История об интернете в Германии и недокументированных возможностях Juniper SRX

    Всем привет!

    Пока идея второй части статьи о переезде в Германию понемногу обретает ясные очертания, я решил немного рассказать о том, как настраивал здесь домашний интернет под свои специфические айтишные нужды.

    Интернет в Германии — вещь в себе. Никакого Ethernet, и уж тем более PON, в квартиры здесь в 99% случаев не проводится. Оптика хотя бы до подвала — тоже редко встречающаяся роскошь. Рынок тут поделен между провайдерами, предлагающими интернет по разным xDSL технологиям, и операторами кабельного ТВ, раздающим интернет через DOCSIS. Линии, как правило, содержатся в хорошем состоянии, и скорость можно получить вполне сравнимую с «традиционными» способами подключения.

    Все это хорошо и вполне достаточно для большинства домашних пользователей, но как только вы хотите подключить свой собственный маршрутизатор — начинаются проблемы. Если вы при этом еще и используете IP-телефонию, VPN и тому подобные вещи, все становится совсем грустно. Что под DSL, что под DOCSIS выбор роутеров здесь крайне ограничен, а при подключении провайдеры выдают самые ширпотребные «мыльницы», многие из которых просто не умеют работать в режиме моста. То есть придется либо дополнительно покупать недешевый модем, либо ставить свой маршрутизатор за NAT, либо вообще отказаться от этой идеи. Промучившись некоторое время в попытках «подружить» свой Juniper SRX100 и провайдерский Fritz!Box 7590, я произвел некоторые изыскания и по очень удачной цене купил на eBay Juniper SRX220H, а к нему MPIM — модуль VDSL2 модема, SRX-MP-1VDSL2-A.


    А вот дальше начинаются хитрости.

    Как следует из описания, этот модуль поддерживает VDSL2 Annex A (то есть VDSL over POTS), в Германии же повсеместно используется VDSL2 Annex B (VDSL over ISDN). Модулей под Annex B для Juniper SRX в природе не существует, поддержка этого стандарта заявлена только для встроенных интерфейсов в Juniper SRX110. Более того, в технической документации Juniper четко и ясно написано, что активно используемый в Германии VDSL Vectoring (режим подавления взаимных помех в кабеле) не поддерживается для VDSL2 Annex B даже в SRX110. Тупик? Вовсе нет. Знакомый сетевик из Дюссельдорфа, имеющий чуть менее, чем дофига сертификатов по Juniper, объяснил мне, что чипы, на которых построены эти модули, сами по себе VDSL2-B поддерживают. Но, поскольку эти решения «затачивались» большей частью под рынок США, где повсеместно используется Annex A, то и тестирования их на европейских сетях с Annex B не проводили. Следуя же логике Juniper, «не протестировано» означает «не поддерживается».

    Еще одна особенность заключается в том, что VDSL Vectoring поддерживается только в последней прошивке модема, версии 2.16, мой же модуль пришёл с прошивкой версии 2.10. Не найдя прошивок в открытом доступе, я написал на форум Juniper, и в тот же день техподдержка прислала мне искомую прошивку — абсолютно бесплатно. Мануал по обновлению прошивки есть тут, он довольно тривиальный.

    Ладно, хватит лирики. Ниже привожу пример настройки SRX-MP-1VDSL2-A на маршрутизаторе SRX220H для провайдера Vodafone. В принципе, это будет работать для любого провайдера, использующего PPP через VDSL2 Annex B, только учетные данные нужно будет подставить свои. Поехали:

    1. Проверяем версию прошивки VDSL модема:

    vlad@fra> show system firmware
    Part Type Tag Current Available Status
    version version
    FPC 2
    PIC 0 VDSLBCM 10 2.16.0 OK
    Routing Engine 0 RE BIOS 0 2.8 2.8 OK
    Routing Engine 0 RE BIOS Backup 1 2.8 2.8 OK


    2. Настраиваем интерфейс VDSL. Тут все предельно просто. Номер Vlan, использующийся в Германии подавляющим большинством провайдеров — 7:

    pt-2/0/0 {
           vlan-tagging;
           vdsl-options {
               vdsl-profile auto;
           }
           unit 0 {
               encapsulation ppp-over-ether;
               vlan-id 7;
           }
    }

    Важно: не указываем VDSL профиль, оставляем auto! Если его указать явно, например 17a для скорости 100 МБит, модем встанет в Annex A, и синхронизация с DSLAM не пройдет.

    3. Настраиваем PPPoE интерфейс:

    pp0 {
            unit 0 {
                ppp-options {
                    chap {
                        default-chap-secret "$SuperSecretPassword"; ## SECRET-DATA
                        local-name vodafone-vdsl.komplett/ab12345678;
                        passive;
                    }
                }
                pppoe-options {
                    underlying-interface pt-2/0/0.0;
                    idle-timeout 0;
                    auto-reconnect 5;
                    client;
                }
                family inet {
                    mtu 1400;
                    negotiate-address;
                }
            }
    }

    Здесь тоже есть свои нюансы. Для каждого провайдера они разные, но конкретно у Vodafone — в бумаге с учетными данными, которую вам выдают при подключении, логин для PPPoE указан в виде ab12345678. Этого достаточно для местных «ширпотребных» роутеров, потому что при их настройке обязательно выбирается провайдер, и в зависимости от него роутер сам формирует конфигурацию. Но при полностью ручной настройке на нестандартном оборудовании, как в нашем случае, правильная строка логина будет такой: «vodafone-vdsl.komplett/ab12345678».

    4. На этом все. Прописываем security zones, делаем commit и проверяем:

    vlad@fra> show interfaces pt-2/0/0 media
    Physical interface: pt-2/0/0, Enabled, Physical link is Up
    Interface index: 148, SNMP ifIndex: 533
    Type: PTM, Link-level type: Ethernet, MTU: 1518, VDSL mode, Speed: VDSL2
    Device flags : Present Running
    CoS queues : 8 supported, 8 maximum usable queues
    Current address: 48:a0:52:b9:62:51
    Last flapped : 2018-02-23 00:36:23 CET (17:11:57 ago)
    Input rate : 0 bps (0 pps)
    Output rate : 376 bps (0 pps)
    VDSL alarms : None
    VDSL defects : None
    VDSL status:
    Modem status : Showtime (Profile-17a)
    VDSL profile : Auto Annex B
    Last fail code: None
    Subfunction : 0x00
    Seconds in showtime : 61918

    vlad@fra> show pppoe interfaces
    pp0.0 Index 95
    State: Session up, Session ID: 111,
    Service name: None,
    Session AC name: BGEJ00, Configured AC name: None,
    Remote MAC address: a0:4d:2c:54:92:d6,
    Session uptime: 17:12:02 ago,
    Auto-reconnect timeout: 5 seconds, Idle timeout: Never,
    Underlying interface: pt-2/0/0.0 Index 94


    5. Профит. Теперь у нас есть прямое подключение маршрутизатора к провайдеру, с внешним IP на интерфейсе, без всяких промежуточных устройств и дополнительных NAT. Juniper при этом держит коннект гораздо более устойчиво, чем Fritz!Box — у того раз в два-три дня стабильно бывали срывы синхронизации, а после установки SRX220 таких проблем больше не наблюдается.


    P.S. Alarm горит потому, что я поменял схему включения кулеров и запитал их через отдельный контроллер для снижения шума. В JunOS есть триггер по низким оборотам кулеров, он, собственно, и срабатывает. Температура при этом остается в пределах нормы.

    P.P.S. Совятник на маршрутизаторе — творчество моей сестры. У нас в квартире вообще много сов :)

    Similar posts

    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 32

    • UFO just landed and posted this here
        0
        Хм… т.е. с скоростью аплинка всё печально? Или там какие-то новые модификации xDSL?
          0
          Downlink 100, uplink 40.
            0
            Хм, вполне даже неплохо, я-то думал что xDSL это то что Укртелеком умеет (24/3,5) и не больше…
              +1
              Это зависит от того, что подразумевается под буквой x :) Ну, и от качества линии, конечно же.

              В России у меня был резервный канал — ADSL по телефонной линии, дай Бог памяти, 4 мбит на 500 кбит. Линия была древняя, еще советской прокладки, и большей скорости просто не тянула.
          0

          С DOCSIS так скорее всего не пройдет? ЕМНИП там очень много завязано на специфические профили приемной аппаратуры?

            0
            Ну, почему же нет. У Juniper есть DOCSIS модуль под SRX серию. Стоит, правда, каких-то совсем уж жутких денег, но временами на ebay встречается. У Cisco, кажется, тоже есть hwic под DOCSIS.
            +1
            Ну вот зачем же вы так? Чем вам не угодил фрицбокс? Давайте по пунтам:
            1. Поддержка IPSEC. Да это не опенвпн, но зато работает на любом сотовом телефоне
            2. Вам IP телефонию? Так посмею предположить, что ваш немецкий стационарный номер уже не аналоговый, а обычный VOIP. У меня вполне нормально работали мультифон и задарма на EasyBox 803 и любом фрицбоксе.
            3. Я вижу у вас на картике гигасет 620. Так вот именно его я долгое время к фрицу в качестве кликнта по первости через аналоговую линию подключал, а потом и по voip.
            4. Ну про там всякие вкусности вроде фрицовых приложений для андроида, UPNP, зачатков NAS вы наверно всё же знаете?
            5. Ну а если уж вам хочется всё сразу и чтобы рекламу резать и прямо чтоб по взрослому с косолью скриптами и всё-всё-всё так посмотрите в сторону O2 6321 за 10 евро на ибее. Поставте ЛЕДЕ ( wiki.openwrt.org/toh/arcadyan/vgv7510kw22 ) и радуйтесь свободе. там двухядерник процессор, 64 Мб оперативки и нормальный линукс с поддержкой xVDSL из каропки. Работает очень стабильно, уже год как

            Да и зачем вам такая огромная шумелка дома?
              0
              1. У меня из дома растет куча туннелей — на работу, в разные другие места. Большинство таки IPSec, но с RSA авторизацией — фрицбокс ее, емнип, не поддерживает. Да плюс на других концах туннелей зоопарк — местами циски, местами linux/freebsd, местами микротик. Приходится временами иметь отдельный конфиг под конкретный туннель.
              2. VoIP, да. Но вы недооцениваете мою упоротость — у меня аж целый asterisk тут поднят на Raspberry Pi 3, чтобы иметь возможность маршрутизации звонков в/из России в комбинации с немецкими SIP линиями от Vodafone, жестко «привязанными» к этому конкретному каналу :)
              3. Gigaset цепляется за локальный Asterisk. Я конечно знаю что его трубки можно и на FB регистрировать, но Gigaset у меня уже давно был, привез его еще из России.
              4. В курсе, но этим всем мы не пользуемся.
              5. Вот про этот роутер не знал. Но по прошлому опыту общения с *wrt — предпочитаю все же готовые «тяжелые» решения, а не пилить костыли для всех моих нужд под linux. Работать оно, конечно, будет, но… Это дело вкуса :)

              А вообще, Juniper'ы в качестве домашних роутеров я использую уже года три и полностью ими доволен. Хотя это и выглядит странновато, да.
                0
                srx210 значительно тише. Если достаточно 2 гигабитных портов
                # set chassis alarm services hw-down ignore
                уберёт ошибку?
                  0
                  SRX210 на тот момент стоил не в пример дороже и был без PoE. Да и гигабитных портов мне надо минимум три :)
                  Поставить игнор аларма попробую, спасибо за совет.
                  0
                  Не знаю как вам, а у меня нет желания заводить кучу железок под разные нужды, да и жрут они все. К тому же у немцев научился разделять дом и работу, плюс параноя по поводу туннелей из дома (на свой то ноут заразе сложно пролезть, да вот семья может принести заразу)

                  А по поводу Lede/Openwrt — это вы зря. Последние пару лет релизы очень стабильные, опять для очень многих вещей есть удобный гуй. Особенно радует SQM лимитирование для голосовых и видео звонков (при любой загрузке канала не увеличивается задержка). Консоль нужна, только если уж что-то очень специальное настравиать, например очень особые правила для того-же астериска. Большим плюсом является регулярное обновление программ и… например прошивки модема для лучшей поддержки VectoringDSL. Полгода назад например запилили поддержку 802.11r в гуе
                  Вообще советую побывать на их саммитах: пару лет назад был саммит в Берлине, в прошлом году в Праге

                  А костыли, так они и здесь у вас костыли. Вы не подумайте что мне хочется вас переубедить, просто для меня очень необычно видеть как люди используют такое дорогое и прожорливое оборудование для таких простых вещей.

                  Хотя у всех запросы разные: мне хватает перепошитого одного «недороутера» для нормальной приоритизации трафика, астериска, впн, вайфая и прочх мелочей вроде адблока, различной статистики, пары самопальных скриптов и ssh сервера на случай ядерной войны… а вам нет
                  0
                  Слушайте, они же совсем дохлые для туннелей, эти Фрицбоксы, даже пытаться не стал (https://blog.webernetz.net/fritzbox-vpn-speedtests/). Похоже, в них хардверную поддержку AES/3DES забыли добавить. Я в итоге даже от малинки отказался в качестве туннеледержалки, перешёл на старый нетбук на Атоме. Печально, когда твой туннель в Россию не разгоняется больше 20 Мбит/с, и всё из-за того, что процессор на роутере не тянет. А вот у Атома семилетней выдержки такой проблемы нет, он легко выжимает полную скорость канала одним своим ядром, как выжмет и SRX220H (судя по форумам, он умеет около 75 Мбит/с 3DES).
                  0
                  Moin-moin!
                  Можете порекомендовать сайты, в которых изучали вопрос немецкого интернета и выбора провайдеров? Самому предстоит этот жесткач и уже дофига нагуглил, но мало ли вдруг остались незамеченными отличные сайты.

                  Вообще меня дико напрягает в Германии, что интернет в некоторых тарифах якобы безлимитный, а на деле ограничение до 10-20 ГБ, а то и до издевательских 4 ГБ. Да за такое судить надо, но кто же пойдёт против большой тройки-четвёрки операторов?

                  Что касается некоторой отсталости немецкого домашнего интернета, приведу диалог из одного блога:
                  pretty-hausfrau.livejournal.com/12017.html

                  В России АДСЛ не сдох, он особо и не приходил. Не было массовой качественной телефонной сети и проще было сразу протягивать новые оптические. Плюс к тому телефонными сетями монопольно владели местные ГТС, которые медленно шевелились.
                  Плотность заселения в Мюнхене также ниже, чем в типичном российском городе. Многоэтажных коробок почти нет. Тянуть кабельную инфраструктуру по воздуху нельзя. Поэтому это долго, дорого и сложно. Большинство населения кабель устраивает, кому не достаточно — всегда есть варианты.


                  Здравствуйте!
                  Что-то отсталое и допотопное может устраивать только тогда, когда человек или население не пробовало ничего лучше. А немцы много чего не пробовали, в том числе и оптику в каждой квартире, хотя она проложена либо до подвалов либо чуть не доходя до дома и является такой гордостью у местных провайдеров, что об этом пишут на каждом разводном щитке, а вот что мешает потом протянуть ее в квартиры, а не тянуть телефонный или телевизионный кабель — для меня не ясно. Что меня еще не перестает удивлять, так это, что и немцы, и швейцарцы искренно удивляются и не верят, что в России оптика проведена по квартирам — они считают, что это технически невозможно (вот вам и передовая Европа). При этом, качество и скорость интернета даже в Румынии лучше, чем в Европе. Если не хотят спрашивать у России, то хотя бы у Румынии поинтересовались, как эта маленькая страна умудрилась иметь быстрый и качественный интернет, в отличие от локомотива Европы.


                  День добрый.

                  Во-первых, соглашусь со всеми здесь, что качество услуг связи в Германии в частном секторе ниже, чем в России. У меня только другое понимание относительно причин этого. В России я работал в телекоме примерно 14 лет, с диалапных времён до 2015 го. С операторами связи по всей стране. Сужу исходя из этого опыта.

                  Протянуть оптику до квартиры мешает в конечно итоге то, что это не нужно владельцам квартиры. Кабель с улицы внутрь дома — это их собственность. Оплатить его прокладку придётся им же и недёшево с учётом местных цен на труд. В России в многоквартирных домах кабель внутри дома принадлежит оператору, поэтому зачастую можно было видеть по пять разных кабель-проводов в каждом подъезде. Проводили их порой безо всякого согласования с жильцами, лишь в некоторых продвинутых домах и относительно недавно люди начали решать пускать / не пускать оператора в подъезд. Ну и лепили эти кабели кое-как, по стенам. Между домов — по воздуху напрямую. По улицам — по столбам.

                  Немцы достаточно консервативны и на чисто маркетинговые приёмы о новых и «недопотопных» технологиях их купить сложно. В конечном итоге потребителя интересует качество услуг: скорость и стабильность связи, а не как они получены. Попробовать более оптический интернет у большинства работающих есть возможность в офисе. Организации подключены примерно по подобным схемам, что и в России. Никакого радикального ускорения связи от вхождения оптики в квартиру не произойдёт. Это всего лишь один из сегментов доступа к Сети. Оптика / 100 Мбит Ethernet / DOCSIS входят в дом — это не так важно. Конечный сегмент редко будет самым узким местом. Как вы правильно описали, с улицы сеть уже оптическая. Но представьте сколько клиентов её используют одновременно. Пропускная способность при этом делится на них. Магистральная сеть оператора — это обычно 10 ГБит в секунду. Далее магистральная сеть оператора соединяется с другими операторами. Междугородние каналы составляют десятки ГБ в секунду, можно прикинуть на сколько клиентов с 400 МБит их хватит одновременно. Дальше идут задержки на серверах и т.п.

                  Краткое резюме. Если в Германии разрешить тянуть Интернет как в России — то небо закроется проводами, но связь подешевеет и станет лучше.
                    0
                    Я искал на check24.de. Очень удобно — вводите свой адрес и видите всех актуальных провайдеров с их тарифами.
                      0
                      Если вы про лимит на мобильном интернете, так это да, согласен. А какие вопросы именно интересуют?
                        0
                        Я про домашний интернет, в квартире. Хотя у Водафона есть практически мобильное предложение: даётся LTE-роутер со встроенной сим-картой и лимитом в 50 ГБ (без «безлимита»). Фактически можно где угодно его использовать, не только в квартире, лишь бы питание было.
                          0
                          Живу в Германии и первый раз такое слышу, чтоб DSL или Кабельный интернет был с лимитом…
                            0
                            1&1, на самом маленьком тарифном плане ограничение в 100 ГБ в месяц. Раньше было мелким шрифтом в сноске, сейчас написали большими буквами: . У операторов, предоставляющих смешанные ТП (вроде 50 Мбит/c DSL, но до 200 Мбит/c за счёт дополнительного LTE-модема, встроенного в маршрутизатор), — сплошь и рядом.
                            0
                            Пардон, вспомнил что был такой кипиш одно время. Вот пруф werdrosselt.de

                            Телеком, Unitymedia, 1&1 нет лимита. О2 например написано от 300ГБ в мес…
                          0
                          напрягает в Германии, что интернет в некоторых тарифах якобы безлимитный, а на деле ограничение до 10-20 ГБ, а то и до издевательских 4 ГБ

                          Можете привести пример? Или под ограничением вы подразумеваете урезание скорости после исчерпания квоты? Насколько я помню, операторам было запрещено (какой-то надзорной инстанцией) использовать обозначение Flat для тарифов с ограниченным объемом трафика.
                          В любом случае, рекомендовано читать мелкий шрифт, а не только большие буквы Flatrate.

                          К прочему — обратите внимание еще на www.billiger-surfen.de
                            0
                            да, я забыл упомянуть о том, что скорость урезается до некомфортной при достижении определённого лимита, например те же 4 ГБ (это я в Телекоме видел)

                            хорошо бы запретить провайдерам так хитрить со словами, когда после лимита просто урезается скорость, т.е. тариф формально остаётся безлимитным, просто скорость станет хуже после лимита, пардон за каламбур =)
                              0
                              Это на DSL/Kabel? Ни разу такого не видел. На 3G/LTE да, сколько угодно. Я тут только один более-менее «честный» LTE безлимит знаю.
                                0
                                Конгстар? Если нет, то поделитесь, пожалуйста.
                                  0
                                  O2 Free
                                  0
                                  Ё! Я тут внизу написал, что в итоге получилось, заодно привёл пример Drosselung. И да, речь о домашнем интернете, не о мобильном.
                                0
                                Ё! Давно тут не писал — вдруг посыпался ворох дел. =)

                                Так вот пример Drosselung (выделено красным прямоугольником):
                                image

                                Я же в итоге, случайно увидев на улице акцию, выбрал Vodafone 500. Правда, у меня без ТВ, только интернет и телефон за 20 евро в месяц по акции (прикол в том, что там все тарифы со скоростью 100, 200, 300 и 400 стоили одинаково по акции и я решил, что если гулять — так гулять на максимальной скорости))). Это только на первый год, а потом цена будет 50 евро в месяц. На сайте werdrosselt.de посмотрел, что там нету Drosselung. Начиная с 1 апреля или 1 мая буду пользоваться и смотреть, как оно в принципе.
                                  0
                                  Ну так выделеный Тариф это Funk=LTE, поэтому и Drosselung
                              0
                              .
                                0
                                Просто для сравнения: Польша, Краков. В новых домах часто оптика прям в квартиру. Встречается и доксис и эзернет.

                              Only users with full accounts can post comments. Log in, please.