Je idee van xxsense is prima. Zie aangehaalde videos.

De Fritzbox is niet erg open, het is een consumenten router. Eigenlijk wil je een modem in bridge mode (zonder routing en NAT)zodat je  PPPOE op de firewall kunt afhandelen: dan heb je alle controle over je ip-verkeer. Ik neem aan dat je een enkele lijn hebt (geen bonding)? In dat geval zou je kunnen kijken naar  Draytek  vigor (vroeger was de Vigor 130 de golden standaard). Het lijkt dat de Vigor 167 de vervanger is. Ook andere Vigor modellen kunnen in bridge mode (kijk bijv voor een Vigor 2864 op marktplaats of zo

Ik zelf gebruik op mijn DSL (andere provider, maar dat maakt niet uit) een  modem module in een sfp(+) poort op de switch: een proscend 180T

DSL is voor mij al even geleden. Maar ik had succesvol een pfsense netwerk aangemaakt met 2 ADSL 2+ modems en 2 Ziggo modems in bridgemode op een pfsense router met 14 interne netwerken en dat werkte perfect eigenlijk. 100% uptime in 4 jaar Je kan natuurlijk ook een VDSL netwerkkaart gebruiken.

@ThomasDral & @Jason 

Zelf draai ik al geruime tijd pfsense op een dual core uATX bordje met een 4 port Intel NIC, dus op zich is het goed te doen.

Ik heb glasvezel, waarbij vanuit de media converter een UTP loopt naar de NIC.

Met DSL heb je i.d.d. nog een DSL conversie nodig, maar daar wil je de Fritz voor in gaan zetten. Op zich geen probleem om pfsense achter een bestaand modem te plaatsen.

Een recente intro over pfsense van NetworkChuck is denk ik wel een opstapje om te beginnen.

Een andere is Laurence Systems YT, ook veel basic maar ook soms wat ‘deep dive’ pfsense

Bovenstaande YT is ongeveer mijn setup op dit moment.

Ik maak al langer gebruik van een FritzBox7490 met het T-Mobile profiel wat echt super werkt en nooit problemen geeft maar nu wordt het toch tijd om er een firewall aan te gaan koppelen en het e.e.a. dicht te gaan zetten.

Ik zit zelf te denken om een firewall op basis van OPNSense of PFSense te gaan draaien maar voordat ik zo iets ga doen zou ik graag willen weten of er meer mensen hier op deze manier hun netwerk beveiligd hebben en wat de ervaringen en do en don’ts zijn?

Kan niet zonder de Fritzbox denk ik want heb DSL dus je moet iets hebben wat het omzet dan lijkt me?

Dat gaat zeker werken, blijkt uit mijn onderzoek en resultaat tot dusver.

Of optie 1a of 1b werken weet ik niet, maar optie 1a wordt volgens de datasheet gemanaged m.b.v een centraal management systeem: “The Nokia 7368 ISAM ONT G-010G-Q is designed to take advantage of the Nokia award-winning management platforms, including the Nokia 5520 Access Management System (AMS) platform.”   Hoe wil je daarop je software upgrades managen? Je krijgt daar waarschijnlijk niet eens de toegang toe. Deze optie biedt (net als de Huawei) geen POE

Optie 1b lijkt vooral bedoeld voor gebruik in combinatie met een Ubiquiti OLT (zie https://github.com/Unifi-Tools/UFiber.Configurator) dat wekt niet veel vertrouwen. Verder support die alleen passive 24V POE, dus geen 802.af of at Dat betekent dat je die alleen kunt voeden met ubiquiti  apparatuur die ook 24v passive support of bijv Mikrotik (zoals de CRS328).

Mocht je dus 802af/at willen, koop dan een 48V → 12v poe adapter bij Aliexpress of zo (bijv https://www.aliexpress.com/item/1005001309240177.html?spm=a2g0o.order_list.0.0.21ef1802K2XFB0). Dat zou overigens ook met de Huawei moeten werken.

Optie 2a is nog erger dan optie 1b volgens dezelfde link: ALLEEN in combinatie met een UBI OLT, dat is zeker een no-no

Optie 2b lijkt een mogelijke optie (zie ook hieronder), maar ik denk niet dat iemand die al heeft geprobeerd. Maar ook hier: software upgrades lijken niet mogelijk (maar ik geloof niet dat er SFP modules zijn waar je upgrades kunt doen.

Voor vraag2: het lijkt erop dat je T-mobile alleen je serienummer van de ONU hoeft door te geven. Maar bij sommige (veel?) ONUs (zoals je fs.com optie 2.b) kun je het serienummer wijzigen (net zoals de Fritzbox dat kan met bijbehorende GPON SFP) zodat je T-mobile niet nodig hebt en altijd makkelijk terug kan naar de Huawei.

Je optie van een USB-C/Thunderbolt adapter lijkt me wel erg duur. Een simpele switch met SFP (bijv Zyxel Gs1900-10hp maar er zijn er wel meer, dit is wat ik toevallig in de meterkast heb staan) is een stuk goedkoper en meer flexibel.

Afhankelijk van hoe je 10G netwerk is uitgevoerd (koper/glas?) zou je ook een sfp in een kleine 10G switch (Mikrotik CRS305 ?) kunnen stoppen en met 10G naar je backbone gaan.

Je veilgheidsoverwegingen gelden veel meer voor de router/firewall (die je terecht al wilt vervangen door Opnsense) dan voor de ONU. Het grootste risico is de mogelijkheid dat T-mobile in je router (de Zyxel) kan inloggen en daarvandaan je hele netwerk in kan. Met je Opnsense ben je dat risico kwijt  (tenzij je daar VLAN100 configureert).

Redenen waarom de T-Mobile GPON NTU van Huawei niet in mijn huis is gewenst :

Architectuurprincipes

a) apparaten in mijn huis en netwerk staan onder mijn controle
b) apparaten in mijn huis en netwerk worden niet op afstand beheerd door een 3e partij
c) apparaten in mijn huis voldoen aan geldende "Best-Practice" adviezen
d) veiligheidsadviezen, van o.a. MIVD/AIVD/Overheid/CISA, worden meegewogen e) software is onderhevig aan update-managent en is van een actuele versie (n-1)
f) netwerkcomponenten zijn onderhevig aan wijzigingsbeheer
g) apparatuur moet voldoen aan geldende nationale wet- en regelgeving
h) apparatuur moet actuele technieken ondersteunen en passen binnen het huidige netwerk ontwerp
i) ecologische footprint, apparatuur moet maatregelen voor stroombesparing bevatten

Toetsing

a) Niet-OK, Huawei GPON, bevat software onder beheer van T-Mobile
b) Niet-OK, Huawei GPON configuratie kan door T-Mobile op afstand worden aangepast zonder tussenkomst of informatie aan de klant.
c) Niet-OK, best-practice netwerk ontwerp bepaald het Netwerk-Terminatie (NTU) punt in huis, daarop moet beheer en beveiliging van het internetverkeer te kunnen worden toegepast. Bij gebleken misbruik moet de eigenaar van het pand in staat zijn in te grijpen.
d) Niet-OK, geldende veiligheid adviezen worden niet afdoende nageleefd op het moment dat er aan de klant actieve Huawei apparatuur als voordeur (NTU) oplossing wordt geleverd.
e) Niet-OK, software versie van het Huawei GPON kan niet worden ge-update door de klant.
f) Niet-OK, wijzigingen kunnen zonder de klant te informeren worden toegepast
g) Niet-OK, wetgeving van de ACM bepaalt dat een passieve verbinding geleverd behoort te worden. Bij het gebruik van een actief component, Huawei GPON met IP adres, wordt niet voldaan aan deze bepaling.
h) Niet-OK, de Huawei GPON is ondertussen al in ruime mate verouderd (ontwerp en productie 2019).
i) Niet-OK, PoE wordt niet ondersteund, verbruik optimalisatie mogelijkheden zijn verder niet aanwezig, extra stopcontact en adapter is weer eens benodigd terwijl PoE zou kunnen volstaan.

Gegeven de bovenstaande argumenten ben ik voornemens het Huawei GPON apparaat te vervangen
door een eigen beheerd apparaat.

Huidige situatie :

Huawei GPON > OPNSense router/firewall > 10Gbit meerdere VLAN's

Beoogde oplossing :

Optie1)
Een eigen GPON kastje
Optie2)
Een eigen SPF+ in een USB-C Thunderbolt SPF+ adapter aan de firewall/router (OPNSense)

Mijn vragen :

Vraag 1)
Zullen de onderstaande opties, bij voorkeur bevestigd door T-Mobile, als GPON NTU vervanger naar behoren werken ?

Optie 1a) GPON bridge NTU, vergelijkbaar kastje als Huawei GPON NTU

KPN GPON van Nokia,
G-010G-Q GPON ONT indoor 1GE SC/APC
https://www.kpnwebshop.com/g-010g-q-gpon-ont-indoor-1ge-scapc2/2?origin=913

Optie 1b) GPON bridge NTU, vergelijkbaar kastje als Huawei GPON NTU

Ubiquiti GPON met PoE
UFiber Loco
https://store.ui.com/collections/operator-ufiber/products/ufiber-loco

Optie 2a) SFP+ modules, voor directe netwerkkoppeling :

Ubiquiti SFP+ Module GPON.
Geschikt voor plaatsing direct in een switch of router/firewall.
https://store.ui.com/collections/operator-ufiber/products/uf-instant

Optie 2b) SFP+ modules, voor directe netwerkkoppeling :

Universele GPON SFP+ module
https://www.fs.com/de-en/products/133619.html

Vraag 2)
Wat is de exacte procedure voor het vervangen van de NTU/GPON.
De algemene beschrijving is mij duidelijk, maar niet specifiek genoeg.
Waar kan ik mijn schriftelijke verzoek indienen voor het plannen van de gewenste wijziging.
Wanneer krijg ik er daarna bericht over, en wanneer voeren jullie de wijziging uit.
Welke informatie heeft T-Mobile van de klant nodig voor het vervangen van de GPON NTU.

dank je, dat is goed om te horen! Is het voldoende om het serienr aan te passen naar dat van de Huawei? Zoja dan wordt die SFP ONU wel erg aantrekkelijk omdat je dan T-mobile niet nodig hebt om in hun systeem de nieuwe ONU te registreren.

Binnenkort hoop ik een T-mobile glasverbinding (via open dutch fiber) te krijgen. Graag zou ik die direct op de SFP poort van mijn (zyxel) switch aansluiten. Nu zag ik bij fs.com een SFP ONU (https://www.fs.com/products/133619.html) waarvan de inloggegevens via ssh in te stellen zijn (zie Q&A on FS Box) . ALs ik daar het serienr van de Huawei ONT inzet, zou dat moeten werken toch?

Iets meer informatie over de vereisten van de ONU/ONT zou zoals hierboven aangegeven wel prettig zijn.

@mzuidwijk Is dit gelukt bij jou? Ik heb hetzelfde laten doen maar mijn module lijkt geen verbinding te kunnen krijgen. Ik heb het serienummer doorgegeven (UBNT…..) maar module lijkt het niet te doen.

Goedemiddag all, goed nieuws voor de users die thuis een Fritz gebruiken als eigen modem/router: er komt binnenkort een vernieuwd profiel aan waarmee er nieuwe firmware geïntroduceerd wordt en een aantal zaken verbeterd wordt. Binnenkort meer hierover!

@peter.krijgsman

We blijven zoeken binnen de Cisco community en kwam dit topic tegen wat min of meer ook jou probleem lijkt te zijn.

DHCP from ISP not working with NAT , wat wijst naar de ACL settings die eventueel in gebruik zijn bij je.

Access Control Lists (ACL) Explained