mario89
Goto Top

Anfänger Frage zum DSL Modem Vigor 130

Hallo Leute,

wie vielleicht der ein oder andere mitbekommen hatte, hatte ich bis vor kurzen noch eine Fritz als DSL Modem im Einsatz.

Da ich noch ein Vigor 130 günstig ergattern konnte, wurde ein kleiner interner Switch durch die Fritzbox ersetzt. Diese ist nun lediglich noch für die Telefonie via DECT verantwortlich.

Somit ist mein Aufbau nun wie Folgt.


Internet ---> Vigor 130 ---> Sophos Xg --> Internes Netzwerk (Vlan 20 + 50)
-> Da ich leider keine direkt Anbindung direktes Kabel von dem Vigor 130 an die Sophos habe, wurde ein weiteres VLAN 70 aufgespannt, in dem nur der Vigor und die Sophos drin ist.

Die Sophos wurde so eingestellt, dass diese via PPOE die Verbindung ins Internet aufbaut.


Nun zu meiner eigentlichen Frage.
Gibt es es eine Möglichkeit die Konfigurationsseite des Vigors noch zu erreichen ?

Was ich noch kurz als Ergänzung beipacken möchte ist, dass die Sophos virtualisiert ist (ESXI Server).

Bitte entschuldigt die blöde frage, aber irgendwie scheine ich am Schlauch zu stehen, da ein Interface nun durch die PPOE Verbindung "blockiert" wird.

Danke schon einmal im Voraus

Content-ID: 389564

Url: https://administrator.de/forum/anfaenger-frage-zum-dsl-modem-vigor-130-389564.html

Ausgedruckt am: 26.12.2024 um 11:12 Uhr

ukulele-7
ukulele-7 18.10.2018 aktualisiert um 12:22:27 Uhr
Goto Top
Ich lasse die DSL Einwahl direkt vom Vigor machen, daher ist der für mich direkt im Netzwerk erreichbar. Das würde dann auch hinter der Sophos gehen, allerdings musst du hier noch die Firewall und eventuell NAT etc. beachten. Wie sich das Webinterface bei der von dir beschriebenen Einwahl über PPPoE verhält kann ich leider nicht sagen. Das Ding wird ja dann vermutlich gar nicht über IP angesprochen, zumindest nicht über PPPoE.
mario89
mario89 22.10.2018 um 20:41:16 Uhr
Goto Top
Zitat von @ukulele-7:

Das Ding wird ja dann vermutlich gar nicht über IP angesprochen, zumindest nicht über PPPoE.

Doch es ist noch erreichbar. Wenn ich einen weiteren Rechner direkt in das VLAN des Vigors reinhänge, kann ich dass gerät erreichen. Nur leider nicht hinter meiner Firewall.

Bin mir jetzt aber auch unsicher, ob ich das Modem direkt eine IP aus meinem Internen Netzwerk geben könnte. Oder ob ich durch so eine Sache die Firewall aushebel

Deshalb frag ich lieber im Vorfeld


Danke für die Unterstützung
Lochkartenstanzer
Lochkartenstanzer 22.10.2018 aktualisiert um 21:33:19 Uhr
Goto Top
Zitat von @mario89:


Nun zu meiner eigentlichen Frage.
Gibt es es eine Möglichkeit die Konfigurationsseite des Vigors noch zu erreichen ?

Natürlich.

Du mußt Deiner Sophos sagen welches Netz zusätzlich zu dem PPPoE auf diesem Interface liegt und passend Routen und Firewallregeln anpassen.

Funktioniert zumindest mit einer Bintec und einen Zyxel hintr dem Draytek bei meinen Kunden ohne Probleme.

lks
mario89
mario89 22.10.2018 aktualisiert um 21:53:50 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Du mußt Deiner Sophos sagen welches Netz zusätzlich zu dem PPPoE auf diesem Interface liegt und passend Routen und Firewallregeln anpassen.


lks

Hey, Danke .

Das war die Lösung.
Bin jetzt wie folgt vorgegangen:
Configure -> Network -> Infacename (Port2)
==> Add Interface ==> Add Alias

Hier habe ich dann als Netzwerk, das Netzwerk des Vigors genommen - 192.168.1.xxx und der Sophos eine 2. IP Adresse gegeben.
Als Interface wurde wieder Port 2 ausgewählt.

Und auf einmal klappt alles :D

Danke

Aber jetzt nur eine blöde Frage - umgehe ich so nicht die Firewall ?

Bzw. muss ich dann noch nachträglich eine neue Regel erstellen, wo ich den Traffic irgendwie unterbinde?
Lochkartenstanzer
Lochkartenstanzer 23.10.2018, aktualisiert am 25.10.2018 um 19:17:32 Uhr
Goto Top
Zitat von @mario89:


Und auf einmal klappt alles :D

Danke

Gern geschehen.

Aber jetzt nur eine blöde Frage - umgehe ich so nicht die Firewall ?

Vertraust Du deinem Draytek?

Und hast Du die Firewallregeln passend gesetzt?


Bzw. muss ich dann noch nachträglich eine neue Regel erstellen, wo ich den Traffic irgendwie unterbinde?

Natürlich mußt Du in der Firewall einstellen was auf die Draytek darf und wo due Pakete von der Draytek hin dürfen.

lks
aqui
aqui 23.10.2018 aktualisiert um 11:42:55 Uhr
Goto Top
Was ich noch kurz als Ergänzung beipacken möchte ist, dass die Sophos virtualisiert ist (ESXI Server).
Zur generellen Problematik Firewalls zu virtualisieren ist hier im Forum schon genug gesagt worden. Sicherheitstechnisch ist das schlecht und sollte man nie in Produktion betreiben...aber egal. Das ist eine vollkommen andere Baustelle die mit der Threadfrage hier nichts zu tun hat.
Solange du das Transfer VLAN von Sophos WAN Port zum Vigor vollkommen und sauber getrennt hast ist das kein Problem.
Es stellt zwar ein potentielles Sicherheitsproblem dar, aber solange du nichts falsch patchst, oder auf dem VLAN Switch irgendwelche Konfig Fehler machst ist das zwar nicht ganz perfekt aber tolerierbar.
Gibt es es eine Möglichkeit die Konfigurationsseite des Vigors noch zu erreichen ?
Ja, natürlich !
Allerdings ist es etwas problematisch....
Auf deinem VLAN was das Transfer Netz zwischen Sophos WAN Port und Vigor 130 Modem ist hast du im Normalfall das offene Internet sprich die PPPoE Access IP Adressierung des Providers.
Rein IP technisch gesehen müsstest du dem Management Port des Vigor hier also eine IP Adresse aus dem Provider PPPoE Pool geben um es transparent erreichen zu können.
Das Modem ist ja als Modem NICHT mehr am IP Forwarding beteiligt. Es ist quasi nur sowas wie ein PC oder Drucker im Netz, also ein stinknormales Endgerät.
Diese Adressierung ist natürlich nicht möglich und zudem bestünde auch die Gefahr das der Vigor dann direkt von überall aus dem Internet erreichbar wäre ohne Schutz.
Sowas wäre natürlich nicht tragbar und auch nicht machbar, also gleich vergessen.
Was geht, ist das du dem Vigor eine statische RFC 1918 Adresse verpasst, die er vermutlich schon so oder so als Default IP Adresse hat.
Laut Handbuch_Seite:_6 ist das die 192.168.1.1 /24. Die kannst du also so belassen.
Damit ist der Vigor 130 dann aus diesem Transfer VLAN damit erreichbar. Du musst nur einen weiteren untagged Port am Switch dort in das VLAN legen, einen PC mit statischer IP Adressierung im 192.168.1.x Netz daran anschliessen und schon kannst du den Vigor erreichen.

Je nachdem wie die Firewall ausgelegt ist könnte man die 192.168.1.1er IP Adresse des Vigor auch aus dem internen Netz erlauben. Ob das geht musst du ausprobieren.
Firewalls haben in der Regel IMMER eine Blocking Regel am WAN Port aktiv die diese IP Netze die NICHT im Internet geroutet werden per Default blockt. Beispiel bei der bekannten pfSense Firewall:
rfc
Wenn das bei der Sophos anpassbar ist, müsstest du diese Regel entsprechend anpassen das aus dem Kontingent die 192.168.1.1 als Hostadresse passieren darf.
Ist aber sehr fraglich ob das klappt. Generell ist das PPP Tunnelinterface was den PPPoE Traffic handelt ein separates Interface mit separaten Regeln auf der FW das keinen Zugriff auf die PPPoE Access Adressierung erlaubt. Deshalb wird das direkte Erreichen der RFC 1918 Management IP des Vigor vermutlich fehlschlagen. Hängt davon ab wie sicher oder unsicher die Sophos ist.
Die zweite Problematik ist das der Vigor auch ein Gateway braucht. Das gibt es aber ja logischerweise im PPPoE Transfer VLAN Netz nicht, denn dort herrscht ja die Provider Adressierung und keinerlei RFC 1918 Adressen.
Du kannst also auch gar kein sinnvolles Gateway einstellen am Modem was aber zwingend wichtig wäre um die 192.168er Management IP von außen zu erreichen.
2 gravierende Punkte also warum das vermutlich scheitern wird.

Es bleibt dir dann weiter nur der physische Zugang über das Transfer VLAN direkt mit Umstecken des Management Rechners in dieses VLAN wie oben beschrieben. Das klappt immer. Von der Sicherheitsproblematik aber mal ganz abgesehen !
mario89
mario89 25.10.2018 um 17:05:27 Uhr
Goto Top
Hey Danke euch beiden.

Ich musste erst einmal das ein oder andere googeln ^^ deshalb sorry für die späte Rückmeldung.

Was ich aktuell noch nicht ganz verstanden habe ist die Sache mit der PPOE Verbindung.
Sorry für die blöde frage, aber irgendwie fehlt mir hier noch ein Puzzle teil um die Sache zu verstehen.

Folgendes: (vereinfacht gezeichnet)

Telefondose ---[1]----> Vigor 130 ---[2]----> Firewall (Sophos) ---[3]--> Internes LAN

Nun stellt sich mir die Frage, wo habe ich eigentlich die "direkte Internetanbindung"

Im Netzbereich [2] bin ich doch noch gar nicht online - oder irre ich mich hier? Hintergrund ist, dass die Zugangsdaten doch erst in der Sophos hinterlegt sind. Somit kann ich doch erst ab diesen Punkt online kommen.

Sofern dem so sei, dann würde doch auch keine Sicherheitslücke entstehen wenn ich den Netzbereich [2] mit [3].


Als nächsten Punkt wollte ich kurz einmal fragen, wie ich rausfinden kann, ob das VLAN richtig abgeschottet ist.
=> Reicht es hier einen IPscanner in dem betroffenen VLAN einmal scannen zu lassen? - Also das /24 er Netz des Vigors?
Oder gibt es hier eine alternative?


Danke für das Verständnis und die Hilfestellungen.
aqui
aqui 26.10.2018 aktualisiert um 12:05:54 Uhr
Goto Top
wo habe ich eigentlich die "direkte Internetanbindung"
Das ist doch ganz einfach....denk mal bitte selber etwas nach !
Da der Vigor 130 als reines Modem (er darf NICHT als Router konfiguriert sein !!) nur Pegel-, bzw. Formatwandler ist und aktiv deshalb NICHT am IP Traffic, sprich Forwarding beteiligt ist, spielt sich die ganze IP bzw. PPPoE Kommunikation ausschliesslich direkt am Sophos WAN Port (oben bei dir mit "[2]" bezeichnet !) ab.

Auf der Sophos konfigurierst du den WAN Port ja als PPPoE Port (Mode PPPoE) und trägst dort auch deine PPPoE Zugangsdaten vom Provider ein.
Hat sich die Sophos dann erforlgreich beim Provider angemeldet bekommst du dort am WAN Port auch deine öffentliche IP vom Provider !
Gehst du also auf der Sophos mal in das Interface Status Menü und siehst dir die IP Adressierung an, erkennst du dort eine öffentliche IP Adresse !
Dort darf keine private RFC 1918 IP stehen !
Wenn doch hast du wieder eine Kaskade konfiguriert face-sad
wie ich rausfinden kann, ob das VLAN richtig abgeschottet ist.
Du machst von außen mal einen Port Scan mit dem Heise Sicherheitscheck !
https://www.heise.de/security/dienste/Netzwerkcheck-2114.html
Lochkartenstanzer
Lochkartenstanzer 26.10.2018 um 12:08:12 Uhr
Goto Top
Zitat von @aqui:

wo habe ich eigentlich die "direkte Internetanbindung"
Das ist doch ganz einfach....denk mal bitte selber etwas nach !
Da der Vigor 130 als reines Modem (er darf NICHT als Router konfiguriert sein !!) nur Pegel-, bzw. Formatwandler ist und aktiv deshalb NICHT am IP Traffic, sprich Forwarding beteiligt ist, spielt sich die ganze IP bzw. PPPoE Kommunikation ausschliesslich direkt am Sophos WAN Port (oben bei dir mit "[2]" bezeichnet !) ab.

zusätzlich kann man aber bnoch für den WAN-Port eine RFC1918-Adresse eingeben, die zur Kommunikation und Konfiguration des Draytek dient.

Dann hat man quasi zwei "Schnittstellen": Eine die über PPPoE von der Draytek weitergeleitet wird und eine, die per Ethernet nur bis zur Draytek läuft.

Die "aktive Internetverbindung" ist dann diejenige die über PPPoE aufgebaute.

lks
aqui
aqui 26.10.2018 aktualisiert um 12:12:03 Uhr
Goto Top
Man muss diese IP nicht zwingend eingeben, denn der Vigor hat eine Default IP 192.168.1.1
Seite 5 im Handbuch: http://www.draytek.com/download_de/Vigor130/DrayTek_UG_Vigor130_V1.0.pd ...
mario89
mario89 28.10.2018 aktualisiert um 17:19:59 Uhr
Goto Top
zusätzlich kann man aber bnoch für den WAN-Port eine RFC1918-Adresse eingeben, die zur Kommunikation und Konfiguration des Draytek dient.

Dann hat man quasi zwei "Schnittstellen": Eine die über PPPoE von der Draytek weitergeleitet wird und eine, die per Ethernet nur bis zur Draytek läuft.

Die "aktive Internetverbindung" ist dann diejenige die über PPPoE aufgebaute.

lks

Hey, danke nochmal.
So hatte ich das auch verstanden.

Hatte nur jetzt aufgrund der Aussagen geacht, dass wenn ich meiner Sophos jetzt noch einen 2. Alias auf dem Interface hinzufüge, dass ich hierdurch vielleicht ein Lücke in die Firewall reiße.

Deshalb hatte ich halt nochmal nachgefragt. Aber sofern ich dass jetzt richtig verstehe, könnte ich bedenkenlos die RFC1918 Adresse in der Sophos noch hinzufügen.

Danke
aqui
aqui 29.10.2018 um 13:42:56 Uhr
Goto Top
Solltest du besser nicht machen, denn das ist nicht Standard konform. Damit fährst du mit 2 IP Adressen in einer L2 Collision Domain also "auf einem Draht".
Sowas ist nicht supportet und auf einer Firewall eher ein NoGo.
Kann man temporär für einen Migration mal machen aber nie im Produktivbetrieb. Allein die ganze ICMP Steuerung funktioniert dann nicht.
Besser also nicht. Am Modem muss man auch eigentlich nie fummeln. Und wenn dann steckst du eben mal einen Konfig PC in das Segment mit einer statischen IP und gut iss....
mario89
mario89 31.10.2018 um 18:15:25 Uhr
Goto Top
Zitat von @aqui:

Solltest du besser nicht machen, denn das ist nicht Standard konform.

Ok Danke. Das wollte ich nur Wissen ;)


Zitat von @aqui:

Am Modem muss man auch eigentlich nie fummeln.

Das ist korrekt. Wollte das in der ersten Linie eigentlich dazu Nutzen um mir die Verbindungsgeschwindigkeit oder Ausfälle anzeigen zu lassen. Hintergrund ist, dass ich in der Vergangenheit schon mal erhebliche Probleme hatte, so dass ständig die Bandbreite geschwankt hatte.

=> Oder gibt es hier eine alternative, dies zu überwachen?
aqui
aqui 02.11.2018 um 16:39:29 Uhr
Goto Top
Ja, per SNMP auf der Sophos mit einem Tool wie Observium http://www.observium.org/
oder einem kleinen Winblows SNMP Tool: http://leonidvm.chat.ru/
mario89
mario89 23.12.2018 um 14:36:51 Uhr
Goto Top
Zitat von @aqui:

Ja, per SNMP auf der Sophos mit einem Tool wie Observium http://www.observium.org/
oder einem kleinen Winblows SNMP Tool: http://leonidvm.chat.ru/


Hallo, und bitte entschuldige die weiteren Fragen. Aber versuche gerade die Umstellung auf Pfsense. (Hintergrund ist dass Sie eine Freeware ist und ich bis jetzt noch nie was schlechtes drüber gehört habe).

Gibt es hierfür auch eine Lösung zum überwachen der "Internetqualität" ? Also in Bezug auf Bandbreite und Ausfälle?

Danke im Voraus
aqui
aqui 24.12.2018 aktualisiert um 12:32:03 Uhr
Goto Top
und bitte entschuldige die weiteren Fragen.
Dafür ist ein Forum doch da. Also locker bleiben ! face-smile
Gibt es hierfür auch eine Lösung zum überwachen der "Internetqualität" ?
Ja natürlich !
Die pfSense kann SNMP und auch einige Flow Protokolle.
Hier findest du eine Übersicht was möglich ist:
Netzwerk Management Server mit Raspberry Pi
Zwingend ist das aber nicht, denn die pfSense hat solche Tools und Grafiken von sich aus schon an Bord face-wink
mario89
mario89 02.01.2019 um 14:08:42 Uhr
Goto Top
Hey, danke nochmal.

habe mal etwas im Internet gestöbert und bin auf das Tool Ntop aufmerksam geworden.
=> Dies hat schon fast alles an Board was ich benötige.

Den Rest kann ich mit dem Tool unter
==> Status -> Monitoring
und
==> Status -> Gateways
ergänzen. ;)

Jetzt muss ich "nur" noch wissen was hier die Werte bedeuten (RTTsd etc.) und was Richtwerte bei meiner Internetleitung sind.

Kann man für sowas als "monitorIP" den 9.9.9.9 einsetzen.

Danke :D
aqui
aqui 02.01.2019 um 16:54:24 Uhr
Goto Top
Ja !
Du musst ntop oder ntopng nur mit dem Datenflow des Ports füttern. Entweder über einen Mirrorport oder eine Bridge.