Webbrowser Plug-in?

[Emma2]

Meine opnSense hängt hinter einem Zyxel-Modem. Um dieses zu administrieren, brauche ich einen Webbrowser.
Gibt es ein dafür geeignetes Plug-in? Oder kann ich dies anders erreichen?

[BeNe]

Verstehe die Frage nicht so ganze 
Was willst Du jetzt genau erreichen: Die OPNsense oder dein Zyxel-Modem ?
Und von welche Seite aus ? WAN, LAN, VPN... ?

Für OPNsense gibt es kein Plugin im Browser. Wird rein über den Browser bearbeitet (oder Console).
Denke mal dein Modem hat auch einen kleinen Webbrowser am Board um diese zu konfigurieren.

[Emma2]

Ich möchte gern das Zyxel-Modem konfigurieren bzw. überwachen, und dafür hat das Zyxel natürlich einen Webserver an Bord.

Meine Konfiguration ist aber diese: LAN <-> opnSense <-> Zyxel <-> DSL/Internet
NUR die opnSense ist mit dem Zyxel verbunden, so dass ich dort (auf der opnSense) einen Browser starten muss, wenn ich das Zyxel administrieren will. Wenn das nicht geht, dann kann ich natürlich eine weitere Maschine direkt an das Zyxel hängen, aber es wäre komfortabler wenn es von der opnSense aus ginge.

So, wie ich Dich verstehe, gibt es aber keine Möglichkeit dafür?

(p.s.: Ich bin neu bei allen Unixen, also auch bei opnSense/BSD, habe also keine Ahnung, ob man irgendwie an das unterliegende BSD kommt, oder ob das überhaupt sinnvoll wäre...)

Hoffe, jetzt ist mein Anliegen etwas klarer geworden?

[fabian]

Meine Konfiguration ist aber diese: LAN <-> opnSense <-> Zyxel <-> DSL/Internet
NUR die opnSense ist mit dem Zyxel verbunden, so dass ich dort (auf der opnSense) einen Browser starten muss, wenn ich das Zyxel administrieren will.

Das ist der Sinn von Routing - vom einen Netz die Rechner in einem anderen Netz erreichen.
Wenn du die Quell-Adresse am WAN per NAT umschreibst, schaut das für den Router so aus als ob der Quellrechner direkt angeschlossen ist.

Möglicherweise blockierst du aber RFC 1918 und Bogon-IPs, die die Kommunikation mit dem Modem verhindern.

Wenn das nicht geht, dann kann ich natürlich eine weitere Maschine direkt an das Zyxel hängen, aber es wäre komfortabler wenn es von der opnSense aus ginge.

Geht ganz sicher, machen viele hier im Forum (aber mit einer FritzBox)

So, wie ich Dich verstehe, gibt es aber keine Möglichkeit dafür?

vermutlich hast du ihn falsch verstanden.

(p.s.: Ich bin neu bei allen Unixen, also auch bei opnSense/BSD, habe also keine Ahnung, ob man irgendwie an das unterliegende BSD kommt, oder ob das überhaupt sinnvoll wäre...)

Per SSH kommst du auf die Shell (Clients: OpenSSH Client, PuTTY, Dropbear, ...) übers Netzwerk. Ansonsten über die Konsole am Bildschirm oder per RS232.

[Emma2]

Danke für die lieben Erläuterungen. Dass ich DURCH die opnSense aufs Modem komme, ist schon klar.
Meine Frage zielte eher darauf, ob ich "von der opnSense aus" auf das Zyxel zugreifen kann.
Aber da das nur mit Hilfe eines Webbrowsers geht, ist das dann wohl nicht möglich. Verstanden. Danke.

[JeGr]

> Meine Frage zielte eher darauf, ob ich "von der opnSense aus" auf das Zyxel zugreifen kann.

Die Frage sollte eigentlich gar nicht erst aufkommen, denn - mal ganz unter uns: Du willst AUF einer Firewall einen Browser (irgendwie geartet) starten um dahinter in der WAN Zone irgendwas zu erreichen?! Wenn man mal drüber nachdenkt, sollte es eigentlich auffallen, dass das eine verflixt unschöne Idee wäre Auf einem Gerät, was so wenig wie möglich Angriffsfläche bieten sollte, ist ein Browser oder was vergleichbares so ziemlich das Letzte was man möchte

Auf dein Modem über die Sense hinweg zuzugreifen ist durch Routing/NAT problemlos möglich, du musst es nur richtig konfigurieren und dann ist das auch sicher. Alles andere - will man nicht

Grüße

[Emma2]

Hallo, Grüße... (seltener Name :-p)

Danke für Deine Erläuterung. Ja, Du hast natürlich Recht. Wenn man allerdings den Browser verantwortungsvoll einsetzt und eben NUR in die DMZ hineinbraust, dann sollte es wohl kein Problem sein. Aber ok.

Per NAT komme ich mittlerweile auch auf mein DSL-Modem (siehe anderer Thread), per Route nicht.
Ich schließe daraus, dass auf dem Modem der Zugriff "aus fremden Netzen" verboten ist.

Liebe Grüße, Pi.

[JeGr]

> NUR in die DMZ hineinbraust, dann sollte es wohl kein Problem sein. Aber ok.

Das was du als DMZ bezeichnest, ist aber leider keine wirkliche. Da ich nicht weiß wie sich dein Modem verhält - und du wahrscheinlich auch nicht - wäre ich mir da nicht sicher, ob es keine Möglichkeit eines Durchgriffs seitens des ISP oder anderer Möglichkeiten gibt. Dadurch ist das aus meiner Sicht eher WAN/Public und daher schonmal nicht schön. Das zweite ist: egal wie verantwortungsvoll, ein echter Browser muss mehr können und ausführen als gut ist. Und auf einem "sicheren" Host wie einer Firewall/Bastion Host/wieauchimmer sollte/darf sowas nicht laufen, da es ein zusätzlicher Angriffsvektor sein kann. Allein was dafür an Dependencies für Pakete oder andere Tools nochmal laufen müssten

Wir hatten da anno 199x schonmal im Usenet eine famose Diskussion über einen "Kollegen", der sich wunderte dass er keinerlei Antwort bekam auf seine Frage, wie er auf einer OpenBSD Firewall jetzt einen X-Server und Mozilla installieren könne... Daher hatte ich bei deinem Thread hier ein ziemliches Déjà-vu

> Ich schließe daraus, dass auf dem Modem der Zugriff "aus fremden Netzen" verboten ist.

Ein Trugschluß, denn wie oben ausgeführt liegt es nur an der fehlenden Route, dass das Modem nicht erreichbar ist. Da du bei heutigen Geräten mit Remote Access etc. das sehr selten sagen kannst, was das Gerät wirklich kann und was nicht wäre ich da eher vorsichtig mit der Annahme. Verboten ist bei einem Modem/Router Kombi meist gar nichts - nur nicht erreichbar. Erreichbar ist es aber ggf. schnell gemacht

> Hallo, Grüße... (seltener Name :-p)

<-- Warum? Name steht doch da Wenn ich nicht gerade in Eile bin, Grüße ich eben auch noch

Gruß
-Jens

[fabian]

Eher dass dein Modem nicht weiß wo hin es dein Paket schicken soll und daher verwirft oder ans WAN-GW schickt.

[Emma2]

Hallo, Jens ;-) & Fabian.

Ok, nochmals danke, inhaltlich stimmt das vermutlich.
Ich betreibe das Zyxel-DSL-Modem im Bridge-Modus, so dass die opnSense den Netzzugang per PPPoE herstellt.
Und, ja, ich "sehe ein", das ein Browser auf der Firewall ein unnötiges Risiko darstellt. Check.

Dennoch "wurmt" es mich ein bisschen, dass es mir (als Übung) nicht gelingt, per Route ohne NAT auf das Zyxel zuzugreifen.

Deshalb noch einmal meine Konfiguration:
- Subnetz 10.0.0.0/24 "DMZ" hat zwei Geräte, die opnSense auf 10.0.0.15 und das Zyxel auf 10.0.0.1.
- Subnetz 192.168.0.0/24 ist mein "LAN", die opnSense dort mit 192.168.0.15 vertreten.
- Subnetz 192.168.4.0/24 ist ein anderes Subnetz "A4U", die opnSense dort mit 192.168.4.15 vertreten.
Auf den dazugehörenden Interfaces der opnSense ist zunächst alles erlaubt.
- Ich kann zwischen LAN und A4U beliebig hin und her zugreifen, erwarte ich auch so.
- Sobald ich NAT von LAN zu "DMZ" einrichte, kann ich problemlos auf das Zyxel zugreifen.
- Sobald ich dieses NAT abschalte, erhalte ich keinen Zugriff.
- Ich kann also NICHT von LAN mit LAN-Adresse auf das Zyxel zugreifen.

Jetzt meine konkreten Fragen (die eigentlich in den anderen Thread gehören):
- Die opnSense hat automatische Routen zwischen allen ihren Interfaces, d.h. eine Route muss ich nicht einrichten. Ist das korrekt?
- Wenn ich per NAT auf das Zyxel zugreifen kann, nicht aber mit meiner IP aus Zyxel-fremdem Subnetz, dann muss es doch am Zyxel liegen, dass es eben darauf nicht antwortet. Ebenfalls korrekt?

Wie ich darauf komme? Mir ist es schon einmal passiert (ich meine, bei einer Fritzbox), dass ich aus "fremdem Subnetz" nicht zugreifen konnte. Die Box akzeptierte nur Zugriff aus ihrem eigenen, ihr bekannten Subnetz. Um aus einem anderen Subnetz zugreifen zu können, musste man "Konfigurieren aus dem Internet" erlauben.

Ist jetzt nicht wirklich wichtig, aber mich würde es schon interessieren...

[fabian]

- Die opnSense hat automatische Routen zwischen allen ihren Interfaces, d.h. eine Route muss ich nicht einrichten. Ist das korrekt?

ja - da die Netze direkt angeschlossen sind

- Wenn ich per NAT auf das Zyxel zugreifen kann, nicht aber mit meiner IP aus Zyxel-fremdem Subnetz, dann muss es doch am Zyxel liegen, dass es eben darauf nicht antwortet. Ebenfalls korrekt?

ja, Firewall oder Routingtabelle

Wie ich darauf komme? Mir ist es schon einmal passiert (ich meine, bei einer Fritzbox), dass ich aus "fremdem Subnetz" nicht zugreifen konnte. Die Box akzeptierte nur Zugriff aus ihrem eigenen, ihr bekannten Subnetz. Um aus einem anderen Subnetz zugreifen zu können, musste man "Konfigurieren aus dem Internet" erlauben.

Ist jetzt nicht wirklich wichtig, aber mich würde es schon interessieren...

Kenne dein Device nicht - von daher kann ich nicht antworten.

[Emma2]

Danke, Fabian.

Jetzt sehe ich etwas klarer.

Kenne dein Device nicht - von daher kann ich nicht antworten.

Ist ein Zyxel VM1312-B30A, und ich finde einfach keine entsprechende Einstellung; selbst wenn ich dessen integrierte "Firewall" ganz ausschalte, komme ich nur aus seinem eigenen Netz aufs Gerät. Vielleicht kann/will das Modem das grundsätzlich nicht... könnte ja gut sein. Ich frage mal im Zyxelforum... ;-)

[JeGr]

Ich mutmaße mal, dass es nicht an einer Firewall liegt (bei einem Modem was ggf. noch Routing Funktionen hat - ich kenne das Gerät nicht wirklich), halte ich das für wahrscheinlicher, dass es schlicht an der fehlenden Route liegt.

> Auf den dazugehörenden Interfaces der opnSense ist zunächst alles erlaubt.

Ich hoffe NICHT auf dem WAN/PPPoE Interface. Das wäre das letzte was du möchtest

[Emma2]

Ich mutmaße mal, dass es nicht an einer Firewall liegt (bei einem Modem was ggf. noch Routing Funktionen hat - ich kenne das Gerät nicht wirklich), halte ich das für wahrscheinlicher, dass es schlicht an der fehlenden Route liegt.

Mit "Firewall" ist jetzt NICHT die opnSense gemeint, sondern das Zyxel-Modem.

Aber wie kann es eine "fehlende Route" sein? Etwa in dieser Art:
Ich komme ohne NAT aus dem 192.168.0.0/24-Netz, und die opnSense routet mich auf das Modem auf 10.0.0.1.
Das Modem aber kennt nicht die opnSense 10.0.0.15 als Gateway für mein LAN und weiß deshalb nicht, wohin es seine Antworten schicken soll? Das würde dann sogar mir einleuchten.

> Auf den dazugehörenden Interfaces der opnSense ist zunächst alles erlaubt.
Ich hoffe NICHT auf dem WAN/PPPoE Interface. Das wäre das letzte was du möchtest

Na ja, mit WAN habe ich das Interface ins Netz 10.0.0.0/24 benannt. Auf dem PPPoE-Interface ist natürlich NICHT alles erlaubt. Dennoch danke für den Hinweis. 

Zusatzfrage: Die Tatsache, dass mein "WAN/Modemverbindung" und die PPPoE-Verbindung die selbe Hardware-Karte nutzen, ist doch nur eine theoretische Gefahr - oder könnte darüber jemand bei mir einbrechen?

[JeGr]

> Mit "Firewall" ist jetzt NICHT die opnSense gemeint, sondern das Zyxel-Modem.
Und genau das hab ich gesagt

> Aber wie kann es eine "fehlende Route" sein? Etwa in dieser Art:
Wie oben geschrieben, weil dein Modem keine Ahnung von anderen Netzen hat. Ist ja auch primär nicht sein Job. Und da das Modem im PassThrough Modus kein Routing macht und wahrscheinlich auch keine Default Route hat, kann es seinen Traffic nirgends hinschicken.

Was den Rest mit PPPoE/Modem und "einbrechen" angeht: Erstmal muss auch dein Modem Interface (das du WAN nennst) nicht alles offen haben - wozu. Da muss ebenfalls erstmal gar nichts auf sein, denn dein Traffic kommt vom LAN und der Antworttraffic ist durch Stateful Firewalling automatisch erlaubt. Ergo gibts keinen Grund das Interface aufzumachen, damit auch eigentlich keinen Angriffsvektor wenn du es genauso behandelst wie das PPPoE Interface.
Ansonsten kann dir niemand sagen, wie die Gefahr ist, da ich das Verhalten des Modems nicht kenne. Wir hatten bspw. schon Geräte, die bspw. bei sauber angelegtem Kabelsignal das Interface gebridged haben, so dass die Sense am anderen Ende per DHCP eine Adresse vom Kabelanbieter bekommen konnte. Es war also transparent - eigentlich - aber sobald Kabel tot war wegen Störung hat sich das Gerät automatisch zum Router lanciert und hat auf 10.0.0.1 einen DHCP Server hochgefahren um bspw. angeschlossenen Geräten den Zugriff auf das Diagnose Interface zu geben. Theoretisch recht schön, praktisch nicht wirklich, denn damit hatte bspw. die Sense nie einen Leitungsausfall bemerkt (hatte ja nach wie vor eine gültige IP und ein GW) und man wunderte sich plötzlich nur, dass weder DNS noch Traffic mehr sauber rausgingen, aber kein Interface Alarm kam. Durch so ein wechselndes Verhalten kann man aber auch nicht sicher sagen, dass das Gerät transparent arbeitet.

Daher betrachte ich grundsätzlich alles VOR meinem eigenen Bastion Host (Firewall) als "extern" bzw. potentiell gefährlich.

Grüße