<font size="2"><span style="background-color:rgba(255,255,255,0)">Oops, I'll try again...</span></font><div><font size="2"><span style="background-color:rgba(255,255,255,0)"><br></span></font></div><div><font size="2"><span style="background-color:rgba(255,255,255,0)">Thanks for that Dean.</span></font><div><font size="2"><span style="background-color:rgba(255,255,255,0)"><br></span></font></div><div><font size="2"><span style="background-color:rgba(255,255,255,0)">It looks a bit complicated for me, and it looks like you're having to trust all 3 devices, whereas I'd prefer not to put any trust in consumer-grade network devices at all, if any part of the network is directly exposed to the Internet (preferring a VPN in such a case).</span></font></div><div><font size="2"><span style="background-color:rgba(255,255,255,0)"><br></span></font></div><div><font size="2"><span style="background-color:rgba(255,255,255,0)">Actually, Steve Gibson (Security Now podcast) suggests chaining routers to achieve segregation and protection of a LAN due to the NAT firewall of the inner router, but I think the port 32764 fiasco might render this protection useless.</span></font></div><div><font size="2"><span style="background-color:rgba(255,255,255,0)"><br></span></font></div><font size="2"><span style="background-color:rgba(255,255,255,0)">But thanks anyhow.  I didn't know you could run OpenWRT in a RPi.  Interesting project :)</span></font><div><font size="2"><span style="-webkit-tap-highlight-color: rgba(26, 26, 26, 0.301961);"><br></span></font></div><div><font size="2"><span style="-webkit-tap-highlight-color: rgba(26, 26, 26, 0.301961);"><br></span></font></div><div><font size="2"><span style="-webkit-tap-highlight-color: rgba(26, 26, 26, 0.301961);"><br></span></font><br>On Thursday, 22 October 2015, Dean Bergin <<a href="mailto:dean.bergin@gmail.com">dean.bergin@gmail.com</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hello Dirk,<div><br></div><div>This is probably not going to help solve your particular issue, but one thing I recently did, was install OpenWRT on a Rpi2 and set up PPPoE over one of two subinterfaces (VLAN) to a cheap netgear modem (with the help of a Cisco Catalyst switch). I also put the Rpi2 OpenWRT effectively into it's own routed subnet/DMZ (part of the design) so that even if there where to be some kind of funny business, things like uPNP theoretically should not work since my experience has taught me that most consumer-grade modems/routers do not route/NAT anything other than their resident subnet, therefore I believe that not only are uPNP implementations (and many other services on consumer-grade routers) usually bound to the subnet to which they are running on, but should be disabled in cases where the device is in pass-through mode.</div><div><br></div><div>><span style="line-height:1.5">Does anyone know whether 4G modems (and smart phones, for that matter) are assigned a publicly-routable IP address or are they typically NAT'd behind a small number of IP addresses of the mobile service provider's servers?  I can't imagine billions(?) of mobile phones all having unique publicly-routable IP addresses (on top of all the servers and so on, around the world).</span></div><div><span style="line-height:1.5"><br></span></div><div><span style="line-height:1.5">I had the </span>opportunity<span style="line-height:1.5"> to test this, as I was able to tether my phone to a Rpi2 running OpenWRT as part of the labs I did for my now current nework design, but I did not think to test this specific scenario.</span></div><div><span style="line-height:1.5"><br></span></div><div><span style="line-height:1.5">Shouldn't be too difficult to create a lab to test this, if someone has a spare raspberry pi (mine is currently in 'prod' now)?</span></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr">On Wed, Oct 21, 2015 at 6:27 PM Dirk <<a href="javascript:_e(%7B%7D,'cvml','justanothergreenguy@gmail.com');" target="_blank">justanothergreenguy@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Thanks Andrew.  Will follow up on those ideas too, thanks.<div><br></div><div>However, I have another idea, a bit left field, but it may just do the trick...</div><div><br></div><div>Does anyone know whether 4G modems (and smart phones, for that matter) are assigned a publicly-routable IP address or are they typically NAT'd behind a small number of IP addresses of the mobile service provider's servers?  I can't imagine billions(?) of mobile phones all having unique publicly-routable IP addresses (on top of all the servers and so on, around the world).</div><div><br></div><div>If they're NAT'd, then maybe a pre-paid 4G USB modem dongle would be the way to go for low MB critical online work, eg. fetching package lists, logging in to ASIC, ATO, webmail, our utilities, etc.  Should block all scanners on the net that are looking for routers to exploit, by virtue of sitting behind the Svc providers routers.  (...and then use an unsecured computer and ADSL router pair for general web browsing, content streaming, etc).</div><div><br></div><div>Does anyone know if this would work?</div><div><br></div><div>(Of course, if a 4G dongle is not NAT'd then I don't really gain anything).</div><div><br></div><div><br></div><div><br></div><div><br>On Wednesday, 21 October 2015, Andrew Cooks <<a href="javascript:_e(%7B%7D,'cvml','acooks@gmail.com');" target="_blank">acooks@gmail.com</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Wed, Oct 21, 2015 at 9:43 AM, Dirk <span dir="ltr"><<a>justanothergreenguy@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div><br></div><div>Cheers for that Pavel.  And thanks again Brad for your input.  You've both given me some ideas, although I was hoping for an easy OpenVPN option  :)</div><div><br></div><div>If anyone else has any thoughts or suggestions, please let me know!</div><div><br></div></blockquote><div>My internet access is slow enough, so I'm not really excited about pushing everything through a VPN.<br></div><div><br></div><div>I trust my router. I have a TP-Link TD-8817 modem in bridge mode, connected to a fit-pc (<a href="http://www.fit-pc.com/web/solutions/multilan/" target="_blank">http://www.fit-pc.com/web/solutions/multilan/</a>) running IPFire (<a href="http://www.ipfire.org/" target="_blank">http://www.ipfire.org/</a>). IPFire tells me I can trust my DNS. IPFire packages are kept up to date. The modem could conceivably modify the PPPoE frames in transit, except that it's a dirt cheap consumer product with little functionality that could be exploitable and it's unlikely to have enough processing power to do that kind of thing.</div><div><br></div><div>There is nowhere safe, only acceptable risks.</div><div><br></div><div>a.</div><div><br></div></div></div></div>
</blockquote></div>
_______________________________________________<br>
PLUG discussion list: <a href="javascript:_e(%7B%7D,'cvml','plug@plug.org.au');" target="_blank">plug@plug.org.au</a><br>
<a href="http://lists.plug.org.au/mailman/listinfo/plug" rel="noreferrer" target="_blank">http://lists.plug.org.au/mailman/listinfo/plug</a><br>
Committee e-mail: <a href="javascript:_e(%7B%7D,'cvml','committee@plug.org.au');" target="_blank">committee@plug.org.au</a><br>
PLUG Membership: <a href="http://www.plug.org.au/membership" rel="noreferrer" target="_blank">http://www.plug.org.au/membership</a></blockquote></div><div dir="ltr">-- <br></div><div dir="ltr"><div><br></div><div>Kind Regards,</div><div><br></div><div><i>Dean Bergin</i>.</div><div><br></div></div>
</blockquote></div></div>