Sicherheitsfragen Draytek Vigor 165: Zweiten LAN-Port einfach ins LAN mit einbinden?

[NeoMorpheus]

Hallo zusammen,

Es geht um folgenden Sachverhalt, ich hoffe ihr könnt mir dabei helfen:

Ich habe bei mir Zuhause ein TP-Link Omada Setup laufen: ER605 als Router, einen 24-Port PoE+ Switch von TP-Link, der ebenfalls in Omada integriert ist sowie einen EAP620 HD AccessPoint und den OC200-Controller. Alles läuft wie Butter, wobei es für mich einen Wermutstropfen gibt. Ich möchte weiterhin die Möglichkeit haben, auf das Webinterface des Vigor 165 zu gelangen.

Zuvor hatte ich eine OPNsense als Router/Firewall am laufen, wo man sich schlicht ein neues Interface auf dem WAN-Port bauen konnte. Via NAT unter strengen Regeln gelang ich dann somit auf das Modem. Dies geht nun mit TP Link Omada nicht so einfach. Demnach gäbe es nur noch die Möglichkeit, den zweiten LAN-Port des Vigor 165 mit an den TP-Link Switch anzuklemmen und das Subnetz anzupassen. Der erste LAN-Port des Vigor 165 dient zur PPPoE-Einwahl (entsprechend am WAN-Port des ER605) inklusive VLAN 7 (Telekom), wobei das Tagging der Vigor 165 übernimmt.

Meine Frage an euch lautet nun: Gibt es bei dem Vorhaben Sicherheitsbedenken, die berücksichtigt werden müssen? Kann ich den zweiten LAN-Port vom Modem bedenkenlos an den Switch anschließen, sodass ich auf einfache Weise jeder Zeit auf das Modem komme? Theoretisch kann nichts passieren, da die PPPoE-Verbindung über VLAN 7 initiert wird, aber ich wollte generell einfach mal fragen, ob ich etwas übersehe.


Freundliche Grüße

NeoMorpheus


Edit: Ich hatte auch bereits den Draytek-Support diesbezüglich angeschrieben. Folgende Antwort habe ich erhalten:

"Der Internetverkehr über die PPPoE-Verbindung wird ausschließlich über den LAN-Port des 167 und dem WAN Ihres Routers erfolgen.
Nichts davon wandert davon über den anderen LAN-Port.

Genauso sieht das bei dem Verkehr über Ihren Switch aus.

Der Datenverkehr über PPPoE (P1) und Management (P2) sind nicht getrennt aber aufgrund Quell MAC-Adresse/IP-Adresse und Ziel MAC-Adresse/IP-Adresse ist klar geregelt
wohin der v167 Daten sendet. Nämlich dorthin wo sie herkamen."

Sind die Angaben wirklich korrekt, die der Support geschrieben hat?

 

[airwave]

Hast du jetzt n Vigor 165 oder 167?

Du sprichst von 165 der Draytek Support vom Vigor 167.
Letzteres habe ich im Einsatz, dieses kann im Bridgemodus gar kein VLAN Tagging (die Firmware kanns (noch) nicht.

Daher vermute ich, dass du schon das 165er hast.
Ich hattes das gleiche versucht wie du, nur habe ich das 167er und ich wollte syslog durchreichen via NAT, habs leider nicht zum laufen bekommen :/

Im Grunde sollte der Draytek Support allerdings recht haben.

 

[NeoMorpheus]

Ja, da hat sich der Support (hoffentlich) nur verschrieben. Meine Angabe mit dem Vigor 165 ist korrekt. Wird mit der aktuellen Firmware 4.2.4 MDM2 betrieben.

 

[Donald24]

Nö, kein Unterschied, ob Du die Möglichkeit hast, über dasselbe Interface dich auf das WebIf zu klinken, oder am 2. Switchport am Draytek daneben. Auch nicht, wenn der Draytek das VLAN7-PPPoe untagged wie bei mir rausbringt, es hängt immer noch ein Protokoll (PPPoe) das zwischen Lan und Internetdaten komplett isoliert.

 

[riversource]

Ist das sicher? Weil früher verhielten sich DSL Modems komplett anders. Richtig ist, dass die eigentlichen Internetdaten ausschließlich über die PPPOE Verbindung laufen, aber trotzdem ließen die Modems Daten von Schicht 2 direkt aufs DSL durch. Die Folge ist dann das hier:

https://www.heise.de/newsticker/meldung/Wenn-der-Nachbar-heimlich-mitsurft-153559.html
https://www.heise.de/ct/artikel/In-Nachbars-Netz-221747.html

Das war natürlich eine Fehlkonfiguration beim Provider und kommt heute (hoffentlich) nicht mehr vor. Dennoch bedeutet es, dass absolut alles von Schicht 2 aus deinem LAN in der Infrastruktur deines Anbieters landet. Wer weiß, was dort damit passiert.

Es ist also praktisch irrelevant, ob der Internetverkehr ausschließlich über PPPOE läuft. Entscheidend ist, dass alles andere außer PPPOE vom Modem geblockt wird. Das lese ich nicht aus der Antwort des Supports.

 

[NeoMorpheus]

Okay, die einen sagen, es ist sicher und andere wiederum meinen eher, dass unsicher ist. Gibt es hier jemanden, der sich zu 100 % (oder 99%) sicher ist, wie es nun mit dieser Thematik aussieht?

 

[Raijin]

Ich hab mir das nochmal genauer durchgelesen. Genau genommen ist das ein XY-Problem.

Du möchtest aus deinem LAN heraus durch den Router auf das Modem zugreifen (X). Weil du dabei auf Probleme stößt, überlegst du dir einen Workaround, das zweite LAN-Kabel (Y). Und nun fragst du nach der Sicherheit deines Workarounds (Y) anstatt nach einer Lösung für das ursprüngliche Problem (X) zu fragen.


Effektiv sprechen wir doch von einem Setup wie folgt:
(falls nicht, bitte korrigieren, IPs sind aber nur exemplarisch)


Modem
(LAN @ 192.168.0.1)
|
(WAN @ 192.168.0.2)
Router (PPPoE) ------viaModem-----> Provider
(LAN @ 192.168.123.1)
|
Clients mit 192.168.123.x


Ziel sollte es doch sein, den Router dazu zu bringen, dass er Verbindungen zu 192.168.0.1 (Modem) sauber zum Modem routet und die Antwort auch wieder zurückkommt. Ersteres sollte bereits durch die standardmäßige Interfaceroute der WAN-Schnittstelle gewährleistet sein. Letzteres wiederum sollte durch SNAT/Masquerade am WAN-Port möglich sein.

Ich würde daher zunächst in diese Richtung experimentieren bevor ich mir Gedanken über einen Workaround mache.

Zur Not spendiert man dem PC einen zweiten LAN-Adapter und hängt diesen direkt ans Modem oder leitet dessen Verbindung zwar auf den Switch, kapselt diese Ports für das Modem-LAN aber in einem separaten VLAN. So bekommt das Modem-LAN effektiv einen eigenen Switch im Switch.

Generell ist es nämlich bestenfalls unschön, wenn man mehrere Subnetze ohne VLANs auf derselben Infrastruktur laufen lässt. Sie alle teilen sich dann nämlich Layer 2 mit Broadcasts, ARP und was weiß ich. Das kann zu allerlei Nebeneffekten führen, und wenn es nur eine erhöhte Auslastung durch Broadcasts ist.

 

[NeoMorpheus]

Das Modem-LAN-Subnetz und das Router-LAN-Subnetz sind unterschiedlich. Demnach ist es natürlich logisch, dass die Kommunikation nicht ohne Zutun funktioniert und das kenne ich ja bereits so. Klar könnte ich das Modem-Subnetz an das Router-LAN-Subnetz angleichen, aber wäre es effektiv nicht dasselbe Problem, als wenn ich den zweiten LAN-Port vom Modem an meinen Switch klemme? Also rein auf die Sicherheit bezogen.

PPPoE ist zwar eben eine Punkt-zu-Punkt-Verbindung, die eigentlich für sich eingekapselt sein sollte, aber dennoch habe ich da ein mulmiges Gefühl. Deswegen wollte ich euch hier einmal fragen und etwas darüber diskutieren.

Im TP-Link Omada-System habe ich insgesamt fünf VLANs: Management-LAN, Haupt-LAN, Haupt-WLAN, WLAN für Google Home (funktioniert ohne Probleme im eigenen VLAN) und WLAN für Gäste. Die ACLs habe ich entsprechend so eingerichtet, dass die VLANs untereinander nicht miteinander kommunizieren können.

An ein entsprechendes SNAT/Masquerade habe ich auch gedacht und wäre für mich das Optimum, aber die NAT-Regel-Möglichkeiten sind bei TP-Link Omada im Vergleich zur OPNsense sehr eingeschränkt. Deine Idee @Raijin, das Modem-LAN in ein eigenes VLAN zu setzen, hatte ich auch bereits verfolgt und es ist auch nicht schwer, dies einzurichten, allerdings müsste dann eben ein Client existieren, der sich im Modem-LAN-Subnetz befindet.

Ferner frage ich mich dann, ob sich dieser Client dann eben in Gefahr befindet oder nicht. Generell ist mein Ziel, dass ich von meinem Haupt-LAN auf das Modem-Webinterface zugreifen kann, zumindest möchte ich dies gerne. Klar, man kann auch mit PinHoles arbeiten, aber ich würde es gerne nativ oder eben über SNAT/Masquerade haben.

 

[Raijin]

Das Modem-LAN-Subnetz und das Router-LAN-Subnetz sind unterschiedlich. Demnach ist es natürlich logisch, dass die Kommunikation nicht ohne Zutun funktioniert und das kenne ich ja bereits so.

Die Subnetze müssen unterschiedlich sein. Sonst könnte der Router nicht mehr zwischen WAN und LAN unterscheiden. Darum geht's aber gar nicht.

Ein 08/15 Router routet immer vom LAN ins WAN, egal ob das WAN nun der Provider aka Internet ist oder ob es ein übergeordnetes Netzwerk ist. Genau darauf basieren Routerkaskaden.

Entscheidend ist, dass ausgehende Pakete am WAN geNATtet werden, da die Firewall WAN zu LAN blockiert bzw nur auf Antwortpakete beschränkt.

Ich kann nur mutmaßen, aber ich gehe davon aus, dass dein Router im PPPoE-Modus nur am PPoE-Interface NAT macht, nicht jedoch am Hardware-WAN-Interface. Das muss jedoch auch bei Omada zu konfigurieren sein.

Inbound interface : eth1
Destination: Modem-Subnetz
Translate-to: eth0-IP bzw masquerade

So in etwa sollte das aussehen.

Klar könnte ich das Modem-Subnetz an das Router-LAN-Subnetz angleichen,

Dann würde vermutlich gar nichts mehr funktionieren

 

[NeoMorpheus]

Inbound interface : eth1
Destination: Modem-Subnetz
Translate-to: eth0-IP bzw masquerade

So in etwa sollte das aussehen.

Ja, das kann ich aber leider nirgends entsprechend hinterlegen.

 

[riversource]

Gibt es hier jemanden, der sich zu 100 % (oder 99%) sicher ist, wie es nun mit dieser Thematik aussieht?

Ich kann dir zu 99% sicher sagen, dass es unsicher ist. Der von Raijin vorgeschlagene Weg ist der Richtige.

 

[Raijin]

Kann man bei Omada-Routern kein NAT konfigurieren? Dann ist das genau derselbe Murks wie bei Unifi. Bei Unifi kann man das jedoch via ssh und direktem Eingriff in die Konfigurationsdatei umgehen - mit dem Nachteil, dass diese Änderungen nach der nächsten Provisionierung übergebügelt werden.

Da stellt sich dann die Frage warum du offenbar den Rückschritt von OPNsense auf den ER605 gegangen bist?

Die einzig halbwegs vernünftige Lösung, die ich unter diesen Umständen noch sehe, ist ein zweiter LAN-Adapter am PC, der inkl. entsprechender Firewall-Konfiguration (min. Profil öffentlich) an das Modem gehängt wird.


Grundsätzlich stellt sich mir aber auch die Frage warum du überhaupt eine permanente Verbindung zum Modem benötigst? Ich meine, wie oft loggst du dich da ein, um was genau zu tun? Eigentlich ist das ja nur in Ausnahmefällen nötig, zB bei Verbindungsproblemen, die nachweislich an der Leitung liegen, o.ä.

 

[NeoMorpheus]

NAT lässt sich konfigurieren, aber eben nur sehr eingeschränkt. Derzeit wird kein SNAT mit Masquerade unterstützt. Eventuelle werde ich da mal mit TP-Link in Kontakt treten. Ja, der Zugriff aufs Modem ist reiner Komfort, um die Sync-Werte des Modems im Auge behalten zu können.

Eine gute Frage ist auch, warum ich von der OPNsense weggegangen bin. Einerseits war ich neugierig auf Omada-only, auf der anderen Seite ist mir die Leistungsaufnahme des Systems mit der OPNsense zu viel gewesen, da ist der ER605 deutlich sparsamer.

Ich muss mir nun eben überlegen, wie ich es handhaben werde. Ich danke euch jedoch für euren sehr nützlichen Input.

 

[norKoeri]

Bin ich der Einzige, der hier irgendwie gar nichts versteht? Die Konfigurations-Oberfläche eines DSL-Modem ins Heimnetz zu integrieren ist eine uralte Geschichte, für die bisher noch kein Hersteller eine schöne Lösung gefunden hat. Jedenfalls kenne ich bisher keine. DrayTek hat das über das zweite Ethernet-Interface gelöst.

Wenn Du unbedingt dauerhaft auf die Web-Oberfläche musst, sehe ich drei Möglichkeiten:

(a) Du klemmst den DrayTek an das LAN Deines Routers. Du hast dann zwei Router, also zwei IPv4-Subnetze. Folglich musst Du den DHCP-Server im DrayTek abschalten.

(b) Legst Du den DrayTek auf eine freie IP-Adresse in Deinem anderen Heimnetz, ist der direkt drin. Auch hier wieder DHCP-Server im DrayTek abschalten.

(c) Du klemmst den DrayTek an den zweiten WAN-Anschluss Deines Routers. Hier musst Du nicht, kannst aber auch den DHCP-Server im DrayTek abschalten und den TP-Link Router mit statischer IP arbeiten lassen. Das „hilft“, wenn Du irgendwann versehentlich mal umsteckst.

 

[Raijin]

Zu c)

Da kommt's drauf an wie Omada mit mehreren WAN umgeht. Keine Ahnung wie da die Konfigurationsmöglichkeiten sind, aber es darf da explizit kein Dual-WAN entstehen (Load balancing oder fail over).

Da man aber offensichtlich kein Einfluss auf das NAT hat, ist es fraglich wie das Modem Anfragen aus einem anderen Subnetz beantwortet. Mit NAT, kein Problem, ohne NAT bräuchte das Modem eine (Rück)Route.


Irgendwie kriegt man das sicherlich hin, aber ich habe das Gefühl, dass der Aufwand in keinem Verhältnis zum Nutzen steht. Man guckt sich doch nicht ohne Grund die Leitungswerte des Modems an, wozu? Im Problemfall ist das was anderes, aber dann klemmt man sich eben temporär ans Modem an und gut is.

 

[NeoMorpheus]

So, ich habe nun noch etwas hin und her überlegt und etwas rumgebastelt und ich habe es nun hinbekommen, das Modem zu erreichen. Ich bin mir nur nicht sicher, ob es safe ist.

Der ER605-Router hat einen dedizierten WAN-Port, über den die PPPoE-Einwahl erfolgt und am Modem an Port 1 hängt. Dem WAN/LAN-Port1 vom ER605-Router habe ich eine Static-IP verpasst, die zum Subnetz des Modems passt. Ein Kabel wurde zwischen WAN/LAN1 und dem LAN-Port 2 vom Modem verbunden.

Das reichte natürlich nicht aus, um das Modem zu erreichen. Damit dies klappt, musste ich in Omada eine Route ins Modem-LAN über den WAN/LAN1-Port des Routers erstellen. Ebenfalls nötig war ein NAT zur Static-IP des WAN/LAN1-Ports des Routers.

Kann man das so machen oder gibt es auch da ernsthafte Sicherheitsbedenken?

 

[riversource]

Wie ist der WAN/LAN1 Port vom Rest des Systems getrennt?

 

[NeoMorpheus]

Ich habe mit Hilfe der ACLs über den Switch entsprechende Regeln erstellt. Dabei kennt der Router das Modem-Subnetz selbst nicht, bzw. ich habe kein entsprechendes LAN erstellt. Lediglich der WAN/LAN1 hat eine Static-IP passend zum Modem-LAN-Subetz bekommen.

Ergänzung (21. August 2022)

Korrektur: Es geht nun doch ohne Static-Route und NAT. Demnach sieht es für mich so aus, als wenn der Router selbst dann eben vom Default-LAN ins Modem-LAN über den WAN/LAN1 routet. Demnach wären alle Geräte hinter dem Switch über die ACLs sicher.

Ergänzung (21. August 2022)

Weitere Ergänzung: Ich habe nun auch zwei Gateway-ACLs erstellt, um es weiter einzugrenzen.

 

[riversource]

Ich meinte eher die Verbindung auf Schicht 2. Ist der WAN/LAN1 Port sauber vom Rest getrennt, z.B. über ein port-based VLAN?

 

[NeoMorpheus]

Das ist leider nicht möglich. Zwar kann ich ein "Internet VLAN" einstellen, aber dann klappt die Verbindung zum Modem nicht mehr. Sowohl am Gateway (Router) als auch am Switch habe ich entsprechende ACLs hinterlegt, die den Verkehr zwischen Modem und Router/Switch extremst eingrenzen.