Kann das sein? Remote-Konfiguration der 7360 verhindert Firmware-Upgrade?

spixx

Neuer User
Mitglied seit
16 Dez 2012
Beiträge
49
Punkte für Reaktionen
0
Punkte
0
Hi,

bisher betrieb ich an einem O2-Alice-DSL eine 7390 mit 6.01 firmware zu meiner Zufriedenheit.
Jetzt gab es aber in meiner Ortschaft das Angebot eines Betreibers mit 50 MBit UL / 5 MBit DL. Da habe ich dann gleich zugeschlagen. Zuerst hieß es noch eine 7390 sei mit dabei, jetzt ist es aber eine 7360 geworden. Allerdings mit der hoffnungslos veralteten 05.50 Firmware. Damit funktionieren meine ganze Repeater nicht mehr richtig, die Zeitprofile gibts nicht mehr usw und so fort.

Bei der Inbetriebnahme des 7360 kam es schon zu Problemen, da ich die 7360 gleich so weit konfiguriert hatte, dass ich eigentlich plug-and-play hätte machen können (IP-Bereich gesetzt, VPN eingerichtet, Namen und WLAN-Passwort gesetzt, etc.).
Aber das ist der 7360 wohl aufgestoßen. Nach einem ersten Start und einigen weiteren Restarts war das System auf Grundeinstellung zurückgestellt. Da wurde komplett ein Image drüber gebügelt oder aber auf Werkseinstellungen zurückgesetzt. Ich habe dann auch gesehen, dass im Menü "Internet | Zugangsdaten" der Reiter "Anbieter-Dienste" vorhanden ist. Darin sind dann beide Punkte: "Automatische Einrichtung durch den Dienstanbieter zulassen" und "Automatische Updates zulassen" aktiviert. Grundsätzlich gefällt mir das schon mal nicht, dass da irgendjemand auf dem System so rumfummeln kann. Ich habe dann wieder eingerichtet, die Internetverbindung wollte zwar aber bei der Telefonie ging gar nichts mehr.
Die Hotline des Anbieters meinte dann auch, dass da wohl irgendwas schief gegangen sei beim ersten Einrichten. Das System wurde dann "zurückgesetzt" (vom Anbieter aus" und ist dann ein paar Mal neu gestartet. Und irgendwann ging's dann.

Auf meine Frage, ob ich auf die 6.01 upgraden kann, wurde mir gesagt, dass das bisher noch keine "freigegebene Firmware" sei, also von meinem Anbieter aus. Das hört sich nicht gut an. Denn das würde ja bedeuten, dass ich immer warten muß, bis die irgendetwas evaluiert haben, damit sie es freigeben und dann installieren.

Jetzt habe ich ein paar Fragen zu diesem Gesamtthema:
  1. Was genau passiert denn bei diesem "Automatische Einrichtung" bzw. "Automatisches Update". Also ich meine wie wird das von außen angestoßen? Läuft da ein spezielles Protokoll über die Internetverbindung (SNMP oder ähnlich)? Können die prinzipiell einfach so auf meine Kiste drauf und rumschrauben?
  2. Wie kann denn die Firmware der FritzBox mit dem Anbieter zusammenhängen? Die stellen auf DSL-Basis eine Internetverbindung zur Verfügung. Was kann/muß da adaptiert werden, damit nur ganz bestimmte Firmware-Versionen der FritzBox passen könnten?
  3. Sind irgendwelche Anbieter bekannt, die auch derart verfahren?
Wäre toll wenn ihr mir ein paar Infos geben könntet.
Danke im voraus.
 
Zuletzt bearbeitet:
TR-069 gibt es inzwischen bei vielen Anbietern, z.B auch o2, und steht sicher in den AGB des Anbieters drin. Dann musst du dich auch damit abfinden. Wenn du das nicht akzeptieren kannst, kannst du ja wieder zurück zu deinem O2-Alice-DSL wechseln. ;)
 
[Edit Novize: Überflüssiges Fullquote des Beitrags #3 gelöscht - siehe Foren-Regeln]

Ach du heilige Schei....
Der Sinn des Protokolls ist ja die Hölle für den Endanwender. Jetzt wird mir auch klar, warum da keine andere FritzBox dran kann (also mein 7390) zum Beispiel. Die credentials für den initialen Aufbau der Verbindung von CPE nach ACS ist gar nicht vorhanden. Und da mein Anschluß direkt auf einem Port des DSLAM liegt ist auch immer klar, wer da jetzt mit was beim ACS rein kommt.

Kann man die TR-069 credentials der CPE aus der FritzBox irgendwie herausbekommen? Einfach nur so der Interesse halber? Stehen die irgendwo in den "ar7"-Konfigurationsdaten mit drin? Ich habe die Konfiguration mal von der 7360 abgezogen und da stehen ja wirklich häßliche Sachen drin:
Code:
$ grep "069" ar7.cfg
                connections = "internet", "voip", "tr069";
        tr069_forwardrules = "tcp 0.0.0.0:8089 0.0.0.0:8089";
        tr069_ip6_forwardrules = "tcp 8089";
                name = "tr069";
                ppptarget = "tr069";
                tcclassroutes = "tr069dns", "tr069";
                name = "tr069";
        tr069discover_active = yes;
        tr069discover_without_dhcpoption = no;
        tr069discover_forced = no;
        tr069discover_vlancfg {
                name = "tr069";
                rule = "localmark sipdns,ntpdns,tr069dns,tr069";
Besonders eklig: diese "connections" liegt in der "vccs"-Sektion und diese forward-rule ins gesamte Netzwerk rein.

Okay, wie komme ich los davon? Wahrscheinlich gar nicht.
Könnte ich die 7360 als "Trampolin" benutzen? Und dahinter eben eine 7390 schalten, die dann frei in der Benutzung ist?
 
[Edit Novize: Überflüssiges Fullquote des Beitrags direkt darüber gelöscht - siehe Foren-Regeln]

Stimmt! Aber zum einen wertete ich Deine Antwort eher rhetorisch, zum anderen sprechen die DL/UL-Raten eine deutliche Sprache. Da kann ich nicht zu O2 zurück.
Deshalb zum anderen: Kaskadierung! Unter welchem Stichwort finde ich Infos dazu?

Und natürlich vielen Dank für die bisherigen Informationen.
Posting 2:
welcher Betreiber?
Oups, natürlich ist die Rate andersrum: 50 Mbit DL, 5 Mbit UL. War ein langer Tag.
 
Zuletzt bearbeitet von einem Moderator:
Wenn der Anbieter einen Fehler einräumt und diesen ja anscheinend behoben hat, solltest du nochmals auf "Start" (Werksreset) zurück.
ob deine 7390 ein branding usw. hat, konnte man post #1 nicht entnehmen, hier wäre evtl. sodann ein debranding möglich, wobei ob notwendig steht auf einem anderen Blatt.

Sobald deine F!Boxen stehen, hängst diese ans Netz und konfig. die DSL-Basis-Daten. Wenn dein Anbieter eine Autokonfig. (bei 1&1 bspw. über Startcode) anbietet spricht nichts dagegen, diesen Service zu nutzen, denn nur so wird eine fehlerfrei Einstellung garantiert.
Die Aussage mit der FW. würde ich nicht überbewerten, denn die Hotlines kennen sich teilweise nicht aus und wenn doch, sind diese eher zurückhaltend.
 
Zuletzt bearbeitet:
Danke für die Antwort. Mittlerweile habe ich die Protokollbeschreibung von TR-069 gelesen und jetzt ist mir klar, warum die von außerhalb einen Reset in die Wege leiten können. Laut c't Netze DSL fernkonfiguriert läuft das so ab:

TR-069 spezifiziert nur eine Richtung für den Verbindungsaufbau, nämlich vom CPE zu einem bestimmten ACS. Diese Aktion kann eines von fünf Ereignissen auslösen: Ein Neustart, das Laden der Werkseinstellungen, ein vom ACS gesetztes Intervall für regelmäßige Rückmeldungen (PeriodicInformInterval), eine Verbindungsaufforderung des ACS (Connection Request) sowie Änderungen von Parametern, auf die das CPE laut Maßgabe des ACS achten soll (Active Notification). Zu den Notification-Parametern gehört in der Grundeinstellung die Internet IP-Adresse. In der Praxis folgt daraus für die meisten TR069-Router, dass sie sich nach jeder Internet-Einwahl beim ACS melden – denn die weitaus meisten Geräte haben keine statische öffentliche IP-Adresse, sondern eine dynamische, die sich eben bei jeder Einwahl ändert.

Die Verbindungsaufforderung, Connection Request, ist keine vollständige TR-069-Verbindung, sondern soll lediglich das CPE veranlassen, eine solche aufzubauen. Der Connection Request setzt voraus, dass das CPE den ACS mindestens einmal kontaktiert und dabei die für den Request erforderlichen Daten übertragen hat. Das sind die aktuelle IP-Adresse, der für diesen Zweck vom CPE-Hersteller ausgewählte Port (zusammen bilden sie den Connection Request URL), ein gerätespezifischer Pfadname sowie die ACS-Credentials.
Hierbei ist ACS der Auto-Configuration-Server auf der Provider-Seite und CPE das Customer-Premise-Equipment, also das DSL-Modem auf der Kundenseite. Dieser bestellte Rückruf über ein Connection Request von der Provider-Seite öffnet natürlich alle Schranken mit dem Endgerät auf Benutzerseite alles jederzeit machen zu können.

Es ist auch nicht notwendig, wie ich anfangs dachte, dass die Firmware irgendetwas über das ACS auf Providerseite wissen müßte. Das ACS kann dem CPE über den DHCP_OFFER beim ersten Verbindungsaufbau nachdem die PPPoE-session steht die Adresse des ACS mitteilen:
ACS Discovery
The CPE WAN Management Protocol defines the following mechanisms that MAY be used by a CPE to discover the address of its associated ACS. ... As part of the IP layer auto-configuration, a DHCP server on the access network MAY be configured to include the ACS URL as a DHCP option

Das paßt mir alles nicht. Wenn ich das TR-069 so durchlese, wird mir ganz schwummerig. Da gibt's Sachen wie Vendor Specific Method, Download und Upload (!) aus CPE-Sicht, oder auch beliebiges Aufspielen neuer Firmware mit anschließendem Reboot, womöglich ohne mir Bescheidu zu geben. Hinzu kommt dass die steinalte Firmware 05.50 mächtig Probleme mit den Fritz-Repeatern zu haben scheint.

Gibt es die passable Möglichkeit eine zweite FritzBox (7390) hinter die 7360 des Providers zu hängen? Nicht als Repeater sondern voll funktionsfähig.

Ich werde jetzt auf jeden Fall erst mal den Traffic auf der DSL-Schnittstelle mitschneiden wenn die 7360 eine Verbindung aufbauen will. Mal sehen was dabei raus kommt.
 
Gibt es die passable Möglichkeit eine zweite FritzBox (7390) hinter die 7360 des Providers zu hängen? Nicht als Repeater sondern voll funktionsfähig.
Ich denke nicht, dass die zweite FB 7390 voll funktionsfähig sein wird. Du kannst das dsl-Modem der FB 7390 nicht benutzen und diese Box bekommt auch keine externe (öffentliche) IPv4-Adresse.
 
Ich werde jetzt auf jeden Fall erst mal den Traffic auf der DSL-Schnittstelle mitschneiden wenn die 7360 eine Verbindung aufbauen will. Mal sehen was dabei raus kommt.
Falls du es nicht gelesen haben solltest: Die Verbindung zum ACS ist natürlich verschlüsselt. Viel sehen wirst du also nicht, was dabei raus kommt. ;)
 
Falls du es nicht gelesen haben solltest: Die Verbindung zum ACS ist natürlich verschlüsselt. Viel sehen wirst du also nicht, was dabei raus kommt. ;)

Klar, TLS ist der Freund. Aber mich interessiert vor allem was da überhaupt so abgeht.
Und die http://fritz.box/html/capture.html bietet drei Interfaces an: Itf #0 (Internet), Itf #1 (VoIP), Itf #2 (TR-069). Da lass ich doch jetzt erstmal einen capture auf Itf #2 mitlaufen.
 
Mannomann, jetzt habe ich den VCC18:TR069 für mehr als 16 Stunden gecaptured.
Der gesamte Traffic spielt sich im private A-class 10.10.0.0/16 ab. Es fällt gleich auf, dass Hunderte von arp-requests zu sehen sind, allerdings nicht von meinem MAC-Adressen. Man kann so die MACs aller Teilnehmer im lokalen Netzwerksegment sehen (und 10.10.0.0 ist groß). Auch Wireshark's Fähigkeit die MACs bestimmter Herstellern gleich aufzulösen ist nett: Zyxel, AVM, Cisco - alles vertreten. Die AVMs sind ja klar, da die 7360 als Standard-Equipment bereitgestellt wird. Aber die anderen, da könnte man tiefer graben, wenn man wollte.

Dann allerdings kommt's faustdick, da macht meine Box über tr069 eine Verbindungs zum ACS auf und postet mal so eben die FritzBox-Daten (Version, Seriennummer, die vorhandenen Schnittstellen, die vorhandenen Server (FTP, etc.)) und dann noch über welchen IP:port-Kombination die Managementkonsole meiner FritzBox zu erreichen ist. Und das ganze als Event "2 PERIODIC", soll heißen die FritzBox wurde angewiesen diese Daten periodisch unaufgefordert an das ACS zu liefern:
Indicates that the session was established on a periodic Inform interval.
ScheduleInform
This method MAY be used by an ACS to request the CPE to schedule a one-time Inform method call
.
Großartig. Und das dem zweiten Eintrag in der capture-Datei zufolge alle 28.800 Sekunden, also alle 8 Stunden!

Jetzt werde ich mal das DSL-Kabel abklemmen, warten bis die Internet- und DSL-Verbindung weg ist, gleichzeitig das capturing mitlaufen lassen. Mal sehen, ob ich da wiederum eine TR069-Konversation mitbekomme. Im übrigen konnte ich bisher noch keine TLS-Pakete sichten - alles Klartext.
Posting 2:
Das funktioniert leider nicht. Ich habe auf Werkeinstellungen zurückgesetzt und das capturing mitlaufen lassen. Der Reset setzt aber alle Schnittstellen zurück und damit verschwindet auch die Kommunikation mit der TR-069. Erst nach dem Wiedereinspielen der Konfigurationssicherung bzw. nach dem automatischen Setup durch den Provider ist das tr-069-Interface wieder da um ge-captured zu werden. Damit ist mir der eigentlich interessante Zeitbereich, der Moment der Konfiguration durch den ACS, verborgen. Da ich jetzt keinen Netzwerk-Traffic-Analyzer habe, den ich an die DSL-Schnittstelle direkt dazwischen schalten könnte, scheint hier Endstation zu sein.
Ich werde wohl zu Plan B übergehen und die 7360 als puren Internet-/VoIP-provisioning-host einsetzen und dahinter dann meine 7390 klemmen. Dann kann der Provider mit der 7360 machen was er will.
 
Zuletzt bearbeitet von einem Moderator:
Vielen Dank für den ausführlichen Bericht. Das Kommunikationsaufkommen über die TR-069-Schnittstelle hat mich schon etwas "irritiert" (nein ich bin nicht paranoid). Ich habe eine ähnlich Konstellation mit einer Kabelbox und erwäge eine ähnliche Vorgehensweise. Ich möchte meine 6360 nur noch als Providerschnittstelle (Internet/Telefonie) benutzen und mein Netzwerk über eine eigenen Router unter meiner "Administration" verwalten. Mein Provider stellt mir da sogar eine geeignete Schnittstelle zur Verfügung, indem ich einen LAN-Anschluss als Bridge betreiben kann. Die Alternative dazu würde "exposed Host" heißen. Das würde ich aber gern wegen vermehrten Problemen mit doppeltem NAT vermeiden.

Hintergrund dieser Maßnahme ist, ein missglücktes providergesteuertes Firmwareupdate meiner Box. Nachdem remote eine neue FW (OS6) eingspielt wurde (bei der dankenswerter Weise meine Konfiguration erhalten blieb), war die eingehende Telefonie nur halbseitig möglich. Ich konnte die Anrufer nicht hören und musste immer zurückrufen. Es foglen mehrere Tage Fehlersuche seitens des Providers. Nach einigem Hin- und Her wurde meine Box dann wieder mit der alten Firmware (OS05.50) durch den Provider versehen (als Kunde hat man dort keine Möglichkeiten, was ja Gegenstand dieses Threads ist). Leider wurde durch dieses Downgrade auch ein Werksreset durchgeführt. Meine Telefonie funktionierte danach wieder problemlos, aber meine Netzwerkeinstellungen, VPN u.ä. waren natürlich weg. Ein Wiedereinspielen einer Datensicherung (aus der OS6, weil eine vorhergehende aus 05.50 schon etwas älter war) brachte nicht den gewünschten Erfolg (VPN nicht funktionsfähig). Zum Glück hatte ich die originalen cfg noch und konnte das reparieren. Ich konnte leider vor dem Upgrade auf OS6 keine Datensicherung ziehen, weil dieses ja unangekündigt ohne mein Zutun gemacht wurde. So ein Trouble will ich zukünftig vermeiden. Die eigentlich recht leistungsfähige 6360 verkommt dann zur reinen Providerschnittstelle (wie früher ein NTBA). Ich schwanke noch zwischen einer 7390 oder deren Nachfolger 7490. Die 6360 kommt dann in meinen "Serverschrank" im Keller.

Gruß Telefonmännchen
 
Demnach müsstest du in Öhningen oder Umgebung wohnen. Eine Idee wäre die Zugangsdaten aus der 7360 auszulesen und in die 7390 manuell einzutragen, ggf. die ar7.cfg weitgehend zu modifizieren falls bestimmte VLAN ID´s genutzt werden. Falls dies immer noch nicht funktioniert, dann werden die Stadtwerke KN evtl. die Box anhand der MAC Adresse identifizieren. Du kannst versuchen die MAC für das DSL Interface auch manuell einzutragen, weiß aber nicht ob dies funktioniert. Ansonsten wird das MAC Klonen etwas schwierig und ist mit Risiken (Briefbeschwerer) verbunden. Viel Erfolg.
Es kann gut sein das der Provider den Firmware-Update Prozess sperrt indem die Hardwarekennung der Box angepasst wird. Selbe auch wie bei der Fritzbox 7570, aka Speedport W920V und Fritzbox 7570 HN (Alice). Diese Router (und noch viele andere) haben alle eine andere Hardware ID, sind aber Baugleich.

Mfg Igi

PS. Gut zu wissen das es einen neuen Provider mit Routerzwang gibt.
 
Es kann gut sein das der Provider den Firmware-Update Prozess sperrt indem die Hardwarekennung der Box angepasst wird.
Ich gehe fest davon aus, dass in der Box "provider=additive" im Environment eingetragen ist, genauso wie das zurzeit auch bei der Fritzbox 7360 von M-net gehandhabt wird. Fußnote: Der Betrieb des Anschlusses ist technisch bedingt nur mit von M-net bereitgestellten Endgeräten möglich.
 
Yep,
Code:
# cat /proc/sys/urlader/environment | grep provider
provider        additive
In der Tat wie im angegeben Thread erwähnt:
Nun zurück zu provider additive. Kleinere Provider werden nicht in alle auf dem Markt befindlichen Boxen eingepflegt. Statt dessen wird neben den tr069 Einträgen im Urlader Environemtn noch der Eintrag "provider" hinterlegt mit dem Wert "additive". Dieser Aufruf veranlasst die entsprechende Box unter /var/flash/provideraddtive.tar die jeweils für den Anbieter hinterlegten Konfigurationsdateien abzurufen und umzusetzen.
Code:
# cd /var/flash
# find . | grep -i provider
./provideradditive.tar
# tar tvf provideradditive.tar 
drwxr-xr-x root/root         0 1970-01-01 01:00:42 provider_additive/
-rw-r--r-- root/root      2401 1970-01-01 01:00:49 provider_additive/ar7.cfg
Und diese ar7.cfg enthält dann auch die tr069-Konfiguration:
Code:
ar7cfg {
        mode = dsldmode_router;
        active_provider = "Stadtwerke Konstanz GmbH";
        active_name = "Stadtwerke Konstanz GmbH";
        ipv6mode = ipv6_cable;
        ipv4mode = ipv4_normal;
        vccs {
                VPI = 1;
                VCI = 60;
                dsl_encap = dslencap_ether;
                connections = "internet";
        }
        dslglobalconfig {
                autodetect = no;

        }
        tr069discover_active = yes;
}
Und natürlich sind die Zugriffsdaten auch nicht weit:
Code:
# cat /proc/sys/urlader/environment | grep tr069
tr069_passphrase        Q.........N
tr069_serial    1..........0
Super! :keule:
Posting 2:
[Edit Novize: Überflüssiges Fullquote des Beitrags #17 gelöscht - siehe
Foren-Regeln]

@Igi2003:
Stimmt, die Stadtwerke KN benutzen Öhningen quasi als Feldversuch. Die Werbung war auch, dass eine "hochwertige FritzBox" mitgeliefert wird. Bei den Präsentationen stand da aber immer eine 7390 und erst im Kleingedruckten habe ich jetzt gefunden, dass es auch ein anderes Modell sein kann.

Ich befürchte, da die FritzBox alle naselang (3 x am Tag) einen Bericht an das ACS gibt, dass hier entweder direkt auf die AVM-Seriennummer oder die MAC-Adresse abgestellt wird.

Vielleicht mache ich noch den Versuch und stelle die 7390 entsprechend ein. Nur will ich eigentlich nur die Zugangsdaten für Internet und VoIP eintragen und keinen TR-069-Zugriff erlauben. Ob dieser funktionieren würde ist ja nach meinen ersten Erlebnissen sowieso fraglich.

So wie es jetzt ist, will ich es auf gar keinen Fall weitermachen.
Ich sehe diese FritzBox-Kombination aus User-Equipment (NAS, WLAN, INFO-mail (mit passworten, etc.), etc.) und CPE für den Provider sehr kritisch. Wäre das ganze nur eine blackbox, aus der ein RJ-45 Stecker rein geht (DSL) und einer raus zeigt (LAN) und diese Box einfach als DSL-Router auftreten würde, dann wäre das ganze nicht so kritisch. Dann würde ich ein pfSense dahinter hängen und die Sache wäre geritzt. Aber so, alles eine Kiste mit so schönen Sachen wie Konfiguration (Lesen/Setzen von Parametern) und Voucher (Installation von Diensten) über TR-069 gefällt mir das gar nicht.

Aber die Bandbreite ist klasse: 50 Mbit DL / 5 Mbit UL sind eine Bank; toller Störabstand; geringste Dämpfung - das passt schon.
 
Zuletzt bearbeitet von einem Moderator:
Ok, vielleicht bin ich nicht auf den neuesten Stand da ich T-Online als Provider habe und dieser in der Hinsicht unproblematisch ist. Aber es ist ja möglich die Zugangsdaten entschlüsselt auszulesen aus der ar7.cfg und voip.cfg. Was würde passieren wenn man diese dann einfach in die 7390 einträgt und von vorne rein TR069 deaktiviert lässt. Sollte m.M.n. kein Problem darstellen.
Natürlich noch den Rest händisch anpassen VPI/VCI Werte, VLAN, usw... evtl. DSL Mac Adresse.

Mfg
 
[Edit Novize: Überflüssiges Fullquote des Beitrags direkt darüber gelöscht - siehe Foren-Regeln]
Okay, allcfgconv ist unser Freund.
Wäre es dann sinnvoller alle Einstellungen direct in der ar7.cfg zu machen (und die 7360 als Vorlage hernehmen)? Oder schon über die Web-Oberfläche konfigurieren?
 
spixx, es wäre schön, wenn Du so langsam mal die abgenickten und hoffentlich gelesenen Forenregeln verinnerlichst und anwendest.
Weder diese dauernden Fullquotes sind in unserem Interesse (in einer realen Diskussion plapperst Du ja Deinem Vorredner nicht auch alles nach, um erst danach darauf einzugehen) noch die Schiebepostings - extra dafür gibt es die Funktion Beitrag bearbeiten.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.