[7270] Zugriff auf Fernwartung -> Reboot

[make]

Hallo Leute,

ich habe folgendes, reproduzierbare Problem mit meiner Box. Mit der ungeänderten AVM-Firmware 10264 funktioniert der Fernzugriff von aussen über HTTPS ohne Probleme.
Sobald ich allerdings eine Freetz-Version auf Basis von 10264 baue und auf die Box spiele, rebootet die Box beim Fernzugriff von aussen. Das letzte was ich sehe, ist die Zertifikatswarnung, die Passwort-Abfrage kommt schon nicht mehr.

Ich hab schon verschiedene Pakete und Patches rausgenommen, aber bisher hab ich noch keine Kombination aus Freetz und 10264 gefunden, in der der Fernzugriff _nicht_ zum Reboot führt. Zuletzt hab ich das heute morgen versucht, müsste Revision 1928 gewesen sein.

Im Console-Log sehe ich unmittelbar bevor ich rausfliege noch eine Meldung vom AVM_WATCHDOG, da im Moment kein Zugriff auf die Box vorhanden ist.

Bin ich der einzige, bei dem dieses Problem auftritt? Was kann ich machen, um dem Verursacher auf die Schliche zu kommen?

-- make

 

[olistudent]

Ich würde auf Probleme mit der Openssl-Lib tippen. Die Meldung vom Watchdog wäre interessant.

MfG Oliver

 

[make]

Könnte sein, openssl ist im moment definitiv Teil der FW. Ich bau heute abend nochmal eine FW ohne openssl und die Packages die davon abhängen.

 

[hermann72pb]

Wenn ich mich richtig erinnere, wird aktuell AVM-libssl rausgepatcht. Stattdessen kommt einen wrapper, der dann die Anfragen an OpenSSL weiterleitet. Es war aber möglich irgendwo in tiefsten Ecken von menuconfig dieses Verhalten abzuwählen und beide SSL-Bibliotheken in der Firmware lassen. Firmware wird dadurch etwas größer, dafür benutzen aber alle AVM-Aufrufe die eigene avmlibssl und die von freetz die OpenSSL.

Sonst weiß ich nicht, ob du HTTPS überhaupt ohne OpenSSL.lib realisieren kannst.

MfG

 

[RalfFriedl]

Libcrypto und libssl sind zusammen über 1MB groß, da reicht der Platz nicht, um beide Versionen in der Firmware zu lassen.

AVM hat aus unerforschlichen Gründen einige Änderungen an den Libraries gemacht. Der Wrapper versucht, mit diesen Änderungen kompatibel zu sein, aber da weder die gründe noch die genauen Änderungen bekannt sind, ist das schwierig.

 

[Shamish]

das gleiche habe ich bei der 7170 momentan auch

 

[make]

Der Tipp mit OpenSSL war gut. Nach dem ich die Fehlermeldung nochmal ausgelöst habe und im Syslog dann auch noch weitere Infos gefunden habe (s.u.) habe ich eine neue Firmware ohne stunnel und ohne wget mit SSL-Unterstützung gebaut. OpenVPN statisch gelinkt und nun geht der Fernzugriff auch mit bzw. trotz Freetz. Danke für die Hilfe!

Hier noch die Konsole-Meldung ...

AVM_WATCHDOG_ungraceful_release: handle 2 (ctlmgr) still registered!

... und aus dem Syslog in etwa zeitgleich der SegFault in libcrypto.so:

Feb 27 21:21:57 fritz user.err ctlmgr[479]: 21:21:57(1) [Segmentation fault] ctlmgr(479) CRASHED at MD5_Update+0xa4 (/usr/lib/libcrypto.so.0.9.8 at 00036b18) accessing (null)
Feb 27 21:21:57 fritz user.err ctlmgr[479]: ze: 00000000 at: 00000001 v0: 569c7f28 v1: 00000000
Feb 27 21:21:57 fritz user.err ctlmgr[479]: a0: 2b4a3df0 a1: 2b4a3e3d a2: 0ad28f7c a3: 00000000
Feb 27 21:21:57 fritz user.err ctlmgr[479]: t0: 00000060 t1: 00000060 t2: 80bb14c8 t3: 2b56fba8
Feb 27 21:21:57 fritz user.err ctlmgr[479]: t4: 000003ba t5: 0000021e t6: 00000426 t7: 00041519
Feb 27 21:21:57 fritz user.err ctlmgr[479]: s0: 7fa96c80 s1: 0000004d s2: 7fa96ad8 s3: 2b544006
Feb 27 21:21:57 fritz user.err ctlmgr[479]: s4: 00000020 s5: 2b524138 s6: 2b537824 s7: 00000030
Feb 27 21:21:57 fritz user.err ctlmgr[479]: t8: 0000001f t9: 2b456a74 k0: 00000005 k1: 00000000
Feb 27 21:21:57 fritz user.err ctlmgr[479]: gp: 2b5379d0 sp: 7fa96978 fp: 2b3f381c ra: 2b3f38fc
Feb 27 21:21:57 fritz user.err ctlmgr[479]: [bt] Number of functions: 0
Feb 27 21:21:57 fritz user.err ctlmgr[479]: Code: 30830003  00061080  00551021 <1060000a> 8c440018  24020001  10620009  24020002  1062000b

 

[matze1985]

Wenn du sowieso stunnel im image hattest, kannst du dir den Fernzugriff auch selber damit bastlen, dann kommt es nicht zu Problemen mit AVM's stuff.

 

[olistudent]

Der Fernzugriff funktioniert bei mir mit den Openssl-Libs aus Freetz, wenn ich zusätzlich im menuconfig die libavmhmac ersetze.

Advanced Options->Shared Libraries->Crypto & SSL

MfG Oliver

 

[han-solo]

Ähnliches Problem habe ich beim outsourcen von OpenVPN für meine 7050.
Die Box bootet nicht hoch. Auch nicht wenn ich libavmhmac drinne lasse.

Einer ne Idee?

Gruß
HS

 

[olistudent]

Die libavmhmac braucht wohl die SSL-Libs. Wobei die 7050 im Original gar keine SSL-Libs hat oder?

MfG Oliver

 

[make]

Der Fernzugriff funktioniert bei mir mit den Openssl-Libs aus Freetz, wenn ich zusätzlich im menuconfig die libavmhmac ersetze.

Danke, werde ich gleich mal ausprobieren.

Welche (bekannten) Seiteneffekte gibt es durch das Ersetzen? TR069 fällt mir ein, benutze ich aber sowieso nicht. Das AVM-eigene VPN ist für die 7270 nicht verfügbar, macht also auch nichts.

Wie sieht es mit dem Durchsatz aus - hat das mal jemand auf einer 7170 - mit und ohne libavmhmac - verglichen? Wann spielt die libavmhmac noch eine Rolle? Könnte man das mit ldd und/oder ida analysieren?

UPDATE:
In der neuen Labor Firmware (10393) ist VPN für die 7270 freigeschaltet. Ich könnte mich also mal an einen Vergleich wagen, nachdem Freetz aktualisiert wurde. Montag oder so.

 

[hermann72pb]

Welche (bekannten) Seiteneffekte gibt es durch das Ersetzen?

Das, was han-solo erwähnt ist wahr. Sobald du die ssl-libs outsoursest und den wrapper im Image hast, der auf avm-libs verweist, wird dir eine 7050-box beim booten hängen bleiben.
Grund: Die box greift aus unbekannten Gründen relativ früh schon beim DSL-connect auf diese AVM-eigene-ssl-Libs. Es ist wohl irgendein Überbleibser der tr069-Geschichte. Und wenn die LIBs erst nachher nachgeladen werden (der Fall von han-solo und von mir), dann zeigt der Wrapper ins Leere.

Wie Ralf schon schreibt, versucht der Wrapper maximal alles nachzubilden, was man nachbilden kann. Aber man weiß ja nicht was AVM sich da alles noch ausdenkt...

....Wie sieht es mit dem Durchsatz aus - hat das mal jemand auf einer 7170 - mit und ohne libavmhmac - verglichen? Wann spielt die libavmhmac noch eine Rolle? Könnte man das mit ldd und/oder ida analysieren?

Du willst ja eine richtige Studie haben... Das können wir dir hier nicht liefern. Wie wäre es, wenn du es selbst anpackst und uns nachher hier deine Ergebnisse präsentierst?

MfG

 

[make]

Du willst ja eine richtige Studie haben... Das können wir dir hier nicht liefern.

Nee, keine Studie. Aber: Wer nicht fragt, bleibt dumm. Ich wollte wissen, mit welchen Seiteneffekten ich rechnen muss und hab halt überlegt, welche Seiteneffekte mir so einfallen -- Performanceänderungen und verminderte Funktionialität. Um selber Änderungen am Durchsatz messen zu können, muss ich erstmal wissen, wo die Lib überhaupt eine Rolle spielt. Da führt doch die eine Frage zur nächsten.
Und hinsichtlich der Stellen, wo die libavmhwmac aufgerufen wird, bin ich noch nicht wirklich schlauer. TR069, AVM-VPN, Fernzugriff ...? Gibts da noch mehr - wie sieht es zB mit TLS und SRTP aus?

 

[olistudent]

Für Firmwares die selbst keine Openssl-Libs anbieten darf die libavmhmac natürlich nicht ausgetauscht werden. Das sollte auf die TODO-Liste.

MfG Oliver

 

[Viprex]

Hallo,

ich hole diesen alten Thread mal wieder aus der Versenkung. Ich habe dasselbe Problem wie der Threadersteller.
Ich nutze eine FritzBox 7270 mit der Firmware-Version 54.04.67freetz-1.0.2 (also inklusive funktionierendem Freetz Image).
Ich habe bis vorhin gerade noch nie ein Freetz drauf gehabt, aber die Fernwartung mit den Originalen Firmwares von AVM genutzt.
Ich möchte das gerne weiterhin nutzen und zusätzlich erhoffe ich mir durch Freetz einen Open VPN Server auf der Box.

Kurzum: Kann mir einer in verständlichen Worten erklären, was ich machen muss, um mit Firmware-Version 54.04.67freetz-1.0.2 die Fernwartung (und Open VPN mittels Freetz - sonst könnte ich ja die Originale weiter nutzen, das will ich nicht)nutzen zu können? Ich weiß, dass steht hier schon im Thread, für mich aber leider nicht deutlich genug um zu wissen, was ich jetzt machen muss.

Ich danke euch für eure Hilfe.

 

[Silent-Tears]

Im menuconfig die entsprechenden Pakete wählen und openvpn statisch bauen. Danach Flashen, einrichten und glücklich sein. Wahrscheinlich

 

[olistudent]

Entweder wählst du aus, dass OpenVPN statisch gebaut wird oder du wählst die libavmhmac (menuconfig->Advanced Options->Shared Libraries->Crypto Libs) aus.

MfG Oliver

 

[Viprex]

Hui, super. Vielen Dank für die schnellen Antworten.

Ich habe eben in "MOD - Package Selection - Standard Packages" bei

OpenVPN 2.1_rc13
Staticalls link libraries
with lzo compression
Optimize for size​

die Haken gesetzt. Das ist wohl das, was ihr mit

dass OpenVPN statisch gebaut wird

meint.

Das hat leider nicht funktioniert. Die Box rebootet immer noch.

Daraufhin habe ich die Einstellung unter "Crypto Libs" gesucht und unter "Mod - Advanced Options - Shared Libraries - Crypto & SSL" habe ich bei

----Openssl cryptographic library----
Replace libavmhmac - EXPERIMENTAL​

einen Haken gesetzt.

Jetzt Rebootet die Box zwar nicht mehr, aber die Weboberfäche ist Remote immer noch nicht erreichbar (nichtmal die Zertifikatmeldung wird angezeigt). Die FritzBox ist aber extern zu pingen, der Dyndns Name wird korrekt aufgelöst (das funktioniert also alles).

Hat jetzt noch jemand einen Tipp für mich?

 

[olistudent]

Hast du mal intern mit https probiert?

MfG Oliver