<html><head></head><body>Regarding EAP Proxy on the UDM Pro, this looks promising — <a href="https://github.com/pbrah/eap_proxy-udmpro">https://github.com/pbrah/eap_proxy-udmpro</a><div><br></div><div>Thanks everyone for the information. I definitely have some things to consider and research. <br> <p class="gmail_quote" style="color:#000;">On February 13, 2022 at 11:21:21, Derek Atkins (<a href="mailto:derek@ihtfp.com">derek@ihtfp.com</a>) wrote:</p> <blockquote type="cite" class="gmail_quote"><span><div><div></div><div>Hi,

<br>

<br>Yes, the ONT is the Optical Network Terminal.  It's a small box that

<br>converts the fiber to ethernet, which then plugs into your network.  AT&T

<br>requires their box to authenticate over the ON to bring your network

<br>online.  And yes, an ER-4 is the Edgerouter 4.  I had an ER-X in place,

<br>but it can't switch fast enough to keep up with a fully-loaded 1Gbps

symmetric service (but the ER-4 can).

<br>

<br>The biggest issue I have had with the AT&T devices (and note that I also

<br>have a /29 of static IPv4 with them) is that even when using my static

<br>IPs, If I go through their gateway then I am subject to their NAT Table

<br>size limitations (and the added latency of their box).  This was the

<br>primary reason I went with an architecture to remove their box from my

<br>data path:  to remove their NAT table limits.  The fact that it also

removed about 10ms of latency is just an added bonus.

<br>

<br>I've never used a UDM Pro.  It's certainly possible that you could set up

<br>the EAP Proxy service there.  The fact that it uses SFP shouldn't make a

difference, but you will need 1000BaseT ethernet for the ONT input.

<br>

<br>Beyond that, I cannot really talk about the stability or reliability of

<br>their IPv6.  Like I said in my first post, I found that IPv6 performance

<br>wasn't as good as IPv4, but that was "by eye".  I can't really find a good

<br>way to measure that because speedtest is a false test (it only tests from

<br>your device to the other end of the fiber, effectively), and fast.com

<br>(which is a more realistic measurement) doesn't do IPv6.  And I turned it

<br>off because facetime stopped working (but again, I suspect that's due to

<br>firewall issues).  (FYI, I still do the DHCPv6-PD; I just turned off the

announcement of the delegation onto my LAN network).

<br>

<br>I elided the fact that I have two Edgerouter products on my network; I've

<br>got an ER-Pro8 behind the ER-4, so that is likely part of my facetime

firewall issue.  I just didn't spend a lot of time on it.

<br>

<br>-derek

<br>

<br>On Sun, February 13, 2022 10:47 am, James Sumners (ALE) wrote:

<br><blockquote type="cite">Let’s assume I’ve only ever picked up fiber cable and never actually

<br>installed or managed a network with it. From your diagram, I am picking up

<br>that the ONT is the device where the fiber terminates in my house, and the

ER-4 is an Ubiquiti Edge Router.

<br>

<br>I am likely to be getting an Ubiquiti UDM Pro to replace my pfSense box

<br>(given that I no longer need to care about tracking total bytes across the

<br>WAN interface). This gateway device has SFP+ ports. Would those factor

into your diagram in any way?

<br>

<br>How does using the AT&T gateway device as an authenticator only device

change the IPv6 reliability?

<br>

<br>On February 13, 2022 at 09:43:29, Derek Atkins

<br>(derek@ihtfp.com(mailto:derek@ihtfp.com)) wrote:

<br>

<br><blockquote type="cite">Just a small correction -- while AT&T does require their box to be

<br>online

<br>for 802.1x authentication, you can absolutely design a network where the

<br>AT&T box is not in the data path! Indeed, I've done that here. Basically

<br>my network looks like:

<br>

<br>--fiber-- [ONT] ---- [ ER-4 ] --- LAN

<br>|

<br>[AT&T Box]

<br>

<br>Using EAP Proxy and some firewall rules allows this to work and -- viola

-- AT&T box is no longer involved in your day-to-day data usage.

<br>

<br>-derek

<br>

<br>On Sun, February 13, 2022 9:23 am, James Sumners \(ALE\) via Ale wrote:

<br><blockquote type="cite">Sounding a lot like I’ll be hoping Comcast actually tries to compete

<br></blockquote>now

<br><blockquote type="cite">that AT&T has brought actual broadband to my area. 😔

<br>

<br>

<br>On February 12, 2022 at 19:17:58, Bryan L. Gay (ale@bryangay.com)

<br></blockquote>wrote:

<br><blockquote type="cite">

<br>I had both Comcast and AT&T Fiber for years in Kennesaw. I was never

<br></blockquote>able

<br><blockquote type="cite">to get IPv6 delegation working reliably on AT&T, even after they

<br></blockquote>stopped

<br><blockquote type="cite">doing 6rd. I have Comcast now at the new place, 1.2Gbps downlink, and

<br></blockquote>have

<br><blockquote type="cite">never had an issue with Comcast's IPv6. AT&T just never seemed to get

<br>their act together. While having 1Gbps symmetric over IPv4 was great,

<br></blockquote>and

<br><blockquote type="cite">it was less expensive, I'm happily on Comcast, now. AT&T requires you

<br></blockquote>use

<br><blockquote type="cite">their gateway, which introduces other recurring problems. On Comcast,

<br></blockquote>I

<blockquote type="cite">own my own DOCSIS dumb modem.

<br>

<br>On Fri, Feb 11, 2022, 17:06 James Sumners (ALE) via Ale <ale@ale.org>

<br>wrote:

<br>

<br>

<br>Earlier today AT&T attached some fiber to the pole directly across the

<br>street from my driveway. I’m sure it will take them another month or

<br></blockquote>two

<br><blockquote type="cite">to activate the line, but I want to go ahead and solicit some

<br></blockquote>knowledge

<blockquote type="cite">from you folks.

<br>

<br>Currently, I’m on Comcast (plain residential). I despise the business,

<br></blockquote>but

<br><blockquote type="cite">their network people are top notch and have rolled out a nice stable

<br></blockquote>IPv6

<br><blockquote type="cite">network. They assign my WAN interface a `/128` and allow network

<br>assignments via a `/64` or `/60` prefix delegation over DHCPv6. The

<br></blockquote>`/60`

<br><blockquote type="cite">allows me to create multiple VLANs in my house for things like IoT

<br></blockquote>devices

<blockquote type="cite">separate from my primary devices.

<br>

<br>Does anyone have experience with AT&T’s IPv6 implementation? Would

<br>switching to them be mostly transparent in this regard? Are there any

“gotchas” that I should be aware of?

<br>_______________________________________________

<br>Ale mailing list

<br>Ale@ale.org

<br>https://mail.ale.org/mailman/listinfo/ale

<br>See JOBS, ANNOUNCE and SCHOOLS lists at

<br>http://mail.ale.org/mailman/listinfo

<br>_______________________________________________

<br>Ale mailing list

<br>Ale@ale.org

<br>https://mail.ale.org/mailman/listinfo/ale

<br>See JOBS, ANNOUNCE and SCHOOLS lists at

<br>http://mail.ale.org/mailman/listinfo

<br>

<br></blockquote>

<br>

<br>--

<br>Derek Atkins 617-623-3745

<br>derek@ihtfp.com www.ihtfp.com

<br>Computer and Internet Security Consultant

<br>

<br></blockquote>

<br>

<br></blockquote>

<br>

<br>--  

<br>       Derek Atkins                 617-623-3745

<br>       derek@ihtfp.com             www.ihtfp.com

<br>       Computer and Internet Security Consultant

<br>

<br></div></div></span></blockquote> <br><div  class="gmail_signature"></div>

</div></body></html>