Пока идея второй части статьи о переезде в Германию понемногу обретает ясные очертания, я решил немного рассказать о том, как настраивал здесь домашний интернет под свои специфические айтишные нужды.
Интернет в Германии — вещь в себе. Никакого Ethernet, и уж тем более PON, в квартиры здесь в 99% случаев не проводится. Оптика хотя бы до подвала — тоже редко встречающаяся роскошь. Рынок тут поделен между провайдерами, предлагающими интернет по разным xDSL технологиям, и операторами кабельного ТВ, раздающим интернет через DOCSIS. Линии, как правило, содержатся в хорошем состоянии, и скорость можно получить вполне сравнимую с «традиционными» способами подключения.
Все это хорошо и вполне достаточно для большинства домашних пользователей, но как только вы хотите подключить свой собственный маршрутизатор — начинаются проблемы. Если вы при этом еще и используете IP-телефонию, VPN и тому подобные вещи, все становится совсем грустно. Что под DSL, что под DOCSIS выбор роутеров здесь крайне ограничен, а при подключении провайдеры выдают самые ширпотребные «мыльницы», многие из которых просто не умеют работать в режиме моста. То есть придется либо дополнительно покупать недешевый модем, либо ставить свой маршрутизатор за NAT, либо вообще отказаться от этой идеи. Промучившись некоторое время в попытках «подружить» свой Juniper SRX100 и провайдерский Fritz!Box 7590, я произвел некоторые изыскания и по очень удачной цене купил на eBay Juniper SRX220H, а к нему MPIM — модуль VDSL2 модема, SRX-MP-1VDSL2-A.
А вот дальше начинаются хитрости.
Как следует из описания, этот модуль поддерживает VDSL2 Annex A (то есть VDSL over POTS), в Германии же повсеместно используется VDSL2 Annex B (VDSL over ISDN). Модулей под Annex B для Juniper SRX в природе не существует, поддержка этого стандарта заявлена только для встроенных интерфейсов в Juniper SRX110. Более того, в технической документации Juniper четко и ясно написано, что активно используемый в Германии VDSL Vectoring (режим подавления взаимных помех в кабеле) не поддерживается для VDSL2 Annex B даже в SRX110. Тупик? Вовсе нет. Знакомый сетевик из Дюссельдорфа, имеющий чуть менее, чем дофига сертификатов по Juniper, объяснил мне, что чипы, на которых построены эти модули, сами по себе VDSL2-B поддерживают. Но, поскольку эти решения «затачивались» большей частью под рынок США, где повсеместно используется Annex A, то и тестирования их на европейских сетях с Annex B не проводили. Следуя же логике Juniper, «не протестировано» означает «не поддерживается».
Еще одна особенность заключается в том, что VDSL Vectoring поддерживается только в последней прошивке модема, версии 2.16, мой же модуль пришёл с прошивкой версии 2.10. Не найдя прошивок в открытом доступе, я написал на форум Juniper, и в тот же день техподдержка прислала мне искомую прошивку — абсолютно бесплатно. Мануал по обновлению прошивки есть тут, он довольно тривиальный.
Ладно, хватит лирики. Ниже привожу пример настройки SRX-MP-1VDSL2-A на маршрутизаторе SRX220H для провайдера Vodafone. В принципе, это будет работать для любого провайдера, использующего PPP через VDSL2 Annex B, только учетные данные нужно будет подставить свои. Поехали:
1. Проверяем версию прошивки VDSL модема:
vlad@fra> show system firmware
Part Type Tag Current Available Status
version version
FPC 2
PIC 0 VDSLBCM 10 2.16.0 OK
Routing Engine 0 RE BIOS 0 2.8 2.8 OK
Routing Engine 0 RE BIOS Backup 1 2.8 2.8 OK
2. Настраиваем интерфейс VDSL. Тут все предельно просто. Номер Vlan, использующийся в Германии подавляющим большинством провайдеров — 7:
pt-2/0/0 {
vlan-tagging;
vdsl-options {
vdsl-profile auto;
}
unit 0 {
encapsulation ppp-over-ether;
vlan-id 7;
}
}
Важно: не указываем VDSL профиль, оставляем auto! Если его указать явно, например 17a для скорости 100 МБит, модем встанет в Annex A, и синхронизация с DSLAM не пройдет.
3. Настраиваем PPPoE интерфейс:
pp0 {
unit 0 {
ppp-options {
chap {
default-chap-secret "$SuperSecretPassword"; ## SECRET-DATA
local-name vodafone-vdsl.komplett/ab12345678;
passive;
}
}
pppoe-options {
underlying-interface pt-2/0/0.0;
idle-timeout 0;
auto-reconnect 5;
client;
}
family inet {
mtu 1400;
negotiate-address;
}
}
}
Здесь тоже есть свои нюансы. Для каждого провайдера они разные, но конкретно у Vodafone — в бумаге с учетными данными, которую вам выдают при подключении, логин для PPPoE указан в виде ab12345678. Этого достаточно для местных «ширпотребных» роутеров, потому что при их настройке обязательно выбирается провайдер, и в зависимости от него роутер сам формирует конфигурацию. Но при полностью ручной настройке на нестандартном оборудовании, как в нашем случае, правильная строка логина будет такой: «vodafone-vdsl.komplett/ab12345678».
4. На этом все. Прописываем security zones, делаем commit и проверяем:
vlad@fra> show interfaces pt-2/0/0 media
Physical interface: pt-2/0/0, Enabled, Physical link is Up
Interface index: 148, SNMP ifIndex: 533
Type: PTM, Link-level type: Ethernet, MTU: 1518, VDSL mode, Speed: VDSL2
Device flags : Present Running
CoS queues : 8 supported, 8 maximum usable queues
Current address: 48:a0:52:b9:62:51
Last flapped : 2018-02-23 00:36:23 CET (17:11:57 ago)
Input rate : 0 bps (0 pps)
Output rate : 376 bps (0 pps)
VDSL alarms : None
VDSL defects : None
VDSL status:
Modem status : Showtime (Profile-17a)
VDSL profile : Auto Annex B
Last fail code: None
Subfunction : 0x00
Seconds in showtime : 61918
vlad@fra> show pppoe interfaces
pp0.0 Index 95
State: Session up, Session ID: 111,
Service name: None,
Session AC name: BGEJ00, Configured AC name: None,
Remote MAC address: a0:4d:2c:54:92:d6,
Session uptime: 17:12:02 ago,
Auto-reconnect timeout: 5 seconds, Idle timeout: Never,
Underlying interface: pt-2/0/0.0 Index 94
5. Профит. Теперь у нас есть прямое подключение маршрутизатора к провайдеру, с внешним IP на интерфейсе, без всяких промежуточных устройств и дополнительных NAT. Juniper при этом держит коннект гораздо более устойчиво, чем Fritz!Box — у того раз в два-три дня стабильно бывали срывы синхронизации, а после установки SRX220 таких проблем больше не наблюдается.
P.S. Alarm горит потому, что я поменял схему включения кулеров и запитал их через отдельный контроллер для снижения шума. В JunOS есть триггер по низким оборотам кулеров, он, собственно, и срабатывает. Температура при этом остается в пределах нормы.
P.P.S. Совятник на маршрутизаторе — творчество моей сестры. У нас в квартире вообще много сов :)
Комментарии (13)
Magister7
26.02.2018 21:53Хм… т.е. с скоростью аплинка всё печально? Или там какие-то новые модификации xDSL?
Vengant Автор
26.02.2018 23:01Downlink 100, uplink 40.
Magister7
26.02.2018 23:06Хм, вполне даже неплохо, я-то думал что xDSL это то что Укртелеком умеет (24/3,5) и не больше…
Vengant Автор
27.02.2018 01:14Это зависит от того, что подразумевается под буквой x :) Ну, и от качества линии, конечно же.
В России у меня был резервный канал — ADSL по телефонной линии, дай Бог памяти, 4 мбит на 500 кбит. Линия была древняя, еще советской прокладки, и большей скорости просто не тянула.
farcaller
26.02.2018 23:28С DOCSIS так скорее всего не пройдет? ЕМНИП там очень много завязано на специфические профили приемной аппаратуры?
Vengant Автор
27.02.2018 00:51Ну, почему же нет. У Juniper есть DOCSIS модуль под SRX серию. Стоит, правда, каких-то совсем уж жутких денег, но временами на ebay встречается. У Cisco, кажется, тоже есть hwic под DOCSIS.
Lankme
27.02.2018 12:14Ну вот зачем же вы так? Чем вам не угодил фрицбокс? Давайте по пунтам:
1. Поддержка IPSEC. Да это не опенвпн, но зато работает на любом сотовом телефоне
2. Вам IP телефонию? Так посмею предположить, что ваш немецкий стационарный номер уже не аналоговый, а обычный VOIP. У меня вполне нормально работали мультифон и задарма на EasyBox 803 и любом фрицбоксе.
3. Я вижу у вас на картике гигасет 620. Так вот именно его я долгое время к фрицу в качестве кликнта по первости через аналоговую линию подключал, а потом и по voip.
4. Ну про там всякие вкусности вроде фрицовых приложений для андроида, UPNP, зачатков NAS вы наверно всё же знаете?
5. Ну а если уж вам хочется всё сразу и чтобы рекламу резать и прямо чтоб по взрослому с косолью скриптами и всё-всё-всё так посмотрите в сторону O2 6321 за 10 евро на ибее. Поставте ЛЕДЕ ( wiki.openwrt.org/toh/arcadyan/vgv7510kw22 ) и радуйтесь свободе. там двухядерник процессор, 64 Мб оперативки и нормальный линукс с поддержкой xVDSL из каропки. Работает очень стабильно, уже год как
Да и зачем вам такая огромная шумелка дома?Vengant Автор
27.02.2018 12:291. У меня из дома растет куча туннелей — на работу, в разные другие места. Большинство таки IPSec, но с RSA авторизацией — фрицбокс ее, емнип, не поддерживает. Да плюс на других концах туннелей зоопарк — местами циски, местами linux/freebsd, местами микротик. Приходится временами иметь отдельный конфиг под конкретный туннель.
2. VoIP, да. Но вы недооцениваете мою упоротость — у меня аж целый asterisk тут поднят на Raspberry Pi 3, чтобы иметь возможность маршрутизации звонков в/из России в комбинации с немецкими SIP линиями от Vodafone, жестко «привязанными» к этому конкретному каналу :)
3. Gigaset цепляется за локальный Asterisk. Я конечно знаю что его трубки можно и на FB регистрировать, но Gigaset у меня уже давно был, привез его еще из России.
4. В курсе, но этим всем мы не пользуемся.
5. Вот про этот роутер не знал. Но по прошлому опыту общения с *wrt — предпочитаю все же готовые «тяжелые» решения, а не пилить костыли для всех моих нужд под linux. Работать оно, конечно, будет, но… Это дело вкуса :)
А вообще, Juniper'ы в качестве домашних роутеров я использую уже года три и полностью ими доволен. Хотя это и выглядит странновато, да.vertex4
27.02.2018 12:51srx210 значительно тише. Если достаточно 2 гигабитных портов
# set chassis alarm services hw-down ignore
уберёт ошибку?Vengant Автор
27.02.2018 12:52SRX210 на тот момент стоил не в пример дороже и был без PoE. Да и гигабитных портов мне надо минимум три :)
Поставить игнор аларма попробую, спасибо за совет.
Lankme
28.02.2018 01:28Не знаю как вам, а у меня нет желания заводить кучу железок под разные нужды, да и жрут они все. К тому же у немцев научился разделять дом и работу, плюс параноя по поводу туннелей из дома (на свой то ноут заразе сложно пролезть, да вот семья может принести заразу)
А по поводу Lede/Openwrt — это вы зря. Последние пару лет релизы очень стабильные, опять для очень многих вещей есть удобный гуй. Особенно радует SQM лимитирование для голосовых и видео звонков (при любой загрузке канала не увеличивается задержка). Консоль нужна, только если уж что-то очень специальное настравиать, например очень особые правила для того-же астериска. Большим плюсом является регулярное обновление программ и… например прошивки модема для лучшей поддержки VectoringDSL. Полгода назад например запилили поддержку 802.11r в гуе
Вообще советую побывать на их саммитах: пару лет назад был саммит в Берлине, в прошлом году в Праге
А костыли, так они и здесь у вас костыли. Вы не подумайте что мне хочется вас переубедить, просто для меня очень необычно видеть как люди используют такое дорогое и прожорливое оборудование для таких простых вещей.
Хотя у всех запросы разные: мне хватает перепошитого одного «недороутера» для нормальной приоритизации трафика, астериска, впн, вайфая и прочх мелочей вроде адблока, различной статистики, пары самопальных скриптов и ssh сервера на случай ядерной войны… а вам нет
Gutt
01.03.2018 13:10Слушайте, они же совсем дохлые для туннелей, эти Фрицбоксы, даже пытаться не стал (https://blog.webernetz.net/fritzbox-vpn-speedtests/). Похоже, в них хардверную поддержку AES/3DES забыли добавить. Я в итоге даже от малинки отказался в качестве туннеледержалки, перешёл на старый нетбук на Атоме. Печально, когда твой туннель в Россию не разгоняется больше 20 Мбит/с, и всё из-за того, что процессор на роутере не тянет. А вот у Атома семилетней выдержки такой проблемы нет, он легко выжимает полную скорость канала одним своим ядром, как выжмет и SRX220H (судя по форумам, он умеет около 75 Мбит/с 3DES).
TriLka
Круто.