Je viens de déménager et ma nouvelle zone dispose d’une fibre. Ils exigent que j’utilise leur propre équipement, ce qui me met un peu mal à l’aise. J’ai un serveur domestique avec plusieurs services (homeassistant, serveur Minecraft, serveur Bitwarden (base de données de mots de passe), OctoPrint, site web, etc.) Je crains le niveau d’accès que des techniciens d’ATT pourraient avoir à mon installation, ma capacité à configurer le serveur correctement dès le début, et aussi la simple collecte de données qui pourrait se produire de la part d’ATT.
J’ai aussi un VPN que j’utilise occasionnellement mais pas religieusement, et, sur un ton complètement déconnecté, je pars parfois en haute mer.
Mes préoccupations sont-elles valides ? Existe-t-il des méthodes efficaces pour contourner toute collecte de données ou espionnage ?
Vous pouvez connecter votre propre routeur au modem/routeur ATT, puis configurer leur modem/routeur en mode transparent. Connectez tout à votre propre routeur et non à celui d’ATT. Les techniciens d’ATT ne peuvent accéder qu’à leur modem/routeur et pas à votre routeur.
Après qu’un technicien aléatoire a attribué mon bloc public, sans mon instruction ni consentement…, à des appareils aléatoires sur mon LAN… je mettrai toujours en place mon propre pare-feu entre mon équipement et le fournisseur…
Le mode détection d’erreur pass-through d’ATT ne contourne rien. C’est une fausse passerelle. Les techniciens d’ATT peuvent toujours accéder si ils le veulent, puisque votre routeur est toujours en ligne avec leur GW. Si vous ne me croyez pas, faites un traceroute et regardez où vont le premier et le deuxième saut, et vous comprendrez pourquoi le pass-through n’est qu’une illusion. Il n’y a que deux vraies façons de faire une passerelle (contourner) une GW d’ATT.
- Extraire les certificats EAP de leur GW et les installer sur votre routeur compatible (il en existe beaucoup), mais cela ne fonctionnera que si vous avez leur GW BGW210-700. La BGW320 possède une ONT intégrée contrairement à la BGW210 et je n’ai pas vu de méthode qui fonctionne dessus.
- Faire en sorte que la BGW210 soit à l’intérieur de votre réseau et la faire fonctionner comme un proxy EAP. Cette méthode ne nécessite pas d’extraire les certificats, mais lorsque l’ONT veut vérifier qu’il communique avec le beau BGW210, les paquets EAP sont transférés (un petit script Python est installé pour sniff les paquets EAP et les faire suivre) à la BGW210 sur un port interne de votre routeur, et la réponse est renvoyée à l’ONT. Tout le monde est content et votre routeur est vraiment à la frontière de votre réseau domestique.
Après la méthode 1 ou 2, vous pouvez vérifier que votre routeur personnel est en bordure de votre réseau domestique en réalisant le même traceroute et en observant les premiers sauts. Il doit aller directement de votre routeur à la GW WAN du réseau ATT. Le mode pass-through ne sert à rien. Vous ne voudriez peut-être pas utiliser le mode pass-through puisque vous n’obtenez aucun avantage.
Contourner la passerelle avec votre propre équipement peut être fait. Très facile si vous utilisez la technologie xgs-pon (zones capables de 5 gigas).
https://www.dslreports.com/forum/r33442912-AT-T-Fiber-Bye-bye-802-1x-you-will-not-be-missed
Vous semblez avoir des connaissances techniques. Si vous souhaitez abandonner leur équipement, il existe des solutions.
Ajoutez également r/firewalla en plus de ce que les autres disent ici.
Si vous voulez garantir la confidentialité, ne connectez pas à Internet.
Perdez-vous la connectivité si électricité coupée ?
Je veux mettre cela en place pour un ami mais je ne veux pas recevoir d’appel quand leur électricité coupe et devoir rétablir la connexion en pyjama.
Cela fonctionnera-t-il avec le serveur que je gère ? Cela semble être une excellente solution, mais je crains que cela ne déraille tout, et je ne sais pas combien de temps et d’efforts il me reste à investir en cas de problème.
Le site internet de leur offre regorge de jargon marketing et semble plus axé sur la publicité et la vente que sur l’explication de ce qu’il fait réellement. En plus, il semble devoir se connecter à « le cloud ». Honnêtement, cela me fait plus peur que le matériel d’ATT.
Je ne sais pas qui vous a dévalué, mais c’est un imbécile.
Si l’électricité coupe, faut-il manuellement rétablir la connexion ?
Question honnête ici - je ne nie rien de ce que vous dites, puisque le dispositif est toujours en ligne et effectue probablement un double NAT, mais n’avez-vous pas au moins une protection contre les intrusions malveillantes/incompétentes des techniciens d’ATT ou d’extérieurs si une vulnérabilité est découverte et exploitée dans le matériel BGW ?
Pour moi, c’est déjà beaucoup, même si ce n’est pas un vrai contournement du BGW. Je ne fais pas confiance du tout au matériel du fournisseur, mais j’ai confiance en mon pare-feu IPFire, ma segmentation VLAN pour l’IoT, et mes points d’accès Aruba. Si quelqu’un pénètre dans le BGW, ce n’est pas idéal, mais il ne pourra pas accéder facilement à mon réseau interne. Ils pourront peut-être surveiller le trafic non-VPN via le BGW, mais le VPN fonctionne presque toujours.
J’ai des connaissances techniques de base qui dépendent beaucoup de ma disponibilité et de ma motivation.
Ceci est ce qu’on appelle en mathématiques la ‘solution triviale’, qui n’est généralement jamais explicitée car elle est assez stupide, inutile, et une perte de temps.
Si la puissance s’éteint, il rétablit la connexion dès que c’est de retour.
Oui. J’ai un serveur Plex, un serveur VPN (pour accéder à mon réseau à distance), et parfois un serveur FTP derrière le mode pass-through vers mon routeur PFSense, et tout fonctionne parfaitement.
Il m’a fallu environ une minute pour configurer le pass-through, et je n’ai pas eu besoin de le toucher depuis deux ans avec la fibre d’ATT.
Probablement des idiots qui ne comprennent pas ce que j’ai écrit. Ils pensent que le mode pass-through est une vraie déviation. Ce n’est pas le cas. Voilà en résumé ce que j’ai écrit.
Eh bien, examinons ce qui se passe. Votre routeur ou pare-feu est toujours derrière la GW d’ATT dans la configuration d’origine (sans pass-through). Avec le pass-through (faux déviation) suggéré ici, en mettant votre routeur en bordure du réseau, vous obtenez une double NAT, des problèmes potentiels de double NAT et de latence tout en ayant un saut (bgw210-700) entre votre pare-feu et la GW WAN d’ATT (le saut suivant). Le pass-through fait que la BGW210-700 partage l’adresse IP WAN avec votre routeur. Le trafic d’un PC dans un VLAN de votre réseau passe par sa GW L3, puis va à l’IP WAN supposée de votre routeur, puis bascule dans le réseau LAN de la BGW210-700 (première NAT), puis va vers la vraie IP WAN de la BGW210-700 (deuxième NAT), et enfin vers le saut suivant sur le réseau WAN d’ATT. Quelle pagaille. Et pour quoi faire ? Plus de latence et double NAT ? Pourquoi faire ça sans avantage supplémentaire, juste pour augmenter la latence et compliquer tout ? Vous pouvez tout simplement laisser la configuration initiale et faire toute la sécurité via votre routeur avec ses règles de pare-feu et ses protections avancées. Cela ne change rien à votre sécurité ou à votre configuration initiale. Ça n’a aucun sens pour moi. La solution pass-through est uniquement pour un serveur dans la DMZ qui a besoin d’accès. Elle ne place pas votre routeur avec ses règles du pare-feu ou ses barrières robustes à la frontière de votre réseau. Vous avez une double NAT et plus de latence. La sécurité reste approximativement la même qu’avec la configuration basic d’ATT. Rien de plus, rien de moins !!
1?: [LOCALHOST] pmtu 15001: _gateway 0.244ms1: _gateway 0.223ms2: xxxx.xxx.xxx.xxx.rcsntx.sbcglobal.net 0.696ms
Vous verrez une adresse 192.x.x.x si vous faites du pass-through (pas le saut _gateway vers votre VLAN L3), et cette adresse IP est celle de la LAN de la BGW210-700 d’ATT. Ma question : pourquoi vouloir le double NAT ? vous pouvez tout simplement laisser la configuration d’origine d’ATT et continuer votre vie ? Votre routeur vous protège toujours contre les techniciens malveillants d’ATT s’ils veulent accéder à votre réseau via leur GW.
La plupart des gens confondent ce que le pass-through permet réellement sur le GW d’ATT. Certains savent que le double NAT se produit, mais ignorent que le pass-through crée un saut supplémentaire avec des effets secondaires possibles liés au double NAT. Le pass-through sert à partager l’IP WAN avec un serveur qui en a besoin. Mais ici, il l’attribue à votre routeur personnel, ce qui ne le met pas à la frontière de votre réseau, loin de là. Pour un véritable contournement avec un GW ATT, seul le BGW210 avec une extraction EAP ou un proxy EAP fonctionne. Ceux qui ont réussi à faire cela sont de vrais hackers.