Pull to refresh

История об интернете в Германии и недокументированных возможностях Juniper SRX

Reading time 4 min
Views 9.5K
Всем привет!

Пока идея второй части статьи о переезде в Германию понемногу обретает ясные очертания, я решил немного рассказать о том, как настраивал здесь домашний интернет под свои специфические айтишные нужды.

Интернет в Германии — вещь в себе. Никакого Ethernet, и уж тем более PON, в квартиры здесь в 99% случаев не проводится. Оптика хотя бы до подвала — тоже редко встречающаяся роскошь. Рынок тут поделен между провайдерами, предлагающими интернет по разным xDSL технологиям, и операторами кабельного ТВ, раздающим интернет через DOCSIS. Линии, как правило, содержатся в хорошем состоянии, и скорость можно получить вполне сравнимую с «традиционными» способами подключения.

Все это хорошо и вполне достаточно для большинства домашних пользователей, но как только вы хотите подключить свой собственный маршрутизатор — начинаются проблемы. Если вы при этом еще и используете IP-телефонию, VPN и тому подобные вещи, все становится совсем грустно. Что под DSL, что под DOCSIS выбор роутеров здесь крайне ограничен, а при подключении провайдеры выдают самые ширпотребные «мыльницы», многие из которых просто не умеют работать в режиме моста. То есть придется либо дополнительно покупать недешевый модем, либо ставить свой маршрутизатор за NAT, либо вообще отказаться от этой идеи. Промучившись некоторое время в попытках «подружить» свой Juniper SRX100 и провайдерский Fritz!Box 7590, я произвел некоторые изыскания и по очень удачной цене купил на eBay Juniper SRX220H, а к нему MPIM — модуль VDSL2 модема, SRX-MP-1VDSL2-A.


А вот дальше начинаются хитрости.

Как следует из описания, этот модуль поддерживает VDSL2 Annex A (то есть VDSL over POTS), в Германии же повсеместно используется VDSL2 Annex B (VDSL over ISDN). Модулей под Annex B для Juniper SRX в природе не существует, поддержка этого стандарта заявлена только для встроенных интерфейсов в Juniper SRX110. Более того, в технической документации Juniper четко и ясно написано, что активно используемый в Германии VDSL Vectoring (режим подавления взаимных помех в кабеле) не поддерживается для VDSL2 Annex B даже в SRX110. Тупик? Вовсе нет. Знакомый сетевик из Дюссельдорфа, имеющий чуть менее, чем дофига сертификатов по Juniper, объяснил мне, что чипы, на которых построены эти модули, сами по себе VDSL2-B поддерживают. Но, поскольку эти решения «затачивались» большей частью под рынок США, где повсеместно используется Annex A, то и тестирования их на европейских сетях с Annex B не проводили. Следуя же логике Juniper, «не протестировано» означает «не поддерживается».

Еще одна особенность заключается в том, что VDSL Vectoring поддерживается только в последней прошивке модема, версии 2.16, мой же модуль пришёл с прошивкой версии 2.10. Не найдя прошивок в открытом доступе, я написал на форум Juniper, и в тот же день техподдержка прислала мне искомую прошивку — абсолютно бесплатно. Мануал по обновлению прошивки есть тут, он довольно тривиальный.

Ладно, хватит лирики. Ниже привожу пример настройки SRX-MP-1VDSL2-A на маршрутизаторе SRX220H для провайдера Vodafone. В принципе, это будет работать для любого провайдера, использующего PPP через VDSL2 Annex B, только учетные данные нужно будет подставить свои. Поехали:

1. Проверяем версию прошивки VDSL модема:

vlad@fra> show system firmware
Part Type Tag Current Available Status
version version
FPC 2
PIC 0 VDSLBCM 10 2.16.0 OK
Routing Engine 0 RE BIOS 0 2.8 2.8 OK
Routing Engine 0 RE BIOS Backup 1 2.8 2.8 OK


2. Настраиваем интерфейс VDSL. Тут все предельно просто. Номер Vlan, использующийся в Германии подавляющим большинством провайдеров — 7:

pt-2/0/0 {
       vlan-tagging;
       vdsl-options {
           vdsl-profile auto;
       }
       unit 0 {
           encapsulation ppp-over-ether;
           vlan-id 7;
       }
}

Важно: не указываем VDSL профиль, оставляем auto! Если его указать явно, например 17a для скорости 100 МБит, модем встанет в Annex A, и синхронизация с DSLAM не пройдет.

3. Настраиваем PPPoE интерфейс:

pp0 {
        unit 0 {
            ppp-options {
                chap {
                    default-chap-secret "$SuperSecretPassword"; ## SECRET-DATA
                    local-name vodafone-vdsl.komplett/ab12345678;
                    passive;
                }
            }
            pppoe-options {
                underlying-interface pt-2/0/0.0;
                idle-timeout 0;
                auto-reconnect 5;
                client;
            }
            family inet {
                mtu 1400;
                negotiate-address;
            }
        }
}

Здесь тоже есть свои нюансы. Для каждого провайдера они разные, но конкретно у Vodafone — в бумаге с учетными данными, которую вам выдают при подключении, логин для PPPoE указан в виде ab12345678. Этого достаточно для местных «ширпотребных» роутеров, потому что при их настройке обязательно выбирается провайдер, и в зависимости от него роутер сам формирует конфигурацию. Но при полностью ручной настройке на нестандартном оборудовании, как в нашем случае, правильная строка логина будет такой: «vodafone-vdsl.komplett/ab12345678».

4. На этом все. Прописываем security zones, делаем commit и проверяем:

vlad@fra> show interfaces pt-2/0/0 media
Physical interface: pt-2/0/0, Enabled, Physical link is Up
Interface index: 148, SNMP ifIndex: 533
Type: PTM, Link-level type: Ethernet, MTU: 1518, VDSL mode, Speed: VDSL2
Device flags : Present Running
CoS queues : 8 supported, 8 maximum usable queues
Current address: 48:a0:52:b9:62:51
Last flapped : 2018-02-23 00:36:23 CET (17:11:57 ago)
Input rate : 0 bps (0 pps)
Output rate : 376 bps (0 pps)
VDSL alarms : None
VDSL defects : None
VDSL status:
Modem status : Showtime (Profile-17a)
VDSL profile : Auto Annex B
Last fail code: None
Subfunction : 0x00
Seconds in showtime : 61918

vlad@fra> show pppoe interfaces
pp0.0 Index 95
State: Session up, Session ID: 111,
Service name: None,
Session AC name: BGEJ00, Configured AC name: None,
Remote MAC address: a0:4d:2c:54:92:d6,
Session uptime: 17:12:02 ago,
Auto-reconnect timeout: 5 seconds, Idle timeout: Never,
Underlying interface: pt-2/0/0.0 Index 94


5. Профит. Теперь у нас есть прямое подключение маршрутизатора к провайдеру, с внешним IP на интерфейсе, без всяких промежуточных устройств и дополнительных NAT. Juniper при этом держит коннект гораздо более устойчиво, чем Fritz!Box — у того раз в два-три дня стабильно бывали срывы синхронизации, а после установки SRX220 таких проблем больше не наблюдается.


P.S. Alarm горит потому, что я поменял схему включения кулеров и запитал их через отдельный контроллер для снижения шума. В JunOS есть триггер по низким оборотам кулеров, он, собственно, и срабатывает. Температура при этом остается в пределах нормы.

P.P.S. Совятник на маршрутизаторе — творчество моей сестры. У нас в квартире вообще много сов :)
Tags:
Hubs:
+10
Comments 32
Comments Comments 32

Articles