OPNsense Forum

International Forums => German - Deutsch => Topic started by: Emma2 on March 16, 2018, 04:42:53 pm

Title: Webbrowser Plug-in?
Post by: Emma2 on March 16, 2018, 04:42:53 pm
Meine opnSense hängt hinter einem Zyxel-Modem. Um dieses zu administrieren, brauche ich einen Webbrowser.
Gibt es ein dafür geeignetes Plug-in? Oder kann ich dies anders erreichen?
Title: Re: Webbrowser Plug-in?
Post by: BeNe on March 16, 2018, 05:24:04 pm
Verstehe die Frage nicht so ganze  ::)
Was willst Du jetzt genau erreichen: Die OPNsense oder dein Zyxel-Modem ?
Und von welche Seite aus ? WAN, LAN, VPN... ?

Für OPNsense gibt es kein Plugin im Browser. Wird rein über den Browser bearbeitet (oder Console).
Denke mal dein Modem hat auch einen kleinen Webbrowser am Board um diese zu konfigurieren.
Title: Re: Webbrowser Plug-in?
Post by: Emma2 on March 16, 2018, 06:15:11 pm
Ich möchte gern das Zyxel-Modem konfigurieren bzw. überwachen, und dafür hat das Zyxel natürlich einen Webserver an Bord.

Meine Konfiguration ist aber diese: LAN <-> opnSense <-> Zyxel <-> DSL/Internet
NUR die opnSense ist mit dem Zyxel verbunden, so dass ich dort (auf der opnSense) einen Browser starten muss, wenn ich das Zyxel administrieren will. Wenn das nicht geht, dann kann ich natürlich eine weitere Maschine direkt an das Zyxel hängen, aber es wäre komfortabler wenn es von der opnSense aus ginge.

So, wie ich Dich verstehe, gibt es aber keine Möglichkeit dafür?

(p.s.: Ich bin neu bei allen Unixen, also auch bei opnSense/BSD, habe also keine Ahnung, ob man irgendwie an das unterliegende BSD kommt, oder ob das überhaupt sinnvoll wäre...)

Hoffe, jetzt ist mein Anliegen etwas klarer geworden?
Title: Re: Webbrowser Plug-in?
Post by: fabian on March 16, 2018, 09:37:41 pm
Meine Konfiguration ist aber diese: LAN <-> opnSense <-> Zyxel <-> DSL/Internet
NUR die opnSense ist mit dem Zyxel verbunden, so dass ich dort (auf der opnSense) einen Browser starten muss, wenn ich das Zyxel administrieren will.
Das ist der Sinn von Routing - vom einen Netz die Rechner in einem anderen Netz erreichen.
Wenn du die Quell-Adresse am WAN per NAT umschreibst, schaut das für den Router so aus als ob der Quellrechner direkt angeschlossen ist.

Möglicherweise blockierst du aber RFC 1918 und Bogon-IPs, die die Kommunikation mit dem Modem verhindern.

Wenn das nicht geht, dann kann ich natürlich eine weitere Maschine direkt an das Zyxel hängen, aber es wäre komfortabler wenn es von der opnSense aus ginge.

Geht ganz sicher, machen viele hier im Forum (aber mit einer FritzBox)

So, wie ich Dich verstehe, gibt es aber keine Möglichkeit dafür?
vermutlich hast du ihn falsch verstanden.
(p.s.: Ich bin neu bei allen Unixen, also auch bei opnSense/BSD, habe also keine Ahnung, ob man irgendwie an das unterliegende BSD kommt, oder ob das überhaupt sinnvoll wäre...)
Per SSH kommst du auf die Shell (Clients: OpenSSH Client, PuTTY, Dropbear, ...) übers Netzwerk. Ansonsten über die Konsole am Bildschirm oder per RS232.
Title: Re: Webbrowser Plug-in?
Post by: Emma2 on March 16, 2018, 11:09:06 pm
Danke für die lieben Erläuterungen. Dass ich DURCH die opnSense aufs Modem komme, ist schon klar.
Meine Frage zielte eher darauf, ob ich "von der opnSense aus" auf das Zyxel zugreifen kann.
Aber da das nur mit Hilfe eines Webbrowsers geht, ist das dann wohl nicht möglich. Verstanden. Danke.
Title: Re: Webbrowser Plug-in?
Post by: JeGr on March 20, 2018, 10:01:54 am
> Meine Frage zielte eher darauf, ob ich "von der opnSense aus" auf das Zyxel zugreifen kann.

Die Frage sollte eigentlich gar nicht erst aufkommen, denn - mal ganz unter uns: Du willst AUF einer Firewall einen Browser (irgendwie geartet) starten um dahinter in der WAN Zone irgendwas zu erreichen?! Wenn man mal drüber nachdenkt, sollte es eigentlich auffallen, dass das eine verflixt unschöne Idee wäre ;) Auf einem Gerät, was so wenig wie möglich Angriffsfläche bieten sollte, ist ein Browser oder was vergleichbares so ziemlich das Letzte was man möchte :D

Auf dein Modem über die Sense hinweg zuzugreifen ist durch Routing/NAT problemlos möglich, du musst es nur richtig konfigurieren und dann ist das auch sicher. Alles andere - will man nicht :)

Grüße
Title: Re: Webbrowser Plug-in?
Post by: Emma2 on March 20, 2018, 04:11:41 pm
Hallo, Grüße... (seltener Name :-p)

Danke für Deine Erläuterung. Ja, Du hast natürlich Recht. Wenn man allerdings den Browser verantwortungsvoll einsetzt und eben NUR in die DMZ hineinbraust, dann sollte es wohl kein Problem sein. Aber ok.

Per NAT komme ich mittlerweile auch auf mein DSL-Modem (siehe anderer Thread), per Route nicht.
Ich schließe daraus, dass auf dem Modem der Zugriff "aus fremden Netzen" verboten ist.

Liebe Grüße, Pi.
Title: Re: Webbrowser Plug-in?
Post by: JeGr on March 20, 2018, 05:36:09 pm
> NUR in die DMZ hineinbraust, dann sollte es wohl kein Problem sein. Aber ok.

Das was du als DMZ bezeichnest, ist aber leider keine wirkliche. Da ich nicht weiß wie sich dein Modem verhält - und du wahrscheinlich auch nicht - wäre ich mir da nicht sicher, ob es keine Möglichkeit eines Durchgriffs seitens des ISP oder anderer Möglichkeiten gibt. Dadurch ist das aus meiner Sicht eher WAN/Public und daher schonmal nicht schön. Das zweite ist: egal wie verantwortungsvoll, ein echter Browser muss mehr können und ausführen als gut ist. Und auf einem "sicheren" Host wie einer Firewall/Bastion Host/wieauchimmer sollte/darf sowas nicht laufen, da es ein zusätzlicher Angriffsvektor sein kann. Allein was dafür an Dependencies für Pakete oder andere Tools nochmal laufen müssten :)

Wir hatten da anno 199x schonmal im Usenet eine famose Diskussion über einen "Kollegen", der sich wunderte dass er keinerlei Antwort bekam auf seine Frage, wie er auf einer OpenBSD Firewall jetzt einen X-Server und Mozilla installieren könne... Daher hatte ich bei deinem Thread hier ein ziemliches Déjà-vu :D

> Ich schließe daraus, dass auf dem Modem der Zugriff "aus fremden Netzen" verboten ist.

Ein Trugschluß, denn wie oben ausgeführt liegt es nur an der fehlenden Route, dass das Modem nicht erreichbar ist. Da du bei heutigen Geräten mit Remote Access etc. das sehr selten sagen kannst, was das Gerät wirklich kann und was nicht wäre ich da eher vorsichtig mit der Annahme. Verboten ist bei einem Modem/Router Kombi meist gar nichts - nur nicht erreichbar. Erreichbar ist es aber ggf. schnell gemacht ;)

> Hallo, Grüße... (seltener Name :-p)

<-- Warum? Name steht doch da :) Wenn ich nicht gerade in Eile bin, Grüße ich eben auch noch ;)

Gruß
-Jens
Title: Re: Webbrowser Plug-in?
Post by: fabian on March 20, 2018, 05:38:11 pm
Eher dass dein Modem nicht weiß wo hin es dein Paket schicken soll und daher verwirft oder ans WAN-GW schickt.
Title: Re: Webbrowser Plug-in?
Post by: Emma2 on March 20, 2018, 06:13:46 pm
Hallo, Jens ;-) & Fabian.

Ok, nochmals danke, inhaltlich stimmt das vermutlich.
Ich betreibe das Zyxel-DSL-Modem im Bridge-Modus, so dass die opnSense den Netzzugang per PPPoE herstellt.
Und, ja, ich "sehe ein", das ein Browser auf der Firewall ein unnötiges Risiko darstellt. Check.

Dennoch "wurmt" es mich ein bisschen, dass es mir (als Übung) nicht gelingt, per Route ohne NAT auf das Zyxel zuzugreifen.

Deshalb noch einmal meine Konfiguration:
- Subnetz 10.0.0.0/24 "DMZ" hat zwei Geräte, die opnSense auf 10.0.0.15 und das Zyxel auf 10.0.0.1.
- Subnetz 192.168.0.0/24 ist mein "LAN", die opnSense dort mit 192.168.0.15 vertreten.
- Subnetz 192.168.4.0/24 ist ein anderes Subnetz "A4U", die opnSense dort mit 192.168.4.15 vertreten.
Auf den dazugehörenden Interfaces der opnSense ist zunächst alles erlaubt.
- Ich kann zwischen LAN und A4U beliebig hin und her zugreifen, erwarte ich auch so.
- Sobald ich NAT von LAN zu "DMZ" einrichte, kann ich problemlos auf das Zyxel zugreifen.
- Sobald ich dieses NAT abschalte, erhalte ich keinen Zugriff.
- Ich kann also NICHT von LAN mit LAN-Adresse auf das Zyxel zugreifen.

Jetzt meine konkreten Fragen (die eigentlich in den anderen Thread gehören):
- Die opnSense hat automatische Routen zwischen allen ihren Interfaces, d.h. eine Route muss ich nicht einrichten. Ist das korrekt?
- Wenn ich per NAT auf das Zyxel zugreifen kann, nicht aber mit meiner IP aus Zyxel-fremdem Subnetz, dann muss es doch am Zyxel liegen, dass es eben darauf nicht antwortet. Ebenfalls korrekt?

Wie ich darauf komme? Mir ist es schon einmal passiert (ich meine, bei einer Fritzbox), dass ich aus "fremdem Subnetz" nicht zugreifen konnte. Die Box akzeptierte nur Zugriff aus ihrem eigenen, ihr bekannten Subnetz. Um aus einem anderen Subnetz zugreifen zu können, musste man "Konfigurieren aus dem Internet" erlauben.

Ist jetzt nicht wirklich wichtig, aber mich würde es schon interessieren...
Title: Re: Webbrowser Plug-in?
Post by: fabian on March 20, 2018, 08:52:42 pm

- Die opnSense hat automatische Routen zwischen allen ihren Interfaces, d.h. eine Route muss ich nicht einrichten. Ist das korrekt?
ja - da die Netze direkt angeschlossen sind
- Wenn ich per NAT auf das Zyxel zugreifen kann, nicht aber mit meiner IP aus Zyxel-fremdem Subnetz, dann muss es doch am Zyxel liegen, dass es eben darauf nicht antwortet. Ebenfalls korrekt?
ja, Firewall oder Routingtabelle

Wie ich darauf komme? Mir ist es schon einmal passiert (ich meine, bei einer Fritzbox), dass ich aus "fremdem Subnetz" nicht zugreifen konnte. Die Box akzeptierte nur Zugriff aus ihrem eigenen, ihr bekannten Subnetz. Um aus einem anderen Subnetz zugreifen zu können, musste man "Konfigurieren aus dem Internet" erlauben.

Ist jetzt nicht wirklich wichtig, aber mich würde es schon interessieren...
Kenne dein Device nicht - von daher kann ich nicht antworten.
Title: Re: Webbrowser Plug-in?
Post by: Emma2 on March 20, 2018, 09:19:06 pm
Danke, Fabian.

Jetzt sehe ich etwas klarer.

Kenne dein Device nicht - von daher kann ich nicht antworten.
Ist ein Zyxel VM1312-B30A, und ich finde einfach keine entsprechende Einstellung; selbst wenn ich dessen integrierte "Firewall" ganz ausschalte, komme ich nur aus seinem eigenen Netz aufs Gerät. Vielleicht kann/will das Modem das grundsätzlich nicht... könnte ja gut sein. Ich frage mal im Zyxelforum... ;-)
Title: Re: Webbrowser Plug-in?
Post by: JeGr on March 21, 2018, 09:22:56 am
Ich mutmaße mal, dass es nicht an einer Firewall liegt (bei einem Modem was ggf. noch Routing Funktionen hat - ich kenne das Gerät nicht wirklich), halte ich das für wahrscheinlicher, dass es schlicht an der fehlenden Route liegt.

> Auf den dazugehörenden Interfaces der opnSense ist zunächst alles erlaubt.

Ich hoffe NICHT auf dem WAN/PPPoE Interface. Das wäre das letzte was du möchtest :)
Title: Re: Webbrowser Plug-in?
Post by: Emma2 on March 21, 2018, 09:58:46 am
Ich mutmaße mal, dass es nicht an einer Firewall liegt (bei einem Modem was ggf. noch Routing Funktionen hat - ich kenne das Gerät nicht wirklich), halte ich das für wahrscheinlicher, dass es schlicht an der fehlenden Route liegt.
Mit "Firewall" ist jetzt NICHT die opnSense gemeint, sondern das Zyxel-Modem.

Aber wie kann es eine "fehlende Route" sein? Etwa in dieser Art:
Ich komme ohne NAT aus dem 192.168.0.0/24-Netz, und die opnSense routet mich auf das Modem auf 10.0.0.1.
Das Modem aber kennt nicht die opnSense 10.0.0.15 als Gateway für mein LAN und weiß deshalb nicht, wohin es seine Antworten schicken soll? Das würde dann sogar mir einleuchten.

> Auf den dazugehörenden Interfaces der opnSense ist zunächst alles erlaubt.
Ich hoffe NICHT auf dem WAN/PPPoE Interface. Das wäre das letzte was du möchtest :)
Na ja, mit WAN habe ich das Interface ins Netz 10.0.0.0/24 benannt. Auf dem PPPoE-Interface ist natürlich NICHT alles erlaubt. Dennoch danke für den Hinweis.  :)

Zusatzfrage: Die Tatsache, dass mein "WAN/Modemverbindung" und die PPPoE-Verbindung die selbe Hardware-Karte nutzen, ist doch nur eine theoretische Gefahr - oder könnte darüber jemand bei mir einbrechen?
Title: Re: Webbrowser Plug-in?
Post by: JeGr on March 21, 2018, 10:32:59 am
> Mit "Firewall" ist jetzt NICHT die opnSense gemeint, sondern das Zyxel-Modem.
Und genau das hab ich gesagt :)

> Aber wie kann es eine "fehlende Route" sein? Etwa in dieser Art:
Wie oben geschrieben, weil dein Modem keine Ahnung von anderen Netzen hat. Ist ja auch primär nicht sein Job. Und da das Modem im PassThrough Modus kein Routing macht und wahrscheinlich auch keine Default Route hat, kann es seinen Traffic nirgends hinschicken.

Was den Rest mit PPPoE/Modem und "einbrechen" angeht: Erstmal muss auch dein Modem Interface (das du WAN nennst) nicht alles offen haben - wozu. Da muss ebenfalls erstmal gar nichts auf sein, denn dein Traffic kommt vom LAN und der Antworttraffic ist durch Stateful Firewalling automatisch erlaubt. Ergo gibts keinen Grund das Interface aufzumachen, damit auch eigentlich keinen Angriffsvektor wenn du es genauso behandelst wie das PPPoE Interface.
Ansonsten kann dir niemand sagen, wie die Gefahr ist, da ich das Verhalten des Modems nicht kenne. Wir hatten bspw. schon Geräte, die bspw. bei sauber angelegtem Kabelsignal das Interface gebridged haben, so dass die Sense am anderen Ende per DHCP eine Adresse vom Kabelanbieter bekommen konnte. Es war also transparent - eigentlich - aber sobald Kabel tot war wegen Störung hat sich das Gerät automatisch zum Router lanciert und hat auf 10.0.0.1 einen DHCP Server hochgefahren um bspw. angeschlossenen Geräten den Zugriff auf das Diagnose Interface zu geben. Theoretisch recht schön, praktisch nicht wirklich, denn damit hatte bspw. die Sense nie einen Leitungsausfall bemerkt (hatte ja nach wie vor eine gültige IP und ein GW) und man wunderte sich plötzlich nur, dass weder DNS noch Traffic mehr sauber rausgingen, aber kein Interface Alarm kam. Durch so ein wechselndes Verhalten kann man aber auch nicht sicher sagen, dass das Gerät transparent arbeitet.

Daher betrachte ich grundsätzlich alles VOR meinem eigenen Bastion Host (Firewall) als "extern" bzw. potentiell gefährlich.

Grüße
Title: Re: Webbrowser Plug-in?
Post by: Emma2 on March 21, 2018, 11:12:02 am
Danke, Jens, so habe ich es nun auch verstanden (das mit der fehlenden Route auf dem Zyxel).
Ist ja auch kein Problem... ich wollte es eben nur verstehen... als Weiterbildung  ;).

JEDES Interface zum Zyxel sollte ich dichtmachen, ja das leuchtet auch ein... denn man weiß ja nie...
auch dafür meinen lieben Dank.
Title: Re: Webbrowser Plug-in?
Post by: Emma2 on March 22, 2018, 09:23:45 am
Nachtrag: TECHNISCH funktioniert es doch!

Quote from: XXX im Zyxelforum
im Modem Betrieb hat man keinen Chance, das Modem zu administrieren.

Doch, hat man, und zwar auch ohne NAT: Wenn ich unter Netzwerkeinstellungen/Routing eine Route in mein LAN und den Router als Gateway eintrage, dann kommen die Antworten des Geräts auch ohne NAT zurück. Eure Diagnose war also richtig.

(NB: Die von Euch angesprochenen Sicherheitsbedenken teile ich mittlerweile - hier geht es nur um die TECHNISCHE Machbarkeit auf dem Zyxel-Modem.)

Danke nochmals an alle, und der Thread kann geschlossen werden.