pfsense-logo

Freie Routerwahl – pfSense am VDSL-Anschluss

Veröffentlicht von

Der deutschlandweite Vormarsch von VDSL und IP-basierten Anschlüssen wirft leider auch Probleme auf, was die Verwendbarkeit von vorhandenen Routern und Firewalls betrifft. Gerade in Unternehmen ist mit den providerseitig zur Verfügung gestellten Geräten, wie dem Speedport der Telekom, nicht immer sonderlich viel anzufangen.

PfSense als Router und Firewall

Sobald NAT, VPN, eigene Serverdienste, Loadbalancer und eigene Firewalls am eigenen Anschluss betrieben werden sollen, kommt eigene bzw. speziellere Hardware zum Einsatz.

Der Hersteller PC Engines bietet für kleines Geld Embedded Hardware an, mit der sich kostengünstig unter Nutzung der FreeBSD-Firewall-Distribution pfSense der hohe Featureumfang einer professionellen Firewall- bzw Router-Appliance nachbauen lässt.

[amazon box=“B00NXUMI9A“]

Im Folgenden möchte ich auf die Konfiguration von pfSense an einem 50Mbit-VDSL-Anschluss der EWE eingehen. Ich selbst betreibe seit vielen Jahren ein gutes Dutzend von pfSense-Routern ohne damit jemals größere Probleme gehabt zu haben.

Am besagten Anschluss laufen zwei pfSense-Router auf älterer 19 Zoll-Dell-Serverhardware, die sich gegenseitig vertreten. Bisher stellten die beiden Systeme den Internetzugang per Allnet ADSL2-Modem an zwei klassischen ISDN-Anschlüssen mit DSL 16.000 zur Verfügung.

Nach dem Wechsel auf VDSL 50.000 musste also ein neues VDSL-Modem her, um die pfSense-Systeme weiterhin einsetzen zu können. Jedes Gerät, das bereits Routerfunktionen übernehmen würde und keinen Fallback in einen reinen Modembetrieb ermöglicht, wäre also ungeeignet. Meine Wahl fiel auf das beliebte ZyXEL VMG1312-B30A, weil die EWE dieses sogar vergünstigt zum Kauf anbot.

[amazon box=“B008VZNTEA“]

Im Internet finden sich sehr unterschiedliche Anweisungen zur Installation von VDSL-Anschlüssen und -Modems an einem IP-Anschluss mit eigener Hardware (pfSense), unter anderem auch einen in die Jahre gekommenen Praxistipp von heise. Hier wird beschrieben, dass das betreffende Interface für den VDSL-Zugang mit VLAN-Tags versehen werden muss. Den VLAN-Tag gibt der Provider entsprechend vor.

Auch in meinem Fall verwendet die EWE das VLAN 7 und das VLAN 2011 für VDSL, wie es in den Vertragsunterlagen angegeben ist. Es handelt sich außerdem um einen VDSL-Anschluss ohne zusätzliche Telefonie.

Konfiguration des ZyXEL VMG1312-B30A Modems

Prinzipiell ist das Modem ein vollwertiger Router, kann also auch ohne weitere Hardware an einem VDSL-Anschluss genutzt werden. Im Auslieferungszustand ist das Gerät auch so konfiguriert, weshalb der „bridged“ Betriebsmodus ausgewählt werden muss.

Im Modem wird die WAN-Schnittstelle für VDSL auf die beiden genannten VLAN-Tags konfiguriert. Gemäß der Angaben der EWE wird für das Protokoll 802.1p die Priorität bzw. das VLAN-Tag 7 vergeben und für 820.1q das VLAN-Tag 2011.

zyxel-vmg-wan
Konfiguration der WAN-Schnittstelle im ZyXEL-VDSL-Modem
zyxel-vmg-wan-interfaces
Konfigurierte WAN-Schnittstellen im ZyXEL-VDSL-Modem

Entgegen mancher kursierender Beschreibungen muss in der pfSense selbst keine VLAN-Konfiguration für das WAN-Interface mehr vorgenommen werden. Diese VLAN-Konfiguration erfolgt entweder direkt an dem ZyXEL-Modem im Bridge-Modus oder eben in der PFsense. Richtet man die VLANs also schon auf dieser Ebene ein, können die Einwahldaten des Providers direkt für eine PPPoE-Konfiguration in der pfSense genutzt werden, wie folgender Screenshot zeigt.

pfsense-pppoe-vdsl
PPPoE-Konfiguration in der PFSense

Schlussendlich wird die Verbindung über PPPoE am VDSL-Anschluss erfolreich aufgebaut. Sollten am Anschluss noch weitere Dienste wie Telefonie oder IPTV anliegen, kann die Konfiguration schon wieder anders aussehen.

pfsense-pppoe-vdsl-connected
Interfaces und Gateways im PFSense-Dashboard

In Kürze werde ich ein ähnliches Setup an einem Telekom All-IP-Anschluss testen, an welchem auch IP-Telefonie anliegt und an eine alte ISDN-Telefonanlage weitergeleitet werden muss.

Hierzu findet sich schon Input in den einschlägigen Foren, aber die Szenarien sind wie immer höchst individuell. Das grundlegende „Problem“ der fortlaufenden Umstellungen auf reine IP-Anschlüsse ist meistens die gewollte Weiterverwendung älterer ISDN-Telefonanlagen und -Geräte. Mitunter werden sogenannte ISDN-Adapter vom Provider angeboten, die jedoch verhältnismäßig teuer sind und durch bessere Router mit integriertem VoIP ersetzt werden können.

3 Kommentare

    1. Hallo Wolfgang,
      prinzipiell wäre das möglich, aber dann müsste es geeignete Hardware am Markt geben. Soweit ich weiß, gäbe es nur eine PCIe-Karte von Draytek, die als VDSL-Modem laufen könnte, aber verhältnismäßig teuer ist.
      Welche Gründe hast du denn dafür? Das Entkoppeln des Modems von der Firewall bzw. vom Router macht sie ja viel flexibler für verschiedene Anschlusstechnologien.

      1. Hallo Jan,

        ich hätte es einfach als praktischer empfunden, alles in einem zu haben, aber dein Argument macht Sinn.

        Danke für die Antwort!

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.