Fon als DHCP-Client und Router (am Kabelmodem)

[olistudent]

Hi.
Ich bin mir sehr sicher, obwohl ich keine davon hab.
Weil in der original Firmware für die neuen Boxen keine Config-Dateien für die alten mit drin sind!

MfG Oliver

 

[ChiefOBrei]

@pfeffer: Seitdem ich die Box als Router nutze, kann sich z.B. GMX Netphone nicht mehr mit dem Server verbinden, die folgende Fehlermeldung erscheint:

Initialisierung fehlgeschlagen
Port Weiterleitung ungeeignet

Ist es möglich Ports freizugeben?

Könntest du evtl. noch in deine Anleitung die Änderung des Telnet PW mit aufnehmen?

Gruß

ChiefOBrei 8)

 

[edward]

beim Einspielen der mod. Firmware ohne vorheriges Telnet-Freigabe hatte ich folgendes Problem: kein Telnet-Login möglich, alle möglichen Passwörter "root", "fritzbox" webpasswort ausprobiert.
Anscheidend funktioniert das Setzen des Passworts in Skript nicht richtig. Ich habe immer einen Telnet-Freischaltungsskript, was nur temporär Telnet startet und mit Webpasswort.
Also orig. Firmware drauf, telnet-Freigabe mit user und passwort eingespielt, mod drauf, dann ging es.

 

[pfeffer]

@ChiefOBrei:
Portweiterleitung geht mit iptalbes so (glaub ich, nicht getestet):
iptables -t nat -A PREROUTING -s ! 192.168.178.0/16 -p udp --destination-port 5080 -j DNAT 192.168.178.100:5080

Damit wird udp-Port 5080 auf die IP 192.168.178.100 weitergeleitet. Allerdings ist das nach einem Reboot weg.
Man kann sich anzeigen welche iptable-Regel momentan definiert sind mit:
iptables -t nat -L -n

Um Regeln auch nach einem Reboot aktiv zu haben, müssen die entsprechenden Befehle nach jedem Reboot ausgeführt werden. Dazu werden sie an die Datei /var/flash/debuf.cfg angehängt. Aber vorsicht: Wenn ein Befehl in der debug.cfg dazu führt, dass die Bos hängt, wird sie ein Recover-Fall. Also: immer erst den Befehl vorher ausprobieren.
An die debug.cfg anhängen geht so:

cat /var/flash/debug.cfg /var/tmp/tmp.cfg
echo "iptables -t nat -A PREROUTING -s ! 192.168.178.0/16 -p udp --destination-port 5080 -j DNAT 192.168.178.100:5080" >>  /var/tmp/tmp.cfg
cat  /var/tmp/tmp.cfg >  /var/flash/debug.cfg

IP und Port natürlich entsprechend einsetzen. Für X-Lite müssen wohl die Ports 5004 und 5005 weitergeleitet werden. (Nachgucken in X-Lite unter Network/Listen RTP-Port/ ) Außerdem sollte man den SIP-Listen Port von 5060 auf z.B. 5080 in X-Lite ändern und weiterleiten, damit keine Konflikte mit der Fritz!Box entstehen. [Alles ungetestet]

Gruß,
Pfeffer.

 

[ChiefOBrei]

@pfeffer
Danke für die Anleitung!

es hat sich nur ein kleiner Fehler eingeschlichen, "--to" hat gefehlt:

iptables -t nat -A PREROUTING -s ! 192.168.178.0/16 -p udp --destination-port 5080 -j DNAT --to 192.168.178.100:5080

Muß es eigentlich nicht 192.168.178.0/24 heißen?


Gruß
ChiefOBrei 8)

 

[ChiefOBrei]

@pfeffer: wie kann man des telnet passwort ändern?

Danke!

Gruß
ChiefOBrei 8)

 

[edward]

Das verschlüsselte Passwort in debug.cfg ändern, aber natürlich durch einen anderen verschlüsselten austauschen.
Anleitungen gibt es dazu.

Einfacher geht es wenn man den Script passwd.store aus mod-0.57 in den Image mitnimmt.

 

[pfeffer]

@ChiefOBrei:

ptables -t nat -A PREROUTING -s ! 192.168.178.0/16 -p udp --destination-port 5080 -j DNAT --to 192.168.178.100:5080

Muß es eigentlich nicht 192.168.178.0/24 heißen?

naja, man kann es so oder so machen. mit /24 macht der das NAT dann nicht, wenn die Source-IP aus dem Raum 192.168.178.x stammt. Mit /16 macht er es immer dann nicht, wenn sie aus dem Raum 192.168.x.x stammt. Mit meiner Variante wird für den kompletten privaten Raum 192.168.x.x das NAt-Routing abgeschaltet. Falls man also mehrere IP-Subnetze im Raum 192.168.x.x hat, wird in meiner Variante die Fritz!Box kein NAT machen. Aber der Unterschied ist für alle anderen egal.

@pfeffer: wie kann man des telnet passwort ändern?

ja, Du hast vollkommen Recht, dazu fehlt noch eine Anleitung. Ich werde das nachholen, komme aber wahrscheinlich in den nächsten Wochen nicht dazu. Aber die Hinweise von edward sind schon richtig.

Gruß,
Pfeffer.

 

[ChiefOBrei]

Das verschlüsselte Passwort in debug.cfg ändern, aber natürlich durch einen anderen verschlüsselten austauschen.
Anleitungen gibt es dazu.

Einfacher geht es wenn man den Script passwd.store aus mod-0.57 in den Image mitnimmt.

habe mir die anleitungen duchgelesen,aber komme nicht weiter.

meine debug.cfg sieht wie folgt aus:
-------------------------------------------------------------
echo rootDbMfYmMT5eZU:0:0:root:/var/tmp:/bin/sh > /var/tmp/newpasswd
cat /var/tmp/newpasswd > /var/tmp/passwd
/usr/sbin/telnetd &
dhcpc-start.sh
vsntp pool.ntp.org
-----------------------------------------------------
wenn ich nun das pw (DDbMfYmMT5eZU) austausche, kann ich mich nicht mehr einloggen.
wenn ich den telnet start in der debug.cfg lösche, ist nach einem neustart immer noch ein telnet aktiv,kann mich nur nicht einloggen.

irgendetwas mache ich wohl falsch.....

danke!

gruß
Chiefobrei 8)

 

[pfeffer]

Du musst mit htpasswd http://www.flash.net/cgi-bin/pw.pl Dein Passwort verschlüsseln und die verschlüsselte Zeichenkette einsetzen.

Gruß,
Pfeffer.

 

[ChiefOBrei]

Hab es jetzt geschafft das PW von Telnet zu ändern.
Danke!

Gibt es eine Möglichkeit, das Telnet nur intern zu erreichen ist und von extern keine Verbindung zuläßt? Habe ein ungutes Gefühl, wenn die Box vom Internet erreichbar ist.....

Gruß

ChiefOBrei 8)

 

[edward]

Hi,
ich habe mal folgende IPTABLES Regeln in meine debug.cfg geschrieben.

#Wenn keine Regel zutrifft, dann verwerfe das Packet
iptables -P INPUT DROP
#UDP Port 5060 freigeben -> VOIP
iptables -A INPUT -p udp --dport 5060 -j ACCEPT
#UDP ports von 7077 bis 7081 freigeben, bei mir funktioniert auch ohne
iptables -A INPUT -p udp --dport 7077:7081 -j ACCEPT
#Alle Packete, die zu eine bereits aufgebaute Verbindung akzeptieren
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#Lakale Adressen akzeptieren
iptables -A INPUT -s 192.168.0.0/16 -j ACCEPT
#Localhost Adresse freigeben, ohne stürzt die Box, wenn man auf die Weboberfläche das Telefonie-Menü anklickt
iptables -A INPUT -s 127.0.0.1/32 -j ACCEPT

Durch diese Regeln, sind nur die UDP-Ports 5060 und 7077-7081 aus dem Internet zugänglich. Nach Aussen kannst du alles machen.

 

[ChiefOBrei]

Ok, Danke! Werde ich mal gleich testen!
Hat die Reihenfolge der Regeln eine Bedeutung?

Gruß

ChiefOBrei 8)

 

[edward]

Die Reihenfolge der Regeln bei Iptables spielt eine große Rolle.
Bei meiner Regeln ist dies nicht der Fall, da alle Regeln irgend etwas freigibt. Aber wenn eine Mischung aus Freigaben und Sperrungen hat, dann spielt sicherlich eine Rolle.

 

[ChiefOBrei]

Ich habe jetzt deine Regeln in meine debug.cfg eingetragen und die Box ist laut einschlägen Online Test auf gängigen Ports vom Internet nicht mehr erreichbar.

Danke!

Gruß

ChiefOBrei 8)

 

[ChiefOBrei]

mit der neuen Firmware 11.03.45 kann die ATA, nun auch offiziell von AVM supportet, hinter einem Kabel Modem betrieben werden, siehe hier:

http://www.ip-phone-forum.de/forum/viewtopic.php?t=17424

Gruß

ChiefOBrei 8)

 

[gen-ik]

Ich habe jetzt die modifizierte Firmware installier laut der Anleitung. Ich habe allerding als Original-FW die Version 06.03.67 benutzt, da die 06.03.37-Version, die in der Anleitung erwähnt wurde, ist nirgendwo zu finden.

Jetzt kann ich mich anmelden zu dem Fritzbox mit Telnet und Browser, aber in der Übersichtseite steht " Boot Error: running as FRITZ!Box SL, Firmware-Version 10.03.67". Es ist auch nicht möglich die Einstellung für Internet-Telefonie zu speichern, die gehen einfach verloren.

Was könnte ich tun um eine funktionierende Update auf die Kiste zu bekommen?

 

[pfeffer]

warte noch ein paar Tage.
Ich habe es schon hinbekommen mit der .65-Firmware, muss nur noch die Anleitung schreiben...

Gruß,
Pfeffer.

 

[gen-ik]

warte noch ein paar Tage.
Ich habe es schon hinbekommen mit der .65-Firmware, muss nur noch die Anleitung schreiben...

Gruß,
Pfeffer.

Klingt gut, ich freue mich schon!

 

[pfeffer]

siehe http://www.ip-phone-forum.de/forum/viewtopic.php?t=22978

Gruß,
Pfeffer.