Juniper SRX am Telekom VDSL mit PPPoE

Verfasst am 24.12.2018 in Juniper-SRX

Wie konfiguriert man eine Juniper SRX Firewall an einem Telekom VDSL Anschluss, wenn man einen VDSL-Modem anschließt? Ich beschreibe hier ausführlich die notwendigen Schritte bis zur Funktion. Es sei gesagt: Es ist einfacher als es ausschaut.

https://www.juniper.net/de/de/company/press-center/images/image-library/srx220h/

Vorliegendes Equipment und Dokumente:
– Telekom Speedport Smart 3
– Juniper SRX220H ohne Erweiterungskarten
– VDSL Internetanschluss mit 100 MBit/s im Download und 40 MBit/s im Upload
– Zugangsdaten des Telekom-VDSL-Zuganges

Wichtiges zu wissen:
– Die Telekom verschickt bei VDSL den Datentraffic über VLAN.
– Die VLAN-ID lautet: 7
– Die Authentifikationsmethode ist CHAP.
– X erfolglose Authentifikationsversuche enden mit einer vorrübegehenden Sperrung des DSL-Nutzers.

Wichtig, bevor man loslegt:
Zuerst empfiehlt es sich die Konfiguration zu sichern, sollte man irgendwann wieder auf den Ursprungszustand zurückkehren wollen.

Schritt 1: Router/Modem vorbereiten

Ich habe mir den Telekom Speedport Smart 3 käuflich erworben, um diesen anschließend als Modem zu nutzen.
Entsprechend ist das kein Mietgerät – sofern dies je eine Rolle spielen sollte.

Hierzu geht man über die Weboberfläche des Routers folgendermaßen vor:

  • Über die eingestellte IP sich am Gerät anmelden,
  • auf Einstellungen und anschließend auf DSL-Modem wechseln,
  • über die Schaltfläche Konfiguration sichern, die bestehende Konfiguration abspeichern.
  • über die Schaltfläche Speedport als DSL-Modem nutzen den Modus umstellen.

Genaueres findet man in der Bedienungsanleitung des Gerätes.
Hier ein Verweis auf die Hilfeseite der Telekom [ext. Link]: Handbuch

Am Port LAN 1, LAN 2 oder LAN 3 kann ein Notebook oder Computer angeschlossen werden, um Status-Informationen vom Modem auszulesen.
Hierzu eine statische IP vergeben, um im Browser die Adresse 169.254.2.1 eingeben.

Am Port LAN 4 muss die Juniper-SRX angeschlossen werden.

Schritt 2: Daten zusammenführen

Wir brauchen:
– Telekom-Zugangsdaten
– Ein beliebiges Ethernet-Interface
– SSH-Zugriff auf die Firewall

Bei einem Privatkundenanschluss muss unter den ppp-options chap local-name der Authentifizierungsname zusammengesetzt werden.

Die Anschlusskennung hat 12 Nummern beginnend mit zwei oder drei Nullen, z.B. 0034 1234 1234
Die Zugangsnummer hat 12 Nummern, z.B. 5678 5678 5678
Die Mitbenutzernummer hat 4 Nummern, z.B. 0001

Diese werden dann folgermaßen zusammengesetzt:

Anschlusskennung + Zugangsnummer + Mitbenutzernummer + @t-online.de
Beispiel: 0034123412345678567856780001@t-online.de

Anschließend muss unter ppp-options chap default-chap-secret das persönliche Kennwort eingetragen werden.

Sobald man alle die Daten hat und die soweit vorbereitet hat, können die folgende Befehle der Reihe nach durchgegeben werden.

Schritt 3: Juniper-SRX konfigurieren

Mit edit in den Konfigurationsmodus wechseln. Die unten gelisteten set-Befehle – vorher natürlich auf die eigene Umgebung anpassen – setzen.
Anschließend mit commit check prüfen, ob alles soweit syntaktisch richtig und logisch ist.
Sobald dies bestätigt ist, mit commit and-quit abschließen.

set interfaces ge-0/0/0 vlan-tagging
set interfaces ge-0/0/0 unit 0 encapsulation ppp-over-ether
set interfaces ge-0/0/0 unit 0 vlan-id 7
set interfaces pp0 unit 0 ppp-options chap default-chap-secret "$9$P569O1Rcrhjjhjh767zF6p0"
set interfaces pp0 unit 0 ppp-options chap local-name "0012345678905501234567890001@t-online.de"
set interfaces pp0 unit 0 ppp-options chap passive
set interfaces pp0 unit 0 pppoe-options underlying-interface ge-0/0/0.0
set interfaces pp0 unit 0 pppoe-options idle-timeout 0
set interfaces pp0 unit 0 pppoe-options auto-reconnect 120
set interfaces pp0 unit 0 pppoe-options client
set interfaces pp0 unit 0 family inet mtu 1492
set interfaces pp0 unit 0 family inet negotiate-address
set routing-options static route 0.0.0.0/0 next-hop pp0.0
set routing-options static route 0.0.0.0/0 preference 1
set routing-options router-id 192.168.1.1
set security flow tcp-mss all-tcp mss 1452
set security zones security-zone untrust screen untrust-screen
set security zones security-zone untrust host-inbound-traffic system-services ike
set security zones security-zone untrust host-inbound-traffic system-services ping
set security zones security-zone untrust interfaces pp0.0

Mit show | compare kann man vorher nochmal die editierte Konfiguration im Curly brackets die Änderungen sich anzeigen lassen. Dies sollte soweit ähnlich aussehen, wie im unten gezeigten Beispiel.

Die finale Konfiguration sieht dann folgendermaßen aus:

interfaces {
    ge-0/0/0 {
        vlan-tagging; #Aktivierung von VLAN-Tags auf diesem Interface
        unit 0 {
            encapsulation ppp-over-ether; #Festlegen des logical link-layer encapsulation auf PPPoE
            vlan-id 7; #Setzen des VLAN-Tags auf ID 7
        }
    }
    pp0 {
        unit 0 {
            ppp-options {
                chap { #Authentifizierungsmethode setzen inkl. Kennwort und Loginname
                    default-chap-secret "$9$P569O1Rcrhjjhjh767zF6p0"; ## SECRET-DATA
                    local-name "0012345678905501234567890001@t-online.de";
                    passive;
                }
            }
            pppoe-options {
                underlying-interface ge-0/0/0.0;
                idle-timeout 0; #0 bedeutet, Verbindung wird dauerhaft aufrecht gehalten
                auto-reconnect 60; 
                client;
            }
            family inet {
                mtu 1492;
                negotiate-address;
            }
        }
    }
routing-options {
    static {
        route 0.0.0.0/0 {
            next-hop pp0.0;
            preference 1;
        }
    }
    router-id 192.168.1.1;
}

security {
    flow {
        tcp-mss {
            all-tcp {                   
                mss 1452;
            }
        }
    zones {
        security-zone untrust {
            screen untrust-screen;
            host-inbound-traffic {
                system-services {
                    ike;
                    ping;
                }
            }
            interfaces {
                pp0.0;
            }
        }

Schritt 4: Verbindungsaufbau prüfen

Schlussendlich sollte nun geprüft werden, ob der Verbindungsaufbau erfolgt.

Mit diesem Befehl und brief lässt sich die Statistik des PPPoE-Interfaces in kurz anzeigen lassen

show pppoe interfaces brief pp0.0
meow@fw> show pppoe interfaces brief pp0.0 
Interface       Underlying            State       Session    Remote                                  
                interface                         ID         MAC
pp0.0           ge-0/0/0.0            Session up  69         dc:f3:02:48:10:09  

Mit diesem Befehl und extensive lässt sich die Statistik des PPPoE-Interfaces in detaillierter anzeigen lassen. Damit könnte man sehen, an welchen Schritt die Session-Creation failed.

show pppoe interfaces extensive pp0.0
meow@fw> show pppoe interfaces extensive pp0.0    
pp0.0 Index 69
  State: Session up, Session ID: 69, 
  Service name: None, 
  Session AC name: FFMu10, Configured AC name: None, 
  Remote MAC address: dc:f3:02:48:10:09, 
  Session uptime: 2d 06:49 ago, 
  Auto-reconnect timeout: 120 seconds, Idle timeout: Never, 
  Underlying interface: ge-0/0/0.0 Index 69
  PacketType                       Sent         Received
    PADI                             17                0
    PADO                              0                3
    PADR                              3                0
    PADS                              0                3
    PADT                              1                0
    Service name error                0                0
    AC system error                   0                0
    Generic error                     0                0
    Malformed packets                 0                0
    Unknown packets                   0                0
  Timeout
    PADI                              2
    PADO                              0
    PADR                              0
  Receive Error Counters
    PADI                              0
    PADO                              0
    PADR                              0
    PADS                              0

Zusammenfassung

Hat man alle Daten und Komponenten zur Hand, dauert die gesamte Konfiguration 10-20 Minuten.
Der einzige Punkt, wo meiner Meinung nach etwas deutlich schief gehen kann, ist die Authentifizierung mit CHAP. Wenn ein falscher Benutzername oder Kennwort eingegeben wird, kann es entsprechend zum Delay oder temporäre Abschaltung führen.
Hierzu werde ich mich bei der Telekom nochmal um Information bemühen.

Ich finde die Konfiguration ist pretty-straight-forward und hat mich im Verständnis für den Verbindungsaufbau über PPPoE geschult.
Entsprechend werde ich alle meine Quellen und Recherche-Links hier unten auflisten.

https://www.juniper.net/documentation/en_US/junos/topics/example/pppoe-security-interface-configuring.html
https://kb.juniper.net/InfoCenter/index?page=content&id=KB15736&actp=METADATA
https://forums.juniper.net/t5/SRX-Services-Gateway/Setting-up-PPPoE-with-username-and-password/td-p/307233
https://telekomhilft.telekom.de/t5/Geraete-Zubehoer/Juniper-SRX110-VDSL-settings/td-p/1588724