Meu ISP tem acessado meu roteador (para consertar ou atualizar algo). O roteador do ISP é GigaHub 823G-2 (conexão FTTH) e meu roteador é um TP-Link TPTD-W8968. Eles acidentalmente mudaram meu SSID e, graças a isso, percebi o seguinte:
- Não tenho controle sobre o dispositivo, sem telnet, alguns valores fixos, etc.
- Se eu precisar restaurar da fábrica, precisarei ligar para eles.
- As senhas não são criptografadas.
- Sinto que meus próprios dispositivos, conectados a este roteador, são potencialmente vulneráveis.
Eu achei esta pergunta muito relacionável:
Um ISP tem acesso de administrador ao seu modem/roteador?
Como não posso substituir o dispositivo inteiramente pelo meu, pensei em colocar meu próprio roteador atrás do deles.
Aqui é mencionada a alternativa da ponte, que não entendo totalmente:
Modem/roteador ISP, como habilito o modo Bridged e uso meu próprio roteador?
Nenhum desses roteadores tem modo bridge, então fiz o seguinte:
Conectei meu próprio roteador via Ethernet ao roteador do ISP. Então no meu roteador a wan é:
- IPv4 :
192.168.2.10 - Sub -rede :
255.255.255.0 - Gateway (LAN do ISP) :
192.168.2.1
Também desativei o UPnP e o DNS dinâmico de ambos e o Wi-Fi do roteador do ISP.
Então, os dispositivos conectados ao meu roteador estarão protegidos de qualquer pessoa dentro do roteador do ISP?
Alguém poderia me dizer se esta é uma conexão em ponte ou sua diferença de uma conexão em ponte?
A configuração que mencionei acima parece estar funcionando conforme o esperado, mas quero ter certeza de que é a maneira certa ou pelo menos a maneira mais segura de fazê-lo.
Não tenho 100% de certeza, mas o TR-069 pode ser o padrão envolvido que permite que seu ISP acesse seu CPE (modem/roteador) e obtenha informações dele. Provavelmente todos os modems DSL que você comprar e certamente qualquer um que você obtiver do ISP serão habilitados para TR-069.
Eu tenho cabo (DOCSIS) e comprei meu próprio modem, sem roteador embutido, e comprei um roteador separado. Esta é uma boa configuração se você não quiser que o ISP faça nada com seu equipamento.
DSL é diferente. Acredito que todos os modems DSL de nível de consumidor terão um roteador embutido. A maneira de desabilitar a parte do roteador de um modem/roteador DSL é habilitar o modo bridge. Em seguida, adicione seu próprio roteador.
O que você está fazendo é meio que a coisa certa a fazer se não puder mudar sua situação.
Não é ponte. Basicamente você criou (ou deveria estar criando) uma rede separada entre seu ISP e seus dispositivos. Feito dessa forma, a única coisa que o ISP pode ver é qualquer coisa na rede intermediária, que deve conter apenas seu dispositivo DSL e seu roteador doméstico.
Se o seu roteador tiver falsificação de TTL, habilite-o, então seu ISP não poderá usar o TTL para detectar se o roteador está falando ou os dispositivos por trás dele.
Aqui está a maneira certa de fazer o que você quer. É um diagrama MSPaint ruim, mas espero que seja claro o suficiente.
Sobre o "modo ponte"
O "modo Bridge" no "roteador" do ISP é importante se você obtiver um IP público do ISP.
Ele permite que você instale este IP público na porta WAN do seu roteador.
E se você perguntar ao seu ISP sobre isso, pergunte algo como:
O modo Bridge pode ser útil em alguns modems-roteadores ADSL/cabo, cuja CPU não é muito poderosa. Ele permite o estabelecimento de uma conexão PPPoE do seu roteador e remove o gargalo de desempenho e travamentos do roteador ISP.