[HowTo] 7170 als Modem UND VoIP client

frank_m24 schrieb:
Was passiert, wenn du auf "pppoeiface = "eth0";" verzichtest?

Hey, danke für den Hinweis :D !

Also nach dieser Einstellung ist die Box weiterhin im "...als DSL Modem nutzen" Betriebsmodus und lässt sich auch als solches über LAN 2 (-4) ansprechen. Weiterhin kann ich sie als client über LAN 1 an den Router anschließen und auch auf das UI zugreifen. Via telnet kann ich dann auch, nachdem ich per Hand DNS und default gateway hinzugefügt habe pings ins Internet absetzen, die Box benutzt also die Verbindung des Netzwerkes nun mit.

Das ist schonmal ein Riesenfortschritt !

Nun besteht aber leider die Anzeige "Keine Internetverbindung" bei der Internetrufnummer. Scheinbar wird also durch AVM trotz des Tweaks der voip.cfg eine Registrierung der VoIP Nummer verhindert.

Wie könnte ich dies nun noch in den Griff bekommen ?
 
Hallo,

tja, gute Frage. Irgendwo scheint es also doch noch mehr Unterschiede zwischen den Konfigs zu geben.

Man könnte das Pferd ja von hinten aufzäumen: Man richtet die Box komplett für "Internet über LAN 1" ein und entfernt dann nur den Eintrag "pppoeiface = "eth0";", um das DSL Modem wieder zu aktivieren.

Viele Grüße

Frank
 
Dies führt zu dem Effekt, dass im AVM UI wieder "...als Modem benutzen" eingerichtet wird und das "sipping_enabled" wieder auf "no" springt.

Ich habe mal eine manuelle Registrierung des SIP Services vorgenommen, nachdem ich die von mir oben beschriebene Konfiguration eingerichtet habe

Code:
/bin/voipd -R

und konnte danach über VoIP telefonieren. Ich hatte leider gerade niemanden, der mich von aussen testweise über VoIP anrufen konnte, aber ich denke, dass das funktioniert hätte. Es wurde zwar weiterhin bei "Internetrufnummer" "Keine Internetverbindung" angezeigt, aber das scheint wohl egal zu sein und stört mich auch nicht wirklich.

Nun dachte ich schon, dass das Problem damit gelöst war bis ich mal testweise die Fritzbox neu gestartet habe. Danach konnte ich zwar weiterhin per Web-UI auf die Box zugreifen, aber nicht mehr auf meinen Router (Der betreffende PC ist ÜBER den Router an die Box angeschlossen), weshalb sich da wohl irgendwas in die Quere zu kommen scheint. Ich weiß nun nicht wie ich nun weitermachen soll, vielleicht ist der DCHP Server der Box aktiv (wird aber zumindest angezeigt als inaktiv) oder was auch immer, irgendwas blockiert sich dort gegenseitig.

Was könnte hier passiert sein ?

EDIT: In der Zeit, in der die das Modem der Box synchronisiert funktioniert das Netzwerk ganz normal. Erst in dem Moment, in dem eine Synchronisierung besteht und die Verbindung aufgebaut wird tritt die Blockade ein.
 
Zuletzt bearbeitet:
Hallo,

level20peon schrieb:
Was könnte hier passiert sein ?
Das kann ich dir so nicht sagen. Da beschreibe doch erst mal dein genaues Setup. Wie ist alles angeschlossen? Wie sind die IP-Adressen der Geräte? Passt die Adresse des PCs noch?

Viele Grüße

Frank
 
Es wird das WAN IP Interrface gestarted, dabei können natürlich diverse If-up Scripte laufen, welche z.B. die gesamte Firewall etc. pp. starten.

Daneben kann natürlich auch alles mögliche rekonfiguriert werden, aber nun gut, das rauszufeinden erfordert eben ein tieferes Verständnis der FBF.
Nicht alles steht in irgendwelchen Config files, einiges wird vermutlich in die entsprechenden Systemscripte eingebaut worden sein.
Soweit AVM diesen Betriebsmodus nie vorgesehen hat, ist eine mögliche Flexibilität über config files nicht erforderlich.

D.H. da braucht man detaillierten Kenntnissen des Ablaufes innerhalb der FBF wo welche Scripte liegen.
 
Sehr interessant! Ich kann leider momentan nicht testen, weil ich die Fritz-Mini-Beta-Firmware ohne Mods installiert habe und da mindestens wöchentlich Updates herauskommen. Ist bei Deiner Lösung sicher gestellt, dass Dein LAN-Traffic nicht vermittlungsstellenseitig abgegriffen werden kann?
 
Ich weiß nicht genau, was du meinst. Wenn es um "Filter für DSL-Modem aktivieren (empfohlen)" geht, mit dem ausschließlich PPPoE Daten übertragen werden, der ist nach wie vor aktiviert.
Außerdem wird eh alles, was "ins Internet" rausgeschickt werden soll über den sepparaten Router übertragen, weil dieser sowohl als DNS, als auch als Gateway in der Box eingetragen ist :D
 
Ja, das meine ich. Für die LAN-Verbindung müssen ja je ein LAN-Port von Fritzbox und externem Router miteinander verbunden werden. Für die PPPoE-Verbindung wiederum müsste der WAN-Port des externen Routers an einen weiteren LAN-Port der Fritzbox angeschlossen werden. Macht die Filteroption "Filter für DSL-Modem aktivieren (empfohlen)" in der Fritzbox dieses Setup dann wirklich wasserdicht?
 
Da FritzBox INTERN keine Daten zum Modem geschickt werden, weil die Box keine PPPoE Verbindung aufbaut würde ich das bejahen. Da zusätzlich die Box glaubt, überhaupt keine Internetverbindung zu haben, versucht sie das gar nicht erst, bedenke, alles was VoIP angeht wird manuell ins Rollen gebracht.
 
Theoretisch würde das WAN Interface (der Hardwareport oder IF Interface) des externen Routers ja keine IP Adresse bekommen, da dies für den PPOE Empfang umnötig ist.
Somit kann theoretisch kein IP Paket ins LAn kommen ohne über das virtuelle PPOE wan Interface des externen Router zu gehen, was dann NAT, Firrewall und Routing mit einschließt.

Ich würde sagen, das dies durchaus sicher ist, vergleichbar einem VPN, was PPOE ja im Prinzip ist (ok, eher eine tunneling Protokoll).
Natürlich kann jeder beliebige andere Rechner im Netzwerk auch eine PPoe Verbindung aufbauen (ppoe Pakete werden über alle Ports verteilt) und so den Router umgehen.

Natürlich hängt das aber auch mit dem Sicherheitsbedürfnis zusammen.
Im professionellen Bereich hat man eine gewisse vorlieb für explizit getrennte Hardwareports entwickelt.
Das hat allerdings weniger mit der Technik an und für sich zu tun, sondern es vermeidet Fehlkonfigurationen (man hat da so schöne Metaphern mit Rotes Interface, grünes If etc.) schützt vor möglichen versteckten Sicherheitslücken und nimmt die Komplexität raus.
Wo es keine Verbindung gibt, kann auch der Schäuble mit der NSA keine schaffen :D Ne Spaß beiseite, das passt schon so und wer wirklich wo rein will, der macht es leichter indem er direkt den Router knackt.
 
Da kommen wir schnell in den Bereich, wo ich mich nicht mehr auskenne, und dann fühle ich mich immer unwohl. PPPoE heißt ja Point to Point Protocol over Ethernet. Es wird also wohl eine PPP-Verbindung (wie Du sagtest) als eine Art Tunnel in Ethernet-Pakete eingebettet. Ich nehme an, das sind Ethernet-Rohpakete ohne TCP/IP-Formatierung und somit ohne IP-Adressierung für den Port in der Vermittlungsstelle und den im Modem? Der Filter der Fritzbox müsste also logisch zwischen LAN und Modem sitzen und in beiden Richtungen nur PPPoE-Pakete durchlassen. Soweit klingt das dann eigentlich logisch und sicher. Danke für die Erklärungen!

Die Möglichkeit, auch von anderen Rechnern im LAN PPPoE-Verbindungen aufzubauen, ist allerdings problematisch. Das würde es Dialern erlauben, unbemerkt teure Verbindungen aufzubauen. Insofern wäre ein dedizierter Modem-Port an der Fritzbox schon sinnvoll.

Grundsätzlich hast Du aber natürlich Recht damit, dass das physische Trennen von LAN und WAN-Port eigentlich unnütz ist und obendrein oft auch nur oberflächlich so erscheint. Im Linksys WRT54G(S/L) sitzt z.B. ein konfigurierbarer 6-Port-Switch, von dem ein Port mit dem Prozessor, vier mit LAN-Buchsen und einer mit einer WAN-Buchse verbunden ist. Die Trennung findet dann anschließend durch logische Interfaces und iptables statt. Im Gegensatz zur Fritzbox kann man dabei aber genau nachlesen, was passiert. Ich wünsche mir bei der Fritzbox oft, dass der Expertenmodus mehr seinem Namen gerecht wird und die verschiedenen Optionen auch tatsächlich nach ihrer Funktion und nicht nur nach deren Effekt bennt. Ansonsten werde ich unsicher, und das ist vermutlich genau das Gegenteil davon, was AVM mit diesen Umschreibungen erreichen wollte.
 
Also ein PPPOE Filter macht IMHO keinen Sinn, da man entweder die PPPOE Pakete auf die LAN Ports gibt oder nicht.
Diese Option ist für mich ein Rätsel.
Möglicherweise verhindert es, das Pakete von höheren Protokollschichten über das If Interface des DSL Modems rausgehen, ohne IP sollte das aber sowieso nicht funktionieren. Schaden kann es aber nicht, wenn man alles auser PPOE Pakete auf dem Modem blockiert.

Wenn die Fritz Box nicht als PPPOE end Point arbeitet, kann sie für die Sicherheit nach Außen IMHO nix anderes machen.

PPPOE Pakete werden nur auf der Hardwarelayer also auf Ethernetebene Transportiert, da kann nicht plötzlich irgend eine andere Protokollschicht wie TCP IP raus oder reinkommen, ohne die PPPOE Verbindung aufzubauen.

Das mit den Dialern ist so ne Sache, ich bin mir da nicht so ganz sicher, ob man über DSL überhaupt so was wie Mehrwertdienste anbieten kann.
Persöhnlich ist mir das bisher noch nicht untergekommen, die Standarddialer incl. Trojaner Payload habe ich hingegen schon von unzähligen Rechnern geputzt.
 
Dialer funktionieren mit DSL nicht. Das liegt am Prinzip der DSL-Technik: Da man seine "eigene Leitung" hat und sich mit seinen persönlichen Anmeldedaten dort anmeldet wär es sogar völlig egal, wenn noch 10 Dialer mit Fremdaccount-Daten im Netzwerk eine PPPoE Verbindung aufbauen würden, da alles über diesen fremden Account abgerechnet würde. Der Dialer müsste schon deine persönlichen Anmeldeinformationen haben, um sich mehrfach auf deine Kosten einwählen zu können. Das simple Benutzen von mehreren DSL-Accounts über eine DSL-Leitung an sich erhöht nämlich nicht die Kosten für den DSL-Anschluss an sich.
Das alte, simple Prinzip einfach eine 0190 Nummer zu wählen, die dann auf deine Rechnung gebucht wird funktioniert also nicht.
 
Ich hatte vor einiger Zeit einmal von DSL-Dialern gehört, und ungefähr zu der Zeit auch von DSL-by-Call-Angeboten erfahren. Deshalb hatte ich fälschlicher Weise angenommen, erstere würden die Technik von letzteren benutzen. In der Wikipedia habe ich nun nachgelesen, wie es statt dessen funktioniert:

Es gibt auch so genannte DSL-Dialer. Allerdings ist diese Bezeichnung nicht ganz korrekt. Es lassen sich per DSL keine 0190/0900-Gebühren abrechnen. Deswegen muss man mit seinem Telefon eine 0900-Rufnummer wählen, um ein bestimmtes Angebot in Anspruch nehmen zu können. Solange diese Verbindung besteht, kann der Kunde ein kostenpflichtiges Internet-Angebot besuchen. Wenn man dann den Hörer auflegt, wird das Angebot, z. B. eine Website, nicht länger zur Verfügung gestellt.

DSL-by-Call-Angebote wiederum funktionieren nur mit vorheriger Anmeldung, da eine Abrechnung, so, wie Du sagst, nicht über die DSL-Rechung gemacht werden kann.

Generell können Ethernet-Pakete aus dem LAN meines Wissens aber schon über eine DSL-Leitung bis in die Vermittlungsstelle gelangen. Früher, als es noch so gut wie keine Router für private Zwecke gab, musste man bekanntlich einen Rechner direkt ans DSL-Modem anschließen. Weitere Rechner ließen sich dann über das in Windows eingebaute Internet Connection Sharing versorgen. Einige Leute haben versucht, eine zweite Netzwerkkarte zu sparen, indem sie das DSL-Modem an den Hub ihres LANs angeschlossen haben und die PPPoE-Verbindung dann über das LAN hergestellt haben. Der Hub hat jedoch den gesamten Ethernetverkehr, unabhängig von der Paketart an alle Teilnehmer und somit auch das DSL-Modem weitergeleitet, und auch dieses leitet doch nur blind Ethernetpakete an die Vermittlungsstelle weiter und umgekehrt. Dadurch landet der persönliche LAN-Verkehr natürlich nicht im Internet, aber am Port in der Vermittlungsstelle müssten er schon abgreifbar sein.
 
Bei einem Switch sicherlich nicht, da dieser ja lernt, wo welches Paket hin muss.
Natürlich kann man die Mac Table vergiften, aber das erfordert Zugang zum Vermittlungsrechner, welcher inzwischen wohl nicht mehr so leicht möglich sein sollte, wie vor wenigen Jahren noch.
Damals hatte die Tkom wohl keine lust, die Systeme ordentlich zu konfigurieren, daher waren da etliche eine leichte Beute für die Cracks.

Möglicherweise tut die FBF das aber berücksichtigen und lässt nur pppoe Frames durch, ich denke das sollte nicht so schwierig sein.
 
Nun aber mal wieder zurück zum Thema: Lässt sich die Veränderung der ar7.cfg umgehen? Ich würde in Zukunft gern all meine Änderungen auf einen USB-Stick auslagern (siehe hier), damit ich einen unmodifizierten Zustand habe, sobald der Stick abgezogen wird (abgesehen von einem kleinen Script in der debug.cfg, das prüft, ob der Stick angeschlossen ist und ggf. ein Startscript von diesem startet). Das ist sicherer und auch praktischer bei einem Firmware-Update.
 
Es könnte möglich sein, diesen Eintrag:

Code:
- servercfg {
        hostname = "(none)";
        dns1 = 192.168.180.1;
        dns2 = 192.168.180.2;
}

+ servercfg {
        hostname = "(none)";
        dns1 = 192.168.0.1;
        dns2 = 192.168.0.1;
}

durch einen "echo nameserver 192.168.0.1>>/etc/resolv.conf" Eintrag zu ersetzen, allerdings weiß ich nicht, ob das beim Booten wieder gelöscht wird.


Ob ein Ersetzen von

Code:
- wan_bridge_gateway = 0.0.0.0;
+ wan_bridge_gateway = 192.168.0.1;

irgendwie möglich ist weiß ich nicht, ich kann dir nur sagen, dass dieser Eintrag UND das "route add default gw 192.168.0.1" in der debug.cfg nötig ist, die beiden Einträge einzeln haben bei mir nicht das nötige Ergebnis erzielt. Du darfst aber gerne rumtüfteln, ich kenne mich mit der Auslagerung auf den USB-Stick nicht aus, weshalb du spezifische Fragen dazu wohl besser in dem betreffenden Thread stellen solltest.
 
Hallo zusammen,

Ich würde über die Fritzbox 7270 gerne eine VPN-Verbindung herstellen, obwohl sie als Modem arbeitet, was ja im Grunde die gleiche Problemstellung ist.

Ist es hier nun nach Änderung der entsprechenden Dateien möglich, die Einstellungen per Webinterface vorzunehmen?

Gibt es inzwischen eigentlich einen einfacheren Weg dieses Ergebnis zu erreichen?

Viele Grüße
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.