Vigor 167 Modem Menü im heimnetzwerk erreichbar machen?

[Engaged]

.

Hat ein Modem, das eigentlich ein Router ist, aber zwei LAN-Ports, von denen einer in der Bedienungsanleitung explizit zur Konfiguration vorgeschlagen wird, sollte man davon ausgehen können, dass der Hersteller auch etwaige Sicherheitsrisiken einkalkuliert - zB indem Port2 durch ein internes VLAN oder gar einen zweiten physischen NIC abgekapselt wird. Es ist ein wenig befremdlich, dass DrayTek hier selbst ein Sicherheitsrisiko einräumt, wenn der Provider "Mist baut".

Eigentlich müsste man das Annehmen ja, ich hoffe jetzt auch nur dass die Telekom kein Mist baut, und die Tage welche das hier im Netzwerk eingebunden war nicht schlimm waren. 🫣

Und technisch sollte dem tatsächlich nichts im Wege stehen das ordentlich umzusetzen, warum das im auslieferungszustand nicht direkt so ist weiß der Kuckuck. 🤷🏻

 

[riversource]

Unabhängig von "Mist bauen" sollte man sein eigenes Netz sauber aufsetzen. Die Vermischung von WAN und LAN ist für mich nicht sauber.

 

[Raijin]

Ja doch, aber du missverstehst meinen Punkt @riversource


Modem
(LAN1)
|
Switch
+---- (WAN) Router
+---- (LAN) Router

So vermischt man in der Tat WAN und LAN, weil man das Modem nun mal nur einen Port hat, der explizit für den Router gedacht ist und nicht per Switch vervielfältigt werden sollte.


Aber das hier..

Modem
+-(LAN1) --- (WAN) Router
+-(LAN2) --- (LAN) Router

.. ist meiner Meinung nach eine gänzlich andere Situation, es sei denn LAN1 und LAN2 im Modem sind intern als Switch zusammengelegt, was wiederum in obiger Situation endet. Mein Punkt ist nun aber der, dass es in der Macht des Herstellers läge, eben diese beiden Ports NICHT als Switch auszuführen, sondern als 2 individuelle, vollkommen autarke Schnittstellen, ggfs sogar mit 2 physischen NICs. Damit gäbe es keinerlei Vermischung von WAN und LAN.


Es wäre für DrayTek daher ein Klacks. ungeachtet der (nicht)vorhandenen Schutzmechanismen der Provider einen sicheren Zugriff auf die Konfiguration des Geräts zu ermöglichen. Schließlich ist ein Vigor am Ende immer noch ein Router mit all seinen Möglichkeiten und er könnte LAN2 sozusagen als "Gast-LAN" bzw. in dem Falle "Config-LAN" absichern, nur lokal, nur GUI rein und raus, nix anderes.

 

[Engaged]

Ich verstehe es jetzt zwar auch, aber es sollte trotzdem wie in dem zweiten Schaubild von @Raijin sein, einfach weil es nicht zusammengehört (klingt komisch ist aber so).

Fazit: Heißt also im Ist-Zustand leider auf keinen Fall zu empfehlen das zu machen! 😅

 

[riversource]

Modem
+-(LAN1) --- (WAN) Router
+-(LAN2) --- (LAN) Router

Vielleicht bin ich mit meinen über 50 Lenzen schon zu alt dafür, aber das ist für mich kein klassisches Modem. Vielleicht gibt es Geräte, die das so umsetzen, aber sicher drauf verlassen würde ich mich nicht. Aber es stimmt natürlich: So könnte man WAN und LAN trennen und unabhängig drauf zugreifen. Das ist dann auch keine Sicherheitslücke mehr. Ich kenne aber kein Gerät, dass das so macht. Oben die Beschreibung von Zyxel ist da ebenfalls nicht eindeutig, denn sie beschreibt nicht, was nicht geht. Demnach kann man nicht ausschließen, dass LAN1 ebenfalls das Modemsignal führt. Ganz ehrlich: Bevor der Modemhersteller das Risiko eingeht, haufenweise Service Anrufe zu bekommen, weil die Leute auf LAN1 kein Internet bekommen, legt er es da lieber hin. Ich würde das in meiner Netzwerkarchitektur jedenfalls einkalkulieren.

Modem
(LAN1)
|
Switch
+---- (WAN) Router
+---- (LAN) Router

Das ist für mich ein klassisches Modem, wie ich es in den 90ern mal gelernt habe. Dabei ist es egal, ob der Switch extern oder im Modem integriert ist. Alle LAN Schnittstellen des Modems führen das gleiche Signal nach draußen.

 

[Engaged]

Ich kenne aber kein Gerät, dass das so macht. Oben die Beschreibung von Zyxel ist da ebenfalls nicht eindeutig, denn sie beschreibt nicht, was nicht geht.

Mit den ganzen Erkenntnissen würde ich mich da leider auch nicht mehr drauf verlassen wollen.

 

[Raijin]

Vielleicht bin ich mit meinen über 50 Lenzen schon zu alt dafür, aber das ist für mich kein klassisches Modem.

Ich komme den 50 Jahren auch unweigerlich näher...

Ein Vigor ist aber nun mal kein klassisches Modem. Das ist ein Router, der als Modem bzw Bridge konfiguriert werden kann - so wie es bei Fritzboxen früher auch möglich war und bei Speedports soweit ich weiß noch möglich ist. Sind das dann Modems? Nein, Router mit integriertem Modem, bei denen man den Routerteil abschalten kann.

In einem klassischen, reinen Modem ist keinerlei Hard- oder Firmware drin, die auch nur im entferntesten überhaupt die Möglichkeit hätte, irgendwelche Routeraufgaben zu übernehmen. Das sind quasi dumme Telefone, maximal mit Wählscheibe.

 

[wildfly]

Beispiel: DrayTek Vigor 167 in einem Mikrotik Router hEX einrichten

Router LAN-Port 1 verbinden mit dem LAN-Port P1 des Vigors
Router LAN-Port 2 verbinden mit dem LAN-Port P2 des Vigors

Dem Router die Adresse 192.168.1.2 im Netz 192.168.1.0 hinzufügen
/ip address add address=192.168.1.2/24 comment="To get to DrayTek Vigor 167" interface=ether2 network=192.168.1.0

Dem Router mitteilen, dass NAT an dieser Adresse und dieser Schnittstelle in Ordnung ist
/ip firewall nat add action=masquerade chain=srcnat out-interface=bridge

Jetzt kann man das Webinterface des Vigors auf jedem Gerät des Heimnetzwerkes mit 192.168.1.1 aufrufen.