[Problem] 7170: arbeitet MSS Clamping bei VLAN tagging an ADSL korrekt?

[mortimar]

Kann es sein, dass die FB 7170 in ihrem MSS Clamping-Verfahren die zusätzlichen 4 Byte für VLAN tagging nicht berücksichtigt, welches jetzt auch an ADSL Anschlüssen verlangt wird?

Wenn dem so ist, kann Freetz das korrigieren?

Hintergrund/Problem:
- FritzBox mit Internet verbunden via LAN1 an Easybox als Modem (nur DSL passthrough), VoIP funktionert rein wie raus via FB aber
- gefühlt alle Internetseiten funktionieren nicht oder sehr langsam
-- getestet mit 2 Windows Laptops (IE, Firefox, Chrome); 2 Android Geräten

Workaround:
Änderung der MTU an den Endgeräten auf 1488. Leider kann ich die MTU nicht an alles Endgeräten ändern.
Der Workaround hat sich aus diesem Thread ergeben aber um die Ursache zu ergründen und hoffentlich zu beseitigen, welche ich im MSS Clamping Verfahren der FB 7170 vermute, habe ich das Thema hier eröffnet.

 

[meiser79]

Freetz kann das nicht korrigieren, da sich der Fehler bestimmt im Closed-Source-Daemon dsld befindet, wenn Deine Vermutung stimmt.

 

[mortimar]

Hallo Zusammen,

ich habe mal im Freetz Devel Pfad (/freetz-devel/source/kernel/ref-ohio-04.87/linux-2.6.13.1/net/ipv4/netfilter/) geschaut und
ein paar Dateien gefunden, die anscheinend genau mit MSS Clamping zu tun haben:

• ipt_TCPMSS.c
  
• ipt_tcpmss.o
• ipt_TCPMSS.ko
• ipt_tcpmss.mod.c
• ipt_TCPMSS.mod.o

Erstere finde ich ganz verheisungsvoll, denn
"This is a module which is used for setting the MSS option in TCP packets."

Vielleicht kann ja einer der Freetz-Programmierer einmal in diese Richtung schauen, ob hier eine Anpassung möglich wäre.

 

[meiser79]

Trotz Deiner Recherchen gilt meine Antwort weiterhin.

 

[PeterPawn]

Ich stelle jetzt mal die These auf, daß jeder "Freetz-Programmierer" einigermaßen unverantwortlich handelt, der es einem "Freetz-Benutzer" weiterhin ermöglicht, eine FRITZ!Box 7170 (und sogar deren Nachfolgemodell) direkt als Edge-Router zu betreiben.

Irgendwann muß man dann auch mal akzeptieren, daß ein Gerät tatsächlich "alt" ist und nicht mehr mit aktueller Firmware versorgt wird.

Im Gegensatz zu anderen Projekten wie OpenWRT und dessen Ablegern, handelt es sich bei Freetz ja auch nicht um eine komplett neue Firmware, mit der so ein Gerät dann auch wieder sicher betrieben werden könnte ... nein, hier werden bekannte (und in neueren Versionen lange behobene) Probleme in AVM-(Closed Source-)Komponenten weiterhin mit durch die Gegend geschleppt und wenn am Ende tatsächlich ein Benutzer so eines Freetz-Images "gehackt" werden sollte (und sich nicht nur solchermaßen legen kann), dann wäre ich extrem erstaunt, wenn er auch zu einer differenzierten Betrachtung der Ursachen in der Lage ist und nicht einfach die Schuld beim Freetz-Projekt sucht, welches ja immer noch das Modifizieren uralter AVM-Firmware voller Security-Bugs ermöglicht.

Vielleicht sollte man auch einfach bei den "stable"-Versionen noch einen Hinweis "nachrüsten", daß es eben keine wirklich gute Idee ist, so alte Firmware-Versionen (soweit sie von den "stable"-Zweigen unterstützt werden) überhaupt noch zu verwenden.

Eine 7270v2/v3 mag noch als kaskadierter Router (aber auch nicht mehr als "exposed host" in einem solchen Szenario) einige Dienste bereitstellen können ... bei einer 7170 werde ich da schon extrem skeptisch, wenn es um irgendetwas anderes als Telefonie (als ATA o.ä.) geht. Es findet sich sicherlich auch immer irgendein legitimer Einsatzzweck ... aber so eine alte Box sollte nicht nur zum Internet hin abgeschottet sein, sondern auch zum LAN über eine ausreichende Abgrenzung verfügen. Eine, per SIP-Paket übernommene, 7170 im internen Netz ist auch nicht besser als irgendein beliebiges, ranziges IoT-Gadget ... und so ein SIP-Paket ist (bei unpassender Konfiguration) schneller in der Box (selbst als ATA) gelandet, als es sich der "gemeine Nutzer" träumen läßt.

Hier haben eben viele den eigentlichen Zusammenhang zwischen AVM-Firmware und Freetz nicht weit genug verstanden, um die Konsequenzen abschätzen zu können ... auch Freetz kann aus einer Box mit einer Lücke im "(k)dsld" keinen DSL-Router ohne diese Lücke machen.

 

[mortimar]

Hallo Whoopie, PeterPawn aber auch alle anderen Leser.

@Whoopie @PeterPawn: Es fällt mir schwer Euren Antworten etwas positives abzugewinnen, da diese auch nicht mehr als "Vermutungen" zu sein scheinen, siehe nachfolgende Äusserungen.

Freetz kann das nicht korrigieren, da sich der Fehler bestimmt im Closed-Source-Daemon dsld befindet, wenn Deine Vermutung stimmt.

... bei einer 7170 werde ich da schon extrem skeptisch, ...

Ich habe auch nichts gelesen,
- dass meine Vermutung zum Kern des Problems widerlegt wurde, mit "das funktioniert nicht, weil ..." zum Beispiel, dann hätte ich auch noch etwas gelernt
- was die Behauptung unterstützt, dass die 7170 mit " ... uralter AVM-Firmware voller Security-Bugs ..." läuft

Das Freetz AVMs closed Source nicht ändert, ist mir bewußt!
Für mich ist der Einsatz der 7170 immer noch legitim, da ich die 3 analogen Telefonausgänge bisher von keinem anderen Modell kenne,
diese aber gebraucht werden und wegen baulicher Gegebenheiten nicht mit DECT überbrückt werden können. (Bitte jetzt nicht über die Risiken von DECT Verbindungen schreiben.)

Meine Bitte, hier mit fundierten Antworten beizutragen und nicht nur wegen des Kommentars willen, dann, so denke ich, haben alle etwas davon. Danke

 

[KunterBunter]

Ich habe auch nichts gelesen, ...
- was die Behauptung unterstützt, dass die 7170 mit " ... uralter AVM-Firmware voller Security-Bugs ..." läuft

Die letzte Firmware der Fritzbox 7170 ist Version 29.04.88 vom 10. Februar 2014.
Seitdem: Sicherheitsinfos zu Updates

Das ist noch nicht einmal alles:

• Ein von P. Hämmerlein gemeldeter Punkt wird zu einem späteren Zeitpunkt veröffentlicht.

 

[PeterPawn]

@mortimar:
Wieso sollte man hier auch noch alle von AVM seit der 04.88 für die 7170 behobenen Sicherheitslücken erneut aufzählen? Schon die "offizielle" Liste bei AVM startet erst mit 06.20, wenn ich mich richtig erinnere und auch zwischen dieser 06.20 und der letzten Version für die 7170 (04.88) ist genug Zeit vergangen.

Anfang 2014 wurden keine anderen Lücken als die - direkt von außen oder über XSS zu nutzende - "webcm"-Problematik geschlossen (jedenfalls sind keine anderen Fixes zu sehen, wenn man die Versionen vergleicht) - das "Datum" dieser Firmware sollte also nicht mit der Versionsnummer verwechselt werden.

Einige der inzwischen von AVM behobenen (neueren) Lücken kannst Du Dir in meinem YourFritz-Repository ansehen, andere unterliegen (auch weiterhin) Stillschweigen und sind trotzdem in älteren Versionen nicht gefixt.

Daher auch meine (zusätzliche) Warnung vor der 7270v2/v3 ... auch die dort noch einmal nachgeschobene Version 06.06 vom Sept. 2015 korrigierte m.W. (und hier bin ich absichtlich genauso unbestimmt, wie es AVM in der "info.txt" jeweils ist) lediglich das Problem, daß plötzlich und unerwartet (man könnte auch schreiben: nach langer Ankündigung und Anlaufphase) die wichtigsten Browser keine RC4-basierte Verschlüsselung mehr akzeptieren wollten (was aber AVM erst im Herbst 2013 als einzige funktionierende Versionen in alle Firmware-Versionen eingebaut hatte). Andere Lücken, die zu dieser Zeit in 06.20 bis 06.30 bereits geschlossen waren, sind dort weiterhin präsent.