[Frage] Speedport W500V: ICMP zulassen oder Firewall per aufruf an-/abschalten

[4-0-4]

Hallo zusammen,

ich betreibe einen Cisco Subnet-Router mit VPN und IPv6 Tunnel hinter einem Speedport W500V (am WAN-Port). Für mich muss der Speedport also nur 100% Traffic durchlassen.
Für meinen IPv6 Tunnel (Hurricane Electric), muss die Netz-IP pingbar sein, ist sie durch die Firewall des Speedports aber nicht.

Habe schon einige Zeit gesucht, aber als einzige Lösung "neuen Kaufen" und "Firewall deaktivieren" gefunden. Mir ist die FW egal (hab ja die vom cisco), nur etwas unfair den anderen gegenüber (sei mal dahingestellt, was sie wirklich bringt).

Frage 1:
Kann man ICMP von einer IP zulassen und ich habe es nur nicht gefunden?

Frage 2:
Gibt es einen http(s)-Aufruf, um die Firewall des W500V automatisiert zu (de)aktivieren? Mein Skript zur Endpunkt-Aktualisierung könnte sie dann ausschalten, updaten und wieder einschalten. Nicht schön, aber würde funktionieren.

Und bevor die Fragen aufkommen:
Nein, ich kann/möchte den Speedport nicht nur als Modem nutzen und den Cisco als Router für alle. Und ich brauche den v6 Tunnel beruflich, nicht nur, weil ich's kann
Alternativrouter habe ich grade auch keinen mehr übrig, ggf. kommt mit der Umstellung auf Glasfaser nächstes Jahr ein neuer, aber solange....

Mfg, Stefan

 

[4-0-4]

OK, habe nun 2 curn-Aufrufe zurechtgebastelt und in mein Skript eingebaut (was Wireshark bei unverschlüsselter Verbindung so ausgespuckt hat):

curl "http://<Router-IP>/start.login" -d "P1=<Router-Passwort>"  --cookie cookie
curl "http://<Router-IP>/hcti_sicherheit_f_ausein.cgi?enblFirewall=0" --cookie cookie

Bzw. in zweiter Zeile zum Starten am Ende =1

Wenn der Anschluss nicht gerade unter Überwachung steht sollte einmal am Tag das Öffnen der Firewall für wenige Sekunden unkritisch sein, aber die Lösung stellt mich auch nur begrenzt zufrieden....

 

[KunterBunter]

Willkommen im Forum!
Du kannst auf dem Speedport W500V die alternative Firmware bitswitcher laufen lassen, damit ist die Firewall auch abschaltbar. Mit IPv6 gibt es eine prebuilt.

 

[4-0-4]

Danke für den Link. Macht ja auf den ersten Blick einen ganz vernünftigen Eindruck. Für die Kleinigkeit an Firewall-Einstellung schon etwas überdimensioniert, aber schaden tut es ja auch nicht. Version ohne v6 reicht mir ja, den Tunnel baut ja der cisco auf. Denke es wird Telekom, Annex B, VoIP (wird nicht genutzt, aber man muss ja keine Funktionen eliminieren)

Mal genauer reinlesen und schauen, dass ich die Kiste mal ein paar Minuten für mich allein hab (sollte danach genauso laufen, wie vorher). Bis jetzt arbeitet mein Firewall-Skript bisher ganz gut (ok, bisher nur einen erzwungenen und einen echte IP-Wechsel)

 

[KunterBunter]

Denke es wird Telekom, Annex B, VoIP (wird nicht genutzt, aber man muss ja keine Funktionen eliminieren)

Sollte man doch: Toll, dass es nun auch Images ohne VoIP gibt.

 

[4-0-4]

Autsch, hat die Kiste echt so wenig Speicher? Auf jeden Fall Danke für den Hinweis, werde dann wohl doch ohne aufspielen. Nutzung ist in absehbarer Zeit an der Kiste eh nicht geplant.