Networking
Swisscom Fibre FTTH P2MP mit Zyxel AX7501 und pfSense
Jan 13, 2026
In diesem Beitrag möchte ich meinen Weg beschreiben, wie ich den Swisscom Standard-Router (Internet Box 4) ablöse durch meine eigene pfSense-Firewall.
Als Erstes benötigen wir einen Medienwandler / Glasfasermodem, welches kompatibel ist mit dem Swisscom-Netz und welches die Lichtsignale der Glasfaser in elektrische Signale umwandelt, welche von der Firewall / dem individuellen Router verarbeitet werden können.
Moderne Firewall-Hardware, wie z.B. meine Netgate 6100 bietet zwar SFP+ Ports, welche ich direkt mit einem Glasfaser-Netz verbinden könnte. Mit dem XGSPON-Netz der Swisscom sind diese Anschlüsse allerdings nicht kompatibel. Es braucht zwingend ein unterstütztes ONT dazwischen.
Es gibt aktuell nur 1 offiziell unterstütztes ONT neben der Internet Box der Swisscom und das ist das Zyxel AX7501-BO. Darüber hinaus gibt es noch ein ONT, welches gemäss Forenberichten inoffiziell ebenfalls auf dem Swisscom-Netz funktionieren soll. Es handelt sich um das Nokia XS-010X-Q, welches ich aktuell nur bei Init7 finden konnte und zudem zum Zeitpunkt meines Projekts leider nicht lieferbar war. Im freien Handel ist es gemäss meinen Recherchen nicht verfügbar.
Üblicherweise kann man so ziemlich jeden Router, welcher von den Internet-Providern geliefert wird, in den so genannten Bridge-Modus umschalten. Damit wird der Router zu einem reinen Modem umfunktioniert, so dass wir dahinter unsere individuelle Firewall betreiben können, so wie wir es in diesem Fall tun wollen. Vor allem wollen wir ein doppeltes NAT verhindern, wie es entsteht, wenn wir den Router des Internet-Providers im Router-Modus betreiben und dann dahinter unsere Firewall anschliessen. Leider ist es so, dass die Internet-Box 4 der Swisscom keinen Bridge-Modus unterstützt. Daher bleibt uns kein anderer Weg, als auf das Zyxel AX7501-B0 zurückzugreifen, um zukünftige NAT-Probleme und ähnliches zu verhindern.
Neben dem ONT benötigen wir natürlich unsere individuelle Firewall bzw. unseren individuellen Router. Ich setze bei diesem Projekt auf meine bereits vorhandene Netgate 6100 pfSense Appliance. Sie bietet zum Einen theoretisch relativ hohe Übertragungsraten (welche wir am Ende des Projekts testen werden), sowie SFP+ Ports, um 10 Gbit/s Interfaces anschliessen zu können.
Bei der Auswahl der richtigen Appliance war mir am Wichtigsten, dass diese eine passive Kühlung und somit geräuschlosen und lüfterlosen Betrieb ermöglicht. Der zweitwichtigste Punkt ist natürlich die grösstmöglichste Leistungsfähigkeit/Bandbreite. Wer in Richtung 10 Gbit/s geht und sich etwas damit beschäftigt, wird schnell feststellen, dass diese Kombination extrem schwer zu haben ist. Zum aktuellen Zeitpunkt ist für mich sogar fraglich, ob 10 Gbit/s plus lüfterlos überhaupt machbar ist.
Das Problem an der Stelle sind die 10 Gbit/s Kupfermodule, welche extrem heiss werden (95°C und mehr sind möglich). Leider bietet das einzige ONT, welches wir verwenden können, nur einen 10 Gbit/s Kupferanschluss an. Keinen SFP+-Port für ein DAC-Kabel oder Fibre-Modul, welche die Hitzeprobleme nicht haben.
Und wen es interessiert: Ich habe noch eine weitere Appliance gefunden, welche lüfterlos ist und 2 SFP+ Ports anbietet. Es handelt sich um ein Produkt des pfSense-Forks OPNsense: Die DEC850 Appliance.
Damit wir sichergehen können, dass der Fibre-Anschluss korrekt aufgeschaltet wurde und unser Zyxel ONT grundsätzlich mit diesem Anschluss funktioniert, machen wir einen Testlauf, bevor wir die komplexere Bridge-Mode-Konfiguration mit eingebundener pfSense in Betrieb nehmen.
Damit wir sicher auf dem neuesten Stand sind und das Zyxel AX7501 ONT auch sicher kompatibel ist mit dem aktuellen Swisscom Netz spielen wir im nächsten Schritt direkt die neueste Firmware auf.
Es gibt unterschiedliche Firmware für das Zyxel AX7501. Je nach Provider. Die Swisscom-Firmware erhalten wir direkt auf dem FTP-Server von Zyxel.
Wir haben vorhin zwar mit dem Wizard die Internet-Verbindung bereits vorbereitet, aber diese benötigt noch 2 Einstellungen, damit sie mit der Swisscom funktioniert.
Bei mir war es so, dass das WAN-Interface als funktionierend angezeigt wurde und auch eine WAN-IP bezogen wurde inkl. DHCP-Servern der Swisscom. Allerdings konnte ich trotzdem nicht aufs Internet zugreifen (z.B. war kein Ping auf die DNS-Server der Swisscom möglich).
Nach einigem Probieren kam ich dann auf die Lösung: Ich musste mich einmal via WiFi mit dem Zyxel AX7501 verbinden und nicht über das LAN-Kabel. Nach dem Herstellen der WiFi-Verbindung rief das Zyxel AX7501 automatisch ein Captive Portal der Swisscom auf, über welchen ich meinen Anschluss freischalten konnte. Man muss dazu sagen, dass ich das Zyxel AX7501 direkt angeschlossen habe, noch bevor die Internet Box 4 bei mir im Haus war. Unter Umständen gestaltet sich die Aktivierung anders, wenn zunächst die Internet Box 4 angeschlossen wird.
Nach dieser Aktivierung funktionierte dann auch direkt der WAN-Zugriff.
Wir bereiten nun die pfSense für die Verbindung über das Zyxel AX7501 im Bridge-Mode vor. Im Wesentlichen müssen wir die VLAN-ID setzen und die DHCP-Option 60. So wie zuvor auch beim ONT-Test. Ausserdem müssen wir die MAC-Adresse des registrierten Routers/ONTs spoofen. Das Setzen der DHCP-Option 60 ist bei der pfSense aktuell noch etwas kompliziert. Es besteht nicht direkt eine Option dafür im Interface. Man muss einen kleinen Umweg nehmen.
Wir loggen uns auf der pfSense ein und wechseln nach Diagnostics > Edit File und erzeugen eine Datei/home/swisscom.conf mit dem folgenden Inhalt.
interface "ix0" {
send dhcp-class-identifier "100008,0001,,pfSense 23.05";
}
Zu beachten ist, dass an der Stelle der Hardware-Bezeichner des WAN-Interfaces angegeben werden muss. Also nicht einfach "wan". Den Hardware-Bezeichner findet man unter Interfaces > WAN und dann direkt in der Überschrift.
Wir gehen nun nach Interfaces > WAN in den Bereich "DHCP Client Configuration" und aktivieren den "Configuration Override".
Damit die Swisscom unser Gerät noch als das bereits registrierte Gerät akzeptiert, müssen wir die MAC-Adresse vom WAN-Interface des ONT spoofen. Also entweder von der Internet Box (4) oder aber vom Zyxel AX7501. In meinem Fall nehme ich die MAC vom Zyxel, da ich diesen ja bereits vorgängig für die Registrierung bei der Swisscom benutzt habe. Beim Spoofen gibt sich die pfSense mit der definierten MAC-Adresse aus.
Wir bleiben dafür in Interfaces > WAN ganz oben und geben die MAC-Adresse ein.
Im letzten Schritt gehen wir auf Interfaces > Assignments > VLANs > Add und hinterlegen eine neue VLAN-Definition für das WAN-Interface.
Zu guter letzt versetzen wir das Zyxel ONT nun noch in den Bridge Mode, damit sämtliche Intelligenz ausschliesslich von der pfSense ausgeht und das ONT nur noch als Modem dient.
Wir öffnen dafür Network Setting > Broadband > GPON > Modify und schalten im Bereich General den Modus auf "Bridge" um.
Wenn Ihr nun die WAN-Schnittstelle der pfSense mit dem 10 Gbit-Interface des Zyxel verbindet, sollte die Internet-Verbindung via IPv4 funktionieren.
Es gab einiges zu beachten und zu recherchieren, um dieses Setup zum Laufen zu bringen. Ich bin zufrieden, dass es jetzt funktioniert. Mein 10 Gbit/s Copper SFP+ Modul in der pfSense wird nun ordentlich heiss. Zudem habe ich am Laptop nur 2.5 Gbit/s, ich habe noch keine Gegenseite im Internet gefunden, welche mich mit mehr als 0.5 - 1 Gbit/s beliefert und die pfSense-Hardware dreht auf allen 4 CPU-Kernen im absolut roten Bereich schon bei 2.5 Gbit/s. Die 2.5 Gbit/s schafft mein Anschluss jetzt aber nahezu.
Ich werde nun im Nachgang das 10 Gbit-Modul in der pfSense vorerst gegen ein 2.5 Gbit-Modul tauschen, um das Problem der Hitzeentwicklung nicht mehr zu haben.
Danke an die folgenden Quellen, welche mir bei meiner Recherche sehr weitergeholfen haben...
