xDSL.at

Hallo,

ich habe derzeit ein Speedtouch 610 ADSL-Modem, welches ich auch als Router verwende.

Leider nervt mich dieser Router ziemlich, zB gelingt es mir nicht zu verhindern, dass das Webinterface aus dem Internet auf Port 80 erreichbar ist.

Ich überlege daher, als Router einen Linux-Rechner zu verwenden und das dumme Speedtouch-Kästchen nur mehr als Modem, wie man es zB auch beim ST510 macht.

Wenn ich nun aber versuche, von meinem LAN eine PPTP-Verbindung zum Modem aufzubauen, bleibt der ganze Versuch bei der Überprüfung von Benutzername und Kennwort stecken (Windows-Statusmeldung) und endet schließlich in einem Timeout.

Interessanterweise wird die Verbindung während dieser Zeit aber am Gerät als akitve PPTP-Verbindung angezeigt.

Kann hier vielliecht jemand helfen wie ich mein Speedtouch-Gerät auch für PPTP-Verbindungen verwenden kann? (vielleicht ist ja nur eine kleine Config-Änderung notwendig)

lg,
Neptunus

Erst solltest Du darüber nachdenken, wie Du Port 80 sperrst. Gibt im Netz erschöpfend viele Infos darüber.
Zweitens kann eine PPtP Verbindung nur dann aufgebaut werden, wenn eine entsprechendes Interface im Phonebook vorhanden ist.
Ich gehe mal davon aus, dass es kein reguläres Modem ist:
Du hast ein DIALUP_PPP Int. mit VPI8/VCI48 aktiv für ppp.
VPI8/VCI48 musst Du aber nun - um PPtP zu können - auf RELAY_PPP konfigurieren.
Dann geht´s.

Hallo,

erstmal danke für die Antwort.

Bzgl. Sperrung der offenen Ports habe ich sogar schon die werksseitige Standard-Regeln d. Firwall eingestellt (lt. Doku zum Router, die man im Internet findet). Seltsam dass bei meiner Firewall gar keine Regeln eingestellt waren, als ich den Router erhalten habe.

Auswirkungen hatte diese Config aber keine. Mir ist es bis jetzt nicht gelungen, auch nur eine einzige Regel zu erstellen, welche in irgend einer Art und Weise Wirkung zeigt.

Ausgehenden Traffic oder forgewardeten Traffic zu Port 80 sperren - alles kein Problem, ich habe jetzt trotzdem Zugriff hier auf das Forum.

Mein DIALUP_PPP1 Device hat eine Adresse von 8.64
Bei AutoPVC ist Yes angegeben.

Ändere ich diesen Wert so, dass das Device RELAY_PPP1 diese Adresse hat, steht bei diesem unter AutoPVC der Wert Yes.

Dem DIALUP_PPP1-Device habe ich zwischenzeitlich die Adresse 8.63 gegeben.

Erfolg brachte dies aber keinen.

Any ideas?

Thx im Voraus.

betr. remote management koennten die angaben auf den seiten 10ff nuetzlich sein: http://www.speedtouch.com/ST610%5CAppNo ... gement.pdf

Danke,

ich habe mir vor einigen Wochen sogar schon Mal die Mühe gemacht, die Regeln genau so wie in diesem Dokument angegeben zu konfigurieren.

Heute habe ich aber trotzdem diesen Thread hier eröffnet, soll heißen "mein" Router will nicht. Dazu gehört mir das Ding ja genau genommen gar nicht ...

Aufgrund der 8/64 Konfiguration gehe ich mal davon aus, dass dieses Modem tatsächlich an einen Business-Anschluss eingesetzt wird.
D.h., dass der Kunde (so es nicht Dein Anschluss ist) mit seiner Unterschrift die Vertragsbestimmungen des Providers samt den AGB´s zur Kenntnis genommen hat.
Darin enthalten ist z.B. die Fernwartung des Modems. Dies dient dazu, den Anschluss aus der Ferne zu warten bzw. zu entstören.
Die Konfiguration ist idR Durch ein Passwort geschützt.
Wird die Konfiguration durch Reset des Modems zerstört, funktioniert der Anschluss nicht mehr. PPtP gibt es da überhaupt nicht!
Erst eine Rekonfiguration bewirkt die Funktionalität.

Ich würde an Deiner Stelle die Finger von so einem Modem lassen und dem Kunden empfehlen, sein Problem beim Provider zu deponieren.

Hm..

der Kunde bin ich selbst.
Das Passwort habe ich mir von meinem Provider geben lassen und es dann geändert. --> d.h. der Provider ist derzeit ausgesperrt

Hätte ich mir das Passwort nicht geben lassen müsste ich für jede kleine Änderung wie zB einen neuen Ports ins LAN forwarden bei meinem Provider nachfragen.

Mein Provider kann im Übrigen gerne einen Zugang zum Fernwarten haben, wenn er diesen wünscht. Ich könnte zB einen SSH-Zugang zu einem Rechner im LAN einrichten, dann könnte der Provider zum Router einen Tunnel erstellen.

Aber weit offene Ports 80, 21 und 23 für die Fernwartung, das kann doch wirklich nicht sein.

wieso stoert dich der fernwartungszugang zum modem eigentlich so? man landet ja eh nur bei der passworteingabe und dort ist schluss.

was anderes waere es bei einem siemens modem, da siehst du auch ohne passwort die zugangsdaten (wenns als router konfiguriert ist). da aktiviere ich den remotezugang nur, wenns absolut unvermeidbar ist.

>wieso stoert dich der fernwartungszugang zum modem eigentlich so?
>man landet ja eh nur bei der passworteingabe und dort ist schluss.
öhm ... is die frage ernst gemeint?

ja - eigentlich schon. ich gehe davon aus, dass ein unberechtigter nie reinkommt, wenn man nicht grad admin /1234 oder dgl als zugangsdaten verwendet. (ob man den zugang selbst so verwendet oder lieber ueber ssh und lan geht, ist eine ganz andere frage)

>eigentlich schon. ich gehe davon aus, dass ein unberechtigter nie reinkommt
mit 'ausgehen' und 'hoffen' dass keiner rein kommt, kann man aber keine brauchbaren security policies erstellen

ok, aber produkt + modem wurden so ausgewaehlt, dass remote steuerung moeglich sind. (bei den ta business-anschluessen steht deutlich dabei, dass die wartung durch die ta erfolgt.) wenn das der security-policy widerspricht -> anderes produkt oder andere hardware waehlen. ich finde es allerdings inkonsequent, beim modem den remotezugang disablen zu wollen und dahinter server zu betreiben.

>dass remote steuerung moeglich sind. (bei den ta
>business-anschluessen steht deutlich dabei dass die wartung durch die ta erfolgt.)

es ist eine sache wenn ein remote zugang generell offen ist, es ist aber eine andere sache, wenn ein remotezugang via acl auf bestimmte IP's beschränkt ist bzw. eventuell nur auf ein subinterface gebunden ist, welches von ausserhalb gar nicht verfügbar ist

Zähle Fälle auf, bei denen das Modem erfolgreich gehackt wurde.

>Zähle Fälle auf, bei denen das Modem erfolgreich gehackt wurde.
darum gehts doch nicht, es geht darum, dass der OP sich absichern will, was man ihm eigentlich nicht verdenken kann ...

wie schon erwähnt, wenn ich eine halbwegs sichere security policy aufstell und dann nach aussen hin einen nicht wirklich notwendigen telnet port offen hab, dann kann ich eigentlich gleich drauf pfeiffen

btw. mit brute force kann man jedes kennwort knacken ... ist im grunde nur eine frage der zeit ...