selbstgebautes Sicherheitsloch?

[gerald_FS]

Hallo,

ich glaube ich habe mir ein Problem in die FireWall eingebaut.

Ich nutze ein Allnet Bm300 als VDSL Modem.
In OpnSense sind die Logindaten sowie das VLAN Tag7 hinterlegt, der Verbindungsaufbau erfolgt ganz normal via pppoe auf Port1.

Zusätzlich habe ich an den Port2 am Modem ein LAN Kabel angeschlosen - dies geht auf meinen normalen Switch.
Dem Modem habe ich zusätzlich eine feste IP zugewiesen.

Ich glaube damit wird das System löchrig?
Liege ich mit meiner Vermutung richtg?
Wie kann ich es besser machen?


Liebe Grüße

Gerald

[meyergru]

Schließe das Modem nicht an das LAN an, sondern belasse es nur am WAN-Anschluss. Wenn die OpnSense das VLAN-Tagging macht, kannst Du PPPoE über das VLAN-Interface machen und trotzdem am übergeordneten WAN Ethernet-Interface ein IP-Netz konfigurieren, dass ein anderes Subnetz als Dein LAN hat und das Modem auf eine IP darin legen.

Meist haben Modems oder ONTs sowieso eine Default-IP-Adresse aus einem "exotischen" RFC1918-Subnetz, dann musst Du nur dieses Netz am WAN-Anschluss verwenden.

Im Idealfall machst Du dann auch kein einfaches Routing aus dem LAN dorthin, sondern greifst auch dort per Outgoing NAT zu, dann könnte jemand, der das Modem kapert (z.B. Dein ISP) auch nicht in Dein LAN eindringen, wie es jetzt möglich wäre.

Die Alternative zum NATing wären entsprechende Firewall-Regeln, nur müsste das Modem für normales Routing zunächst die OpnSense auf deren WAN-Subnetz-IP als Gateway kennen, anderenfalls würde es ja auf Pakete aus Deinem LAN nicht antworten können - das ist oft nicht möglich, weil man nur die IP eintragen kann, nicht aber das Gateway.

[gerald_FS]

Danke, für die wertvollen Tipps.

Habe es mir schon gedacht, werde es dann entsprechend umbauen.

Danke!

Gerald