FRITZ!Box 7490/ FRITZ!OS 7.56 vom 25.07.2023 + 7.57 v. 04.09.2023

[trulli]

@hexadezimal: ja, und auch das Kästchen ist da, um es wieder zu aktivieren
@erik: 0.6.9.7k

-- Zusammenführung Doppelpost gemäß Boardregeln https://www.ip-phone-forum.de/threads/ip-phone-forum-regeln.297224/ by stoney

Noch etwas unschönes ...
Wenn man sich vom Webif abmelden will über die 3 Punkte oben rechts, ist jetzt als erster Eintrag "Passwort ändern" und nicht mehr "Abmelden".
Da habe ich jetzt schon zig mal falsch draufgedrückt. Wenn man mal nicht aufpasst, hat man ein Passwort, was man nicht weiss.

Wer kommt nur auf so einen Schwachsinn ... Offensichtlich benutzen die Entwickler von AVM ihre eigene Hardware nicht. Sonst würde so etwas auffallen.

 

[Grisu_]

Macht ihr denn keine regelmäßigen Sicherungen der Konfig?
Das machen meine Boxen alle automatisch über Push und bei größeren Versionswechseln (neuer Zyklus) mach ich es noch zur Sicherheit manuell.
Auch speichere ich mir alle Releases (nebenbei auch Labor und Inhaus) meiner Boxen inkl. Recovery (also das .zip) ab.
Somit kann ich jederzeit ein Recover auf jede Version machen und deren letztgültige Sicherung einspielen.

 

[PeterPawn]

Es gibt auch einfachere Wege, die 2FA zu deaktivieren: https://www.ip-phone-forum.de/threa...estätigungen-deaktivieren.314515/post-2524118

 

[Zwanzigeinundzwanzig]

also das .zip

Ich speichere bei den Labor-Versionen nur das Image. Das jeweils letzte Recover.exe habe ich ja sowieso mit der Release-Version... es gab so viele Laborversionen, da muss nicht jedes Mal das komplette .zip gespeichert werden...Aber ja, es kann nicht oft genug wiederholt werden, alle Updates nur von der Datei, nie online, dann braucht man nie den "suche alte FW-Thread"...

 

[Peter_Lehmann]

Bitte entschuldigt meine jetzt folgende Frage! (Ja, ich habe keine Lust, den gesamten Thread noch einmal zu lesen.)

Meine Frage lautet:
Welchen Grund sollte ein Nutzer haben, dieses Sicherheitsfeature mit der 2FA bei bestimmten "sicherheitskritischen" Einstellungen bewusst zu deaktivieren.
Ich kann es beim besten Willen nicht verstehen - vlt. kann mir jemand gute Argumente dafür liefern. DANKE!
Und bitte nicht allzu toll schlagen!

Vielleicht hier mal (in ungeordneter Reihenfolge) einige meiner Argumente, warum ich auf dieses Feature niemals ohne Not verzichten würde:

1. Jeder, der länger als gefühlte 10 Jahre hier im Forum ist, weiß noch, dass ein großer (blauer) Provider einmal große Probleme damit hatte, als "Unbefugte" auf den Routern der Kunden illegalerweise dem Kunden unbekannte Rufnummern eingerichtet und damit durch sehr teure Anrufe viel Geld verdient haben.
2. Das soll hier nur ein einziges Beispiel dafür sein, dass jeder zusätzliche Schutz auf dem wichtigsten Gerät, welches der "Heimadministrator" zu bedienen hat, gut und richtig ist.
3. Ich weiß, dass der Mensch grundsätzlich bequem und oftmals auch faul ist (sorry für meine Deutlichkeit!), denn sonst hätte er ja niemals das Rad und später das Auto erfunden.
   Aber in jedem Fall sollte "der Mensch" immer in seinem Handeln eine Abschätzung zwischen Bequemlichkeit und dem Sinn oder Nutzen einer bestimmten Sicherheit im Auge behalten. Auch, wenn diese mit einer gewissen Unbequemlichkeit verbunden ist.
4. Ich selbst habe mein Berufsleben fast vollständig in sehr sensiblen Hochsicherheitsbereichen verbracht. Ich gebe zu, dass so eine Tätigkeit auch noch nach vielen Jahren nachwirkt. WOWEREIT!
   Heute, als Rentner, betreibe ich nicht nur ein schon recht großes WireGuard-Netz (aktuell 9 externe WG-Gateways in drei Ländern), sondern unterstütze ich auch ca. 50 zumeist in meinem Alter befindliche Menschen (nicht nur hier in Deutschland) und kümmere mich natürlich auch um ihre Internet-Router. Und selbstverständlich habe ich überall neben einem richtig guten Passwort auch überall die bewusste 2FA bei bestimmten Aktionen aktiviert.
   Aber auch, wenn diese Router nicht nur "auf dem Boden oder hinter einem Schrank" befindlich sind, habe ich mich dort noch nie ausgesperrt. Ja, ich leiste mir einen Authenticator von REINER SCT, aber das macht ja auch jede 2FA-App auf dem Smartphone oder neuerdings sogar ein guter PW-Manager wie KeepassXC.

Also, ich bitte die hier anwesenden freundlichen Nutzer, mir gute Gründe für den bewussten Verzicht auf dieses Feature zu nennen. Es muss doch diese Gründe geben, denn sonst würde wohl niemand hier wegen der Abschaltung desselben posten.

vy 73 de Peter

 

[Zwanzigeinundzwanzig]

Na ja, ich hatte eine 7490 mal als WLAN-Repeater geschaltet und der hing außer Reichweite... Ich hatte dann extra ein DECT-Teil angemeldet, damit ich für Änderungen/Updates nicht auf die Leiter musste...

 

[trulli]

@Peter_Lehmann
Hi,
Du hältst "Press any Key" für ein Sicherheits-Feature? Na Prima.
Sicherheit ist nötig. Aber wenn, dann auch sinnvoll. So ist es nur unnötig und lästig.
Wer es haben möchte, soll es nutzen. Aber fest eingestellt, ohne Änderungsmöglichkeit, ist es einfach nur "Schrott".
MfG

Soll ich jetzt jedesmal meine kleine Tochter schicken ... Du Kleines, gehst Du mal eben zu dem Kasten mit den vielen Lampen und drückst irgendwo drauf?
--> Sicherheit pur

 

[Zwanzigeinundzwanzig]

Ich habe doch geschrieben, wie es auch ohne 2. Person oder Leiter geht...

 

[trulli]

Hi,
meine "neue" 7490 mit Version 7.56 ist als Mesh-Klient eingebunden an eine weitere 7490 mit 7.29.
Jetzt habe ich festgestellt, das die 7490 mit 7.56 im WLAN das Autokanal für das 2.4GHz Netz aktiviert hat. Allerdings ausgegraut und somit nicht änderbar.
Jetzt scannt er alle paar Minuten für einen "guten" Kanal und meldet andauernd die Klients ab.
Hat noch jemand das Problem und/oder eine Idee, wie ich das abstellen kann.
Deaktiviere ich die Einstellungs-Übernahme bleibt das Kästchen zwar ausgegraut, "verliert" aber nach einer gewissen Zeit das Häkchen für aktiviert.
Aktivier ich die Einstellungs-Übernahme ist auch der Haken bei Autokanal wieder da.
Autokanal ist übrigens nirgends im Netz aktiviert.
MfG

 

[PeterPawn]

Offenbar hält es AVM ja auch in einigen Fällen für erforderlich - sonst gäbe es diese "versteckte" Funktion ja nicht.

Und unabhängig davon , wie ich selbst dazu stehe (findet man hier im Thread auch) … anstatt die Leute jetzt auf einen längeren Weg zu schicken, mit mehr Optionen zu scheitern, habe ich nur etwas niedergeschrieben, was AVM selbst m.W. nicht publiziert hat.

Und im Extremfall (wenn jemand eine SID abgreift, für die 2FA ausgeführt wurde und von diesem Gerät weitere Request absetzen kann) KANN das sogar wieder zu einem Sicherheitsproblem werden - solange AVM beim (lokalen) Zugriff auf das GUI kein TLS ERZWINGT, besteht diese Gefahr praktisch (fast) immer und - anders als von AVM veröffentlicht - GIBT es dieses Feature eben auch in der normalen Release-Version.

Wenn AVM sowas in den Test-Versionen benötigen sollte, dann würde ich auch erwarten, daß man das in den Release-Versionen (und eigentlich auch schon in Public-Betas, aka Labor-Versionen) KORREKT deaktiviert. Zwar sind entsprechende Bemühungen zu erkennen, diese Funktionen nur in speziellen Versionen ANZUZEIGEN (und diese Einstellungen kriegt man außerhalb dieser Versionen auch nicht zu Gesicht), aber das wird natürlich ad absurdum geführt, wenn man das bei einem Aufruf zum ÄNDERN von Werten nicht erneut prüft.

 

[Roboto]

Ich hatte dann extra ein DECT-Teil angemeldet, damit ich für Änderungen/Updates nicht auf die Leiter musste...

Ich finde das ganze ist seit der 7.5 (auch mit erzwungenem 2FA) durch die neue Möglichkeit der Nutzung einer Authentificator APP wesentlich entspannter. Vermutlich haben mittlerweile die meisten das Handy öfter in der Nähe als ein DECT Phone. Die Lösung über die Authentificator APP ist auch sehr hilfreich beim Remotesupport, da muss man nicht immer den Familienmitglieder sagen was sie mal eben ist DECT Phone tippen sollen.

 

[H´Sishi]

ich bitte die hier anwesenden freundlichen Nutzer, mir gute Gründe für den bewussten Verzicht auf dieses Feature zu nennen. Es muss doch diese Gründe geben, denn sonst würde wohl niemand hier wegen der Abschaltung desselben posten.

Auch wenn ich mich angesprochen fühle - ich habe keine Gründe, weil ...

Jeder, der länger als gefühlte 10 Jahre hier im Forum ist, weiß noch, dass ein großer (blauer) Provider einmal große Probleme damit hatte, als "Unbefugte" auf den Routern der Kunden illegalerweise dem Kunden unbekannte Rufnummern eingerichtet und damit durch sehr teure Anrufe viel Geld verdient haben.

... dies zum Teil bei mir zutraf (nicht der blaue Provider): ~ 800 Euro Telefonkosten in 12 Stunden durch Auslandsgespräche.

Bei mir sind sowohl Bestätigungen durch lokales Telefon als auch (als FallBack) ein Google-Authenticator eingerichtet. Bin ich zuhause, sind es nur ein paar Tastendrücke an einem ISDN-Tischtelefon.

 

[schwimma]

hat jemand den Effekt, das das Lan völlig ausgebremst wird ( aber nicht der inet Zugang) wenn die DSDL Strecke voll ausgelastet ist? bei mir mit ca. 100 Mbit

Vom NAS z.B sinkt die Übertragungsleistung gegen 0 ( sonst bis zu 117Mb /sec)

Fritz Prof ist zu 50% ausgelastet ( war vor der 7.56 aber auch so)

Mit der 7.29 hatte ich das nie.

 

[f-user]

Kleine Rückmeldung nach Firmware-Update von 7.29 auf 7.56 bei einer 7490.

Ich hatte vor dem Update hier kurz mal quergelesen, um ggf. auf "negative Verbesserungen" vorbereitet zu sein. Und die Deaktivierung der Option zum Abschalten der Zwangsbestätigung ist sicherlich eine solche.

Aber: In der betreffenden Fritzbox war die Zwangsbestätigung "schon immer" ausgeschaltet. Und das ist, nach dem Lesen hier für mich überraschenderweise (andernfalls hätte ich es nicht anders erwartet), auch nach dem Update auch weiterhin so, und das Kästchen der Option ist auch weiterhin vorhanden.

Auch wurden bei mir keine "Zwangshäkchen" unter den Anbieter-Diensten gesetzt. Die sind alle auch nach dem Update weiterhin leer.

Die Oberfläche ist allerdings langsamer als vorher. Ob das nun an der betagten 7490 oder dem Rechner-Prozessor bzw. dem Browser liegt, kann ich so nicht sagen.

[Zudem piepst / knackt es jetzt kurz bei der Anrufannahme bzw. beim Auflegen, wobei das wohl eher etwas mit dem Firmware-Update für das Fritz!Fon als für die Fritz!Box zu tun hat.] [Edit: War bislang nur bei ersten beiden Anrufen nach dem Update so.]

Sonst ist mir in der kurzen Zeit der Nutzung der neuen Version noch nichts weiter aufgefallen.

 

[hexadezimal]

Welchen Grund sollte ein Nutzer haben, dieses Sicherheitsfeature mit der 2FA bei bestimmten "sicherheitskritischen" Einstellungen bewusst zu deaktivieren.

Natürlich Bequemlichkeit, ich habe einige Fritzboxen im Heimnetz, da will ich doch wegen einer Änderung nicht jedesmal hinlaufen um eine Taste zu drücken. Außerdem gehe ich wegen einer Verletzung vorübergehend an Krücken, was meine Begeisterung jetzt nicht gesteigert hat.
Vorher konnte man die Funktion 2FA (Tastendruck, Anruf) ja an- und abschalten da konnte ich dann während der Einrichtung ausschalten und hinterher wieder einschalten.
Das mit der Authenticator App ist ja auch noch nicht so alt, das lasse ich mir als sinnvolle Lösungnoch gefallen, aber kryptische Nummern am Telefon eingeben hat schon früher genervt.

Wer nutzt den eine Authenticator App die Open Source ist und wenn ja welche ? ( bin jetzt nicht so der Freund von Google und M$ )

... dies zum Teil bei mir zutraf (nicht der blaue Provider): ~ 800 Euro Telefonkosten in 12 Stunden durch Auslandsgespräche.

Bei mir sind sowohl Bestätigungen durch lokales Telefon als auch (als FallBack) ein Google-Authenticator eingerichtet. Bin ich zuhause, sind es nur ein paar Tastendrücke an einem ISDN-Tischtelefon.

Gibt es da noch Beiträge im Forum, mich würde mal interessieren, welche Lücke die damal ausgenutzt haben.

Mfg
Axel

 

[technologisch]

Wer nutzt denn eine Authenticator App, die Open Source ist, und wenn ja, welche?

Ich nutze generell die 2FAS App. Für die Fritzbox nutze ich jedoch keine Authenticator App. Laut AVM soll aber jede nutzbar sein, welche das TOTP-Verfahren unterstützt (ist das nicht die Grundfunktion einer Authenticator App?). Es gibt noch die Aegis App, welche (bis auf die Desktop-Browser Integration) die gleichen Funktionen wie 2FAS bietet.

 

[DDD]

Nutze auch aegis, aber nicht für die FritzBoxen. Dort habe ich 2FA immer aus und finde es auch schlecht dass AVM hier das ausschalten nicht mehr erlaubt (ohne Umwege).

 

[tacitus-nrw]

Ich habe noch nicht auf 7.56 upgedatet, da ich in meiner 7.29 selbst ein Wireguard eingebaut habe und nun lese, dass die nun eingebaute Wireguard Lösung nicht den Standard Port 51820 nutzt, sondern einen Port zufällig erwürfelt. Nun die Frage: Weiß jemand, ob für jeden Client ein anderer Port erwürfelt wird, oder ist er dann immer der Gleiche? Kann man diesen zufälligen Port auf den Normalwert Port 51820 ändern, indem man manuell die ar7.cfg oder was auch immer ändert? Stimmt das, dass die 7490 auch nur 2 Wireguard Clients akzeptiert? All diese Einschränkungen habe ich mit der Wireguard Selbstbau Lösung auf Basis 7.29 ja nicht. Aber nun wieder selbst Wireguard ins Image einzubauen, ist nun ein Problem, da es mit dem von AVM eingebauten kollidiert.

 

[hexadezimal]

Was mir jetzt noch aufgefallen ist, wenn ich in der Netzwerkansicht vom Router auf den Namen einer "Netzwerkverbindung" in meinem Fall einer der anderen Fritzboxen oder Geräte im Heimnetz klicke wird ja ein Link erzeugt und normalerweise sollte sich ein neues Browserfenster öffnen und dann der Startscreen des geräts, also der Fritzbox erscheinen. Das hat in der Vergangenheit unter dem alten OS auch schon gedauert (manchmal eine Minute) und oft habe ich wenn ich es eilig hatte einfach die IP in die Adresszeile kopiert, das ging dann schneller.
Jetzt bleibt das neu geöffnete Browserfenster manchmal komplett hängen und in der Adresszeile bleibt nur der Anfang des erzeugten Links stehen. Getestet habe ich mit Firefox und Chrome unter Ubuntu 20.04.LTS, der fehler tritt bei beiden auf.
Also der Link lautet z.B.: http://fritz.box/secure_link.lua?sid=eeca60dc980f586d&lnk=http://192.168.178.107
dann bleibt das neu geöffnete Browserfenster stehen und zeigt:

http://fritz.box/secure_link.lua?sid=

Gebe ich einfach: 192.168.178.107 ein wird das auf:

http://192.168.178.107/

ergänzt und der Startscreen erscheint innerhalb von 1 bis 2 Sekunden.
Die Id hat das alte OS (laut AVM seit OS 5.50) doch auch schon so erzeugt, woran könnte das liegen, das es plötzlich nicht funktioniert ?
Warum gibt der überhaupt eine Id mit, denn zum Anmelden am Startscreen ist doch keine erforderlich, ich springe ja nicht irgendwo mitten in einen Menupunkt.
Muss ich da was am Browser umstellen, damit die Id korrekt weitergericht wird oder muss ich in den Einstellungen vom Gerät, dass ich aufrufe etwas verändern ?

Mfg
Axel

 

[Roboto]

ich habe auch das gleiche wie @lolly3 festgestellt.
bei einer 7490 7.56 wird Unter Diagnose > Sicherheit wird (ganz unten)
"Einrichten von USP-Controllern durch den Dienstanbieter: erlaubt" gefunden.

Klickt man auf bearbeiten landet man auf der AnbieterDienste Seite, dort ist aber alles aus.


Lösung gefunden
Wenn man die Anbieterdienste einmal aktiviert, taucht eine zusätzlicher Punkt mit USP darunter auf der in meinem Fall aktiv (und versteckt) war.
Dann kann man diesen deaktivieren und auch die Anbieter Dienste wieder. Danach wird auch in der Diagnose "nicht erlaubt" gemeldet.
Achtung, man sollte das ganze nicht unbedingt per Remote machen, denn wenn man die Anbieter Dienste aktiviert, werden unter Umständen diverse Internet Einstellungen (IPv6 etc) geändert und man verliert die Verbindung.