VDSL2 – VLAN-Tags verschiedener Internet-Provider (Update)

15 Comments

Damit man bei der Einrichtung von VDSL2 via PPPoE noch mehr Spaß haben kann, verwenden die Provider unterschiedliche VLAN-Tags.

Zuerst veröffentlicht am 02. Jan. 2017

Ok, eigentlich liegt das, vereinfacht gesagt, an einer gemeinsamen Nutzung der VDSL-Infrastruktur in Verbindung mit einem getrennten Routing der jeweiligen Provider.

Wenn also beim Einrichten der VDSL-Leitung mal wieder der folgende Fall eintritt:

  • DSL-Lampe leuchtet (=Synchronisierung erfolgreich)
  • PPPoE gibt keine IP und es gibt in etwa Debug-Log ähnlich dem unteren, dann könnte es an einem falschen VLAN-Tag liegen.
2017-01-02 13:14:41 pppoe restarting: link is up Debug
2017-01-02 13:14:41 pppoe Launched PPPd/PPPoE with pid: 16971 Debug
2017-01-02 13:14:41 pppoe restarting: running PPPoE client Debug
2017-01-02 13:14:41 pppoe Entering running state Debug
2017-01-02 13:15:16 pppd Timeout waiting for PADO packets Debug
2017-01-02 13:15:16 pppd Exit. Debug
2017-01-02 13:15:17 pppoe [eth4]: Sending event: 0x00400002 (IF eth4 ADDR=UNSET) Debug
2017-01-02 13:15:17 pppoe [eth4] Event 4194306 sent OK Debug
2017-01-02 13:15:17 pppoe [eth4]: Sending event: 0x00100002 (IF eth4 STATE=DOWN) Debug
2017-01-02 13:15:17 pppoe [eth4] Event 1048578 sent OK Debug
2017-01-02 13:15:17 pppoe PPPd exited with exit code: 10 Debug

Bei einer Recherche im Netz habe ich folgende Werte gefunden:

  • T-Online = 7  (IP-TV = 8)
  • 1&1 = 7 oder 8 (je nach Anbindung)
  • Entega (HSE Medianet) = 7
  • DNS.NET = 37
  • EWEtel = 2011
  • M-Net = 40
  • NetCologne = 10  (VoIP = 20)
  • Willy Tel = 2511
  • ARCOR = 132  (VoIP = 232)
  • O2 / Alice = 11
  • Vodafone = 7 (bei Telekom-Leitungen) oder 132 (bei Vodafone-Leitungen)

Und mit dem richtigen VLAN-Tag klappts dann auch mit dem Nachbarn PPPoE.

Ich habe diese Liste nicht verifiziert, lediglich Telekom und DNS.NET kann ich bestätigen.

Diese Liste erhebt keinen Anspruch auf Vollständigkeit, Korrekturen und Ergänzungen bitte gerne als Kommentar hinterlassen.

 

Update: Artikel bei WatchGuard mit VLAN-IDs in verschiedenen Europäischen Ländern

Region VLAN ID Service Providers
Belgium
 10 Belgacom
Denmark 101 TDC and other ISPs that use TDC lines for VDSL
Denmark 33 Fullrate  VDSL on own equipment
Finland 3750 Kaisanet
Finland 835 TeliaSonera
France 835 Orange
Germany 7 Deutsche Telekom and most other providers
Italy
 835 Telecom Italia
The Netherlands
 6 XS4ALL, KPN
The Netherlands
 34 Telfort
Sweden 835 TeliaSonera
United Kingdom
 101 BT Infinity, others

15 Kommentare zu “VDSL2 – VLAN-Tags verschiedener Internet-Provider (Update)”

  1. Daniel Böggering

    Hallo Herr Maier,

    kann man den VLAN-Tag eigentlich auch im external PPOE Interface an der Watchguard einstellen?
    Aktuell macht das noch VDSL- Modem.

    MfG
    Daniel

    Reply »
    1. Werner Maier Post Author

      Ja das geht. Dazu muß das Modem die VLAN-Tags transparend durchlassen. Man konfiguriert ein VLAN mit der passenden ID als Typ external, stellt das Interface zum Modem auf den Typ VLAN, und konfiguriert das externe VLAN als tagged für dieses VLAN Interface.

      Reply »
  4. Frank Mucha

    … und was mache ich, wenn ich zwei Glasfaseranschlüsse der Telekom (jeweils VLAN 7) in einer Box konfigurieren möchte ? Kann ich das gleiche Tag bei 2 Anschlüssen vergeben ?

    Reply »
  5. Werner Maier Post Author

    Hallo Herr Mucha,

    ich hatte diesen Fall noch nicht. Aber Prinzipiell sollte es gehen. Sie können ein VLAN auf mehrere Interfaces binden; diese müssten dann Firewallseitig quasi gebridged sein. Daraus würde folgen, dass man dann aber keine Kontrolle mehr darüber hat, welches Modem gerade mit den entsprechenden PPPoE-Credentials angesprochen wird.

    Eine Alternative wäre es, bei einem Anschluss einen Switch dazwischen zu hängen – mit einer Portgruppe, und anstelle auf der Firewall dann erst auf dem Weg vom Switch zum Modem zu taggen.

    Reply »
    1. Jens Schröder

      Hallo Herr Maier,

      wir haben den gleichen Fall, das wir zwei Telekom LWL mit VLAN 7 an der Watchguard anschließen wollen/müssen. Meines Achtens ist es nicht Sinn der Sache noch ein zusätzliches Gerät vor der Watchguard zu verbauen, sei es eine Switch oder ein zusätzlicher Router z.B. Fritzbox. Ist seitens Watchguard etwas geplant, das es in Zukunft funktioniert? Ich denke, das diese Konstellation des Öfteren vorkommen wird. Kann die Telekom ggf. das VLAN 7 tagged bereits auf dem Modem deklarieren, sodass in der Watchguard nur noch die PPOE Daten eingetragen werden müssen und VLAN ID 7 ?

      Reply »
  6. Jens Schröder

    Hallo Herr Maier,

    wir haben den gleichen Fall, das wir zwei Telekom LWL mit VLAN 7 an der Watchguard anschließen wollen/müssen. Meines Achtens ist es nicht Sinn der Sache noch ein zusätzliches Gerät vor der Watchguard zu verbauen, sei es eine Switch oder ein zusätzlicher Router z.B. Fritzbox. Ist seitens Watchguard etwas geplant, das es in Zukunft funktioniert? Ich denke, das diese Konstellation des Öfteren vorkommen wird. Kann die Telekom ggf. das VLAN 7 tagged bereits auf dem Modem deklarieren, sodass in der Watchguard nur noch die PPOE Daten eingetragen werden müssen und VLAN ID 7 ?

    Reply »
    1. Werner Maier Post Author

      ich weiß nicht, ob das mit den Modems der Telekom geht. Wir verwenden an dieser Stelle gerne die Modems von Draytek, die können PPPoE incl. VLAN-Tagging – d.h. dort taggd/untaggt das Modem das PPPoE der Telekom und reicht es “untagged” an die Firewall weiter.
      Und ein Modem braucht man ja immer.
      Bei Telekom uind Glas ist mir noch keine schöne Lösung bekannt, da das Glasmodem der Telekom kein Tagging kann und daher die Pakete bereits getagtt sein müssen.

      Reply »
  7. Tom

    Hallo Herr Maier,

    wir haben vor ein paar Tagen einen Glasfaseranschluss der Telekom erhalten. Aktuell nutzen wir noch das Glasfaser der Envia. Das Glasfaser-Modem 2 der Telekom und die Digitalisierungsbox Smart 2 sind angeschlossen und der Internetzugang darüber funktioniert.
    Nun ist es aber so, dass wir unsere Watchguard T40 direkt nach dem Glasfaseranschluss der Envia hängen haben. Das soll auch mit dem Anschluss der Telekom so sein. Dafür habe ich einen external VLAN erstellt, ID 7 und ein Interface Typ VLAN. Das Tagging ist aktiviert. Die PPPOE-Zugangsdaten sind beim VLAN hinterlegt.

    Leider bekomme ich keine Internetverbindung, wenn ich das Interface mit dem Glasfaser-Modem der Telekom verbinde.

    Was mich wundert, das Produkt der Telekom nennt sich Company Connect. Die Zugangsdaten haben wir erhalten, aber es war kein Mitbenutzer aufgeführt. Üblicherweise steht dieser bei den Zugangsdaten dabei (so kenne ich das jedenfalls). In der Digibox hatte ich einfach 0001 mit eingegeben. Für Fremdrouter soll man Anschlusskennung+Zugangsnummer+Mitbenutzer@t-online.de eingeben, wenn die Zugangsnummer 12 Stellen hat, sonst Anschlusskennung+Zugangsnummer+#Mitbenutzer@t-online.de.

    Ich habe es aber auch mit und ohne # versucht, den Mitbenutzer komplett weggelassen, das Envia Interface abgestöpselt. Es tut sich einfach nichts.

    Wo könnte hier mein Fehler liegen? Übersehe ich etwas? Eigentlich sollte das Ganze doch ohne diese Digitalisierungsbox der Telekom funktionieren? Ich bin echt am verzweifeln und die Zeit der Abschaltung der Envia rückt immer näher.

    Die Telekom-Hotline war zwar bemüht, aber da es sich hier um Fremdhardware handelt, können/wollen die nicht weiterhelfen.

    Sie schrieben “Wir verwenden an dieser Stelle gerne die Modems von Draytek, die können PPPoE incl. VLAN-Tagging – d.h. dort taggd/untaggt das Modem das PPPoE der Telekom und reicht es “untagged” an die Firewall weiter.” Wenn mein Vorhaben eventuell wegen des Telekom-Modems scheitert, welches Draytec-Modem empfehlen Sie zur Verwendung?

    Vielen Dank.

    Reply »
    1. Werner Maier Post Author

      Hallo,

      die Empfehlung der Draytek-Modems bezieht sich auf VDSL(2), für Glas haben wir bisher keine Empfehlung.
      ich selbst habe einen Glas-Anschluss der Telekom zuhause, bei der Umstellung von VDSL nach GLAS ging das ganze problemfrei, mit der gleichen Zugangskennung wie vorher bei VDSL. Ich habe nur das Telekom-Modem im Einsatz und dahinter ein Ethernet-Kabel zum Switch und von dort geht es auf den WatchGuard Cluster.
      Das Tagging auf VLAN-ID 7 macht bei mir der Switch.

      Mögliche Tipps zur Fehlersuche:
      – das Telekom-Modem kann i.d.R. auch über IP (allerdings untagged) angesprochen werden, dort kann man dann sehen, ob es sich synchronisiert hat. viel mehr ist da nicht machbar.
      – Ich meine mich zu erinnern, dass bei der Telekom eine Einwahl immer nur grob alle 60sek möglich war, und vorher weitere Einwahlen geblockt wurden. Haben sie nach dem Umstecken vor der neuen Authentifizierung lange genug gewartet?
      – Policy Manger => Setup => Logginng => unten rechts [diagnostic log level] => networking => pppoe => auf debug stellen, und damm im Firebox System Manager im Traffic Log unter Debug nachsehen, vielleicht ist das etwas gesprächiger.

      und ja, meine Anschlussnummer ist immer noch der lange string mit kennung + zugang + mitbenutzer @t-online.de
      und der Firebox-Cluster macht die PPPoE-Einwahl selbst.

      HTH,
      Werner

      Reply »
      1. Tom

        Hallo Herr Maier,

        herzlichen Dank für die ausführliche Antwort. Ich versuche das mal auseinanderzunehmen.

        Sie nutzen eine Watchguard für die PPPOE Einwahl? Das Modem haben Sie ein einem Switch, bei dem Sie einen Port als VLAN mit ID 7 und Tagging definiert haben.
        An der Watchguard haben Sie einen Port als external konfiguriert mit PPPOE als Einwahl und ebenfalls an den Switch angeschlossen? Habe ich das so weit richtig verstanden? Einen entsprechenden Switch haben wir hier auch, bei dem man das umsetzen könnte.

        Zwischen meinen Einwahlversuchen habe ich meiner Meinung nach genügend Zeit verstreichen lassen. Das Logging werde ich entsprechend aktivieren, eventuell hilft mir das bei der Fehlersuche.

        Angenommen, ich schaffe es bedauerlicherweise doch nicht, die Einwahl so zu bewerkstelligen, dann müsste ich die Digitalisierungsbox vor die Watchguard hängen.

        Hier habe ich diverse Anleitungen gelesen, wie man mit dieser Box einen Exposed Host einrichtet. Leider gehen diese Anleitungen immer von anderen Voraussetzungen aus. Wissen Sie eventuell auch, wie man die Watchguard konfigurieren müsste, damit diese Szenario funktioniert?

        Digitalsierungsbox stellt nur die Internetverbindung her, es sollen keine Dienste auf der Box genutzt werden. Kein W-LAN, keine Telefonie usw.. Der komplette Traffic soll an die Watchguard gleitet werden. Muss ich dann dazu ein external Interface einrichten mit einer eigenen IP-V4? Und gebe dieses Interface als exposed Host in der Digitalisierungsbox an?

        Alles ziemlich verwirrend für mich. Es soll ja nicht nur rein der Zugriff ins Internet funktionieren, da ist ja auch noch der Netphone-Server und VPN Zugriff, was weiterhin funktionieren muss.

        Vielen Dank für Ihre Unterstützung.
        Tom

        Reply »
        1. Tom

          P.S. Sollte mir das Ganze doch nicht gelingen, was ich nicht hoffe, bieten Sie auch einen kostenpflichtigen Support per Fernwartung, den wir in Anspruch nehmen könnten?

          Reply »
  8. Werner Maier Post Author

    Hallo Tom,

    ja, die WatchGuard macht die PPPoE-Einwahl, untagged zum Switch, der Switch tagged VLAN7 auf dem Port zum Fiber-Modem.

    bzgl. Digitalisierungsbox mit Fiber und Exposed Host muss ich leider passen, dass hatte ich so noch nicht in der Hand.
    vielleicht einer meiner Kollegen. Ich würde zunächst mal probieren, die WatchGuard extern auf “untagged” und DHCP zu stellen,
    dann sollte Sie hinter der Digitalisierungsbox funktionieren und man sollte ins internet kommen (und anhand der IP-Adresse auch
    sehen, wie man auf die Digitalisierungsbox kommt.

    Bei der Umstellung von VDSL2 nach Fiber musste ich auf einer Telekom-Website vorher nochmal bestätigen, dass das neue Modem jetzt da ist (QR-Code auf dem Modem, Foto, Link…) dadurch wurde das Modem scheinbar erstmal aktiviert – erst danach konnte ich mich dort mit pppoe verbinden.

    Ein Support-Ticket können Sie unter http://www.boc.de/support aufmachen, dort stehen auch die Konditionen.

    Schönes Wochenende,
    Werner.

    Reply »
    1. Tom

      Hallo Herr Maier,

      hier ein kurzes Update. Es funktioniert nun die Einwahl mittels PPPOE. Der Fehler lag klar auf meiner Seite. Ich hatte die Einrichtung bereits vorgenommen, als der Anschluss noch nicht geschalten war.
      Als der Telekomtechniker dann den Glasfaseranschluss, inkl. Modem installierte, hat dieser den Auftragsstatus nicht korrekt abgeschlossen. Somit „hing“ der Auftrag noch im System der Telekom. Bevor ich das rausgefunden hatte, hatte ich bereits etliche Varianten und Konfigurationen durchgespielt.
      Als dann die Telekom Tage später die „Störung“ beseitigt hatte, hätte ich eigentlich nur auf meine erste Konfiguration zurückgreifen müssen. Stattdessen habe ich mich dann zum Testen mit der Digibox abgemüht, welche ja die Internetverbindung aufbauen konnte. Auf die Idee vielleicht doch mal die erste Konfiguration zu verwenden, kam ich erst heute.

      Letztendlich sieht es jetzt so aus: Einen Port der Watchguard als external, Typ VLAN eingerichtet. Ein VLAN erstellt, PPPOE Daten hinterlegt, VLAN ID 7, Tagging aktiviert. Glasfaser-Modem 2 an diesen external Port geklemmt, Firewallregeln eingerichtet. Läuft.

      Ich bedanke mich herzlich für Ihre Geduld und Hilfe. Erstklassiger Service!
      Tom

      Reply »

Leave a Reply

Your email address will not be published. Required fields are marked *