tools-2022-06-27.tar.xz lässt sich nicht downloaden ... 0 Bytes

[bighegi]

Moin,
mein Freetz-NG build klemmt, weil der Download für tools-2022-06-27.tar.xz 0 Bytes und damit eine falsche Checksum hat:

--2024-02-23 17:24:33-- https://raw.githubusercontent.com/Freetz-NG/dl-mirror/master/tools-2022-06-27.tar.xz​

Auflösen des Hostnamens raw.githubusercontent.com (raw.githubusercontent.com)… 2606:50c0:8002::154, 2606:50c0:8000::154, 2606:50c0:8001::154, ...​

Verbindungsaufbau zu raw.githubusercontent.com (raw.githubusercontent.com)|2606:50c0:8002::154|:443 … verbunden.​

HTTP-Anforderung gesendet, auf Antwort wird gewartet … 200 OK​

Länge: 0 [text/plain]​

Wird in »dl/tools-2022-06-27.tar.xz« gespeichert.​

​

dl/tools-2022-06-27 [ <=> ] 0 --.-KB/s in 0s​

​

2024-02-23 17:24:33 (0,00 B/s) - »dl/tools-2022-06-27.tar.xz« gespeichert [0/0]​

​

Download succeeded - "https://raw.githubusercontent.com/Freetz-NG/dl-mirror/master/tools-2022-06-27.tar.xz" -> saved to folder "dl"​

Checksum mismatch for dl/tools-2022-06-27.tar.xz: SHA256:=e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 (expected: 6dc5409e00a344184e91dbe423d7d3361b3f5539edd4486477f67beec0cccc11)​

Hat da bitte wer einen heißen Tipp, was ich nun tun kann?
Danke & VG
BigHegi.

 

[PeterPawn]

FREETZ_HOSTTOOLS_DOWNLOAD=n zur Konfigurationsdatei hinzufügen und damit die Tools selbst bauen (lassen). Das dauert etwas länger, macht einen aber von Download-Problemen unabhängiger - vorausgesetzt, der Rest für den Build der Host-Tools stimmt noch.

 

[bighegi]

Moin Peter,
... danke für diesen Tipp, das bringt mich etwas weiter, aber verursacht gleich das nächste Problem:

--2024-02-24 08:43:37-- https://ftp.debian.org/debian/pool/main/f/fakeroot/fakeroot_1.29.orig.tar.gz​

Auflösen des Hostnamens ftp.debian.org (ftp.debian.org)… 2a04:4e42:8d::644, 146.75.122.132​

Verbindungsaufbau zu ftp.debian.org (ftp.debian.org)|2a04:4e42:8d::644|:443 … verbunden.​

HTTP-Anforderung gesendet, auf Antwort wird gewartet … 404 Not Found​

2024-02-24 08:43:37 FEHLER 404: Not Found.​

​

realpath: /etc/ssl/certs/dhparams.pem: Keine Berechtigung​

​

WARNING: Expired 'DST Root CA X3' certificate found. To remove file DST_Root_CA_X3.crt and links to it run:​

sudo rm -f /usr/share/ca-certificates/mozilla/DST_Root_CA_X3.crt /etc/ssl/certs/2e5ac55d.0 /etc/ssl/certs/DST_Root_CA_X3.pem​

​

Download failed - "https://ftp.debian.org/debian/pool/main/f/fakeroot/fakeroot_1.29.orig.tar.gz" -> error code 8​

​

--2024-02-24 08:43:38-- https://freetz-ng.dropfiles.net/fakeroot_1.29.orig.tar.gz​

Auflösen des Hostnamens freetz-ng.dropfiles.net (freetz-ng.dropfiles.net)… fehlgeschlagen: Der Name oder der Dienst ist nicht bekannt.​

wget: Host-Adresse »freetz-ng.dropfiles.net« kann nicht aufgelöst werden​

realpath: /etc/ssl/certs/dhparams.pem: Keine Berechtigung​

... ich werde sicher nicht mal eben so mit sudo irgendwelche Zertifikate in meinem Debian 11.9 Host-System löschen, weil der Build darauf keine Rechte hat. Gucke ich mir die Dateien an, sieht es so aus:

​

# ls -l /etc/ssl/certs/dhparams.pem​

lrwxrwxrwx 1 root root 23 31. Dez 2019 /etc/ssl/certs/dhparams.pem -> ../private/dhparams.pem​

# ls -l /etc/ssl/private/dhparams.pem​

-rw------- 1 root root 424 31. Dez 2019 /etc/ssl/private/dhparams.pem​

# ls -l /etc/ssl/certs/2e5ac55d.0 /etc/ssl/certs/DST_Root_CA_X3.pem​

lrwxrwxrwx 1 root root 18 15. Jul 2018 /etc/ssl/certs/2e5ac55d.0 -> DST_Root_CA_X3.pem​

lrwxrwxrwx 1 root root 53 22. Aug 2013 /etc/ssl/certs/DST_Root_CA_X3.pem -> /usr/share/ca-certificates/mozilla/DST_Root_CA_X3.crt​

# ls -la /usr/share/ca-certificates/mozilla/DST_Root_CA_X3.crt​

-rw-r--r-- 1 root root 1200 19. Jan 2021 /usr/share/ca-certificates/mozilla/DST_Root_CA_X3.crt​

Da stecke ich nicht tiefer drin. Klar ist, das DST_Root_CA_X3.crt gelesen werden können sollte ... und die dhparams.pem steht sicher nicht ohne Grund in .../ssl/private.

Weißt Du, was jetzt hier zu tun wäre?
Lieben Dank Dir im Voraus.
Bighegi.

 

[PeterPawn]

Bist Du Dir sicher, daß Deine Konfiguration stimmt?

Eigentlich sollte der Standard für FREETZ_ROOTEMU_* ja FREETZ_ROOTEMU_PSEUDO sein (https://github.com/Freetz-NG/freetz...1dcc8a937dab58a8/config/ui/toolchain.in#L1016) und wenn das so ist, sollte erst gar nicht versucht werden, auch fakeroot zu bauen: https://github.com/Freetz-NG/freetz...c8a937dab58a8/make/host-tools/Makefile.in#L69

Vielleicht wäre es ja besser, Du zeigst erst mal Deine Konfiguration - aber bitte die komprimierte Version, in der nur die ggü. den Standardeinstellungen geänderten Werte enthalten sind (keiner will sich durch alle - auch die automatischen - Einstellungen wühlen).

---

Abgesehen davon sind die ganzen Ausgaben, die sich auf die Zertifikate beziehen, auch gar nicht das Problem, weil der Download von ftp.debian.org fehlschlägt und das hat mit dem Zertifikat an sich nichts zu tun, denn der HTTP-Error ist ja 404, was schon mal eine erfolgreiche TLS-Verbindung erfordert hat.

Auf der anderen Seite deutet das aber auch darauf hin, daß Dein System schon länger keine Updates mehr (mind. für die SSL-Konfiguration bzgl. der CAs - also der "certificate authorities") erhalten hat ... zumindest solltest Du Dich mal vergewissern, daß Dein Build-Host auch wirklich auf dem neuesten Stand ist. Solche Statements wie "never touch a running system" sind lange out und sollten nicht mehr als Begründung herangezogen werden, warum jemand keine Updates macht.

Denn das Problem mit dem verfallenen (cross signing-)Zertifikat für LE-Zertifikate ist inzwischen fast drei Jahre alt (https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/) und auch ftp.debian.org benutzt ein deutlich neueres Zertifikat:

peh@vidar:~> printf "\n" | openssl s_client -connect ftp.debian.org:443 | openssl x509 -text -noout
depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R3
verify return:1
depth=0 CN = cdn-fastly.deb.debian.org
verify return:1
DONE
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            03:1a:11:31:2f:47:f4:e6:4d:bc:14:d1:45:05:5e:64:96:df
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: C = US, O = Let's Encrypt, CN = R3
        Validity
            Not Before: Jan 17 00:53:14 2024 GMT
            Not After : Apr 16 00:53:13 2024 GMT
        Subject: CN = cdn-fastly.deb.debian.org
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:be:98:7a:0e:cc:55:e9:10:ba:80:d5:38:8c:69:
                    ad:4d:f0:05:27:db:25:97:63:de:33:7e:ff:48:a9:
                    c4:99:c2:e3:7d:df:d5:b9:c0:a2:3e:eb:76:9f:f7:
                    fd:9f:89:1e:5d:3b:66:3e:76:86:fb:05:1c:c8:ee:
                    92:57:d4:e5:28:71:f5:ef:15:b3:82:60:15:b7:ec:
                    61:0d:fe:6f:d4:d9:de:ff:af:61:03:69:9a:21:74:
                    1d:5f:72:2c:04:ee:f1:06:54:46:60:a6:fe:9e:e1:
                    62:9b:31:98:bd:2d:44:9f:b5:6d:7c:a5:bf:9e:2b:
                    1e:35:19:fe:2c:3b:94:f0:fa:38:27:0c:da:76:97:
                    91:10:1b:ad:df:33:c1:66:bb:c5:ea:80:df:dd:e8:
                    56:e9:98:4b:69:fd:dd:0d:ed:43:dc:0e:b2:9e:83:
                    76:b2:65:a8:13:92:5b:63:d6:02:b7:a8:7c:f7:19:
                    5f:61:5a:02:3e:0b:80:ab:91:c1:83:86:bc:ac:9e:
                    5d:30:c1:21:6a:b6:d7:f5:ea:3c:1e:47:78:d3:61:
                    9a:5f:cd:ad:4c:a0:6d:0d:e7:96:95:c0:f0:5e:c0:
                    e5:0d:27:50:13:36:f9:4c:6c:9b:0d:e0:fc:41:ca:
                    7e:44:04:1d:0b:29:3a:e4:5c:fd:16:88:b1:46:79:
                    4d:e1
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Extended Key Usage:
                TLS Web Server Authentication, TLS Web Client Authentication
            X509v3 Basic Constraints: critical
                CA:FALSE
            X509v3 Subject Key Identifier:
                2F:19:F6:FE:D5:15:19:FF:3B:8F:49:F8:C8:88:92:23:8F:D4:B5:8A
            X509v3 Authority Key Identifier:
                14:2E:B3:17:B7:58:56:CB:AE:50:09:40:E6:1F:AF:9D:8B:14:C2:C6
            Authority Information Access:
                OCSP - URI:http://r3.o.lencr.org
                CA Issuers - URI:http://r3.i.lencr.org/
            X509v3 Subject Alternative Name:
                DNS:cdn-fastly-v6.deb.debian.org, DNS:cdn-fastly.deb.debian.org, DNS:deb.debian.org, DNS:ftp.debian.org, DNS:ftp.ipv6.debian.org, DNS:httpredir.debian.org
            X509v3 Certificate Policies:
                Policy: 2.23.140.1.2.1
            CT Precertificate SCTs:
                Signed Certificate Timestamp:
                    Version   : v1 (0x0)
                    Log ID    : A2:E2:BF:D6:1E:DE:2F:2F:07:A0:D6:4E:6D:37:A7:DC:
                                65:43:B0:C6:B5:2E:A2:DA:B7:8A:F8:9A:6D:F5:17:D8
                    Timestamp : Jan 17 01:53:15.051 2024 GMT
                    Extensions: none
                    Signature : ecdsa-with-SHA256
                                30:44:02:20:5B:21:E3:FC:72:92:03:FD:91:A3:20:99:
                                8E:2B:B5:AB:4B:24:E9:11:AC:7D:C3:C4:CC:F2:CA:8A:
                                59:33:C5:CF:02:20:56:16:8D:57:A8:88:40:F2:47:B5:
                                7A:80:42:87:89:AF:67:BA:0A:76:32:74:CA:D2:84:5D:
                                D8:E7:AF:A6:0B:CC
                Signed Certificate Timestamp:
                    Version   : v1 (0x0)
                    Log ID    : EE:CD:D0:64:D5:DB:1A:CE:C5:5C:B7:9D:B4:CD:13:A2:
                                32:87:46:7C:BC:EC:DE:C3:51:48:59:46:71:1F:B5:9B
                    Timestamp : Jan 17 01:53:15.038 2024 GMT
                    Extensions: none
                    Signature : ecdsa-with-SHA256
                                30:45:02:20:16:8C:29:96:90:12:19:16:92:27:25:FA:
                                CE:2F:DF:72:CF:C4:D9:1E:FD:C1:C0:FE:1C:96:2C:18:
                                CC:E9:21:6D:02:21:00:FF:A4:FF:A0:50:4C:28:9B:EF:
                                2B:3D:AF:D6:70:95:88:42:56:73:5A:1E:42:57:4D:D4:
                                B5:E4:D7:2F:82:0D:64
    Signature Algorithm: sha256WithRSAEncryption
    Signature Value:
        21:67:9d:91:cf:43:fb:0a:94:12:69:83:47:d1:eb:eb:71:7f:
        69:64:b8:a7:a9:61:d3:d6:a0:61:e0:ef:1d:d7:3b:9f:2e:82:
        b1:f9:6d:62:98:38:ca:33:31:b1:4c:5d:c1:5a:a2:49:ea:64:
        ec:7b:ab:5a:0d:b7:e7:25:8a:3b:00:b9:5c:53:e7:3a:7a:c6:
        12:c2:95:dd:1d:0a:ba:fb:01:23:86:58:5d:5a:d9:59:a7:9f:
        69:6d:00:14:51:04:6e:83:e5:2e:8f:cc:01:6f:b1:f7:17:4e:
        a0:09:df:12:63:a7:16:f3:b8:09:83:89:2f:cb:ab:54:4b:4c:
        68:e7:59:08:05:e2:b0:4e:f5:fd:5e:f0:97:f3:69:99:6d:aa:
        3c:c5:09:15:7e:8c:ff:bc:94:22:ff:f7:27:c0:00:62:af:91:
        6a:d9:d3:57:41:75:72:3f:a1:01:39:94:a9:7d:de:de:ba:c5:
        ca:19:70:13:f2:50:9c:47:bb:3c:d0:95:07:f3:59:d7:4a:2e:
        33:c1:9c:54:54:78:b9:8b:47:39:a5:27:15:b3:f9:f3:10:c5:
        33:c1:91:15:bd:2d:0c:5b:82:67:36:d6:4f:af:f3:b5:ec:cb:
        d9:2a:63:bd:fb:0d:18:bb:38:2c:b1:b8:f6:ba:b4:44:ef:94:
        88:9c:20:42
peh@vidar:~>

, welches auch mit einem anderen Root-Zertifikat signiert wurde.

Wenn da also ein altes und verfallenes Zertifikat zu Problemen führt (wobei das - wie oben schon geschrieben - ohnehin nur eine WARNUNG ist und nicht die Ursache des Problems) und obendrein offenbar in /etc/ssl/certs eine dhparams.pem verlinkt ist (die enthält vorberechnete Primzahlen als Auswahl von Parametern für einen Diffie-Hellman-Schlüsselaustausch: https://en.wikipedia.org/wiki/Diffie–Hellman_key_exchange und hat mit dem eigentlichen Zweck dieses Verzeichnisses, vertrauenswürdige Root-Zertifikate zu speichern, nichts gemein - auch die dort abgelegten Symlinks mit dem Hash über das Zertifikat im Namen, dienen nur der leichteren Auffindbarkeit eines bekannten Zertifikats), die effektiv nur der root-Benutzer lesen darf, dann ist da noch einiges im Argen und ich würde schon die Integrität und Aktualität Deines Build-Systems in Zweifel ziehen (aus den genannten Gründen).

EDIT: Wobei Du ja etwas von Debian 11.9 schreibst, was ja noch nicht so lange raus ist - aber dann war schon Deine vorhergehende Konfiguration von OpenSSL "nicht sauber", denn die bereits erwähnte dhparams.pem ergibt auch dann nur wenig Sinn, wenn das tatsächlich "bessere" Primzahlen sein sollten, die für irgendeinen anderen (TLS-)Server generiert wurden.

EDIT2: Ich habe gerade gesehen, daß in aktuellen Freetz-NG-Versionen ja fakeroot in Version 1.33 verwendet wird - die von Deinem Build gesuchte 1.29 gibt es schon lange nicht mehr auf den Debian-Servern. Das heißt dann im Umkehrschluß, daß Dein Checkout von Freetz-NG NICHT aktuell ist und bis Du das korrigiert hast, bin ich hier raus ... irgendwelchen Phantom-Problemen hinterher jagen, macht nicht wirklich Spaß und nur (sinnlose) Arbeit. Da liegen die Probleme auch nicht wirklich bei Freetz-NG, sondern beim Benutzer, wenn da jemand eine veraltete Version verwendet.

 

[bighegi]

Moin Peter,
erst mal vielen lieben Dank für Deine ausführlichen Ausführungen. - Da waren ja einige Überraschungen drin ...

Ich habe tatsächlich gar nicht mitbekommen, dass Buster gar nicht mehr stable ist und Bullseye released wurde - Ooops ... aber ich mache nur noch sehr wenig auf meiner Debian-Kiste.

Aber das minor-release-update auf 11.9 ist ja wirklich ganz frisch.

mein Freetz-NG erschien mir "frisch":

$ svn up​

Aktualisiere ».«:​

Revision 20037.​

... wie es scheint, muss ich das jetzt über git machen, nicht mehr über svn, denn dann habe ich Plötzlich Version 23247 ... OK. Das erklärt so einiges!

Wie man sieht, ich habe lange kein Freetz mehr gebaut.

... Du zeigst erst mal Deine Konfiguration - aber bitte die komprimierte Version, in der nur die ggü. den Standardeinstellungen geänderten Werte enthalten sind

Würde ich gerne tun, wenn ich wüßte, wie ich das hinbekomme. Habe gerade mal hier im Forum nach komprimierte Konfiguration bzw. .config gesucht aber nicht wirklich was gefunden ... Und da ich - wie es scheint - echt aus der Freetz-Steinzeit komme, würde es mich nicht wundern, wenn durch "make oldconfig" und Uralt-Einstellungen da ggf. jetzt Bullshit drinsteht. ... Wäre vor dem Flashen ggf. hilfreich, das mal querzuchecken.

Jedenfalls habe ich jetzt erst mal die SSL-Certs aus stable importiert und die config mit dem FREETZ_FAKEROOT_PSEUDO=y angepasst. Das brachte mich schon mal deutlich weiter.

Dann musste ich noch ein handvoll -dev Packete nachinstallieren und der Build lief dann ganz gut an.

Allerdings hakte es nach ca. 10 min mit:

/usr/include/linux/errno.h:1:10: fatal error: asm/errno.h: Datei oder Verzeichnis nicht gefunden

Finde gerade nicht, welche Header mir fehlen ... schade.

Hättest Du da ggf. noch einen heißen Tipp?

1000 Dank Dir und gute Nacht!
Bighegi.

 

[PeterPawn]

Targets of Freetz’s “make”

Firmware modification for AVM FRITZ!Box devices

freetz-ng.github.io

Wäre vor dem Flashen ggf. hilfreich, das mal querzuchecken.

Nein - wäre vor dem Build hilfreich, mit einer frischen Konfiguration zu starten.

Gerade dann, wenn man sich nicht wirklich auskennt.denn seit dem Fork für Freetz-NG hat sich da vieles geändert und auch das eigene Wissen (u.a. git anstelle von svn, was jetzt schon MEHRERE Jahre auch von Freetz-NG verwendet wird) sollte man (selbst!) an die neuen Gegebenheiten anpassen.

Bei allem "Mitleid" für Deine offenbar ziemlich veraltete Build-Umgebung und ggf. früher darin investierte Arbeit - aber hier wäre m.E. ein kompletter Neustart (am ehesten mit einer unterstützten Linux-Distribution und einem frischen Checkout für Freetz-NG) angezeigt, weil man ansonsten ständig irgendwelchen Phantom-Fehlern hinterher rennt.

 

[bighegi]

Moin,
... ich werde erstmal meinen Build-host aktualisieren, dann probiere ich es wieder. Aber das wird wohl eine Weile dauern, da ich gerade sehr eingebunden bin.
VG
Bighegi

 

[bighegi]

... kann wieder freetz-ng Images bauen ... Thread hat sich somit erledigt.