Vigor 167 Modem Menü im heimnetzwerk erreichbar machen?

[Engaged]

Habe da 192.168.178.2 funktioniert bestens.

Aber andere DSL Kunden können jetzt nicht in mein Netzwerk schauen? 😳

Anbieter ist Deutsche Telekom VDSL 100.

Habe der Verbindung zum Vigor in der Fritzbox jetzt Internet gesperrt, hilft das?

Ergänzung (15. März 2024)

Wenn der Bericht von 2007 ist, da gab es den Vigor167 noch gar nicht, ist das Gerät überhaupt von der Lücke betroffen? 🤷🏻

 

[Raijin]

Ich vermute mal, dass es primär um die Situation geht, wenn man ein Modem mit einem LAN-Port hat und dort mittels Switch sowohl das Router-WAN als auch das Router-LAN anschließt. Beim Vigor ist LAN2 mutmaßlich ein eigenständiges Interface, sei es physisch mit eigenem NIC oder virtuell mittels internem VLAN. Aber ich gebe darauf keinerlei Gewähr.

 

[Engaged]

Ich dachte bis jetzt auch es ist so:

Vigor LAN1 - WAN Fritzbox = Internet

Vigor LAN2 - LAN2 Fritzbox = Vigor Menü

 

[norKoeri]

Wenn LAN 2 Internet hätte, dann würde ja auch der zeitserver synchronisieren!

So herum bitte nicht schließen. Was @riversource ansprach ist, dass das DSL-Modem von Außen erreichbar sei und man so in Dein Netz komme. Aber das ist nicht das Internet.

Habe der Verbindung zum Vigor in der Fritzbox jetzt Internet gesperrt, hilft das?

Nicht wirklich, denn das ist die Firewall in Deinem Internet-Router. Der zitierte Angriff erfolgt über das DSL-Modem, von dort komme man in Dein Heimnetz, also auf LAN-Seite Deines Internet-Routers. Der Angreifer geht gar nicht erst über die WAN-Seite Deines Internet-Routers.

ob LAN 1 oder LAN 2 ist egal

Deine eigene Äußerung spricht für @riversource und seinen Einwurf.

wer weiß ob das nicht immer noch ein aktuelles Thema ist bzw. sein kann

Tatsächlich hat den Bock letzt wieder einer dieser neuen Glasfaser-Anbieter geschossen …

https://pics.computerbase.de/forum/attachments/1350/1350377-2026d59bbba88d312be62e3eef391752.jpg

Laut Deinem Bild aus Post #21 hast Du kein DNS hinterlegt. Ich müsste jetzt Deinen Aufbau hier aufwendig nachbauen und dann testen. Daher nur als Einwurf von mir, wie NTP gehen könnte. Außerdem könntest Du auch die FRITZ!Box als NTP-Server hinterlegen, also fritz.box bzw. ohne DNS dann direkt 192.168.178.1. Bitte ausprobieren.

 

[Engaged]

192.168.178.1 geht nicht, das habe ich schon probiert, Fritzbox ist als zeitserver konfiguriert, also könnte die Zeit bereitstellen.

Muss ich jetzt die LAN-Verbindung zum Vigor wieder abbauen und mich dann wieder altmodisch mit manueller IP mit dem Laptop aufschalten?

Genau das möchte ich aber irgendwie nicht!

Ergänzung (15. März 2024)

Ich frage den Vigor Support ob die sie diese Lücke haben, oder ob das Gerät anständig funktioniert.

 

[h00bi]

Interessanter Hinweis. Die verlinkten Artikel sind zwar von 2007, aber wer weiß ob das nicht immer noch ein aktuelles Thema ist bzw. sein kann.

Das Thema ist theoretisch immer noch aktuell betrifft aber das Vigor167 vermutlich nicht.
Denn wenn ein renommierter Netzwerk-Hersteller wie Draytek schreibt:

Es steht sogar auf der offizieller Produktseite von Draytek -> Vigor 167
"Der Vigor167 verfügt über 2 Gigabit Ethernet LAN-Ports, um Ihre bestehende Netzwerkstruktur einfach und schnell einzubinden. Sie können beispielsweise Ihren Einwahl-Router über LAN Port 1 anschließen und gleichzeitig über LAN Port 2 auf das Modem zugreifen, um Statusinformationen zu überwachen."

dann wird das schon separiert sein.
Man kommt vom WAN ja auch nicht ungeschützt auf das Webinterface des Modems, wieso sollte man dann durch das Modem ins LAN kommen?
Ich würde das Modem einfach auf der 192.168.1.1 ohne DHCP lassen, LAN2 verkabeln und bei Bedarf die 192.168.1.2 manuell oder per Script setzen, wenn ich zugreifen will.

 

[Engaged]

Ich habe dem Support jetzt mein Aufbau geschildert und gefragt ob dort sowas passieren kann.

DHCP hat das Modem sowieso nicht aktiv, und hat hier jetzt die 192.168.178.2.

Genau das sagt mir auch dass man das eigentlich ohne Probleme machen darf:

Ergänzung (15. März 2024)

Zudem steht dort das noch:

Mit IPv6 und VLAN-Techniken für Triple-Play werden sowohl aktuelle als auch zukünftige Technologien unterstützt.

Also werden die ein VLAN ja wohl selber auch benutzt haben um LAN 1 und 2 im Modem Betrieb zu trennen, das ist doch keine kleine Amateur bastelbude oder?

 

[norKoeri]

DHCP hat das Modem sowieso nicht aktiv […] VLAN

So herum bitte nicht schließen. Wenn man den IP-Adress-Bereich errät (was bei 192.168.178.0/24 jetzt nicht so schwer ist), stellt der Angreifer sich statisch darauf ein … dort ist auch kein VLAN aktiv. Wenn Ihr Fragen habt, wie jener Angriff geht, bitte einfach fragen. Wobei ich den Thread auf Administrator.de ganz nett bebildert fand …

 

[Engaged]

Aber dort steht auch dass er ein Fehler gemacht hat, das Problem saß also 30 cm vor dem Bildschirm und nicht in dem Gerät!

Long Story Short:
Der WAN ist Standardmäßig als LAN-Port eingestellt. Das erklärt nicht, wieso er in der Netzwerkübersicht 5(!) Fritzboxen und weitere fremde Geräte sehen konnte.
Nachdem der WAN-Port auch als WAN eingestellt wurde, lief der Anschluss problemlos.

Ergänzung (15. März 2024)

Ich schmeiß mal den Rechner an und schaue mal ob ich fremde Geräte sehe...

 

[norKoeri]

dort steht auch dass er ein Fehler gemacht hat, das Problem saß also 30 cm vor dem Bildschirm und nicht in dem Gerät!

Durch einen Fehler hat er die Fehler der anderen Kunden und den Fehler des Internet-Anbieter gesehen. Wie geschildert, wenn Ihr was nicht versteht, bitte nachfragen. Aber bitte keine Ausreden für sich selbst erfinden, warum man nicht betroffen sei.

Ich schmeiß mal den Rechner an und schaue mal ob ich fremde Geräte sehe.

Kannst Du bei Telekom DSL knicken. Geht darum, Dich gegen einen Fehler beim Internet-Anbieter zu schützen. Geht darum, Dich gegen den Internet-Anbieter an sich zu schützen. @riversource hatte das schon einmal angesprochen … ist ein konzeptioneller Ansatz.

 

[Engaged]

Naja ich warte mal was der Support mir antwortet, und wenn der sagt das ist sicher dann glaube ich dem das auch. 👍

So ein designfehler muss ja nicht jedes Gerät betreffen, wenn der Vigor davon nicht betroffen ist dann kann mir egal sein was die Telekom für Faxen macht, zumal das ja auch nicht so ein Wald und wiesenanbieter ist, was zwar nichts heißt aber trotzdem bessere Chancen. 😅

Bei Windows Netzwerke kann ich auch exakt nur meine Geräte sehen.

 

[riversource]

Ohne jetzt auf jeden einzelnen Beitrag einzugehen: Das Problem liegt nicht im Vigor, und die können auch nichts dagegen machen. Im Modem Modus werden all seine LAN Anschlüssen auf Schicht 2 mit dem DSL verbunden sein, damit PPPOE in jedem Fall funktioniert. Das ist die Funktion eines DSL Modems und muss so sein, aber für dein Heimnetz tödlich.

Noch mal: Es darf keinerlei Verbindung von den LAN Ports deiner Fritzbox direkt zum Modem geben, weder direkt noch über einen Switch. Das ist eine massive Sicherheitslücke, und zwar nicht vom Modem, sondern von dir! Wie auch im Heise Artikel steht, hilft nur ein Router zwischen Modem und Heimnetz. Niemals das Heimnetz direkt ans Modem bringen. Auch eine eigene IP-Adresse für den Vigor hilft nicht!

Das heißt für dich: Zugriff auf die Oberfläche des Vigors nur über eine separate Verbindung: Umstöpseln und IP-Adresse ändern.

 

[Engaged]

Und solange diese Lücke besteht wie kann ich diese bestätigen, was muss ich an meinem Handy machen damit ich dann das Modem oder mein Netzwerk vom Mobilfunk aus sehe?

 

[riversource]

Noch mal: DAS IST KEINE LÜCKE! Das ist das vorgesehene Verhalten. Die Lücke baust du, indem du Harakiri-Netzwerkverkabelungen vornimmst.

Man muss selber in seinem Netzwerk-Design darauf achten, dass die Architektur sauber ist, und das bedeutet: WAN und LAN werden nicht vermischt. Punkt. Nur so kann man sich vor diesem Problem schützen. Grundlagen Netzwerkarchitektur.

Vom Mobilfunk aus siehst du da gar nichts. Deine Daten sehen nur dein Netzbetreiber und ggf. andere Kunden, die beim gleichen Netzbetreiber ihren Anschluss haben.

 

[Engaged]

Und wie erreiche ich das Modem ohne Kabel um stöpseln und ohne manuelle ip, günstigster weg?

 

[wildfly]

Am besten du verkaufst deine FritzBox. Die FritzBoxen können seit 20 Jahren nur zwei interne Netze verwalten (Hauptnetz und Gastnetz).
Für den Vigor 167 brauchst du ein drittes Netz um ihn abzuschotten. Router wie der Mikrotik hEX oder der UniFi Dream Router können das.

 

[Engaged]

Kann ich hier das Kabel vom LAN 2 vom Modem dran machen und damit ein WLAN aufspannen mit denen ich mich verbinden kann und dann drauf zugreifen kann?

Oder ist dann auch wieder irgendwas nicht gut?

 

[DLMttH]

Warum machst du es dir eigentlich so kompliziert? Mit der gebrauchten 7520 zum gleichen Preis des 802N hättest du Modem UND Router ohne Bufferbloat UND unkomplizierte Einsicht in die DSL-Leitungswerte gehabt. Langsam wird es echt lächerlich.

 

[Engaged]

Weil ich prinzipiell kein 2x2 WiFi mit aufgätzten Antennen möchte, und gebraucht Kauf kommt auch gar nicht in Frage für mich, nicht einmal versandrückläufer.
Und das mistding immer als den besten Router der Welt darzustellen ist lächerlich aber trotzdem danke. 👍
Zudem habe ich jetzt bessere leitungswerte mit dem Vigor, das Modem in der 7530 hatte ich ja schon in der 7590, ich wette das ist auch für meine gelegentlichen Abbrüche verantwortlich gewesen, die Amazon Bewertungen zu dem Vigor sind da eigentlich eindeutig, also besser keine Fritz Modems mehr.

Also kann ich das Modem Menü mit so einem kleinen Gerät WLAN-fähig machen oder was?
Natürlich eigener WLAN Name und nicht mit meinem Netzwerk verbunden, die kabellose Version vom manuellen aufschalten mit dem Laptop...

 

[riversource]

Und wie erreiche ich das Modem ohne Kabel um stöpseln und ohne manuelle ip, günstigster weg?

Gar nicht.

Kann ich hier das Kabel vom LAN 2 vom Modem dran machen und damit ein WLAN aufspannen mit denen ich mich verbinden kann und dann drauf zugreifen kann?

Du willst dir echt so eine Kiste mit dauerhaftem Stromverbrauch und Wifi-Verseuchung ins Netz hängen, nur um ab und an mal die DSL Leitungswerte zu sehen? Wie oft schaut man da drauf? 5 Mal im Jahr? 10 Mal? Aber mehr doch wohl kaum.

Steck das Kabel in dein Notebook, wenn du es nachsehen willst, und gut ist es.