Login
Newsletter
Werbung

Do, 16. Februar 2017, 15:00

DSL-Modem im Bridging-Modus betreiben

Viele DSL-Router lassen sich in einen Bridging-Modus versetzen, in dem sie lediglich noch die Modem-Funktion übernehmen. Ein angeschlossenes Linux-System übernimmt Routing, NAT und Firewall-Funktion. Dieser Artikel beschreibt, wie es geht.

Von wogri

Wir hören es fast jeden Tag in den Medien: Großflächige DDoS-Angriffe auf strategisch interessante Ziele im Internet. Bei DDoS-Angriffen haben Angreifer in der Regel private Geräte unter ihrer Kontrolle, ohne dass die Besitzer davon wissen.

Ein mögliches Angriffsziel ist hier der alte DSL-Router, dessen Hersteller schon Jahre kein Softwarupdate mehr ausliefert, und der vor Exploits nur so strotzt. Ein Angriff auf dieses Gerät bleibt unbemerkt, da es weiterhin seinen Dienst verrichtet und der Besitzer kein Fehlverhalten feststellen kann. Während einer DDoS-Attacke sendet das Gerät eine Sequenz von IP-Paketen, die dem privaten User wahrscheinlich nicht auffallen.

Dieser Artikel ist der erste Teil einer Serie aus vorerst zwei Artikeln. Der vorliegende größere Teil beschreibt die Änderung der Router-Einstellungen und die Einrichtung eines Linux-Rechners mit Firewall. Der zweite Teil behandelt die Konfiguration von IPv6 mit DHCP und Firewall.

Wie kann ich mein DSL-Modem schützen?

Abgesehen von regelmäßigen Software-Updates gibt es noch eine mögliche Alternative: Das DSL-Modem vom Internet aus nicht ansprechbar zu machen. Das bedeutet, dass man dem Modem keine öffentliche IP-Adresse zuweist. Ohne öffentliche IP-Adresse ist jedoch keine Teilnahme am Internet möglich. Der Trick ist, das Modem in einen Bridging-Modus zu versetzen und die öffentliche IP-Adresse an einen Linux Software-Router zu vergeben.

Ein weiterer Vorteil dieses Modus ist, dass man frei aus den Netzwerkfähigkeiten von Linux schöpfen kann. VLANs, IPv6 Tunnel, Dynamisches DNS, IPSec, Split Horizon DNS - alles wird möglich. Es muss natürlich erwähnt werden, dass man damit eine Linux-Installation als Angriffsziel im Internet exponiert. Im Unterschied zu proprietären DSL-Boxen hat man hier jedoch selbst die Möglichkeit, das Gerät auf dem aktuellen Softwarestand zu halten, wie auch das Gerät mit Firewall-Regeln komplett von außen unzugänglich zu machen.

Bridging-Modus im DSL-Modem

Nicht jedes DSL-Modem unterstützt den Bridging-Modus. Um herauszufinden, ob ein DSL-Modem dazu fähig ist, muss man in der Konfigurationsoberfläche (oder im Manual) nachsehen. Bei meinem Zyxel-Modem war es glücklicherweise sehr einfach. Man kann ganz unkompliziert zwischen Routing und Bridging Mode umschalten.

Router-Konfiguration

Wolfgang Hennerbichler

Router-Konfiguration

Wie man die jeweiligen DSL-Modems in den Bridging-Modus versetzt, ist im Handbuch der jeweiligen Hersteller nachzulesen. Nicht jedes Modem wird diesen Modus unterstützen.

Achtung: Sobald sich das Modem im Bridging-Modus befindet, ist es vorbei mit der Internet-Verbindung. Man möchte daher diesen Schritt daher gut vorbereiten und auf jeden Fall die Zugangsdaten zum DSL-Provider zur Hand haben, falls man doch wieder auf Routing umkonfigurieren möchte.

Was bedeutet Bridging-Modus?

Falls man bisher mit gebridgten Netzwerken nicht so viel zu tun hatte, ist der Bridging-Modus etwas schwer zu begreifen. Was hier passiert ist, dass das Modem etwaige PPPoE-Pakete direkt an die physische DSL-Schnittstelle weiterleitet. Das kann man mit einem WLAN Access Point vergleichen, der LAN-Pakete ins WLAN weiterleitet. Das Modem braucht nicht mal mehr eine IP-Adresse, um als DSL-Bridge zu fungieren. Ich empfehle dennoch, unbedingt eine lokale IP-Adresse auf dem LAN-Interface zu konfigurieren, damit das DSL-Modem nach wie vor über eine Administrations-Schnittstelle konfiguriert werden kann. Diese lokale IP-Adresse wird von der Linux Firewall geschützt und ist von außen nicht zugänglich, außer man befiehlt der Linux-Firewall explizit, Pakete an dieses Interface weiterzuleiten.

An welche IP-Adresse müssen PPPoE-Pakete geschickt werden?

Die genaue Erklärung findet man auf Wikipedia, die kurze Antwort hier: Man muss es nicht konfigurieren. PPPoE hat zwei Phasen. Zuerst die Discovery Phase (auch PADI genannt, steht für PPPoE Active Discovery Initiation) in der ein spezieller Ethernet Broadcast (an FF:FF:FF:FF:FF:FF) geschickt wird. Als Antwort erhält der Absender die MAC-Adresse des DSL-Modems. Ab diesem Zeitpunkt weiß der PPPoE-Client, an welche Ziel-MAC er die PPPoE-Pakete schicken soll.

Das Modem im Bridging-Modus nimmt die PPPoE-Pakete in Empfang und leitet sie an das DSL-Interface weiter. Aus diesem Grund braucht das DSL-Modem keine IP-Adresse im LAN, sobald es als Bridge funktioniert. Wie oben erwähnt empfehle ich dennoch, eine Management-IP auf das LAN-Interface des Modems zu konfigurieren.

Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung