Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
selbstgebautes Sicherheitsloch?
« previous
next »
Print
Pages: [
1
]
Author
Topic: selbstgebautes Sicherheitsloch? (Read 676 times)
gerald_FS
Newbie
Posts: 18
Karma: 0
selbstgebautes Sicherheitsloch?
«
on:
December 09, 2022, 10:17:41 pm »
Hallo,
ich glaube ich habe mir ein Problem in die FireWall eingebaut.
Ich nutze ein Allnet Bm300 als VDSL Modem.
In OpnSense sind die Logindaten sowie das VLAN Tag7 hinterlegt, der Verbindungsaufbau erfolgt ganz normal via pppoe auf Port1.
Zusätzlich habe ich an den Port2 am Modem ein LAN Kabel angeschlosen - dies geht auf meinen normalen Switch.
Dem Modem habe ich zusätzlich eine feste IP zugewiesen.
Ich glaube damit wird das System löchrig?
Liege ich mit meiner Vermutung richtg?
Wie kann ich es besser machen?
Liebe Grüße
Gerald
Logged
meyergru
Hero Member
Posts: 1703
Karma: 167
IT Aficionado
Re: selbstgebautes Sicherheitsloch?
«
Reply #1 on:
December 09, 2022, 11:14:38 pm »
Schließe das Modem nicht an das LAN an, sondern belasse es nur am WAN-Anschluss. Wenn die OpnSense das VLAN-Tagging macht, kannst Du PPPoE über das VLAN-Interface machen und trotzdem am übergeordneten WAN Ethernet-Interface ein IP-Netz konfigurieren, dass ein anderes Subnetz als Dein LAN hat und das Modem auf eine IP darin legen.
Meist haben Modems oder ONTs sowieso eine Default-IP-Adresse aus einem "exotischen" RFC1918-Subnetz, dann musst Du nur dieses Netz am WAN-Anschluss verwenden.
Im Idealfall machst Du dann auch kein einfaches Routing aus dem LAN dorthin, sondern greifst auch dort per Outgoing NAT zu, dann könnte jemand, der das Modem kapert (z.B. Dein ISP) auch nicht in Dein LAN eindringen, wie es jetzt möglich wäre.
Die Alternative zum NATing wären entsprechende Firewall-Regeln, nur müsste das Modem für normales Routing zunächst die OpnSense auf deren WAN-Subnetz-IP als Gateway kennen, anderenfalls würde es ja auf Pakete aus Deinem LAN nicht antworten können - das ist oft nicht möglich, weil man nur die IP eintragen kann, nicht aber das Gateway.
«
Last Edit: December 09, 2022, 11:17:37 pm by meyergru
»
Logged
Intel N100, 4 x I226-V, 16 GByte, 256 GByte NVME, ZTE F6005
1100 down / 440 up
,
Bufferbloat A+
gerald_FS
Newbie
Posts: 18
Karma: 0
Re: selbstgebautes Sicherheitsloch?
«
Reply #2 on:
December 10, 2022, 08:47:25 am »
Danke, für die wertvollen Tipps.
Habe es mir schon gedacht, werde es dann entsprechend umbauen.
Danke!
Gerald
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
selbstgebautes Sicherheitsloch?