Thanks Bill,<div><br>Your setup looks a bit too complicated for me as well :)  ...but good to know iiNet are assigning private IP addresses to their mobile users.</div><div><br></div>Is the VPN just between your VM and your phone?  Interesting idea, although I'm not sure Android would be the safest bet :)  ...oops, I hope I didn't start any Android v iPhone pie-slinging :)<div><br></div><div>Anyway, I think I'm going to pursue the 4G USB modem idea for now, and see how I go.</div><div><br></div><div>Thanks everyone so much for your ideas and comments.  I didn't mean for my wee little Qu to dominate the PLUG forum, and I kinda feel like I'm stretching my welcome a little bit for a first time contributor, so I do apologise to all who put up with me the last few days.</div><div><br></div><div>But if the group is ok with it, and anyone has any further ideas, or feedback on the 4G USB modem approach, please don't hesitate to let me know.</div><div><br></div>Cheers, Dirk<div><br><div><br><div><br><br>On Thursday, 22 October 2015, Bill Kenworthy <<a href="mailto:billk@iinet.net.au">billk@iinet.net.au</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">my iinet mobile (GalaxyS5 with cyanogenmod) is using a 10.160 private<br>
address - I have no problems running openvpn over it to a vm inside my<br>
network (including security camera video over the vpn when I want to<br>
take a peek).  I am using a Cisco 1841 with an alcatel speadstream<br>
bridged with the router doing pppoe to iinet.  Stable but I need to work<br>
on the QoS more.<br>
<br>
BillK<br>
<br>
<br>
<br>
On 22/10/15 07:12, Dean Bergin wrote:<br>
> Hello Dirk,<br>
><br>
> This is probably not going to help solve your particular issue, but one<br>
> thing I recently did, was install OpenWRT on a Rpi2 and set up PPPoE<br>
> over one of two subinterfaces (VLAN) to a cheap netgear modem (with the<br>
> help of a Cisco Catalyst switch). I also put the Rpi2 OpenWRT<br>
> effectively into it's own routed subnet/DMZ (part of the design) so that<br>
> even if there where to be some kind of funny business, things like uPNP<br>
> theoretically should not work since my experience has taught me that<br>
> most consumer-grade modems/routers do not route/NAT anything other than<br>
> their resident subnet, therefore I believe that not only are uPNP<br>
> implementations (and many other services on consumer-grade routers)<br>
> usually bound to the subnet to which they are running on, but should be<br>
> disabled in cases where the device is in pass-through mode.<br>
><br>
>>Does anyone know whether 4G modems (and smart phones, for that matter)<br>
> are assigned a publicly-routable IP address or are they<br>
> typically NAT'd behind a small number of IP addresses of the mobile<br>
> service provider's servers?  I can't imagine billions(?) of mobile<br>
> phones all having unique publicly-routable IP addresses (on top of all<br>
> the servers and so on, around the world).<br>
><br>
> I had the opportunity to test this, as I was able to tether my phone to<br>
> a Rpi2 running OpenWRT as part of the labs I did for my now current<br>
> nework design, but I did not think to test this specific scenario.<br>
><br>
> Shouldn't be too difficult to create a lab to test this, if someone has<br>
> a spare raspberry pi (mine is currently in 'prod' now)?<br>
><br>
><br>
> On Wed, Oct 21, 2015 at 6:27 PM Dirk <<a href="javascript:;" onclick="_e(event, 'cvml', 'justanothergreenguy@gmail.com')">justanothergreenguy@gmail.com</a><br>
> <mailto:<a href="javascript:;" onclick="_e(event, 'cvml', 'justanothergreenguy@gmail.com')">justanothergreenguy@gmail.com</a>>> wrote:<br>
><br>
>     Thanks Andrew.  Will follow up on those ideas too, thanks.<br>
><br>
>     However, I have another idea, a bit left field, but it may just do<br>
>     the trick...<br>
><br>
>     Does anyone know whether 4G modems (and smart phones, for that<br>
>     matter) are assigned a publicly-routable IP address or are they<br>
>     typically NAT'd behind a small number of IP addresses of the mobile<br>
>     service provider's servers?  I can't imagine billions(?) of mobile<br>
>     phones all having unique publicly-routable IP addresses (on top of<br>
>     all the servers and so on, around the world).<br>
><br>
>     If they're NAT'd, then maybe a pre-paid 4G USB modem dongle would be<br>
>     the way to go for low MB critical online work, eg. fetching package<br>
>     lists, logging in to ASIC, ATO, webmail, our utilities, etc.  Should<br>
>     block all scanners on the net that are looking for routers to<br>
>     exploit, by virtue of sitting behind the Svc providers routers.<br>
>      (...and then use an unsecured computer and ADSL router pair for<br>
>     general web browsing, content streaming, etc).<br>
><br>
>     Does anyone know if this would work?<br>
><br>
>     (Of course, if a 4G dongle is not NAT'd then I don't really gain<br>
>     anything).<br>
><br>
><br>
><br>
><br>
>     On Wednesday, 21 October 2015, Andrew Cooks <<a href="javascript:;" onclick="_e(event, 'cvml', 'acooks@gmail.com')">acooks@gmail.com</a><br>
>     <mailto:<a href="javascript:;" onclick="_e(event, 'cvml', 'acooks@gmail.com')">acooks@gmail.com</a>>> wrote:<br>
><br>
>         On Wed, Oct 21, 2015 at 9:43 AM, Dirk<br>
>         <<a href="javascript:;" onclick="_e(event, 'cvml', 'justanothergreenguy@gmail.com')">justanothergreenguy@gmail.com</a>> wrote:<br>
><br>
><br>
>             Cheers for that Pavel.  And thanks again Brad for your<br>
>             input.  You've both given me some ideas, although I was<br>
>             hoping for an easy OpenVPN option  :)<br>
><br>
>             If anyone else has any thoughts or suggestions, please let<br>
>             me know!<br>
><br>
>         My internet access is slow enough, so I'm not really excited<br>
>         about pushing everything through a VPN.<br>
><br>
>         I trust my router. I have a TP-Link TD-8817 modem in bridge<br>
>         mode, connected to a fit-pc<br>
>         (<a href="http://www.fit-pc.com/web/solutions/multilan/" target="_blank">http://www.fit-pc.com/web/solutions/multilan/</a>) running IPFire<br>
>         (<a href="http://www.ipfire.org/" target="_blank">http://www.ipfire.org/</a>). IPFire tells me I can trust my DNS.<br>
>         IPFire packages are kept up to date. The modem could conceivably<br>
>         modify the PPPoE frames in transit, except that it's a dirt<br>
>         cheap consumer product with little functionality that could be<br>
>         exploitable and it's unlikely to have enough processing power to<br>
>         do that kind of thing.<br>
><br>
>         There is nowhere safe, only acceptable risks.<br>
><br>
>         a.<br>
><br>
>     _______________________________________________<br>
>     PLUG discussion list: <a href="javascript:;" onclick="_e(event, 'cvml', 'plug@plug.org.au')">plug@plug.org.au</a> <mailto:<a href="javascript:;" onclick="_e(event, 'cvml', 'plug@plug.org.au')">plug@plug.org.au</a>><br>
>     <a href="http://lists.plug.org.au/mailman/listinfo/plug" target="_blank">http://lists.plug.org.au/mailman/listinfo/plug</a><br>
>     Committee e-mail: <a href="javascript:;" onclick="_e(event, 'cvml', 'committee@plug.org.au')">committee@plug.org.au</a> <mailto:<a href="javascript:;" onclick="_e(event, 'cvml', 'committee@plug.org.au')">committee@plug.org.au</a>><br>
>     PLUG Membership: <a href="http://www.plug.org.au/membership" target="_blank">http://www.plug.org.au/membership</a><br>
><br>
> --<br>
><br>
> Kind Regards,<br>
><br>
> /Dean Bergin/.<br>
><br>
><br>
><br>
> _______________________________________________<br>
> PLUG discussion list: <a href="javascript:;" onclick="_e(event, 'cvml', 'plug@plug.org.au')">plug@plug.org.au</a><br>
> <a href="http://lists.plug.org.au/mailman/listinfo/plug" target="_blank">http://lists.plug.org.au/mailman/listinfo/plug</a><br>
> Committee e-mail: <a href="javascript:;" onclick="_e(event, 'cvml', 'committee@plug.org.au')">committee@plug.org.au</a><br>
> PLUG Membership: <a href="http://www.plug.org.au/membership" target="_blank">http://www.plug.org.au/membership</a><br>
><br>
<br>
_______________________________________________<br>
PLUG discussion list: <a href="javascript:;" onclick="_e(event, 'cvml', 'plug@plug.org.au')">plug@plug.org.au</a><br>
<a href="http://lists.plug.org.au/mailman/listinfo/plug" target="_blank">http://lists.plug.org.au/mailman/listinfo/plug</a><br>
Committee e-mail: <a href="javascript:;" onclick="_e(event, 'cvml', 'committee@plug.org.au')">committee@plug.org.au</a><br>
PLUG Membership: <a href="http://www.plug.org.au/membership" target="_blank">http://www.plug.org.au/membership</a><br>
</blockquote></div></div></div>