM aus Berlin ist ohne Frage ein Zeichen deutscher Ingeneurskunst und hat nicht ohne Grund ein solches Rennomee verdient. Aber wie machen es die anderen Länder, wenn sie die Fritzbox nicht kennen? Es gib kaum etwas, was man nicht mit Software emulieren oder ersetzen kann. Diese Frage brachte mich auf die Idee, den Anschluss ohne Spezialhardware umzusetzen. Für den Medienwechsel zwischen Lichtwellen und elektrischen Impulsen sorgt das ONT – der optical network trasmitter, den man früher als Modem kannte. Wir haben also dahinter nur noch mit reinem Ethernet zu tun. Das macht die Sache leichter.

Ein wenig Theorie

Aus den Unterlagen, die Energis seinen Kunden zugeschickt hat, geht hervor, dass für den Internetzugang und die Telefonie zwei verschiedene VLANs realisiert wird. Doch: Was sind VLANs? Ein VLAN steht für ein virtuelles LAN und wird mit Hilfe von Standard 802.1Q des IEEE. Das Ethernet ist eine Methode um auf einem Netzwerkkabel über die vier Drahtpaare eine Kommunikation mit Hilfe von Stromimpulsen zwischen zwei Teilnehmern herzustellen. (100MBit brauchte sogar nur zwei Aderpaare.) Darin wird geregelt mit welcher Frequenz und wie lange gesendet wird oder wie mögliche Kollisionen (wen beide gleichzeitig zu senden beginnen) aufgelöst werden. In der „Sprechzeit“ eines Teilnehmers – dem sog. Ethernet-Frame – (man kann sich das als ein Blatt Papier mit immer derselben Größe vorstellen) müssen viele Informationen nach einem festen Schema angegeben werden: von wem an wen, Sequenznummer (Seitenunummer) und eine Prüfsumme. Und da muss noch der Inhalt rein! Das regelt das IEEE in dem Ethernet-Frame. Die einfache Version, die in jedem Router und Switch bekannt ist, wurde dann erweitert, indem man aus dem Platz für den Inhalt ein kleines Stück abzwackt und darin einen Code für den sog. VLAN-Tag hinterlegt. Switche und Router, die den Code (eine Nummer zwischen 0 und 4095) auslesen können und daraus ein Netz im Netz bilden, beherrschen 802.1Q und kommen meist mit dem Zusatz „managed“ in der Bezeichnung daher. Das Verwalten (en. „to manage“) ist nichts anderes als das festlegen, welche Tags auf welchen Steckplätzen (en. „ports“) empfangen bzw. gesendet werden können. (Daten-Pakete ohne VLAN-Tag können nachträglich mit einem Tag versehen werden. Dazu definiert man auf dem Port die PVID. Solche Pakete werden behandelt als hätten sie den VLAN-Tag des PVID.) Hinter den 4096 Tags stecken 4096 mögliche Netze, die sich daraus ergeben können: die virtuellen LANs. Die Idee ist, dass man „in einem Kabel“ mehrere voneinander getrennte Netze durchleitet. Das Konzept dient weniger dem Schutz der Daten (security by obscurity – nur wer den Tag kennt, kann mithören) sonder der Ordnung.

Ab ins Netz!

Mit dem VLAN-Tag 132 verbindet man sich im Glasfaser von Energis mit dem Internet. Eigentlich ist es ein sog. „geroutetes“ Netz. Das bedeutet: es gibt einen Router (oder Gateway) in diesem Netz, der das Lokale Netz 132 mit dem Internet zusammen schaltet. Gegen Aufpreis bekommt man auch eine öffentliche IPv4-Adresse, die ein vollwertiger Teilnehmer des Internets ist.

Die „Verlängerung“ hinter dem ONT

Das Glasfaser geht nur wenige Meter ins Haus und das ist manchmal nicht optimal, denn steht der Router in einer ganz anderen Ecke des Hauses, muss man dorthin das Netzwerk-Kabel ziehen. (Viel dünner und magnetisch weniger störanfällig ist Glasfaser und mittlerweile für jedermann bezahlbar. Dafür muss das elektrische Signal des RJ45-Ethernets in Licht umgewandelt werden. Entsprechende Wandler sind günstig zu haben.) Führt das Kabel aus dem ONT nicht direkt zu einem einzigen Rechner oder Router, muss der dazwischen geschaltete Switch 802.1q beherrschen und den VLAN-Tag 132 auf den entsprechenden Ports (man sagt dazu auf denglisch: getaggt) zulassen.

IP vom Anbieter

Der Router oder Rechner hinter dem ONT bekommt per DHCP eine IP-Adresse (IPv4) und eine IPv6. IPv4 kann (wie bereits erwähnt) aus einem gerouteten lokalen Netz der VSE stammen oder eine öffentliche IP (aus dem Internet direkt erreichbar) sein. Bei IPv6 konnte ich bisher leider nur eine einzelne IP-Adresse erhalten. Wünschenswert wäre ein Teilnetz mit der Netzmaske „/64“ – ein sogenannter Präfix. (Die ersten 64 Bits muss der Anbieter immer als eine Art „Straße und Hausnummer“ betrachten an meinen Anschluss senden. Die folgenden weiteren 64 Bits müssen dem Anbieter nicht bekannt sein – vergleichbar einem „Hausbewohner“.) Weil ein solcher abgeleiteter Präfix dynamisch (täglich oder gar stündlich) wechseln darf, wäre es etwas Aufwendig und nicht wirklich regelkonform.

Bei näherer Betrachtung sieht man, dass es mehrere Adressen sind, die man erhält und es ist anfangs äußerst verwirrend, was wohin gehört. Betrachten wie einmal mein Beilspiel:

vtnet1: flags=1008843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST,LOWER_UP> metric 0 mtu 1500
description: VSE (wan)
options=800a8<VLAN_MTU,JUMBO_MTU,VLAN_HWCSUM,LINKSTATE>
ether bc:24:11:9d:xx:xx
inet 194.35.xxx.xxx netmask 0xffffff00 broadcast 194.35.xxx.255
inet6 fe80::be24:xxxx:xxx:822b%vtnet1 prefixlen 64 scopeid 0x2
inet6 2a02:5a0:xxx::2:26ef prefixlen 128 pltime 1800 vltime 1800

Das erste Netzewerkgrät (vnet1 in der Namensgebung von OPNsense) packt in ein Päckchen maximal 1500 Byte. Es ist ein WAN (Wide Area Network = weltweites Netz) welches bei mir VSE heißt. Nach den options (die nur Fachleute dekodieren können) und der ID der Netzwerkkarte (besser bekannt als MAC-Adresse) folgt die IP in Version 4 mit broadcast-Adresse (für Nachrichten ans ganze Netzwerk, was früher nötig war und heute im WAN nicht wirklich gebraucht wird). Danach folgen gleich zwei IPv6: die „linklokale“ fe80::be24… (an fe80 am Anfang zu erkennen). Und nun wird es spannend: 2a02:5a0:… viele mit :: versteckte Nulle und endet mit 2:26ef – das ist die IP meines Routers. „prefixlen 128“ sagt auch sofort: es ist deine einzige IPv6 – die des Routers.

Bei IPv4 ist die Sache klar. Wer mit mehr als einem Gerät ins IPv4-Netz (IPv4-Internet) will, muss lokales (Haus-)Netz „LAN“ aufbauen (wie bei Modem/ISDN/DSL auch) und per NAT die Umsetzung von internen auf externe IP (und vice versa) betreiben. Das machen die Router wie Fritzbox (TP-Link, Cisco, ASUS, Netgear und wie die Hersteller alle heißen bieten ähnliche Produkte). Dieser Router muss VLAN-Tags (802.1q) beherrschen – und das tun fast alle, die „managed“ sind. Er ist für die Verteilung von LAN-IPs (per DHCP-Dienst) und die Umsetzung (NAT = Network Address Translation) zuständig.

Schwieriger ist es im IPv6. Da die IP nicht als Präfix ausgeliefert wird, kann man scheinbar nur über den VLAN-Tag 132 eine einzige IPv6 bekommen. (Und es scheint als würde jeder nur eine eigene IP bekommen, auch wenn mehrere Rechner über den Anschluss parallel auf Tag 132 angebunden werden.) Hier fehlt mir noch die zündende Idee, wie ich den Präfix ableite und IPv6-LAN ohne VLAN ins Anbieter-Netz mit VLAN routen soll. Und hier wird für Menschen aus der IPv4-Zeit etwas abstrus: Die Daten ins Internet (WAN) gehen über eine lokale Verbindung (wie 127.0.0.1/8 für nur diese Leitung).

Internet6:
Destination                       Gateway                       Flags     Netif 
default                           fe80::c242:d0ff:fe93:143%vtnet1 UGS    vtnet1

Mein Router ist die OPNsense-Appliance – ein kleiner Rechner (kann auch eine VM innerhalb von Proxmox sein) angeschlossen an den RJ45-Anschluss des ONT. Diese Firewall-und-Router-Software ist Open Source und hat eine gute graphische Oberfläche. Für einige Dinge gibt es auch Assistenten, die WAN und LAN erkennen und Routing samt DHCP einrichten können. Ein lokaler DNS und VLAN-Netze sind dort auch ohne Weiteres möglich. Sie richtet sich an ITler (insbesondere an Netzwerker unter ihnen) und kann einen einfachen Benutzer schnell überfordern. Wer die Mühe auf sich nehmen will, kommt um die Anschaffung einer Fritzbox herum. (Vorausgesetzt, die Telefonie über DECT-Funk spielt keine Rolle.) Bei der Einrichtung setzt man sowohl DHCP (für die einzige IPv4-Adresse) als auch das DHCPv6 (für die IPv6-Adresse mit der Priorität („Use VLAN priority„) auf „Best Effort (0, default)„, denn es werden keine zeitkritischen Daten versendet (Telefonie) und der Anbieter das so vorgibt. Ich „wünsche mir“ die immer einen Präfix von 64 Bit und setze „Prefix delegation size“ auf 64. Aber es wird scheinbar nur eine 128-Bit-Adresse ausgeliefert (wie bereits beschrieben). Vielleicht versteht OPNsens es nicht oder es ist gar gewünscht, denn die IPv6-Gegenstelle beim Provider ist eine sog. Link-lokale-IP fe80::xxx:xxx:xxx:143 (gedacht für LANs). Wer weiß!?

Bei näherer Betrachtung der Detail zum WAN-Interface fiel mir auf „Dynamic IPv6 prefix received 2a02:5a0:xxx:xxxx::/60„. Es ist schon verwirrend, wenn eine öffentliche IPv6 dem Interface lo zugeordnet wird. Eine rein lokaler Netzwerkanschluss hat ein ganzes öffentliches Netz, ja – sogar ganze vier davon! Jedenfalls habe ich gerade meinen Prefix an der falschen Stelle gefunden. Das muss ich genauer untersuchen!

Telefonie

Telefonie ist ein wenig ungewöhnlich. Man braucht dafür sowohl IPv4 mit VLAN-Tag 132 (die bei mir vom OPNsense als Firewall behandelt wird) als auch ein IPv4-Netz für die Telefonie, die den VLAN-Tag 232 hat. Theoretisch kann man auf das Internet verzichten und mit nur Telefonie-Netzwerk (Tag 232) telefonieren. Zugriff auf das Internet für das Versenden von Nachrichten, Updates oder Ähnliches wird aber fast immer nötig sein. Damit muss der VoIP/SIP-Client der drei Telefonnummern aus dem lokalen Vorwahlbereich des VSE.net verwaltet in der Lage ist, den VoIP-Server von VSE zu erreichen, braucht es zwei Dinge:

  1. Anschluss an die ONT mit dem VLAN-Tag 232
  2. eine lokal „gefälschte“ DNS-Auflösung für den SIP-Proxy (eigentlich Server), der per Internet nicht auflösbar ist

Punkt 1. ist auf zwei Wegen möglich. Verbindet man sich mit dem ONT vom selben/einzigen Rechner der Glasfaseranschlusses, braucht man einen weiteren Tag – diesmal mit der Priorität „5“ für Echtzeitdaten. Ist der SIP/VoIP-Client dagegen unterschiedliche Hardware und somit mit je eigenem Ethernet-Anschluss, kommt man um einen „managed“ Switch zwischen ONT und den zwei Geräten (wie oben erwähnt) nicht herum. Dieser muss dann entsprechend die Ports der Geräte mir den VLAN-Tags versehen und durchleiten (in Richtung ONT beide VLANs, ansonsten passend zum Gerät das eine oder andere). Eine Zwischenlösung ist Proxmox, wo jede VM (z.B. OPNSense und FreePBX) eigene VLANs auf den ebenso virtuellen Netzwerkanschlüssen bekommen kann. (Proxmox kann in neuester Version auch als Switch von Software-definierten Netzwerken fungieren).

Punkt 2. ließ mich an meinem Verstand zweifeln. Ziel der Verbindungen „energis-home.de“ zu nennen aber den Namen nicht per öffentliches DNS auf 10.199.27.28 aufzulösen ist eine seltsame Art von Humor. Da sich der Telefonie-Client mit eben diesem „SIP-Proxy“ (aus unserer Sicht kann er genauso gut VoIP- oder SIP-Server genannt werden) verbinden muss, sollte dieser Name allgemein bekannt sein. Der Kenner sieht in dieser IP aber auch sofort etwas Besonderes: 10er-Netz ist ein rein lokales Netz. Und es stimmt: das Netz aus unserem Punkt 1. lautet in etwa: 10.122.XXX.XXX mit einer Netzmaske „/16“. Damit müssen alle Datenpakete, die nicht „10.122.“ vorne stehen haben, an dem Gateway geschickt werden, der einem freundlicherweise per DHCP zugeteilt wird: 10.122.XXX.218. Nur über diesen erreicht man 10.199.27.28.

Aber das ist noch nicht alles. Neben der Signalisierung (SIP) auf Port UDP 5060, müssen auch Daten der Gesprächspartner eines Telefonats fließen können und das geschieht auf UDP-Ports zwischen 30000 und 65535. Diese Daten können an uns aber nicht nur vom SIP-Proxy fließen, denn es gibt auch weitere Vermittler 10.199.27.100 + .101 sowie .200 + .201. Der Einfachheit wegen kann man auch das ganze Netz 10.199.27.0/24 über den Anschluss mit VLAN-Tag 232 senden (und empfangen = en. routen).

Überraschung

Die freundlichen Mitarbeiter von Energis haben mir nicht nur diese Informationen zukommen lassen, sondern auch Details, die sehr hilfreich sind: Die Übertragung von Tastentönen (DTMF) erfolgt per RFC2833/4733 (RTP-Event), Und die Codec-Auswahl ist besser als bisher in allen Broschüren des Anbieters gelesen: PCMA (711.a – eine alte Art der Kodierung mit Blechdosen-Klang), G722 (moderner HD-Codec mit fast perfektem Klang) und G729 (sehr datensparsam aber nicht wirklich in HD-Qualität). Vor allem der letzte ist sehr aktuell und für moderne Hardware mit Links zu schaffen – reduziert die Datenmenge auf ein Viertel!

Fazit

Ich bin noch nicht fertig und entdecke viele spannende Arten der Umsetzung. Für mich ist es eine Herausforderung, Neues zu lernen. IPv4 mit NAT und routing hat gut geklappt. Die Telefonie endet in der FreePBX und wird an eine alte Fritzbox weiter gegeben da ich noch kein anderes DECT-Gateway habe. (Teilweise werden die Nummern für Konferenzräume gebraucht oder mit Free-Busy-Richtlinien für einzelne Empfänger abgeglichen). IPv6 ohne VLAN-Tag 132 bleibt noch eine Baustelle. Aber mit ein wenig Hilfestellung durch Energis hat alles gut funktioniert.

Schlagwörter: , , , ,