Skip to content

T-Mobile Thuis fiber with EdgeRouter X SFP (updated)

Last updated on October 16, 2021

Update 10-2021: I have updated this post at the end since it is for (some) new customers possible to configure only VLAN300 for both internet and television. So a router with built-in switch is not required.

In my previous post I have shown you my configuration with T-Mobile Thuis fiber with the EdgeRouter Lite. I’ve told you there that I still had a few configuration issues with IPTV. I wasn’t able to create a working scenario without a few (annoying) workarounds.
So to create a better working setup I have chosen to replace the EdgeRoute Lite with the EdgeRouter X SFP. As the name already tells you, this router has an built-in SFP (fiber) port. This router is alo has switching capabilities and PoE (Power over Ethernet) to directly power my Ubiquiti Access Points.

My set-up

I have updated my set-up a bit since my last post. I have added the (two) Ubiquiti AP’s to the PoE ports on the EdgeRouter instead of the managed switch, so I can get rid of the PoE converters. The T-Mobile settopbox is directly attached to the EdgeRouter. I can also chose to attach these to the managed switch, so I can add more settopboxes than two. All my other ethernet devices are attached to the managed switches (like my Tradfri gateway, PS4, SmartTV, HTPC, etc.)
Both switches are configured to deliver VLAN300 (internet) and VLAN640 (IPTV). Between both switches is a trunk configured to transfer both VLAN’s.

The configuration of the EdgeRouter X SFP

Below here is a copy of my configuration with a few details like port mappings, IP assignments and passwords cleared.
In short, i have the following configuration:

  1. Configure ETH5/SFP as the WAN port;
  2. Create an internal switch for seperating traffic to VLAN300 (internet) and VLAN640 (IPTV) and VLAN1 for the internal network;
  3. Configure the PoE ports for the Access Points;
  4. Configure the internal switch and assign the ports on the router for internet, internal network or iptv;
  5. Configure default firewall rules, allow NAT, configure offloading, etc.

Click ‘read more’ to view the configuration details.

Robin@edgerouter:~$ show configuration
firewall {
    all-ping enable
    broadcast-ping disable
    group {
        network-group LAN {
            description "LAN Subnet"
            network 192.168.1.0/24
            network 192.168.100.0/24
        }
    }
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name WAN_IN {
        default-action drop
        description "WAN to internal"
        rule 10 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "WAN to router"
        rule 10 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    ethernet eth0 {
        description "LAN - To Managed Switch"
        duplex auto
        poe {
            output off
        }
        speed auto
    }
    ethernet eth1 {
        description "LAN - Wireless Living Room"
        duplex auto
        poe {
            output 24v
        }
        speed auto
    }
    ethernet eth2 {
        description "LAN - Wireless First Floor"
        duplex auto
        poe {
            output 24v
        }
        speed auto
    }
    ethernet eth3 {
        description "IPTV - Bedroom 1"
        duplex auto
        poe {
            output off
        }
        speed auto
    }
    ethernet eth4 {
        description "IPTV - Living Room"
        duplex auto
        poe {
            output off
        }
        speed auto
    }
    ethernet eth5 {
        description "WAN - Fiber"
        duplex auto
        speed auto
    }
    loopback lo {
    }
    switch switch0 {
        description Switch
        mtu 1500
        switch-port {
            interface eth0 {
                vlan {
                    pvid 1
                }
            }
            interface eth1 {
                vlan {
                    pvid 1
                }
            }
            interface eth2 {
                vlan {
                    pvid 1
                }
            }
            interface eth3 {
                vlan {
                    pvid 640
                }
            }
            interface eth4 {
                vlan {
                    pvid 640
                }
            }
            interface eth5 {
                vlan {
                    vid 640
                    vid 300
                }
            }
            vlan-aware enable
        }
        vif 1 {
            address 192.168.1.1/24
            description "Switch - VLAN - Local"
        }
        vif 300 {
            address dhcp
            description "Switch - VLAN - Internet"
            firewall {
                in {
                    name WAN_IN
                }
                local {
                    name WAN_LOCAL
                }
            }
            mtu 1500
        }
        vif 640 {
            description "Switch - VLAN - IPTV"
            mtu 1500
        }
    }
}
service {
    dhcp-server {
        disabled false
        hostfile-update disable
        shared-network-name LAN {
            authoritative enable
            subnet 192.168.1.0/24 {
                default-router 192.168.1.1
                dns-server 192.168.1.1
                domain-name vanbruggen
                lease 86400
                start 192.168.1.51 
            }
        }
        static-arp disable
        use-dnsmasq disable
    }
    dns {
        forwarding {
            cache-size 150
            listen-on switch0
            listen-on switch0.1
            listen-on switch0.300
            listen-on switch0.640
            options localise-queries
            options expand-hosts
            options bogus-priv
            options domain-needed
        }
    }
    gui {
        http-port 80
        https-port 443
        older-ciphers enable
    }
    nat {
        rule 5010 {
            description "masquerade for WAN"
            log disable
            outbound-interface switch0.300
            protocol all
            source {
                group {
                    network-group LAN
                }
            }
            type masquerade
        }
    }
    ssh {
        port 22
        protocol-version v2
    }
}
system {
    domain-name vanbruggen
    host-name edgerouter
       user Robin {
            authentication {
                encrypted-password ****************
                plaintext-password ****************
            }
            full-name ""
            level admin
        }
    }
    name-server 8.8.8.8
    name-server 8.8.4.4
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    offload {
        hwnat enable
        ipsec enable
    }
    static-host-mapping {
        host-name edgerouter {
            alias edgerouter.vanbruggen
            inet 192.168.1.1
        }
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level debug
            }
        }
    }
    time-zone Europe/Amsterdam
    traffic-analysis {
        dpi disable
        export disable
    }
}

A screenshot from the EdgeRouter dashboard after the configuration:

Update: Television without seperate VLAN

It has been a while since I did something with the T-Mobile fiber network. My household has stopped using the T-Mobile television and switched to streaming services only so we have cancelled that subscription and only use the 1000mbit internet connection. I am using the EdgeRouter 6P now.

Last week I was asked to setup a T-Mobile fiber network at someone’s house. I have set it up with the EdgeRouter X SFP. I learned that (some?) new customers will get their fiber to the home using a GPON splitter. You will not attach the fiber cable to the router and will have an ethernet cable coming out of the splitter to your router.

I only had to configure VLAN300 and the TV signal was available without having to configure VLAN640. This made the setup very easy. Just a basic router setup, WAN on one of the ethernet ports using VLAN300. You can do this using the basic Edgerouter setup wizard.

Published inNetworking

44 Comments

  1. Gilimanjaro Gilimanjaro

    Thanks for this; because I saw you managed, I got the X SFP too.

    For those finding this, and wanting to accomplish this without using the CLI:
    – I used the Draytek SFP module, and had to click it and set the link speed to 1Gbit instead of auto-negotiate for it to come up
    – I used the standard wizard for routing, with the only non-default setting being the ‘internet is on VLAN’ and specifying 300 (and the keep users flag)

    (haven’t tried configuring TV yet (because I don’t have it) and I don’t have a 2nd smart-switch yet, so also haven’t configured a trunk-port yet )

  2. Gilimanjaro Gilimanjaro

    (also, in the diagram you’re off-by-one for all ethernet ports; they go from eth0 to eth4. eth5 is indeed the sfp port)

  3. Dre Dre

    Good Guide,
    I want to build something similar but on the UniFi platform of ubiquity, do you have tips as how to vlan separate if I have a USG-PRO-4 with a physical Fiber Switch (us-24)?

    With kind regards,

    Dre

    • Hi Robin, Ja, ik heb met deze instellingen zowel internet als IPTV werkend (wordt dagelijks gebruikt).
      Je zou mijn configuratie nog eens goed kunnen bekijken naast de configuratie op Tweakers die je hebt doorgevoerd. Mocht je er niet uit komen, geef even een seintje en/of mail me, ik kan altijd even mee denken!

      • Joost Joost

        Ik heb zojuist dezelfde setup gekozen dus met de Edgerouter, alleen hapert de televisie regelmatig en dat lijkt hij met de Zyxel T50 Router niet te doen.
        Heb jij dat ook.

        De kunst is overigens om gewoon een switch0.300 aan te maken voor extern, op die manier kun je het iptv vlan gewoon doorzetten naar een van de poorten

  4. Erik Hoekstra Erik Hoekstra

    Hey Robin,

    Welke SFP module heb je in de EdgeMax X SFP gestopt? Vanuit T-mobile wordt het met een converter geleverd .. SC multimode gok ik? Ik wil graag eenzelfde setup uitvoeren maar loop vast op de juiste SFP module ..

  5. Michel van den Hoek Michel van den Hoek

    Hoi Robin ik heb ook de EdgeRouter X SFP en T-Mobiel thuis alleen internet. is het makkelijk om de TV uit config te halen zodat alle poorten alleen internet hebben ?

    • Ja dat is zeker makkelijk. Je ziet in mijn configuratie dat ik eth3 en eth4 op VLAN640 heb gezet. Deze kan je aanpassen naar VLAN1 zoals je bij de eerste poorten ziet.

  6. Wing Wing

    Doet ie het ook goed op een 750mbit abbo? Lees er verschillende verhalen over (crashende router bij hoge doorvoer).

    • @Wing dat durf ik je niet te zeggen. Ik test hem met maximaal 200/200 en dat haalt hij met veel gemak en vraagt vrij weinig van zijn hardware. Zonder dat te testen denk ik dat 750 wel gaat lukken qua specificaties maar dat ligt wellicht aan het totaalplaatje van je netwerk en wat je er van gaat vragen en met hoeveel clients tegelijk. Zal je de volle 750 mbit vaak gaan aanspreken? Met veel clients?

      • Wing Wing

        Denk dat dat wel meevalt in de praktijk, maar af en toe trek ik wel de hele verbinding dicht met downloads etc. Heb nog even verder onderzoek gedaan op tweakers. Blijkbaar moet het wel lukken zolang hardware offloading maar aan staat. In dat topic wordt ook naar deze blogpost gelinkt overigens. Echter zegt iemand anders:

        “Ik zou trouwens niet voor de Ubiquiti EdgeRouter X SFP gaan als je een 750/750 abonnement hebt, ik heb hier namelijk wat problemen mee. Om de volledige snelheid te halen is het noodzakelijk om hardware offloading aan te zetten. Echter, als ik m’n verbinding flink dicht trek (bijv. usenet of torrents) dan crasht de router op een gegeven moment. Als ik hardware offloading uit zet heb ik dit probleem niet, maar kom ik qua snelheid niet boven de 500 Mbit. Probleem is dat hardware offloading voor zover ik weet niet officieel ondersteund wordt, dus ik kan met dit probleem ook niet bij Ubiquiti terecht.”

        Vervolgens wordt de MikroTik hEX PoE – RB960PGS aangeraden als alternatief

  7. Vincent Vincent

    Hi Robin,
    Thanks for your great guide. So I also have T-Mobile, internet and TV. But I want to mask my internet trough a VPN connection, NordVPN. I tried some stuff, but the issue is that TV is not working.

    My idea was to I have it on eth0 (ER-X SFP ES-150w) or on VLAN 300? But In doing something stupid 😉 It has to be.
    My setup is an ER-X SFP, an ES-150w and a 4 UniFi Pro’s.

  8. Harry Harry

    Is er een mogelijkheid om de firewall instellingen ook “grafisch” te plaatsen?
    Ik heb de basis ook via de grafische interface gedaan, dus misschien is het mogelijk om daar mee verder te gaan?

    Ik gebruik ook T-Mobile en heb de sfp in de edgerouter 6p gestoken, vlans 300 & 640 ingesteld (zoals in het overbekende topic op tweakers) en wat basisregels ingesteld, maar ik kan verder geen voorbeelden vinden.

      • Harry Harry

        Hallo Robin, ik heb nog geen reactie gehad – misschien ben je te druk met werk – maar ik zou ze graag ontvangen.

        Mijn mail adres is;

        harxxvdlxxx@gmail

        Bewust zo, zodat ik geen spam krijg.

        Vriendelijke groet

        Harry

  9. Hoi Robin,
    mijn config is nu de standaard glas naar ethernet converter>>tmobilebox>>>fritzbox7581
    ik wil eigenlijk van deze dubbele routercombi af aangezien ik hier van
    openbaar-ip>>>192.168.0.x>>>192.168.178.x ga.
    eigenlijk wil ik direct uit het glas de vlans splitsen naar 1 poort vlan300 waarop de fritzbox wordt aangesloten en 3 poorten vlan640 waarop ik probleemloos 3 settopboxen voor tv kan aansluiten.
    vraag is of dit met de Edgerouter X SFP wil lukken

  10. Martijn van Engelenburg Martijn van Engelenburg

    Hi Robin,

    What a super tutorial you choose to share with us! It realy helped me to get it going. Would you like to share the basic firewall rules as well? The EdgeRouter is connected to the web and it is realy scary to think that it is poiible that I am inving the whole web to my LAN.

    I currently have only switch0.300 as interface for both IN aswel as LOCAL. I do not realy understand the GROUP thing in your connfig. Maybe a screenshot?

    Thank you in advance. With kind regard,

    Martijn

  11. R. Bode R. Bode

    Robin,
    fantastisch werk en door de configuratie file goed te volgen.
    Ik heb jouw opzet voor mijn Edgerouter X gebruikt. (aangepast voor het poort gebruik etc.)
    Het werkt voor IPTV maar ik kan het internet niet bereiken.
    Moet er nog een firewall rule voor VLAN1 zijn om via VLAN 300 naar het internet te kunnen gaan?

    • Ik zag je mail en begreep dat het inmiddels werkt! Ik heb alleen regels op VLAN300 voor het internet verkeer. Extra regels op VLAN1 is niet nodig.

  12. Senad Senad

    Hi Robin,

    Thanks for the nice guide but I need your help 🙂 so I am trying to do the same but with EdgeRouter™ 12P but I can’t find the right configuration! help, please?

    Thanks,

  13. Igor Igor

    HI Robin,

    Ik heb een ER X zonder SFP module. Zou je mij kunnne helpen met de config file?
    1. T-Mobile Thuis 1Gb glas
    2. Lokale netwerk moet op 192.168.18.1-254 zijn.
    3. Wan moet op eth0 zijn -> die van jou komt op eth5 (sfp)
    4. 1 Iptv moet op eth1 zijn.

    Ik probeer jouw config toe te passen maar kom er echt niet uit.

  14. Michiel Michiel

    He Robin,

    Ik gebruik de edgerouter-X SFP omdat mijn UDM pro nog geen VLANs op de WAN poort ondersteund.
    Deze setup van jou werkt perfect, nog wel een vraag, hoe forward ik internet verkeer (eigenlijk alle verkeer) naar mijn UDM-pro ?
    Dus vanaf de edgerouter alles forwarden naar de udm-pro op eth0 ?
    Fijn als je me zou kunnen helpen.

    mvg
    Michiel

  15. N.P N.P

    Hi Robin,

    Thanks for the helpful post. Do you know if this setup works for Tmobile DSL as well? I cannot seem to get it to work unfortunately. I am using the T-mobile Zyxel T50 modem –> EdgeRouter X –> TP-link switch –> TV, PCs, IoT devices. If I use the 300,640 vlans as you have it set up, I still am not able to get TV to work.

    Thanks

    • I’m not sure, I am not familiar with the DSL settings. You should try and ask this question at the T-Mobile Community forum.

  16. Maarten Maarten

    Hi Robin,

    Thanks a lot for your guide, this makes it really easy to implement the Edgerouter X SFP on a T-mobile fiber connection. However, I do not seem to get a link on the SFP connection. The Edgerouter detects the Draytek SFP module (P/N: 455-0000007-01, Model: BIDI,1.25G,TX13,RX14/15,20KM,SC,3.3V) in the webUI where it mentions the correct brand and part number, but the link stays down. As mentioned elsewhere, I did attempt to set the speed and duplex mode to 1000 and full through the CLI, power cycled the router, but without any succes. I have also tried the firmware 1.7.10 and 2.0.9 without any luck.

    When I install the SFP module back in the Draytek Vigor 2132, I get a link and working connection immediately.

    Do you have any suggestions for further investigation? I looked for ordering an Ubiquiti supported SFP module, but modules with SC connectors are not easy to find. If all fails, I will try my luck with ordering a customized module from FS.

    Thanks again!

  17. Nick Nick

    Hoi Robin,

    Ten eerste bedankt voor deze instructie, erg leerzaam.
    Ik heb van de week een Edgerouter X gekocht en wil deze gaan vervangen met de T-mobile ZYXEL VMG8825-T50, nu ondersteund deze de zo gehete any port any service en dit wil ik op de zelfde manier configureren op de Edgerouter alleen kom ik er niet uit hoe. Weet jij hoe dit te configureren is op de Edgerouter?

    Groetjes, Nick

  18. A5S A5S

    Hoi Robin

    Vriendelijk bedankt voor de moeite om deze informatie te delen. Moest even puzzelen hoe eea zich vertaalde naar mijn persoonlijke setup maar daarna werkt de EdgeMAX X SFP exact zoals ik het wilde…

    Mvgr
    A5S

  19. Wesley Wesley

    Hi allemaal,

    Ik heb onlangs mijn EdgerouterX geinstalleerd en het werkt prima. Wat ik wel merk is dat de down-/upload iets lager is over de edgerouter. Ik heb hardeware offloading enabled. Maar op de Zyxel T-50 haalde ik rond de 920 mbit/s en nu haal ik ‘nog maar’ 840 mbit/s bij een gigabit t-mobile verbinding. Is dit iets dat jullie herkennen?

  20. Alexander Alexander

    Hi Robin,

    Dank voor je interesante blog. Heb wel een vraag. Ik krijg binnenkort T-mobile fiber. En heb nu ziggo (met modem in bridge mode). En een Edgerouter 12(met 2 FSP poorten). Echter de Edgerouter bevind zich niet id buurt van het glasvezel kastje. En ik kan alleen een bestaande CAT6 kabels gebruiken om van het glasvezel kastje bij mijn Edgerouter te komen. Je gaf aan dat je wat work arounds nodig had om het zonder de FSP poort voor elkaar te krijgen. Wil je aangeven welke dat waren? Dit omdat ik zelf nog in mijn netwerk op termijn nog wil opdelen in verschillende VLAN’s voor de verschillende etages. En op iedere etage op termijn nog een eigen TV aansluiting wil aanleggen.

    • Hi Alexander, Heb je het installatiepakket van T-Mobile al ontvangen? Dan kan je even kijken welke type converter er bij zit. T-Mobile zet zelf al een converter neer van je glasvezelkabel naar RJ45/gewone netwerkkabel. Deze kan je omzetten naar je eigen kabel richting de Edgerouter. Dit kan je wellicht even aanzientot ze hem plaatsen. Doen ze dit toch niet? Dan kan je vrij gemakkelijk een eigen converter kopen.

      • Alexander 2 Alexander 2

        Ik heb een vergelijkbare situatie als Bovenstaande Alexander. Enige verschil is dat ik overstap van de Edgerouter 10 naar een UDM SE. De reden daarvoor is dat ik te weinig er mee werk en daadoor de instellingen niet goed genoeg kan doorgronden. En de UDM SE is dat een stuk eenvoudiger.

        Dus mijn setup:
        Glasvezel FTU die op Odido ONT wordt aangesloten.
        Van daaruit ga ik met een CAT6 UTP naar de bovenliggende meterkast waar de UDM SE staat. Vanaf de UDM verdeel ik naar de verschillende etages die elk een eigen VLAN hebben.

        Nu lees ik dat ik VLAN 300 moet toewijzen aan de WAN poort (#9) van de UDM SE om Odido glasvezel te laten werken. Dus ik dacht ik test het eerst thuis even uit. Heb UDM SE ingesteld met alle lokale VLAN’s en heb de machine achter een andere UDM router gehangen. Alles werkte lekker tot ik VLAN300 toewees aan de WAN poort van de SE. Kon niet meer bij de machine en moest hem herstellen tot default settings voordat ik er weer bij kon.
        Wat doe ik verkeerd? Had ik eerst een VLAN 300 moeten aanmaken in de UDM SE? Of moet ik de WAN VLAN eerst koppelen aan de lokale VLAN’s? of had het allemaal gewoon gewerkt als ik de machine aan een glasvezel ONT had aangesloten.

        Kortom wat doe ik verkeerd?

        • Hey Alexander,
          Waar heb je je VLAN poort ingesteld? Als je in de console naar Settings -> Internet toe gaat, je WAN poort selecteert en daar VLAN ID instelt op 300, zal het wel gaan werken. Verder hoef je niets aan te passen.

  21. Alexander2 Alexander2

    Hai Robin, ok dank je.

    1. Dus ik hoef alleen onder Settings-> internet VLAN 300 toe te wijzen.
    2. Dus niet onder Settings->networks ook nog eens extra de VLAN 300 aan te maken?

    Ik had stap 1 gedaan. Maar toen kon ik UDM SE niet meer benaderen. Kan het zijn dat dat kwam omdat hij achter een andere router stond waarop ik geen VLAN300 had aangemaakt?

    • Ik zou hem inderdaad rechtstreeks koppelen, niet nog met een andere router er tussen. Anders moet die eerst VLAN300 doorgeven.

  22. Bert Pistoor Bert Pistoor

    Hallo, sinds kort ook Fiber van TM, alleen toewijzen van ip-addressen geeft soms problemen. Voor gebruikte ik een Edge lite router op mijn dsl aansluiting . Wil deze config wel uitproberen ..
    Ben alleen een beetje huiverig dat ik niet meer in de router kom vanwege dit..
    system {
    domain-name vanbruggen
    host-name edgerouter
    user Robin {
    authentication {
    encrypted-password ****************
    plaintext-password ****************
    }
    full-name “”
    level admin
    }
    Of denk ik verkeerd…

    Bert

Leave a Reply to Erik Hoekstra Cancel reply

Your email address will not be published. Required fields are marked *