xDSL.at

[computerherby]

Paranoia ist aber auch fehl am Platz! Die Vorkehrungen reichen wohl aus, um die notwendigen Standards zu erfüllen.

[jutta]

btw. mit brute force kann man jedes kennwort knacken ... ist im grunde nur eine frage der zeit ...

bei telnet ist dafuer *sehr* viel zeit noetig. btw, das st610 bricht die verbindung schon nach dem 1. fehlversuch ab.

[lordpeng]

>Paranoia ist aber auch fehl am Platz!
das hat mit paranoia nix zu tun, es geht wohl eher darum, dienste die es nicht unbedingt erfordern von aussen einfach nicht zugänglich zu machen, ist eigentlich ein grundgedanke jeder firewall ...

also erklär mir mal was daran verkehrt sein sollte ...

[lordpeng]

>bei telnet ist dafuer *sehr* viel zeit noetig. btw
>das st610 bricht die verbindung schon nach dem 1. fehlversuch ab.
was trotzdem nicht vor zufallstreffern schützt ... zugegebenermassen, ist die wahrscheinlichkeit wohl verschwindend gering, aber das sei mal nebensache

[jutta]

falls dir zufaellig ein passwort fuer mein p650 unterkommt, verrat es mir bitte (nein, nicht 1234, darauf hoert es nicht)

[lordpeng]

hmmm, könnt ich dir schon verraten, aber dann müsst ich dir halt die anfallende arbeitszeit für die password recovery berechnen und das is ned billig *g*

[Neptunus]

Erstmal danke für die vielen Antworten!

Für mich ist es überhaupt keine Frage, ob ich diese Ports für die Fernwartung offen lassen soll.

Zwar wird vermutlich niemand durch Erraten des Passwortes in meinen Router eindringen können, trotzdem müssen solche Ports nicht nach Außen hin offen sein.

Eine Bank wird bei einem Server für die Telebanking-Applikation im Internet auch keinen Port 23 offen lassen, da ja eh niemand das Passwort für den Root-User kennt.

Was ich deshalb will, ist meinen Router als reines Modem einsetzten, sodass ich von einem Rechner im LAN eine PPTP-Verbindung zum Router aufbaue, und so dieser Rechner direkt mit einer öffentlichen IP im Internet ist.

Dieser Rechner wäre dann ein kleiner Linux-Server; damit könnte ich auf das derzeitige Spielzeug von Speedtouch 610 als Router verzichten

Das Problem mit den offenen Ports am Router hätte sich dann von selbst erledigt.

Muss ich wohl bei meinem Provider anrufen und nachfragen, wie ich den Router für eine PPTP-Verbindung konfigurieren kann - es sei denn hier im Forum kann jemand helfen, wie auch schon weiter oben hier im Thread darum gebeten.

lg,
Neptunus

[jutta]

was meinst du jetzt mit "router fuer pptp verbindung konfigurieren2? willst du das p610 als pptp-server konfigurieren? oder willst du den linux-server als pptp-client konfigurieren oder ganz was anders?

wegen der config des modems als pptp-server schau einmal hier:
http://xDSL.at/phpbb2/viewtopic.php?p=1 ... 510#183098

[hpr75]

das 610 ist ein sdsl-anschluss, was sich auch am 8.64 pvc äussert. um eine einstellung zu machen, dass zb nur von einer bestimmten ip auf das modem bzw router zugegriffen werden darf wäre folgender eintrag zu erstellen:

[ pfirewall.ini ]
chain create chain="sink"
rule create chain=sink index=0 srcintfgrp=!wan action=accept
rule create chain=sink index=1 src=xxx.xxx.xxx.xxx action=accept
rule create chain=sink index=2 prot=udp dstport=dns action=accept
rule create chain=sink index=3 prot=udp dstport=bootpc action=accept
rule create chain=sink index=4 prot=udp dstport=sntp action=accept
rule create chain=sink index=5 prot=icmp icmptype=echo-reply action=accept
rule create chain=sink index=6 prot=icmp icmptype=destination-unreachable action=accept
rule create chain=sink index=7 prot=icmp icmptype=time-exceeded action=accept
rule create chain=sink index=8 prot=udp dstport=snmp log=yes action=count
rule create chain=sink index=9 prot=udp dstport=rip log=yes action=count
rule create chain=sink index=10 action=drop
assign hook=sink chain="sink"


wobei das xxx.xxx.xxx.xxx natürlich die externe ip-adresse ist die zur fernwartung dient

lg

[computerherby]

das 610 ist ein sdsl-anschluss, was sich auch am 8.64 pvc äussert. um eine einstellung zu machen, dass zb nur von einer bestimmten ip auf das modem bzw router zugegriffen werden darf wäre folgender eintrag zu erstellen:
lg

Naaaaa, bitte ned. Du scheinst nicht die geringste Ahnung zu haben und postest so an Schmarrn!

[hardliner]

das 610 ist ein sdsl-anschluss, was sich auch am 8.64 pvc äussert.

Hääh?
Auch bei mir am ISDN-ADSL läuft der CISCO 836 via PPPoA über 8/64.
Als Bridge mit Einwahl vom PC via PPTP ist 8/48 erforderlich.
Um das ST610 als Bridge zu konfigurieren solltest DU die Standard.Ini einspielen.
Vorher solltest Du die im ST610 gespeicherte Ini unbedingt sichern falls diese Ini am ST610 nicht funzt.
H.

[hardliner]

das 610 ist ein sdsl-anschluss, was sich auch am 8.64 pvc äussert. um eine einstellung zu machen, dass zb nur von einer bestimmten ip auf das modem bzw router zugegriffen werden darf wäre folgender eintrag zu erstellen:
lg

Naaaaa, bitte ned. Du scheinst nicht die geringste Ahnung zu haben und postest so an Schmarrn!

ACK!

Das ST610 kann neben ADSL auch SDSL auf bis zu 2 Kupferpaaren. Dies hat aber nichts mit den VPI/VCI-Einstellungen zu tun.
H.

[Neptunus]

Hallo,

vielen Dank für die Hilfe.

Leider hatte ich bis jetzt jedoch noch immer keinen Erfolg.

Sogar das Übernehmen der hier geposteten Firwall-Regeln in eine Config + anschließendes Installieren der Config auf den Router bringt absolut Nichts.

Es ist trotzdem jeder Verkehr vom und zum Router möglich. Selbst als ich eine Regel erstellt hatte, die jeden Verkehr blocken sollte war das dem Router herzlich egal.

Die Standard-Config, welche hier Hardliner freundlicherweise bereitgestellt hat, bring mich leider auch nicht weiter. Es endet jeder Versuch, von einem Rechner eine PPTP-Verbindung aufzubauen mit einem Timeout (in Windows bei der Meldung dass Benutzernamen und Passwort überprüft würden)

Ich weiß nicht, entweder ist hier was mächtig falsch, oder ich muss schön langsam annehmen, dass mein Router defekt sein könnte.

Hat hier vielleicht nocht jemand Ideen oder sollte ich morgen meinen Provider um Rat fragen, damit man mir am Nachmittag jemanden von der TA vorbei schickt oder so ähnlich?

lg,
Neptunus

[Neptunus]

Wow, ich bin höchst erstaunt aber nun funktioniert alles bei mir.

Falls es jemanden interessiert, hier meine Lösungen:

Firwall:
Nachdem ich die Standard-Config von Hardliner geladen und so angepasst hatte, dass der Router sich automatisch mit meinem Provider verbindet, wurden eingetragene Regeln akzeptiert.

Vermutlich liegt es daran, dass in dieser Standard-Config die Routing-Tabelle viel schlanker ist. Bei meiner vorherigen waren selbe Einträge doppelt und dreifach vorhanden (hat jemand von der Telekom dort eingestellt).
Gerne kann ich diese Routing-Tabelle hier posten falls es jemanden interessiert.

PPTP-Verbindung:
Kleine Änderung der Std.Config, sodass das Interface RELAY_PPP1 die Adresse 8.64 erhält --> Erfolg, juhu!

[Neptunus]

Section "[ ip.ini ]" meiner Router-Config wie sie mir installiert wurde:

Code: Alles auswählen

config forwarding=on firewalling=off redirects=on [...]
                      ^ ^ ^ ^ ^ ^ ^