xDSL.at

[crazydoc]

Hallo!

Dank dieses Forums habe ich es geschafft, meine XDSL-Verbindung (xdsl@home - Inode) wieder zum Leben zu erwecken, nachdem ich das Modem (Zyxel Prestige 660h) resettet habe (obwohl der Support gesagt, hat das sei unmöglich... ).

Es funktioniert soweit alles, nur mit dem NAT habe ich ein (Gewissens-)Problem. Vorher hatte ich eine interne IP (10.x.0.16), deren offene Ports direkt nach außen durchgeleitet wurden. Ich habe jetzt im Webinterface des Zyxels das NAT so eingestellt, dass dies wieder gemacht wird. Das funktioniert aber nur, wenn ich den routereigenen Firewall komplett deaktiviere. Sobald dieser aktiv ist, sind alle Ports dicht.

Wie genau soll ich diese Einstellungen machen, damit diese sicherheitstechnisch in Ordnung sind?

P.S.: Der Rechner mit der internen IP 10.x.0.16 ist ein Linux-PC, auf dem zwei passwortgesicherte Dienste laufen (ssh und noch was), ansonsten sind auf dem Rechner keine Ports offen und auch firewallmäßig (iptables) ist alles gesichert. Es geht mir darum, ob mit den momentanen obigen Einstellungen die anderen Rechner im Netzwerk sicher sind.

[penguinforce]

wieso rufst du nicht beim support an und bittest, dass die das von der ferne machen (ok, die an der hotline haben hier keine möglichkeiten, aber die dahinterliegenden stellen haben hier sicherlich möglichkeiten). sprich: du resettest das, und die konfigurieren dann.

btw: resetten ist "immer" möglich, nur gibt es halt modems, die man dann NICHT mehr von der ferne warten kann (bei einem zyxel 645 oder 650 heisst das dann: einsenden + zahlen, daher das immer auch in anführungszeichen).

[crazydoc]

Ich hab in den letzten 2 Tagen mindestens 15x mit Inodetechnikern telefoniert und sie haben versucht, das Modem neu zu konfigurieren. Eindeutiger Tenor am Schluß jeder "Session": Es geht definitiv nicht, ich brauch ein neues Modem. Aber es geht, wie ich oben beschrieben hab.

P.S.: Mein Zyxel hat keinen roten Punkt an der Unterseite, ist also laut Support nach einem Reset nicht mehr fernwartbar.

[penguinforce]

tipp: schau, dass du irgendwo (aus deinem bekanntenkreis[1]) eine inode companion cd (aus dem jahr 2007 bzw. 2008) bekommst - mit der setup-routine kannst das modem "fernwartbar" (im sinne von: aus der ferne konfigurierbar) machen...

[1] ggf. hat jutta eine solche cd (die sammelt ja tw. diese sachen *g*), und kann dir eine iso zur verfügung stellen.

aber sei dir bewusst: wenn, dann bekommst nur die gschicht mit 10.x.0.16, kein zugriff aufs modem usw.

[jutta]

die compagnions stehen daheim im regal, kann ich fruehestens am abend liefern.

schau einmal, ob du mit diesen anleitungen etwas anfaengst: http://xDSL.at/viewtopic.php?t=33524
da dein p660 kein self-config modell ist, ist es derzeit natuerlich mit den zyxel-zugangsdaten und default-ports erreichbar (aber das hast du eh schon rausgefunden)

weitere hints unter viewtopic.php?f=48&t=35007

noch ein hinweis: die ip adressen 10.xx.yy.zz und die entsprechende bridge sind nur wichtig, wenn du voip hast.
wenn du kein voip hast und den linux-rechner als dmz verwenden willst, kannst du ganz einfach bei der zyxel standard config mit pppoe und sua und lan-ip adressen im bereich 192.168.1.1/24 bleiben und bei den portforwards fuer deinen linux-rechner einen "sua-server" eintragen. die ip des linux-rechners musst du dann natuerlich anpassen.

[jutta]

so, jetzt habe ich deine fragen genau gelesen

> Das funktioniert aber nur, wenn ich den routereigenen Firewall komplett deaktiviere. Sobald dieser aktiv ist, sind alle Ports dicht.

> Wie genau soll ich diese Einstellungen machen, damit diese sicherheitstechnisch in Ordnung sind?

das passt schon so. die zyxel-firewall ist bei den inode-configs auch deaktiviert. (grund siehe weiter unten)

> P.S.: Der Rechner mit der internen IP 10.x.0.16 ist ein Linux-PC, auf dem zwei passwortgesicherte Dienste laufen (ssh und noch was), ansonsten sind auf dem Rechner keine Ports offen und auch firewallmäßig (iptables) ist alles gesichert. Es geht mir darum, ob mit den momentanen obigen Einstellungen die anderen Rechner im Netzwerk sicher sind.

ja, sind sie. denn NAT funktioniert ja trotzdem.

alternativ koenntest du dich in die zyxel-doku einlesen ( ftp://ftp.zyxeltech.de/ ) und versuchen, die praezisen firewall-einstellungen herauszufinden. die sind leider von modell zu modell unterschiedlich und funktionieren auch nicht immer so wie angekuendigt. ausserdem hat die zyxel-firewall die eigenschaft, die cpu des kleinen geraets sehr zu belasten, was frueher oder spaeter zu massiven stabilitaetsproblemen fuehrt. (bei ein bissl mehr traffic eher schon frueher. aber man kann die firewall auch schon mit einem simplen ping auf die wan-ip ziemlich verstoeren). mein rat ist daher, die firewall abgeschaltet zu lassen. (das gilt fuer alle "kleinen" zyxels. zywalls sind was anderes)

was du machen kannst, waere, nicht alle ports auf den linux-rechner zu forwarden (dmz), sondern nur die tatsaechlich benoetigten (22 und den anderen). aber ein gekonnt konfiguriertes iptable kann wahrscheinlich mehr als das zyxel.

[jutta]

btw: resetten ist "immer" möglich

bei guten alten firewall-routern waren die huerden aber noch ein kleines bisschen hoeher

ich denk da an ciscos vor der 870er-serie, an aeltere zywall-modelle, aber auch an den kleinen p310. da war nix mit aufgebogener bueroklammer, sondern man musste fuer ein reset entweder das aktuelle administrator-passwort haben oder sich mit password recovery (cisco) oder AT-commands (zxels) auskennen.

[crazydoc]

@jutta: Danke für deine fundierte Antwort. Ich hab jetzt das NAT im Webinterface so geändert, dass nur die zwei freien Ports geforwardet werden. Die Firewall laß ich abgeschaltet. Und ich fühl mich jetzt trotzdem sicher

@penguinforce: Danke auch dir für deine Idee, aber die Inode Companion CD bringt nix, die konfiguriert offenbar nur Einzelplatzmodems, keine Modem-Router-Kombis. CD hab ich selbst, hab sie auch schon ausprobiert gehabt, bevor ich hier im Forum auf die richtige Lösung gestoßen bin.

[penguinforce]

@penguinforce: Danke auch dir für deine Idee, aber die Inode Companion CD bringt nix, die konfiguriert offenbar nur Einzelplatzmodems, keine Modem-Router-Kombis.

darum ging es nicht. es ging darum, aus einem non-remote-config- ein remote-config-modem zu machen (als thema zu: ich habs resettet, und der support hat gesagt, dass da nix mehr von der ferne geht).