[Gelöst] RogerRouter scheitert an 2FA?

[herrdeh]

Moinsen,

habe den RogerRouter auf meiner ubuntu22-Kiste zum Laufen gekriegt, er holt sich zum Beispiel das Telephonbuch von der FB und zeigt die Anrufliste korrekt an. Allerdings kann ich über RR nicht rauswählen, es kommt folgende Fehlermeldung:

(Roger Router:2): rm-WARNING **: 11:50:56.615:
rm_network_tr64_request(): errorDescription = second factor
authentication required

(Roger Router:2): rm-WARNING **: 11:50:56.996:
rm_network_tr64_request(): errorCode = 501

(Roger Router:2): rm-WARNING **: 11:50:56.996:
rm_network_tr64_request(): errorDescription = Action Failed

(Roger Router:2): rm-WARNING **: 11:51:22.002:
rm_network_tr64_request(): errorCode = 866

Allerdings haben sich weder RR noch FB gemeldet und 2FA verlangt. Der Autor scheint auch keine gute Idee zu haben - hat jemand von Euch eine?

Dank und Grüße, Wolf

 

[PeterPawn]

Was genau ist denn eigentlich Dein Ziel? Willst Du dem RogerRouter die korrekte Behandlung der 2FA beibringen (kein vollkommen aussichtsloses Unterfangen) oder willst Du einfach nur die 2FA in der Box deaktivieren?

Wie genau stellst Du Dir das denn vor, wenn die Box (also ja wohl das FRITZ!OS) sich "melden" soll beim Einsatz einer (anderen) Software, sowie eine zusätzliche Autorisierung erforderlich wird?

Irgendwie unverständlich für mich bis hierhin …

 

[NDiIPP]

@herrdeh
Ist zwar schon wieder eine Weile her (vielleicht 6 Monate) als ich RogerRouter (unter ArchLinux und Debian) zuletzt genutzt hatte (u.a. um Faxe zu senden) aber ich kann mich nicht an Probleme i.V.m. der 2FA erinnern, die bei mir grundsätzlich aktiviert ist. Von daher, nein, keine Idee.

 

[herrdeh]

Willst Du dem RogerRouter die korrekte Behandlung der 2FA beibringen (kein vollkommen aussichtsloses Unterfangen) oder willst Du einfach nur die 2FA in der Box deaktivieren?

Eigentlich fast wurscht. 2FA ist ja vielleicht keine völlig unsinnige Sache, daher mit leichter Präferenz für "2FA beibringen".

Wie genau stellst Du Dir das denn vor, wenn die Box (also ja wohl das FRITZ!OS) sich "melden" soll beim Einsatz einer (anderen) Software, sowie eine zusätzliche Autorisierung erforderlich wird?

Nix genaues stelle ich mir da vor, weil ich nicht tief in 2FA|FB drinstecke - und eigentlich auch nicht unbedingt eintauchen möchte. Eine einfache, pragmatische Lösung, die keine riesigen Sicherheitsscheunentore aufreißt, wäre mir am liebsten.

Bißchen klarer geworden?

 

[PeterPawn]

Na ja - zwischen

und eigentlich auch nicht unbedingt eintauchen möchte.

und

daher mit leichter Präferenz für "2FA beibringen".

besteht da ja schon ein (in meinen Augen deutlicher) Widerspruch. So ein wenig: "Wasch mir den Pelz, aber mach mich nicht nass.", zumindest nicht so sehr, dass ich meine Komfortzone verlassen müsste.

Aber bei genauerer Betrachtung gibt es ja bei den Funktionen von RogerRouter eigentlich wirklich nichts, was - nach korrekter Ersteinrichtung in der Box - durch die 2FA beschränkt würde … das Senden von Dokumenten per Fax erfolgt ja auch über die CAPI-Schnittstelle und braucht daher - im Gegensatz zum Faxversand per GUI - auch keine 2FA, soweit ich weiß.

Daher würde ich hier erst mal versuchen zu ermitteln, welche TR-064-Funktion hier dazu führt, daß der Fehler auftritt. Ist das wirklich in keinem Protokoll zu finden (das weiß ich nicht), hilft notfalls der Paketmitschnitt auf der lan-Schnittstelle der FRITZ!Box. Mit dieser Information kann man dann überlegen, welche (Vor-)Einstellung da nicht passen könnte.

Alternativ kann man natürlich auch mal die 2FA kurzzeitig deaktivieren und damit dann erneut sein Glück versuchen. Erstens weiß man dann genauer, ob es wirklich ein 2FA-Problem ist und zweitens ist es auch nicht vollkommen abwegig, daß dabei dann die passenden Einstellungen übernommen werden und nach der Reaktivierung der 2FA das "Problem" einfach verschwunden bleibt.

Wie das mit der Deaktivierung auch ganz einfach machbar ist (durch einfachen Aufruf einer passend gestalteten URL), kann man hier irgendwo in einem anderen Thread nachlesen. Link habe ich nicht und suche ich auch nicht selbst heraus, ist nicht wirklich schwer zu finden, notfalls mit dem Stichwort twofactor=1.

 

[herrdeh]

Guten Morgen,

und besten Dank für die Antwort. Bitte um Verständnis, daß ich nur ein einfacher Anwender bin, der einfach möchte, daß das Zeug funktioniert und nicht vertieft in die Geheimnisse der FB einsteigen kann und möchte.

Was ich gefunden habe sind zwei Logdateien, die geschrieben werden, wenn ich einen Anruf tätige:

tr64-request-ok-1.xml:

<?xml version="1.0"?>
<s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/" s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/">
<s:Header>
<h:Challenge xmlns:h="http://soap-authentication.org/digest/2001/10/" s:mustUnderstand="1">
<Status>Unauthenticated</Status>
<Nonce>96A0300CDC0C7D7C</Nonce>
<Realm>F!Box SOAP-Auth</Realm>
</h:Challenge>
</s:Header>
<s:Body>
<s:Fault>
<faultcode>s:Client</faultcode>
<faultstring>UPnPError</faultstring>
<detail>
<UPnPError xmlns="urn:dslforum-org:control-1-0">
<errorCode>503</errorCode>
<errorDescription>auth. failed</errorDescription>
</UPnPError>
</detail>
</s:Fault>
</s:Body>
</s:Envelope>

und `tr64-request-error2.xml`:

<?xml version="1.0"?>
<s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/" s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/">
<s:Body>
<s:Fault>
<faultcode>s:Client</faultcode>
<faultstring>UPnPError</faultstring>
<detail>
<UPnPError xmlns="urn:dslforum-org:control-1-0">
<errorCode>501</errorCode>
<errorDescription>Action Failed</errorDescription>
</UPnPError>
</detail>
</s:Fault>
</s:Body>
</s:Envelope>

Hoffe, die helfen was.

NB: Ich hatte bis dato JFritz am Laufen, das seit dem Umstieg auf die FB 7490, FritzOS 7.57 einen sehr ähnlichen Fehler produziert:



[Edit Novize: Riesenbild auf Vorschau verkleinert - siehe Forumsregeln]


Leider finde bei meiner FB diesen Haken nicht, ich vermute, er existiert ab 7.50 nicht mehr. Korrekt?

Dank und Grüße, Wolf

 

[PeterPawn]

Die beiden Log-Files sind nicht hilfreich ... sie enthalten nur die Informationen über den aufgetretenen Fehler, aber keinen Hinweis, WELCHER Funktionsaufruf den Fehler verursacht.

er existiert ab 7.50 nicht mehr. Korrekt?

Richtig, aber wie man die 2FA DENNOCH (auch ohne tiefergehende Kenntnisse) immer noch deaktivieren kann, findet sich hier im Board - ich hatte bereits einen Hinweis für die Suche gegeben. Einen Tod muß man nun mal sterben - und wie ich bereits zuvor schrieb: Vielleicht erledigt sich das Problem beim Versuch OHNE 2FA von alleine und man kann sie dann wieder aktivieren (die Checkbox dafür wird sogar noch angezeigt, wenn die 2FA deaktiviert ist) ... zumindest wäre es einen Versuch wert.

 

[herrdeh]

Naja, das ist halt nicht immer so einfach für jemanden, der nicht tief drinsteckt. Hab schon ca. eine Stunde gesucht, und bis jetzt folgende Befehlszeile gefunden:

curl 'xhr=1&page=support&twofactor=1&sid=<sid>' | Invoke-RestMethod -Method 'Post' -Uri 'http://fritz.box/data.lua'

- o.k, kriege ich hin.

Aber an der Ermittlung der sid scheitere ich. Die "technical note session id" von AVM ist für mich unverständlich (zum Beispiel ist unklar, wo die Codebeispiele eingegeben werden müssen), die ganzen Threads zum Thema leider auch, weil die Kollegen in der Regel nicht genau schreiben, wie sie vorgegangen sind. Ich schreibe meine Erkenntnisse hinterher gern zusammen - aber vorläufig bräuchte ich noch ein bißchen Unterstützung.

Danke schön.

Grüße vom Wolf

 

[Kruemelino]

[...] Allerdings kann ich über RR nicht rauswählen, es kommt folgende Fehlermeldung:
[...]

Ich rate mal ins blaue: wenn du via TR-064 raustelefonieren willst, dann muss das Telefon in der Fritz!Box Wählhilfe gesetzt werden. Hierfür wird die 2FA angestoßen. Wenn du nicht ständig das Telefon wechselst, kannst du es auch über die GUI der Fritz!Box setzen und hast dann Ruhe...

 

[Erforderlich]

Die sid bekommt man z.B. hier mit Rechtsklick auf System und "Linkadresse kopieren". Aber vorher muss man aber unbedingt 1x die 2FA "aufschließen", indem man z.B. die Konfig speichert.
Noch ein kleiner Hinweis: Die sid sind die 16 alfanumerischen Zeichen zwischen sid= und &lp und wird ohne <> in die Codezeile eingefügt.
Es funktioniert auch per Powershell: Write 'xhr=1&page=support&twofactor=1&sid=0000000000000000' | Invoke-RestMethod -Method 'Post' -Uri 'http://fritz.box/data.lua'
Quelle: PeterPawn https://www.ip-phone-forum.de/threads/fb7590-und-andere-boxen-ab-os-7-50-bestätigungen-deaktivieren.314515/post-2524118

Es sollte aber klar sein, dass so die 2FA dauerhaft abgeschaltet bleibt.

 

[herrdeh]

Ich rate mal ins blaue: wenn du via TR-064 raustelefonieren willst, dann muss das Telefon in der Fritz!Box Wählhilfe gesetzt werden. Hierfür wird die 2FA angestoßen. Wenn du nicht ständig das Telefon wechselst, kannst du es auch über die GUI der Fritz!Box setzen und hast dann Ruhe...

Das schaut nach dem ganz großen Wurf aus ! Erster Versuch hat sofort geklappt.

Muß noch ein bißchen testen, mal sehen, was nach Neustart passiert - aber erstmal ist das sehr ermutigend. Hab' vielen Dank, ich setze diesen Strang auf "gelöst", wenn ich ein bißchen Erfahrung habe.

Dank und Grüße, Wolf

 

[herrdeh]

Funktioniert auch nach Neustart und Autostart des "Roger". Wilden Dank, Meister @Kruemelino , das Thema nervt mich seit Monaten.