[Info] FRITZ!Box 7490 Labor-Firmware Version 113.06.25-30593 vom 08.06.2015

[koyaanisqatsi]

freetz mit telnetd ist echt irgendwie überflüssig.
Wofür gibt es sonst die (leider meist unbeachtete) Rudi-Shell?

Für die 7490 müsst ihr das selber mal testen.
Bei einer 7360SL mit freetz Trunk 13178 auf 6.20 Firmwarebasis (mit Symlink) unterscheidet das freetz sogar...

...die busybox macht die Prüfung auch nicht, da von freetz ersetzt, oder?

 

[Luis942]

Ich hatte auf meiner 7490 die 6.29Labor drauf. Da ich mit der Sprachqualität, Verbindungsabbrüchen und einem verschwindenden Dect100 Repeater Probleme hatte. wollte ich zurück zur 6.24 oder alternativ zur 6.25Labor. Ich habe die 6.25 geflashed und die Einstellungen anschließend manuell eingegeben. Ebenso habe ich die beiden C4 vorher zurück gesetzt. Dann wieder angemeldet und soweit so gut. Leider wird auf einem C4 nun ständig "Synchronisieren" oben auf dem Display angezeigt. Die Meldung verschwindet kurz und kommt nach ein paar Sekunden wieder. Ein erneutes zurücksetzen und neu Anmelden hilft leider auch nicht. Das tritt immer bei ein und dem selben C4 auf.
Notgedrungen habe ich nun doch wieder die 6.29 drauf.
Der Downgrade zur 6.25 klappt irgendwie bei mir nicht ganz.... Kennt das jemand und weiß wie man das lösen kann? Wenn ich die 6.24 flashe sieht es auch nicht besser aus....

 

[PeterPawn]

PeterPawn ist Schuld.

Mea maxima culpa.

Er hat hier im Forum gewettert als sie nc (netcat) ausgebaut haben,
dass diverse Hacks mit telnetd genauso easy wären wie mit nc.

Ja durchaus mit Recht ... ich finde es auch heute noch albern, wenn man Kette und Schloß an der Vordertür demonstrativ verstärkt - möglichst noch mit Warnung vor dem Fiffi - und die Hintertür dann nur ein Fliegengitter ist.

Wobei eben der Ausbau von "nc" immer noch Unfug ist, der Telnet-Daemon ist ja noch "drin" und nur nicht auf Anhieb erreichbar.

OT: Was AVM an weiteren gemeldeten Lücken in der finalen 06.25 (oder welche Nummer die auch immer haben wird) noch behebt, weiß ich nicht ... es ist irgendwann müßig, jede neue Version zu testen, wenn sich die Erkenntnisse in der nächsten dann schon wieder erledigt haben könnten. Solange man also nicht von AVM wieder in Kenntnis gesetzt wird, daß eine bestimmte gemeldete Lücke geschlossen wurde, teste ich das nur noch bei extremer Langeweile oder bei Release-Versionen. Das hat natürlich den Nachteil, daß man weiterhin bestehende und/oder neue Lücken erst dann findet, wenn es eigentlich schon wieder zu spät ist, weil sie nun erst mit dem nächsten Zyklus behoben werden können.

Aber zurück zum "nc" ... der "Mißbrauch" setzte ja ohnehin den schon bestehenden Zugriff voraus und die möglichen Vorteile (z.B. der Einsatz als Empfänger für Port 1012, um auf Anrufe zu reagieren in Skript-Code) überwiegen das Schadenspotential beim "nc" bei weitem - jedenfalls meiner Ansicht nach.

Wenn jemand ohnehin Zugriff hat (also ein Angreifer), dann ist es auch egal, ob die benötigten Kommandos für den vollen Funktionsumfang schon auf der Box vorhanden sind ... notfalls lädt man sie eben aus dem Internet nach. Das macht heute jeder Bot so, daß er sich "frischen Payload" von einen C&C-Server zieht.

Der einzige Angriffspunkt, wo das Fehlen von "nc" es wirklich schwieriger macht, ist ein Exploit, der nur eine sehr begrenzte Anzahl von Zeichen als Kommando einschleusen kann, da war das sehr kurze "nc" inkl. notwendiger Optionen schon mal ab ca. 20 Byte zufrieden. Aber auch ein wget, httpsdl, ftpget oder tftp läßt sich für den Down- oder sogar den Upload von Daten verwenden (bei ftpget dann natürlich das dazu passende ftpput) und so groß ist der Unterschied am Ende dann auch wieder nicht.

Ein Exploit mit einer so stark beschränkten Länge eines Kommandos ist ohnehin eher die Ausnahme und auch dann kann man ihn meist noch für das "composing" eines passenden Skripts nutzen, wenn es einen Speicherort dafür gibt.

Der Extremfall mit dem Schreiben einzelner Zeichen ist zwar recht aufwändig, aber ein

echo -ne "\xHH">>/tmp/x

mit seinen 23 Zeichen (für den schlechtesten Fall) kann - mit genug Wiederholungen - ganze Geschichten (notfalls sogar binären Inhalt) in der Datei /var/tmp/x einer FRITZ!Box ablegen und das dann am Ende mit "sh /tmp/x" zu starten, ist noch wesentlich kürzer. Und das macht ohnehin niemand von Hand ... das läuft dann automatisch, aus einer zu übertragenden Datei die notwendige Folge solcher Kommandos zu generieren und diese auszuführen.

Sollte AVM hier tatsächlich mitlesen und den Ausbau des telnetd aus der Busybox doch noch in Erwägung ziehen (auch das ist noch kein Beinbruch für das "Modding", nur wenig mehr Aufwand und ich persönlich schwanke zwischen Befürworten (SIAB oder SSH wäre dann derselbe Aufwand wie der Einbau des Telnet-Daemons, vielleicht überlegen es sich einige dann ja doch, die sichere Variante zu nehmen) und Ablehnen), dann habe ich gleich noch die Bitte, die Liste der Applets auch um

• ubimkvol (oder dann doch ubifs einkompilieren bzw. als .ko-Module dazupacken)
• ubirsvol
• ubiupdatevol
• unirmvol
• chgrp
• chroot (ohnehin gefährlich, weil man eben nicht nur Prozesse vom Rest des Systems abschirmen, sondern ihnen - in erster Linie AVM-CS-Binaries - auch vollkommen andere Dateien vorgaukeln kann)
• fgconsole
• iostat
• login (ar7login ruft direkt /bin/sh auf und der Rest verwendet ohnehin die AVM-ACL-Funktionen für das Mapping)
• logname
• mpstat
• passwd
• pmap
• whois

zu erleichtern, von den diversen anderen Leichen außerhalb der Busybox fange ich nicht erst an. Auf Boxen ohne vorhandene nbd-Unterstützung (das sind vermutlich alle mit 2.6.28-Kernel) könnte dann auch noch der nbd-client der Busybox entsorgt werden.

Ich würde sogar die kühne Behauptung wagen, daß man auf einer 7390 mind. 500 KB (und zwar komprimiert) einsparen kann, wenn man sich auf das wirklich benötigte Arsenal an Tools beschränkt und an einigen wenigen Stellen auch noch die Shell-Skripte auf das beschränkt, was auf so einer Box wirklich (in aktuellen Versionen) enthalten ist ... vollkommen ohne einen Verlust an Funktionen.

freetz mit telnetd ist echt irgendwie überflüssig.
Wofür gibt es sonst die (leider meist unbeachtete) Rudi-Shell?

Da fallen mir dann leider gleich mind. zwei Gegenargumente ein. Rudi-Shell ist eine (gut gemachte, damit wir uns da nicht mißverstehen) absichtlich sehr rudimentäre Shell, die über drei CGI-Skripte arbeitet. Als erstes kann man schon mal die Rudi-Shell und eine Telnet-Session mit einem ordentlichen Pseudo-Terminal nicht miteinander vergleichen ... alles, was echte Terminalfunktionen erfordert, von ANSI-Colors bis Text-Menüs wie beim "Midnight Commander" (als extremes Beispiel für die Nutzung von ncurses, denn das ist der eigentliche "Knackpunkt"), funktioniert in der Rudi-Shell nicht und außerdem ist sie - mangels TLS - auch keinen Deut sicherer als eine Telnet-Session. Ja, am Ende bündelt sie sogar die unterschiedlichen Gefahren von Telnet (offene Übertragung) und ShellInABox (XSS-/XSRF-Attacken denkbar, mindestens bei Fehlern im Browser) in einem einzelnen Tool.

Die Unterscheidung bei Freetz erfolgt nur anhand der Tatsache, ob da ein Telnet-Daemon bereits läuft, der nicht von Freetz selbst gestartet wurde. Wenn man das also auf irgendeinem Wege selbst startet, weil AVM das nicht mehr macht, dann "sieht" Freetz das auch als "by phone" - mein Eindruck aus der Analyse der rc.telnetd.

@qwertz.asdfgh:
Ja, bei Freetz-Images sollte der Symlink auch existieren (auch wenn es da für die Ausführung des telnetd nicht relevant ist, weil ja die Freetz-BB den AVM-Patch nicht enthält und ihn somit nicht testet), da der ja im Rahmen der "normalen Installation" der Busybox (eigentlich "make install", aber fwmod macht das m.W. zu Fuß) angelegt wird.

Über diesen Link startet dann auch der telefon-Daemon den Telnet-Dienst ... Abhilfe würde wohl nur das Auslassen/Umbenennen des Links oder das Patchen des telefon-Daemons (als permanente Änderung lizenzrechtlich etwas schwierig, nur im tmpfs vermutlich zulässig nach UrhG) schaffen.

Da sehe ich also - solange AVM die Funktion nicht selbst aus "telefon" ausbaut - eher wenig Chancen, denn das Löschen/Umbenennen des Links verwirrt sicherlich andere dann wieder, die ihn dann nicht mehr finden/aufrufen können.

Freetz startet allerdings meines Wissens den Telnet-Daemon gar nicht selbst, sondern läßt ihn bei Bedarf über inetd starten ... theoretisch wäre das Entfernen oder Ändern des Links also tatsächlich problemlos möglich, genauso wie das Verpacken des Telnet-Dienstes in einen irgendwie sichereren Wrapper (z.B. stunnel, aber der trägt ganz schön auf, der neue "matrixtunnel" - hat er13 erst vor kurzem auf die neue libgcrypt umgestellt, wenn ich das richtig gesehen habe - wäre eine denkbare Alternative, wenn GnuTLS jetzt weniger Macken haben sollte). Wobei - ob nun Telnet mit Wrapper oder SSH, das macht bei der Last fast keinen Unterschied, nur der Aufruf einer Telnet-Session über TLS ist für viele wohl komplizierter als eine SSH-Session und SSH erlaubt gleich noch das Login über einen Schlüssel anstelle eines Kennworts.

Wenn man das Anlegen des Symlinks bei der Busybox-Installation von Freetz verhindern will, muß man vorher eine Datei editieren (busybox.links) und ihn dort entfernen.

 

[PeterPawn]

Sorry für zwei Posts hintereinander ... bei dem zeitlichen Abstand habe ich damit nicht gerechnet. Da es auch zwei Themen sind, setze ich das nicht zu einem zusammen ... jeder Beitrag für sich ist schon wieder mal lang genug, ich höre schon das (virtuelle) Stöhnen.

Eine Telnet-Sitzung über's WLAN ist genauso sicher (oder unsicher...) wie z.B. ein Abfragen seines Kontostandes im heimischen WLAN.

Das sind schon noch zwei verschiedene Qualitäten. Die Abfrage des Kontostandes sollte nämlich noch einmal für sich verschlüsselt sein und nicht nur durch die WLAN-Strecke.

Anders als Du es oben darstellst, ist mit der WLAN-Verschlüsselung eben nur die Übertragung zwischen der FRITZ!Box als WLAN-AP und dem WLAN-Client verschlüsselt, ab dem WLAN-Adapter in der FRITZ!Box, wo das wieder entschlüsselt wird, geht es im Klartext weiter bzw. mit dem originalen Paketinhalt (der kann ja auch noch mal verschlüsselt sein, wie es beim Banking hoffentlich der Fall ist).

Nun kann man zwar auf die Idee kommen, wenn die Pakete halt schon auf der FRITZ!Box sind, dann kann ja niemand mehr dazwischen kommen und somit ist das Thema schon durch. Das Problem ist aber, daß auf Layer2 - wo auch das WLAN arbeitet - die Adressierung nicht über die IP-Adresse, sondern über die MAC-Adresse erfolgt.

Wenn Dein WLAN-Client ein Paket an eine IP-Adresse verschicken will, die nicht in seinem eigenen Netz liegt, konsultiert er die Routing-Tabelle und landet (in aller Regel) bei einer IP-Adresse seines Standard-Gateways. Das zu versendende IP-Paket kann nun aber nicht einfach mit der IP-Adresse des Gateway verschickt werden, denn da steht der finale Empfänger drin und nicht der nächste "hop". Also muß das Paket anders adressiert werden und dazu fragt der Client im Netz herum (mit einem ARP-Request - Address Resolution Protocol), welche MAC-Adresse (L2) denn zu der IP-Adresse des Gateways (L3) gehört.

Das erfolgt per Broadcast und solche Broadcast werden tatsächlich auch im gesamten LAN verteilt, sie überbrücken mühelos die Grenze zwischen WLAN und LAN. Das muß logischerweise auch so sein, denn dieser Mechanismus wird ja für alle Adressauflösungen im LAN benutzt, nicht nur für die Suche nach dem Gateway. Wenn eine IP-Adresse anhand der Netzwerkadresse und -maske eines Interfaces als "link local" eingestuft wird, wird auf ARP zur Ermittlung der MAC-Adresse umgeschaltet. Der Switch in so einer FRITZ!Box (nehmen wir die 7490) hat normalerweise 7 Ports, zwischen denen er tatsächlich auch auf Hardware-Ebene die Pakete schnell durch die Gegend schieben kann, ohne daß die immer erst den IP-Stack der FRITZ!Box "bis oben" durchlaufen müssen. An den Ports hängen die 4 LAN-Anschlüsse und an jeweils einem weiteren Anschluß der WLAN-Adapter, das DSL-Modem und die CPU.

Und bei der Antwort auf so einen ARP-Request gewinnt dann derjenige, der als erster antwortet und von sich behauptet, er wäre das Gerät mit der gesuchten IP-Adresse. Der Client nimmt die Antwort zur Kenntnis (wenn keine weiteren Gegenmaßnahmen von seinem System getroffen werden) und merkt sich diese Angabe für eine gewisse Zeit (ARP cache timeout). Solange diese Zeit nicht abgelaufen ist, fragt er nicht erneut nach, er greift einfach auf seinen Cache zurück.

Wenn es also einem Angreifer gelingt, die Antwort als erster zu geben - indem er z.B. die FRITZ!Box so weit auslastet, daß diese zwar den Traffic zwischen WLAN und LAN noch bridged, aber selbst nicht mehr (schnell genug) zur Analyse des ARP-Request (und damit einer eigenen Antwort) kommt -, dann glaubt der Client am Ende, das Gateway wäre das Gerät mit der vom Angreifer übermittelten MAC-Adresse und adressiert seinerseits nun erst einmal alle Pakete "ins Internet" an diese MAC-Adresse (wir erinnern uns, die IP-Adresse in diesen Paketen ist immer noch die des Ziels im Internet).

Es wäre für den Angreifer sogar eine Möglichkeit (das hängt wieder vom System auf dem WLAN-Client ab), gar nicht erst auf einen ARP-Request des Client zu warten, sondern seinerseits in regelmäßigen Abständen eine gefälschte ARP-Response zu senden. Wenn er Glück hat, ist das System auf dem Client so dankbar für diese Information, daß es sie ohne Nachfrage (solange sie nicht existierenden Einträgen widerspricht, was nach Cache-Timeout und einer kurzen Zeit ohne die Notwendigkeit weiteren Traffics ja nicht mehr der Fall wäre) in die Liste der bekannten Zuordnungen übernimmt und gar nicht erst nachfragt, wenn diese Information aus dem Cache ermittelt werden kann.

Damit erhält jetzt jedenfalls der Angreifer (ob der auch ein WLAN-Gerät sein könnte, hängt vom AP - hier eben von der FRITZ!Box - ab) anstelle des Gateway diesen Verkehr und kann die abgefangenen Pakete inspizieren und sie mit der Zieladresse (MAC) des richtigen Gateway seinerseits wieder auf die Reise schicken. Wenn da keine weitere Sicherung in die Pakete eingebaut ist (auch die heißt MAC, steht aber für "message authentication code", häufig auch als HMAC für "(keyed-)hash MAC" bezeichnet), ändert er dabei noch die Absender-IP-Adresse, damit die Pakete aus dem Internet auch wieder vom echten Gateway an ihn weitergeleitet werden, bevor er sie an den WLAN-Client sendet.

Jedenfalls sitzt der Angreifer jetzt an der Quelle, solange der WLAN-Client denkt, er wäre eigentlich das Gerät mit der Gateway-IP. Da in den über das WLAN übertragenen Paketen ja gar nicht mehr drinsteht, daß die eigentlich für die FRITZ!Box als Gateway gedacht waren, kann diese das auch nicht erkennen und entlarven - wir erinnern uns, die IP-Absenderadresse und auch die Absender-MAC gehören zum WLAN-Client, die IP-Adresse des Ziels ist die öffentliche irgendeines Servers im Internet und die Ziel-MAC ist eben die des Angreifers.

Eine mögliche Abwehr wäre ein Filtern der ARP-Requests, so daß diese nur dann weitergeleitet werden, wenn sie nicht für die eigene IP-Adresse der FRITZ!Box gedacht sind. Der Pferdefuß dabei wäre es, daß dann erst einmal sämtliche Broadcast-Pakete geprüft werden müßten, ob es sich um ARP-Requests handelt und dann auch noch, ob diese Abfrage (andere Schicht im OSI-Modell) für die IP-Adresse(n) der FRITZ!Box erfolgt. Erst wenn das nicht der Fall ist, wird das Paket dann weitergeleitet. Das ergibt aber eine erhebliche Last und verlangsamt die Netzwerk-Kommunikation deutlich. Das Ermitteln, ob es sich um einen Broadcast handelt oder nicht, erfolgt normalerweise auf Hardware-Ebene im Switch (durch einen einfachen Adresskomparator, es sind eben alle Bits der MAC-Adresse eingeschaltet) und auch die Entscheidung/Verwaltung, an welchem Port eine bestimmte MAC-Adresse erreicht werden kann, trifft so ein Switch normalerweise ohne die Hilfe des IP-Stacks der FRITZ!Box. Ich glaube also nicht, daß AVM da auf die Hardware-Beschleunigung verzichtet und ARP-Requests filtert.

Stellt sich die Frage, woher denn der Angreifer so viel über das LAN und die FRITZ!Box als Gateway wissen könnte ... das ist in der heutigen Zeit auch absolut kein Problem, dafür sind die Geräte (bzw. die dort laufenden Dienste) viel zu geschwätzig. Das geht beim mDNS los und endet bei der FRITZ!Box bei der Multicast-Suche nach AHA-Geräten bzw. der Bekanntgabe, daß die FRITZ!Box AHA-Host ist. Wirf einfach mal einen Network-Sniffer für UDP 1900 an und laß Dich überraschen. Bei der Gelegenheit solltest Du auch in mehr oder weniger regelmäßigen Abständen dann ARP-Requests sehen und zwar sowohl von LAN- als auch von WLAN-Geräten.

Auch die oben noch offen gelassene Frage, wie man die FRITZ!Box nun so weit beschäftigen kann, daß der (Hardware-)Switch zwar die Pakete noch weiterleitet (nachdem der WLAN-Stack sie dekodiert hat, was auch schon harte Arbeit sein kann), aber sie selbst nicht mehr dazu kommt, den IP-Stack "just in time" zu bedienen, ist nicht so kompliziert. Frage mal rum, wieviele Leute hier mit Performance-Problemen der FRITZ!Box unter bestimmten Umständen (z.B. Dateitransfer zwischen LAN und WLAN mit entsprechender Geschwindigkeit) zu kämpfen haben, dann ist das nur noch eine Frage der Phantasie und des Fleißes, da einen Angriff über ARP-Spoofing/-Poisoning zu konstruieren.

Da schützt also die Verschlüsselung im WLAN überhaupt nicht ... wer das glaubt, unterliegt einem (u.U. gefährlichen) Irrtum.

 

[robert_s]

dann ist das nur noch eine Frage der Phantasie und des Fleißes, da einen Angriff über ARP-Spoofing/-Poisoning zu konstruieren.

Da schützt also die Verschlüsselung im WLAN überhaupt nicht ... wer das glaubt, unterliegt einem (u.U. gefährlichen) Irrtum.

Aber wie sollen die ARP-Spoofing Pakete denn in die Fritz!Box kommen? Aus dem Internet jedenfalls nicht, und über das verschlüsselte WLAN auch nicht, wenn der Angreifer den Schlüssel nicht kennt. Und wenn der Angreifer den WLAN-Schlüssel hat, ist das von der gleichen Qualität als wenn er physikalisch am LAN hinge - in beiden Fällen könnte er ARP-Attacken ausführen.

 

[PeterPawn]

Aber wie sollen die ARP-Spoofing Pakete denn in die Fritz!Box kommen?

Der Beitrag war eine Reaktion auf #77 und die dort getroffene Feststellung, die auch als Zitat an seinem Beginn steht.

Aus dem Internet jedenfalls nicht, und über das verschlüsselte WLAN auch nicht, wenn der Angreifer den Schlüssel nicht kennt.

Das habe ich auch nie behauptet ... logischerweise muß sich der Angreifer in einer Position befinden, die in derselben Broadcast-Domain liegt, wie der anzugreifende Client. Es geht aber eben auch vom LAN aus, ein Telnet-Login eines WLAN-Clients abzufangen oder zu belauschen.

Und wenn der Angreifer den WLAN-Schlüssel hat, ist das von der gleichen Qualität als wenn er physikalisch am LAN hinge - in beiden Fällen könnte er ARP-Attacken ausführen.

Unstrittig und eigentlich exakt das, was ich - nur ausschweifender - versucht habe zu beschreiben. Der entscheidende Unterschied zwischen einem Telnet-Login von einem WLAN-Client aus und einer Kontoabfrage von demselben Client aus, ist nicht die Tatsache, daß die WLAN-Verbindung verschlüsselt ist (das ist sie ja bei beiden Verbindungen), sondern daß die darüber abgewickelte Kontostandsabfrage ihrerseits (hoffentlich) eine TLS-Verschlüsselung benutzt und somit ein MITM-Angriff auf diese Verbindung (z.B. mit ettercap) entweder auffallen sollte (wegen des falschen Zertifikats) oder der Angreifer mit den Daten nichts anfangen kann, weil er nicht als MITM auch in der TLS-Verbindung hängt.

Einen gewissen Schutz bietet vermutlich noch die Option, den WLAN-Clients die Kommunikation untereinander nicht zu gestatten, dann werden m.W. keine Pakete aus dem WLAN wieder in das WLAN gesteckt - die gehen ja erst von einem Client zum AP (werden dort ent- und wieder verschlüsselt) und dann wieder vom AP zum anderen Client. Anders kann ich mir jedenfalls diese Option im AVM-GUI nicht erklären, denn die Bildung eines "ad hoc"-Netzes zwischen zwei Clients kann der AP ja nicht verbieten - also kann das irgendwie nur in dem von der FRITZ!Box verwalteten WLAN gelten. Das würde es (wenn meine Interpretation stimmt) einem Android-Gerät über das WLAN eben nicht ermöglichen, solche ARP-Attacken auszuführen. Das meinte ich auch, als ich davon schrieb, daß die Möglichkeit eines Angreifers im WLAN vom AP abhängig ist.

Ausgangspunkt des Ganzen war es aber ohnehin, ob Telnet eine sichere Methode des Zugriffs auf eine FRITZ!Box ist ... und das ist sie eben nicht. Wenn jemand sein Netzwerk absolut im Griff hat und wirklich jedes dort herumschwirrende Paket beim Namen nennen kann, dann mag das angehen (und er kann mit dieser Überzeugung weiterleben). Aber schon ein Android-Gerät mit einer Version kleiner 4.4 (also vor KitKat) kann diese "Gewißheit" mit der Webview-Lücke problemlos über den Haufen werfen ... und auch der Nachwuchs, der mit der Kindersicherung der FRITZ!Box nicht so ganz glücklich wird, kann sich dafür interessieren. Von ggf. auch infizierten weiteren Geräten im LAN rede ich erst gar nicht ... so ein NAS (egal von welchem Hersteller) ist genauso ein dankbares Ziel wie ein Webradio oder ein "HDMI-Stick" für die Videowiedergabe aus dem Internet.

Am Ende gibt es vermutlich ohnehin nur zwei Arten von privaten Netzen ... die, die gehackt wurden und die, deren "Besitzer" noch nicht wissen, daß sie gehackt wurden. Was (vielleicht) helfen könnte, ist die Unterteilung des Netzwerks per VLAN in "funktionale Netze", zwischen denen dann ein Gateway als Router den Vermittler spielt. So habe ich es jedenfalls bei mir eingerichtet (mit mehreren GS-105E-Switches, was auch gleich noch das Multicasting erleichtert), damit gehen jedoch auch echte Probleme einher, wenn mal schnell Client A mit Client B Daten austauschen soll und es zwischen diesen VLANs aber gar keine Routen gibt bzw. das nur aus einer Richtung vorgesehen ist und nun braucht man ad hoc die andere.

 

[Fritz Funker]

Alternative DNS Server
Bisher - aktuell bis zur Version 113.06.29-30480 vom 19.05.2015 - konnte ich im Menü Internet - Zugangsdaten einen Reiter wählen, um alternative DNS-Server einzutragen. Diese Option finde ich in der hier besprochenen Version 113.06.25-30593 jetzt nicht mehr.
Ist diese weggefallen?

 

[alex23pdm]

Hallo Zusammen, weiß jemand ob AVM das IPv6 Problem mit Android Devices schon gelöst oder auf dem Schirm hat?
Gruß Alex

 

[Benares]

... konnte ich im Menü Internet - Zugangsdaten einen Reiter wählen, um alternative DNS-Server einzutragen. Diese Option finde ich in der hier besprochenen Version 113.06.25-30593 jetzt nicht mehr.
Ist diese weggefallen?

Doch, den Reiter "DNS-Server" gibt es noch, zumindest bei meiner Client-7490.

"Ansicht: Erweitert" ist aktiv?

 

[SF1975]

Hallo,
http://fritz.box/internet/dns_server_enh.lua

 

[TCHAMMER]

Auf der Feedback Seite von AVM ist zur Zeit die Version 6.25-30758 zu sehen aber nichts unter Neuerungen oder im Beta Ordner. Jemand schon geschaut ob die 7490 ein Update anzeigt ?

 

[HabNeFritzbox]

Neue Version -> http://www.ip-phone-forum.de/showthread.php?t=279645

 

[Fritz Funker]

Doch, den Reiter "DNS-Server" gibt es noch, zumindest bei meiner Client-7490.

"Ansicht: Erweitert" ist aktiv?

Danke, gmeyer, hatte die erweiterte Ansicht schon gesucht. In der unterste Zeile bin ich nun fündig geworden.