Matteo_Mabesolani
Di solito l'interfaccia di amministrazione è logicamente separata da quella di trasporto, anche se fanno capo alla stessa interfaccia (porta) fisica. Come in uno switch managed (anche solo Layer 2), dove l'IP di management risponde anche se sulle stesse porte passa il traffico che lo switch semplicemente inoltra. Quando arriva un pacchetto viene esaminato per capire a chi è destinato.
Ovviamente se dalla LAN nessun pacchetto con la giusta destinazione può arrivare all'interfaccia sull'ONT (perché non esiste alcuna regola che lo permetta), l'ONT è irraggiungibile e l'unico modo è connettersi direttamente. Però con sovrapposizioni in caso di configurazioni non correttte è più facile che nascano problemi.
Comunque quando un dispositivo è configurato in bridge, la sessione PPPoE non viene creata dal dispositivo (l'ONT), ma da quello a valle (il router). Tipicamente anche in questo caso viene creata una interfaccia logica associata ad una porta fisica.
L'indirizzo IP esterno è assegnato all'interfaccia PPPoE del router. L'ONT si limita solo a passare i frame (quelli non indirizzati alla sua interfaccia di management) tra i due segmenti di rete che connette.
Se stacchi il router e ci connetti un PC ora è il tuo PC a essere collegato dal bridge - anche se il traffico che arriva sarà scartato perché non c'è una sessione PPPoE attiva.
Per accedere all'interfaccia di management è ovviamente necessario avere un IP al quale l'ONT può rispondere.
Sinceramente io renderei l'ONT accessibile senza dover fisicamente attaccare e staccare cavi. Più facile monitorare e ispezionare qualsiasi problema senza interrompere la connessione e senza armeggiare con i cavi (e magari staccare qualcosa che non si doveva staccare). Se si vuole incrementare la sicurezza si possono mettere opportune regole sul firewall.