TwoCom Online-Forum

[zoz]

Hallo,

ich habe mir den 2900VG u.a. wegen seiner VPNoW-Fähigkeit zugelegt, da ich im internen Netz (LAN) noch einen Rechner betreibe, der Daten enthält, die mir sehr wichtig sind. Der Router ist soweit konfiguriert, dass die WAN-Seite (Internet) dicht zu sein scheint. Auch eine VPN-Verbindung (PPTP der Einfachheit halber) über WLAN kann ich aufbauen. Ich habe auch alle Ports gesperrt, die nicht PPTP (1723) sind, sodass ohne VPN kein Zugang zum Internet möglich ist (zumindest aus dem WLAN [siehe unten]).
Leider kriege ich den Zugang zum Router selbst nicht trockengelegt. Eine Konfiguration übers LAN (80, 23) soll möglich sein (denn das ist ja per se sicher, weil das Kabel unter meiner Kontrolle ist), nur übers unsichere WLAN soll es nicht gehen. Ich konnte aber keinerlei FW-Regel/Einstellung finden, die irgendwas bewirkt, davon abgesehen, dass eine Zugenagsbeschränkung basierend auf IP-Adressen auch nicht wirklich sicher ist. Telnet und HTTP bleiben einfach offen. Nun ist ein VPN, um den Zugang zu begrenzen, ziemlich sinnfrei, wenn sich jeder Hobby-Hacker direkt in den Router einwählen kann und dort alles verstellen kann. Und das ziemliche einfache Web-Passwort ist da in meinen Augen kein ernst zunehmendes Hindernis. Hat da jemand eine Idee? Gibt es eine Option Regeln auf den Interfaces selber und nicht so abstrakt mit Rein/Raus zu definieren? Das ist mir nämlich überhaupt nicht transparent, wie das wirklich wirkt.
Ich verwende die Firmware 2.5.5, habe keinen Call Filter (eine Anwahl ins Internet ist mir egal), aber über Data Filter halt alles ausser 1723 gesperrt.
Zusätzlich merkwürdig finde ich, dass trotz Sperre über den Data Filter über DHCP eine IP vergeben wird (ich finde es gut, dass es geht, aber die derzeitige FW-Regel sollte es unterbinden). Und gemeinerweise konnte ich gerade vom LAN-Rechner ins Internet gehen, ob wowohl er kein VPN hat und das ja wegen alles gesperrt ausser 1723 nicht hätte gehen sollen. Oder habe ich da ein grundsätzliches Verständnisproblem?

Gruss
Zoz

[cne51]

Hi,

alle Firewallregeln die du erstellen kannst wirken nur vom LAN zum WAN und WAN zum LAN. Aber nie im LAn oder WLAN.

Ungebetene WLAN Nutzer kannst du abhalten über die unsichtbare SSID, den WLAN MAC Filter und die Verschlüsselung.

Aber wer einmal im LAN ist, kann auch alle Geräte im LAN ansprechen solange keine Softwarefirewall dies verhindert. Beim Vigor kannst du also nichts blocken.

[anatoly]

Hi zoz,

habe zwar einen 2900G und nicht VG aber beim G gibts in der FW 2.5.5 die Möglichkeit, über die WLAN Acces Control festzulegen, a) ob ein WLAN Client VPN nutzen muss oder b) der Client vom LAN isoliert werden soll.

Ad a) nach meinem Verständnis und meinen Tests verhält sich diese Funktion wie folgt: wenn vpn benutzt werden muss, erhält zwar der zugelassene Client eine Verbindung zum Router und eine IP, aber für alles weitere muss eine VPN Verbindung über die WLAN Verb. etabliert werden. Somit kannst du die Routerkonfig. über Telnet od. HTTP nur nutzen wenn eine VPN Verb. hergestellt wurde und ich nehme an WEP/WPA UND VPN zu knacken dürfte einen Hobby-Hacker doch vor größere Probleme stellen.

Ad b) nach meinem Verständnis (gespielt habe ich noch nicht damit) bewirkt diese Funktion, dass du vom WLAN Client aus nicht auf die anderen Rechner im LAN zugreifen kannst. Wie das in diesem Fall mit dem Zugriff auf die Konf.möglichkeiten des Routers aussieht, weiß ich nicht.
Edit: habs inzw. rausgefunden: Ist diese Option aktiviert kanns Du vom WLAN Client (leider) per telnet oder Webinterface den Router konfigurieren. Konsequenterweise, finde ich, sollte das in diesem Modus nicht möglich sein.

Man kann aber nicht beide Optionen zugleich benutzen. Und wenn Du a) benutzt solltest Du noch eine IP für VPN server for WLAN eintragen, lt. einem faq von draytek uk kannst Du dort z.B. 192.168.1.2 (falls Router IP 192.168.1.1 ist) eintragen. Edit: Sofern die .1.2 nicht anderweitig verwendet wird.

Grundsätzlich kannst du in der Access Control noch zw. 2 Policies wählen:
A) Activate MAC address Filter (nur Clients mit der in der Access Control eingetragenen MAC Adresse dürfen sich am Router über WLAN anmelden)
B) Isolate WLAN from LAN (dürfte wie b) oben wirken nur global und du kannst nicht mehr nach MAC Adressen den WLAN Zugriff filtern)

Ich schätze mal die Kombination A) mit a) könnte das Richtige für Dich sein.

Gruss
anatoly

[zoz]

Hi anatoly, cne51

ganz so sehe ich das nicht. Für den Funk-Client kann ich zwar VPN enablen, das ist aber nur optional. Andere WLAN-Clients könnten einfach trotzdem weiter normal connecten. Das habe ich erst durch die FW-Regeln dichtbekommen. Leider aber eben nicht bestimmte Ports, die der Router allen Versuchen zum Trotz offenhält (23 - Telnet, 80 - HTTP, 443 - SSL, 515 - Printer).
Und SSID verstecken und MAC-Adresse einschränken, erhöhen zwar die Hürde, sind aber kein echtes Hindernis.
Da das WLAN irgendwie etwas anders behandelt wird, als das LAN, in einigen Sachen aber doch nicht, bekommt man nur durch Ausprobieren raus, was welchen Effekt hat. Das finde ich nicht sehr schön.
Da sich offenbar derzeit für meine Anforderungen (ich geb ja zu, dass das derzeit noch etwas paranoid ist, aber vor einiger Zeit war WEP auch noch eine sichere Sache) keine Lösung abzeichnet, hoffe ich mal auf eine bessere Firmware, mit der sich vielleicht auch die Interfaces explizit angeben lassen, womit das ganze transparenter wird. Ansonsten funktioniert der Router ja zuverlässig...

Gruss
Zoz

[anatoly]

Hi anatoly, cne51

ganz so sehe ich das nicht. Für den Funk-Client kann ich zwar VPN enablen, das ist aber nur optional. Andere WLAN-Clients könnten einfach trotzdem weiter normal connecten. Das habe ich erst durch die FW-Regeln dichtbekommen. Leider aber eben nicht bestimmte Ports, die der Router allen Versuchen zum Trotz offenhält (23 - Telnet, 80 - HTTP, 443 - SSL, 515 - Printer).
Und SSID verstecken und MAC-Adresse einschränken, erhöhen zwar die Hürde, sind aber kein echtes Hindernis.
Da das WLAN irgendwie etwas anders behandelt wird, als das LAN, in einigen Sachen aber doch nicht, bekommt man nur durch Ausprobieren raus, was welchen Effekt hat. Das finde ich nicht sehr schön.
Da sich offenbar derzeit für meine Anforderungen (ich geb ja zu, dass das derzeit noch etwas paranoid ist, aber vor einiger Zeit war WEP auch noch eine sichere Sache) keine Lösung abzeichnet, hoffe ich mal auf eine bessere Firmware, mit der sich vielleicht auch die Interfaces explizit angeben lassen, womit das ganze transparenter wird. Ansonsten funktioniert der Router ja zuverlässig...

Gruss
Zoz

Hi,
es können nur die in der Access List eingetragenen WLAN Clients connecten und wenn Du für alle Pflicht-VPN aktivierts, bist Du ziemlich sicher, denke ich. Auch wenn jemand Fremder sich mit einer "geklauten" freigeschalteten MAC Adresse einschleicht bekommt er zwar Verbindung zum Router und eine IP Adresse zugeteilt (falls diese Person Deine WEP/WPA Verschlüsselung knackt), aber für alles weitere (Zugriff auf Router-Konfig., Internet,...) müsste er auch noch eine VPN Verbindung herstellen. Die verstekcte SSID und eine zugelassene MAC Adresse zu finden ist sicher keine große Sache, WEP zu kancken auch nicht so sehr, bei WPA siehts schon anders aus, und dann noch VPN - das glaub ich dann schon weniger.

Gruss,
anatoly

[zoz]

Hi,

ich bin mit dir einer Meinung darin, dass die VPN zu knacken die eigentliche Hürde ist (weswegen ich sie ja haben will) und alle anderen Massnahmen nur mehr der Erschwernis dienen. Was ich wohl nicht klar genug ausgedrückt habe: Dass ich die Konfiguration des Routers übers WLAN abklemmen will, hat seinen Grund darin, dass die Konfiguration des Routers möglich ist, egal ob ich eine VPN habe/verlange oder nicht! Der Router ist IMMER über die genannten offenen Ports erreichbar, ergal was ich als Firewall-Regel angebe (wie geschrieben habe ich eigentlich alle ausser 1723 gesperrt), womit die VPN unterlaufen werden kann. Und das wurmt mich ungemein.

Huh
zoz

[anatoly]

Hi,

ich bin mit dir einer Meinung darin, dass die VPN zu knacken die eigentliche Hürde ist (weswegen ich sie ja haben will) und alle anderen Massnahmen nur mehr der Erschwernis dienen. Was ich wohl nicht klar genug ausgedrückt habe: Dass ich die Konfiguration des Routers übers WLAN abklemmen will, hat seinen Grund darin, dass die Konfiguration des Routers möglich ist, egal ob ich eine VPN habe/verlange oder nicht! Der Router ist IMMER über die genannten offenen Ports erreichbar, ergal was ich als Firewall-Regel angebe (wie geschrieben habe ich eigentlich alle ausser 1723 gesperrt), womit die VPN unterlaufen werden kann. Und das wurmt mich ungemein.

Huh
zoz

Hi zoz,

also wenn ich bei meinem 2900G (FW: 2.5.5) Pflicht VPN über WLAN für den einen per MAC Access List erlaubten Client aktiviere, kann ich, solange zwar WLAN Konnektivität besteht, aber die VPN Verbindung noch nicht aufgebaut wurde, NICHT auf die Konfigurations-Interfaces (http, https, telnet) zugreifen. Im Prinzip brauchst Du für WLAN keine Firewall Regeln erstellen, da diese sozusagen völlig umsonst sind, da die Firewall sich nur um Verbindungen zw. LAN und WAN/Internet kümmert und das WLAN zum LAN gehört.
Vielleicht reden wir ja aneinander vorbei, aber ich sehe das Problem nicht, ausser Dein 2900VG läßt trotz aktivierten Pflicht-VPN über WLAN den Zugriff auf die Konfig.-IFs bei NICHT hergestellter VPN Verbindung zu (wie es ja zu sein scheint, da Du schreibts, es wäre egal, ob Du VPN an hast oder nicht).

Gruss,
anatoly

[mastaba]

WLAN mit WPA und minimum 12 Zeichen Passwort reicht aus.