Vigor 167 Modem Menü im heimnetzwerk erreichbar machen?

[Engaged]

.

Hat ein Modem, das eigentlich ein Router ist, aber zwei LAN-Ports, von denen einer in der Bedienungsanleitung explizit zur Konfiguration vorgeschlagen wird, sollte man davon ausgehen können, dass der Hersteller auch etwaige Sicherheitsrisiken einkalkuliert - zB indem Port2 durch ein internes VLAN oder gar einen zweiten physischen NIC abgekapselt wird. Es ist ein wenig befremdlich, dass DrayTek hier selbst ein Sicherheitsrisiko einräumt, wenn der Provider "Mist baut".

Eigentlich müsste man das Annehmen ja, ich hoffe jetzt auch nur dass die Telekom kein Mist baut, und die Tage welche das hier im Netzwerk eingebunden war nicht schlimm waren. 🫣

Und technisch sollte dem tatsächlich nichts im Wege stehen das ordentlich umzusetzen, warum das im auslieferungszustand nicht direkt so ist weiß der Kuckuck. 🤷🏻

 

[riversource]

Unabhängig von "Mist bauen" sollte man sein eigenes Netz sauber aufsetzen. Die Vermischung von WAN und LAN ist für mich nicht sauber.

 

[Raijin]

Ja doch, aber du missverstehst meinen Punkt @riversource


Modem
(LAN1)
|
Switch
+---- (WAN) Router
+---- (LAN) Router

So vermischt man in der Tat WAN und LAN, weil man das Modem nun mal nur einen Port hat, der explizit für den Router gedacht ist und nicht per Switch vervielfältigt werden sollte.


Aber das hier..

Modem
+-(LAN1) --- (WAN) Router
+-(LAN2) --- (LAN) Router

.. ist meiner Meinung nach eine gänzlich andere Situation, es sei denn LAN1 und LAN2 im Modem sind intern als Switch zusammengelegt, was wiederum in obiger Situation endet. Mein Punkt ist nun aber der, dass es in der Macht des Herstellers läge, eben diese beiden Ports NICHT als Switch auszuführen, sondern als 2 individuelle, vollkommen autarke Schnittstellen, ggfs sogar mit 2 physischen NICs. Damit gäbe es keinerlei Vermischung von WAN und LAN.


Es wäre für DrayTek daher ein Klacks. ungeachtet der (nicht)vorhandenen Schutzmechanismen der Provider einen sicheren Zugriff auf die Konfiguration des Geräts zu ermöglichen. Schließlich ist ein Vigor am Ende immer noch ein Router mit all seinen Möglichkeiten und er könnte LAN2 sozusagen als "Gast-LAN" bzw. in dem Falle "Config-LAN" absichern, nur lokal, nur GUI rein und raus, nix anderes.

 

[Engaged]

Ich verstehe es jetzt zwar auch, aber es sollte trotzdem wie in dem zweiten Schaubild von @Raijin sein, einfach weil es nicht zusammengehört (klingt komisch ist aber so).

Fazit: Heißt also im Ist-Zustand leider auf keinen Fall zu empfehlen das zu machen! 😅

 

[riversource]

Modem
+-(LAN1) --- (WAN) Router
+-(LAN2) --- (LAN) Router

Vielleicht bin ich mit meinen über 50 Lenzen schon zu alt dafür, aber das ist für mich kein klassisches Modem. Vielleicht gibt es Geräte, die das so umsetzen, aber sicher drauf verlassen würde ich mich nicht. Aber es stimmt natürlich: So könnte man WAN und LAN trennen und unabhängig drauf zugreifen. Das ist dann auch keine Sicherheitslücke mehr. Ich kenne aber kein Gerät, dass das so macht. Oben die Beschreibung von Zyxel ist da ebenfalls nicht eindeutig, denn sie beschreibt nicht, was nicht geht. Demnach kann man nicht ausschließen, dass LAN1 ebenfalls das Modemsignal führt. Ganz ehrlich: Bevor der Modemhersteller das Risiko eingeht, haufenweise Service Anrufe zu bekommen, weil die Leute auf LAN1 kein Internet bekommen, legt er es da lieber hin. Ich würde das in meiner Netzwerkarchitektur jedenfalls einkalkulieren.

Modem
(LAN1)
|
Switch
+---- (WAN) Router
+---- (LAN) Router

Das ist für mich ein klassisches Modem, wie ich es in den 90ern mal gelernt habe. Dabei ist es egal, ob der Switch extern oder im Modem integriert ist. Alle LAN Schnittstellen des Modems führen das gleiche Signal nach draußen.

 

[Engaged]

Ich kenne aber kein Gerät, dass das so macht. Oben die Beschreibung von Zyxel ist da ebenfalls nicht eindeutig, denn sie beschreibt nicht, was nicht geht.

Mit den ganzen Erkenntnissen würde ich mich da leider auch nicht mehr drauf verlassen wollen.

 

[Raijin]

Vielleicht bin ich mit meinen über 50 Lenzen schon zu alt dafür, aber das ist für mich kein klassisches Modem.

Ich komme den 50 Jahren auch unweigerlich näher...

Ein Vigor ist aber nun mal kein klassisches Modem. Das ist ein Router, der als Modem bzw Bridge konfiguriert werden kann - so wie es bei Fritzboxen früher auch möglich war und bei Speedports soweit ich weiß noch möglich ist. Sind das dann Modems? Nein, Router mit integriertem Modem, bei denen man den Routerteil abschalten kann.

In einem klassischen, reinen Modem ist keinerlei Hard- oder Firmware drin, die auch nur im entferntesten überhaupt die Möglichkeit hätte, irgendwelche Routeraufgaben zu übernehmen. Das sind quasi dumme Telefone, maximal mit Wählscheibe.

 

[wildfly]

Beispiel: DrayTek Vigor 167 in einem Mikrotik Router hEX einrichten

Router LAN-Port 1 verbinden mit dem LAN-Port P1 des Vigors
Router LAN-Port 2 verbinden mit dem LAN-Port P2 des Vigors

Dem Router die Adresse 192.168.1.2 im Netz 192.168.1.0 hinzufügen
/ip address add address=192.168.1.2/24 comment="To get to DrayTek Vigor 167" interface=ether2 network=192.168.1.0

Dem Router mitteilen, dass NAT an dieser Adresse und dieser Schnittstelle in Ordnung ist
/ip firewall nat add action=masquerade chain=srcnat out-interface=bridge

Jetzt kann man das Webinterface des Vigors auf jedem Gerät des Heimnetzwerkes mit 192.168.1.1 aufrufen.

 

[carknue]

Ich stehe gerade auch vor dem Problem, wie ich ohne Sicherheitsrisiko auf das Vigor 167 zugreifen kann.

Mein Setup ist foilgendes:

Telekom TAE --> Vigor167 --> Edgerouter4 --> Managed Switch

Wie überall empfohlen habe ich dann dem Vigor eine feste IP auf meinem LAN vom Edgerouter gegeben und den P2 vom Vigor mit dem Switch verbunden. So funktioniert der Zugriff per 192.168.1.254 auf die Weboberfläche vom Modem im LAN einwandfrei. Dann habe ich diesen Thread hier entdeckt und habe erstmal den LAN Port am Switch deaktiviert und aktiviere ihn nur, wenn ich kurz mal auf die Werte schauen will.

Meine Frage ist nun, wie ich mit meinem Setup einen sicheren Zugriff auf das Modem realisieren kann.

1. Variante: Man kann offenbar relativ einfach mit dem Edgerouter einen Zugriff aus dem Haupt LAN nur über die WAN Schnittstelle, also ohne den 2. LAN Port am Vigor zu nutzen, einrichten. Hier die Beschreibung dazu. Ist diese Methode denn sicher? Oder mische ich damit nicht direkt LAN und WAN?

2. Variante: Am Switch ein extra VLAN für den 2. LAN Port des Modems einrichten und darüber dann zugreifen. Was ist dabei zu beachten? Ist diese Methode sicher?

Oder ist nur die Methode Laptop direkt an Modem anschließen bei Bedarf sicher? Aber dann ist mein Laptop in dem Moment auch komplett offen zur Seite der Telekom oder?

Vielleicht sollte heise oder andere das Thema nochmal aufnehmen und aktuelle Geräte auf dieses mögliche Sicherheitsrisiko testen, da die Hersteller ja speziell den zweiten LAN Port für den einfachen Zugriff bewerben.

 

[Harrdy]

Persönlich würde ich wohl Variante 2 bevorzugen, das extra vlan wäre in diesem Fall dann das MGNT VLAN das vom restlichen LAN mehr oder minder abgekoppelt ist.

Der Zugriff übers WAN Interface geht durchaus, man vermischt dabei halt WAN und LAN Zugriffe, was ggf. bei den Firewall Rules berücksichtigt werden muss.

 

[riversource]

Methode 1 ist jedenfalls nicht sicher. Die Daten landen zwar nicht in der PPPOE Verbindung, aber sie landen in der Infrastruktur des Netzbetreibers, und dann bist du darauf angewiesen, dass dort nichts Schlimmes passiert - sei es beabsichtigt oder unbeabsichtigt.

 

[LieberNetterFlo]

@carknue Methode 2