Juniper SSG5 an Telekom Entertain mit Zyxel VMG1312-B30A [Update 12.02.2014]

Das Thema beschäftigt mich auch weiterhin. Hier ein kurzer Zwischenstand.

Die Idee mit der Cisco 886VA-J wurde fallen gelassen, da die Maschine einen Lüfter hat 🙁

Um es gleich vorweg zu nehmen: Ich arbeite auch noch an einer zufriedenstellenden Lösung.

Ich denke die Grundlagen zum ADSL mit Entertain sind bekannt (pppoe auf VLAN 7 und DHCP auf VLAN 8). Das lässt sich mit dem Zyxel und der SSG 5 wie folgt erreichen.

Eth 1 Juniper <-> Eth 1 Zyxel
Eth 2 Juniper <-> Eth 2 Zyxel

1. Auf Eth 1 Juniper die IP Adresse per pppoe beziehen (ohne Vlan).

2. Im Zyxel QOS aktivieren (Seite 49 User’s Guide).

3. Dann im QOS des Zyxel eine Klasse definieren (Seite 50 User’s Guide):
– Step 2: From interface: LAN 1, optional Source MAC Adresse: “Juniper Eth 1″, Maske ff:ff:ff:ff:ff:ff
– Step 3: VLAN ID Remark 7,
– Step 4: weiterleiten auf DSL ATM Interface

4. LAN VLAN Screen (Seite 155 User’s Guide) – auf LAN 1 das VLAN Tag löschen (betrifft nur Traffc, der das Zyxel in Richtung der SSG verlässt).

5. Auf Eth 2 der Juniper ein Sub-Interface mit VLAN 8 erstellen. Die IP per DHCP beziehen lassen. Wichtig (hier kein QOS im Zyxel konfigurieren und im LAN VLAN Screen den Tag auf LAN 2 belassen).

Das führte bei mir dazu, dass sich das Gerät a) sauber mit dem Internet verbindet und b) auf dem Sub-Interface eine IP per DHCP bezieht.

Jetzt gibt es allerdings noch einige Dinge zu beachten…

1. Die SSG5 kann kein IGMP-Snooping, d.h. die gesamte Zone wird mit Paketen geflutet. Dies ist unschön, wenn da noch weitere Rechner betrieben werden.
Lösung: Eine eigene Zone für den Medienreceiver wäre von Vorteil.

2. Per DHCP bekommt die Juniper auch gleich noch eine Defaultroute dazu. Diese verursacht Probleme mit der Defaultroute vom PPPOE.
Lösung: Eigenen Virtuellen Router erstellen.

3. Per DHCP kommen noch weitere Routen (Option 121, RFC 3342)
Wenn man sich mal die Linux Nachbauten der Gateways anschaut, stösst man unweigerlich auf folgendes: http://www.projectiwear.org/~plasmahh/t_home.html
Beim DHCP auf VLAN 8 sendet die Telekom noch weitere Routen. Die Juniper versteht das aber leider nicht. Darüber hinaus wird empfohlen beim DHCP Client das Broadcast Flag zu löschen (http://www.cisco-forum.net/topic_4350.0.html). Das kann die SSG5 ebenfalls nicht.
Lösung: Bislang keine

Nachdem ich die SSG5 so weit konfiguriert hatte, konnte ich für 5-10 Sekunden (also Unicast) fernsehen. Beim Aktivieren der IGMP-Proxies fing die Firewall dann an, unkontrolliert neu zu starten :(

Mittlerweile habe ich ein Setup mit einem Cisco 1921 Router nachgestellt. Beim letzten Test gestern Abend konnte ich fernsehen und surfen, aber die Umschaltzeiten waren recht lang (länger als bei der Fritzbox). Ich werde heute nochmal mit den Optionen “no ip dhcp client request router” und “ip dhcp client request classless-static-route” testen.