Zugriff auf WebGUI des DSL-Modems

Wie kann man das Konfigurieren?
Post Reply
zargano
Posts: 112
Joined: December 29th, 2017, 7:50 pm
Location: Nordlicht im Ländle

Zugriff auf WebGUI des DSL-Modems

Post by zargano » March 12th, 2018, 7:45 pm

Und gleich noch ein Problem von mir...

Ich möchte Zugriff auf das WebGUI meines DSL-Modems. Ja, ich kenne diesen Thread: viewtopic.php?f=6&t=4549&p=33399&hilit= ... dem#p33344 Das habe ich ausprobiert, der Zugriff endet mit einem Timeout des Browsers auf meinem PC im grünen Netzwerk.

Wenn ich den Ping dagegen auf dem IPFire absetze, sehe ich den Effekt sehr wohl: ich bekomme eine Ping-Antwort des DSL-Modems, wenn ich die Adresse red0 zugewiesen habe, und nur dann. Nach Löschen der Adresse funzt der Ping wieder nicht...

Im Thread steht auch "danach sollte man über den Proxy auf das Webif kommen". Ich habe normalerweise den Squid-Proxy ausgeschaltet. Testweise habe ich den mal im transparenten Modus eingeschaltet, geht auch nicht:

FEHLER
Die angeforderte URL konnte nicht gefunden werden
Der folgende Fehler wurde beim Versuch die URL http://192.168.201.1/ zu holen festgestellt:
Verbindung zu 192.168.201.1 Fehlgeschlagen.
Das System antwortete: (110) Connection timed out
Der Zielhost oder das Zielnetzwerk ist momentan nicht verfügbar. Bitte wiederholen sie die Anfrage.


Auch mit nicht transparentem Proxy kriege ich "nur" ein Timeout.

Dann habe ich noch mit einer Firewall-Regel experimentiert: Quelle Grünes Netzwerk, Zieladresse 192.168.201.0/24, Protokoll Alle, Accept. Ich sehe das im Firewall-Log:
20:38:31 FORWARDFW green0 TCP 192.168.100.66 192.168.201.1 51344 80(HTTP)
Tut auch nicht.

Wo sitzt das Problem zwischen meinen Ohren?

Grüße, zargano

Alorotom
Posts: 383
Joined: March 30th, 2015, 6:56 am

Re: Zugriff auf WebGUI des DSL-Modems

Post by Alorotom » March 13th, 2018, 6:38 am

Hallo zargano,
bin mir nicht sicher, ob es nur mit Proxy geht oder auch ohne. Jedenfalls wenn Proxy, dann schau mal, ob besagtes externes Subnetz im Proxy auch als Subnetz zugelassen ist.
Außer einer weiteren IP-Adresse für RED habe ich mir für diesen Fall noch folgendes notiert:

Code: Select all

ip addr add 192.168.201.1/24 dev red0 brd + 
iptables -I POSTROUTING -t nat -o red0 -d 192.168.201.1/24 -j MASQUERADE
Schätze, das Routing spielt hier also auch eine Rolle.
Schließlich, je nach Grundeinstellung Deiner Firewall ist eben auch noch eine Regel erforderlich, die z.B. http zu 192.168.201.1 zulässt.
Gruß
Alorotom
Image
Image
Image

zargano
Posts: 112
Joined: December 29th, 2017, 7:50 pm
Location: Nordlicht im Ländle

Re: Zugriff auf WebGUI des DSL-Modems

Post by zargano » March 16th, 2018, 9:19 pm

Hallo Alorotom,

Bingo, das ist richtig! 8) (Mit Ausnahme der falschen IP-Adresse; mein IPFire braucht 192.168.201.2, weil das DSL-Modem bereits 192.168.201.1 hat.) Also auf dem IPFire:
ip addr add 192.168.201.2/24 dev red0 brd +
iptables -I POSTROUTING -t nat -o red0 -d 192.168.201.2/24 -j MASQUERADE
So funktioniert das! Und zwar mit deaktiviertem Proxy, und ohne zusätzliche Firewall-Regel! Und dann kann ich (nicht überraschend) das Modem auch aus dem grünen Netz anpingen.

Zwei weitergehende Punkte...
  • Reiße ich mir damit eine Sicherheitslücke auf? (Im vorgelagerten "Netz" ist lediglich das DSL-Modem.) Pakete aus dem Internet für das Netz 192.168.201.0/24 sollten doch eigentlich nicht dorthin geroutet werden...
  • Wie baue ich das ein, so daß diese Einstellungen nach einem Reboot noch vorhanden sind?
Grüße, zargano

Alorotom
Posts: 383
Joined: March 30th, 2015, 6:56 am

Re: Zugriff auf WebGUI des DSL-Modems

Post by Alorotom » March 17th, 2018, 8:10 am

Hallo zargano,

eigentlich sollte das eine temporäre Aktion sein. Solange Du die besagte Sequenz im CLI absetzt, bleibt die Erreichbarkeit bis zum nächsten Reboot oder Reload der Firewall-Regeln bestehen.
Wenn Du das partout dauerhaft haben willst, dann muss das in /etc/sysconfig/firewall.local im Start-Bereich gesetzt werden. Plus zusätzlich noch die Aufhebung im Stopp-Bereich:

Code: Select all

ip addr del 192.168.201.2/24 dev red0
iptables -D POSTROUTING -t nat -o red0 -d 192.168.201.2/24 -j MASQUERADE
Ich wüßte jetzt nicht, warum das ein Sicherheitsloch reißen sollte. Damit wird ja nur ein Regel-Eintrag in die NAT-Tabelle outbound gesetzt und ein zusätzliches Routingziel bekannt gemacht. Von außen, aus dem 201er Netz kommt man nicht durch die Firewall, wenn die Verbindung nicht vorher aus GREEN initiiert wurde und aus dem Netz des Providers dürfte das 201er Netz auch nicht erreichbar sein. Aber dazu möge jemand was schreiben, der fitter in der Materie ist.

Mir ist aber auch unklar, wozu Du einen permanenten Zugriff auf das DSL-Modem brauchst?

Vielleicht ist dies ein mögliches Sicherheitsproblem: der Zugriff ist nicht auf das WebIF des DSL-Modem begrenzt. Aus GREEN kannst Du mit allem auf das DSL-Modem feuern, was Dir einfällt.

Gruß
Alorotom
Image
Image
Image

zargano
Posts: 112
Joined: December 29th, 2017, 7:50 pm
Location: Nordlicht im Ländle

Re: Zugriff auf WebGUI des DSL-Modems

Post by zargano » March 23rd, 2018, 5:00 pm

Hallo Alorotom,

vielen Dank für Dein Feedback!

Warum ich Zugriff auf das DSL-Modem haben möchte? Weil ich mir häufiger mal das S/N-Ratio (Signal-Rauschverhältnis) auf der DSL-Leitung angucken möchte. Für Dich mag das ein Spleen von mir sein, mir hat das schon öfters mal geholfen, Fehlern der DSL-Leitung auf die Spur zu kommen.

Daß ich aus Grün "mit allem auf das DSL-Modem "feuern" kann, wenn ich die Regeln entsprechend gesetzt habe, ist klar. In den von mir betreuten Netzen gibt es aber jeweils nur eine Handvoll Nutzer, die zu so blöden Ideen gar nicht in der Lage sind, und willentlich destruktiv verhalten die sich auch nicht.

Das obige Beispiel in /etc/sysconfig/firewall.local umgesetzt sähe also folgendermaßen aus, korrekt? Zur Erinnerung:

192.168.201.2 ist die IP-Adresse des IPFire,
192.168.201.1 ist die IP-Adresse des DSL-Modems.
#!/bin/sh
# Used for private firewall rules

# See how we were called.
case "$1" in
start)
## add your 'start' rules here
ip addr add 192.168.201.2/24 dev red0 brd +
iptables -I POSTROUTING -t nat -o red0 -d 192.168.201.2/24 -j MASQUERADE
;;
stop)
## add your 'stop' rules here
ip addr del 192.168.201.2/24 dev red0
iptables -D POSTROUTING -t nat -o red0 -d 192.168.201.2/24 -j MASQUERADE
;;
reload)
$0 stop
$0 start
## add your 'reload' rules here
ip addr del 192.168.201.2/24 dev red0
iptables -D POSTROUTING -t nat -o red0 -d 192.168.201.2/24 -j MASQUERADE
ip addr add 192.168.201.2/24 dev red0 brd +
iptables -I POSTROUTING -t nat -o red0 -d 192.168.201.2/24 -j MASQUERADE
;;
*)
echo "Usage: $0 {start|stop|reload}"
;;
esac
Grüße, zargano

Alorotom
Posts: 383
Joined: March 30th, 2015, 6:56 am

Re: Zugriff auf WebGUI des DSL-Modems

Post by Alorotom » March 24th, 2018, 8:02 am

Hallo zargano,
so sollte das wohl sein. Funktionierts nach einem Neustart?
Wenn Du Dich genauer vergewissern willst, dann häng doch einen PC in das .201.x Subnetz und prüf IPFire von da. nmap sollte Dir zeigen, ob und wenn ja, welche Ports da offen wären und ansonsten kannst prüfen, ob irgendwas hinter der Firewall in GREEN erreichbar ist. Parallel dazu müssten bei entsprechendem Logging Einträge in IPFire zu finden sein.

Gruß
Alorotom
Image
Image
Image

zargano
Posts: 112
Joined: December 29th, 2017, 7:50 pm
Location: Nordlicht im Ländle

Re: Zugriff auf WebGUI des DSL-Modems

Post by zargano » March 24th, 2018, 10:28 am

Hallo Alorotom,

so, ich habe es jetzt implementiert. Der Zugriff funktioniert auch nach Reboot, alles bestens ;D Ich hoffe, daß die gepostete Modifikation von /etc/sysconfig/firewall.local als Blaupause für andere Leute im Forum dient 8)

Den Test aus dem vorgelagerten 192.168.201.0/24 Netz mache ich gelegentlich mal. Das erfordert bei mir den (temporären) Einbau eines Switches, denn das DSL-Modem hängt direkt am IPFire. "Basteln" will ich nur zu Zeiten, wenn weder Internet noch Telefon im Haus genutzt werden...

Danke!!

Grüße, zargano.

Post Reply

Who is online

Users browsing this forum: No registered users and 3 guests