Настройка C-DATA xPON ONT 1GE FD511G-X + МГТС + Mikrotik

Дано: МГТС, роутер Innbox G84 (оптика на входе в квартиру) и за ним Mikrotik

Задача: Заменить роутер провайдера на нормальное решение

Зачем? Тут каждый отвечаем самостоятельно, я решал следующие задачи:

• Я хочу избежать двойного NAT (роутер Innbox → роутер Mikrotik) и получать IP непосредственно на порту Mikrotik'а (включая IPv6)
• Роутер Innbox G84 большой, немного излишне нагревается и занимает драгоценное место в щитке, в планах разместить там еще пару коробочек
• Паранойя - чужое оборудование на моей территории мне не нужно, даже вроде бы настроенное под меня
• Если что-то сдохнет - у меня есть запаска в виде убранного в шкаф Innbox

Таким образом вариант перевода Innbox G84 в бридж был отклонен, как и вариант воткнуть SFP-модуль в Mikrotik (они довольно сильно греются, есть особенности с поддержкой со стороны провайдера, купленный вариант не заработал и я решил пойти более простым путем)

• Купить подходящий оптический абонентский терминал, работающий с моим провайдером (МГТС)
• Снять текущие настройки с роутера провайдера Innbox G84 - они нужны для настройки и без них ничего не заработает
• Настроить новое устройство для преобразования оптического сигнала в Ethernet
• Настроить мой домашний роутер Mikrotik

Внимание: при покупке необходимо определиться с типом порта на оптическом терминале! Зеленый штекер: SC/UPC, синий штекер: SC/APC и они НЕ совместимы. Есть вариант через преобразователи, но зачем городить огород и терять на преобразованиях?

После перебора вариантов остановился на C-DATA xPON ONT 1GE FD511G-X (Зеленый штекер SC/UPC):

• Маленький но удаленький:
  • Потребляемая мощность: <3W, 12V/0.5A
  • Размер: 78мм*78мм*23.5мм (Д*Ш*В)
  • Масса: ~62.7 г
  • Рабочая температура: 0~40 ℃
• Скорость:
  • GPON: 2,488 Гбит/с / 1,244 Гбит/с downstream/upstream
  • EPON: 1,25 Гбит/с downstream/upstream
  • Ethernet-интерфейс: 1*10/100/1000M автосогласование Full/half duplex mode
• Точно умеет работать с МГТС (с Ростелекомом тоже, но нужно понимать что делаешь)

Мне помогла инструкция с 4PDA: https://4pda.to/forum/index.php?showtopic=1038399&st=640#entry122601615

• Заходим под обычной учёткой admin:admin
• Выходим. Логинимся под учёткой mgts:mtsoao
• Переходим в «Система → Перезагрузка/Сброс конфигурации». Открываем инструменты для веб-разработки (F12). Ищем в коде упоминания «display: none». Мы должны найти вот этот тэг:

  <tr id="show_old_config" style="display: none;">

  и

  display: none

  меняем на

  display: visible

• В итоге у нас появится новая кнопка: «[OLD]Сохранить настройки на локальный жесткий диск:». Качаем этот конфиг. Получаем файл «config.bin»
• Открываем скачанный конфиг в любом HEX-редакторе (я использовал FAR). Удаляем всё байты до «Salted». Сохраняем измененный файл. У меня он называется «config.binm»
• Далее расшифровываем полученный конфиг. Открываем терминал, используем openssl (в Windows его можно установить при помощи WinGet:

  winget search openssl

  ) и запускаем команду:

  openssl enc -d -aes-256-cbc -md md5 -in ./config.binm -out config.gz -pass pass:InnboxG84

• Получаем «config.gz», внутри которого находится файл «config» - распаковываем его куда-нибудь. Он представляет из себя обычный XML файл со всеми настройками (в т.ч. и паролем от superadmin)
• Мы же ищем строки (в разделе <X_INNBOX_GPON>), что-то вроде:

<VendorId>ISKT</VendorId>
<SerialNumber>ISKTNNNNNNNN</SerialNumber>
<OnuType t="unsignedInt">0</OnuType>
<Password>PPPPPPPP</Password>

Эти два пункта выполяем только если нужно подключиться к Innbox G84 с правами суперадмина

• Открываете файл в любом текстовом редакторе и ищете упоминание superadmin. Получаем пароль. Подключаемся через SSH для разблокировки пользователей:

  csmconf -s /sys/user/1/disable 0; csmconf -s /sys/user/2/disable 0

• Ну и теперь под пользователем superadmin подключемся к веб-морде

Итак, у нас есть:

• Серийный номер и пароль из старого роутера провайдера
• Новый оптический терминал
• Роутер Mikrotik (ну или какой-нибудь еще)

Мы готовы у настройке, выполняем:

• Отключаем роутер провайдера от оптики и домашнего роутера
• Включаем новый оптический терминал, подключаем оптику в разъем и провод от домашнего роутера в LAN
• На домашнем роутере на интерфейсе подключенном в оптический терминал (WAN) настраиваем IP адрес: 192.168.101.2/24 - теперь мы должны видеть терминал
• Так же на домашнем роутере настраиваем DHCP Client на интерфейсе подключенном в оптический терминал (WAN) - так будем получать IP от провайдера сразу на Mikrotik

Из файла config что получили на предыдущем этапе берем серийный номер «PON SN» и «SN Password» (пароль от него)

Заходим через веб-интерфейс на http://192.168.101.1/

Логин: adminisp

Пароль: adminisp

ВНИМАНИЕ: На самом терминале написаны логин и пароль admin/admin - это учетная запись с органиченными правами, под ней настройку сделать не получится! Если есть проблемы с логином/паролем можно выполнить сброс терминала кнопкой Reset по описанию в инструкции.

Настройка:

• Самое первое и важное - меняем пароль пользователя adminisp, не оставляйте стандартный
• Internet → PON, заполняем поля:
  • LOID: пусто (удаляем все что есть)
  • LOID Password: пусто (удаляем все что есть)
  • PON SN: заполняем нашим серийником (в примере выше ISKTNNNNNNNN)
  • SN Password: заполняем нашим паролем (в примере выше PPPPPPPP)
  • Vendor ID: ISKT
  • GPON Mode: Default Mode
  • Нажимаем Apply
• Internet → WAN, удаляем все что там есть, нажимаем Add
  • VLAN - включаем
  • VLAN ID: 3 (если не работает пробуем 30 или смотрим настройки роутера провайдера)
  • Priority: 0
  • Mode: Bridge
  • Service Type: INTERNET
  • Нажимаем Apply и немного ждем - терминал должен зарегистрироваться у провайдера

Проверяем:

Переходим на основной экран (Home) и проверяем GPON (справа) - должна быть надпись «Registration Success» и показывать уровень сигнала:

А в разделе Internet → PON должен быть зеленый PON Status: Registration successfully (O5)

Проверяем IP на домашем роутере Mikrotik - должен быть получен адрес от провайдера:

Проверяем работу интернета - все должно работать. Если адрес есть но что-то не работает - проверяем настройки DNS и прочее.

В разных регионах провайдер может менять настройки, поэтому если настройки выше не заработали - попросим провайдера помочь нам с настройкой (все что ниже для МГТС, если у вас другой провайдет - смотрите настройки на роутере провайдера в раздере TR-069):

• Удаляем нерабочие настройки в Internet → PON и Internet → WAN
• Переходим в Management → Remote Management
• Enable TR-069 - включаем и заполняем поля:
  • URL: http://acs.mgts-spdop.ru:7547
  • Username: ag
  • Password: ag
• Нажимаем Apply
• Ждем несколько секунд
• Переходим в разделы Internet → PON и Internet → WAN, смотрим какие настройки получены от провайдера, записываем параметры. Так же нужно обратить внимание что оптический терминал должен получить IP адрес, он отобразится на домашней странице
• Если все ОК - выполняем следующие пункты, иначе нужно звонить провайдеры и выяснять с ним особенности подключения
• Отключаем Management → Remote Management → TR-069
• Создаем руками новые записи в Internet → PON и Internet → WAN с теми данными что мы получили

Если на WAN порту оставить IP 192.168.101.2 то останется возможность управлять оптическим терминалом. Если это не особенно нужно или есть опасения в плане безопасности - выключите IP. При необходимости можно будет включить обратно.