[Info] FRITZ!Box 7490 Labor-Firmware Version 113.06.29-30272 vom 14.04.2015

[PeterPawn]

Ich weiß nicht, ob das schon mal jemandem aufgefallen ist und ob es nur an der FritzBox liegt, aber ich hab mitterweile über 2:30h eine stabile VPN Verbindung mit meinem HTC One auf Android 5.0.2.

Ich würde mich - in Abhängigkeit von den eingestellten/verhandelten Parametern der VPN-Verbindung - noch nicht allzu früh freuen.

Vorsicht, es folgt wieder mal eine "off-topic"-Einlassung/-Meinung, aber immer noch mit Bezug auf diese konkrete Labor-Version, denn die zitierten Einstellungen stammen alle aus dem Image für diese Version.

AVM hat (ob freundlicherweise oder nicht, muß jeder selbst entscheiden) weitere Profile mit einer Schlüssellebensdauer von 8 Stunden in der ipsec.cfg definiert, diese "Sets" hören auf die Namen "LT8h/esp-all-all/ah-none/comp-all/pfs" und "LT8h/esp-all-all/ah-none/comp-all/no-pfs". Solange eines dieser Profile in der FRITZ!Box ausgewählt ist und die Gegenstelle nichts dagegen hat (keine Ahnung, was da bei Android-Geräten Standard ist), bleibt der für eine VPN-Verbindung verwendete Schlüssel also 8 Stunden gültig, unabhängig von der damit bereits verschlüsselten Datenmenge.

                name = "LT8h/esp-all-all/ah-none/comp-all/no-pfs";
                comment = "Alle Algorithmen, ohne AH, ohne PFS";
                pfs = no;
                life_dur_sec = 8h;
                life_dur_kb = 0;
                proposals {
[...]
                }

Das ist theoretisch eine "krypthographische Sünde" (man verschlüsselt nicht lange Zeit und große Datenmengen mit demselben Schlüssel), mag bei einem halbweg vernünftigen sonstigen Setup noch akzeptabel sein. Wenn dann allerdings auch noch eine Verschlüsselung mit DES (56-Bit-Schlüssel) und MD5-Hash zugelassen wird (ebenfalls aus der ipsec.cfg, in diesem Fall aus dem "no-pfs"-Set):

[...]
                } {
                        comp = comp_lzjh;
                        ah = ah_none;
                        esp {
                                typ = esp_des;
                                enc_key_length = 0;
                                hash = md5;
                        }
                } {
                        comp = comp_deflate;
                        ah = ah_none;
                        esp {
                                typ = esp_des;
                                enc_key_length = 0;
                                hash = md5;
                        }
                } {
                        comp = comp_none;
                        ah = ah_none;
                        esp {
                                typ = esp_des;
                                enc_key_length = 0;
                                hash = md5;
                        }
                }

,
dann ist das eigentlich nicht mehr richtig lustig. Bleibt also nur noch, auf der Gegenseite entsprechende Gegenmaßnahmen zu treffen ...

Ob und wann AVM diese "LT8h"-Sets jetzt in ihrem VPN-Assistenten automatisch verwendet, will ich gar nicht testen ... der normale Benutzer würde das gar nicht bemerken, solange er nicht die resultierende vpn.cfg (z.B. in einer Export-Datei) überprüft.

Wenn einem aber (im schlechtesten Fall) diese schwache Verschlüsselung über 8 Stunden tatsächlich reicht, ist man auf der "sicheren Seite", wenigstens funktioniert die VPN-Verbindung. :blonk:

Nur so am Rande: Viele der Angriffe auf Verschlüsselung der letzten Zeit, u.a. auch FREAK, basieren auf dem Downgrade einer eigentlich sicher konfigurierten Verbindung (was hier nicht einmal der Fall ist, die Verbindung könnte sicher ausgehandelt werden, sie muß es aber nicht) auf einen leichter angreifbaren Algorithmus. Bei FREAK sogar auf die ehemalig von den USA auch für den Export zugelassenen Verschlüsselungen ... kleiner Hinweis zum Schluß: DES/MD5 gehörte zu den dort zugelassenen Algorithmen, möge sich nun jeder einen eigenen Reim darauf machen (und hoffentlich Konsequenzen ziehen oder wenigstens bei AVM insistieren, solange man die Algorithmen nicht einstellen kann - bei vielen anderen VPN-fähigen Routern eine Basisfunktion).

Die Tatsache, daß man eine VPN-Verbindung aufbaut, sagt leider noch rein gar nichts über deren Sicherheit ... und der alte Slogan: "Besser eine schlechte Verschlüsselung als gar keine ..." kann auch schnell in die falsche Richtung (z.B. nach hinten) losgehen, wenn man sich dieser Randbedingungen gar nicht bewußt ist.

 

[Benares]

Ich hab die Labor zwar nur auf meiner Client-7490 drauf, aber mir kommt die Liste der Geräte unter Heimnetz im Vergleich zu früher und im Vergleich zur Router-7490 doch recht leer vor. Ich weiss noch nicht so recht, was ich davon halten soll. Auch ist der Name einiger (WLAN-)Geräte (PC-<MAC>) nicht mehr änderbar (Fehler beim Speichern oder ausgegraut). Evtl ist auch etwas KKK mit im Spiel. Beim Router mit der Final-FW klappt das.

 

[winni_]

.........aber mir kommt die Liste der Geräte unter Heimnetz im Vergleich zu früher und im Vergleich zur Router-7490 doch recht leer vor. Ich weiss noch nicht so recht, was ich davon halten soll.

Bei mir das gleiche, Ich denke das ist ein Bug, war aber schon bei der vorherigen Labor so.
MfG

 

[Benares]

ja, war schon bei der letzten Labor so. Wollte es nur nochmal erwähnen, nicht dass AVM denkt, die Firmware tauge zur nächsten Final.

 

[rs doc]

was ich in dreiteufelsnamen nicht gebacken kriege ist die zeitgesteuerte weiterleitung von anonymen anrufen auf den anrufbeantworter.
von 8-18 uhr sollen die anonymen durchkommen, sonst direkt auf den anrufbeantworter. alles laut avm vorgaben eingestellt, rufe ich jedoch mit unterdrückter nummer an, höre ich nur ein piepsen und das wars.
nach 18 uhr geht der anrufbeantworter hin und alles gut...
was kann das sein?

danke, gruß rs doc

 

[Hans Juergen]

alles laut avm vorgaben eingestellt

Poste bitte Screenshots der Einstellungen, nutze dafür die foreneigene Software (Erweitert > Büroklammersymbol)

 

[informerex]

was ich in dreiteufelsnamen nicht gebacken kriege ist

die Shift-Taste zu betätigen ?

höre ich nur ein piepsen und das wars.

von welchem Endgerät? evtl. einem angeschlossen Fax o.ä.
wurde 1 oder 2 Anrufbeantworter (1ter off/2ter on - siehe Wissensdatenbank) angelegt?

PS: wobei das Problem mit der og. FW (Version) ja nichts zu tun hat, sondern ein individuelles ist - melde daher evtl. deinen Beitrag über Dreieck links unten, dass das Mod-Team es abtrennt

 

[Hans Juergen]

Irgendwie ist die Geschichte mit der Türsprechanlage wohl noch nicht zu Ende... Unter Telefoniegeräte > Einstellungen werden Handys als Türsprechanlage geführt...
:lach: Darf ich jetzt nur noch da telefonieren...? :lach:

 

[scolopender]

Ja und? Wenn der Klingelknopf versagt, muss man sich wohl so behelfen.

G., -#####:mrgreen:

 

[KiRKman]

Euch wird das Lachen noch vergehen

Ich habe festgestellt, dass mein Upload bei der aktuellen Firmware höher ist. Dies ist insofern seltsam, als dass der DSL-Sync im Upstream unverändert geblieben ist. Ich kann dennoch einfach höhere Werte in der Übertragung erreichen, obwohl ich auf meiner Seite sonst nichts geändert habe - weder Geräte noch Software.

Erst dachte ich, es läge an den Diensten bzw. Servern, denen ich Daten sende. Aber auch der Ookla Speedtest zeigt plötzlich höhere Werte beim Senden an. Ich habe mehrere Server durchprobiert.

Ich nutze einen Telekom ADSL2+ Annex J Anschluss. Upstream ist bei mir 2323 kbit/s brutto. Und die werden jetzt erstmalig auch (netto entsprechend) erreicht. Vorher ging immer nur soviel durch, als hätte ich ca. 1500 kbit/s brutto. CRC-Fehler auf der DSL-Strecke waren nicht dafür verantwortlich, dass es langsamer war.

Am Telekom BRAS hat sich bei mir in der Zwischenzeit auch nichts für mich Sichtbares geändert. Es könnte also tatsächlich am neuen FRITZ!OS liegen. Hat zufällig jemand Ähnliches beobachtet?

 

[rerhafnhabu]

was ich in dreiteufelsnamen nicht gebacken kriege ist die zeitgesteuerte weiterleitung von anonymen anrufen auf den anrufbeantworter.
von 8-18 uhr sollen die anonymen durchkommen, sonst direkt auf den anrufbeantworter. alles laut avm vorgaben eingestellt, rufe ich jedoch mit unterdrückter nummer an, höre ich nur ein piepsen und das wars.
nach 18 uhr geht der anrufbeantworter hin und alles gut...
was kann das sein?
danke, gruß rs doc

DAS versuche ich auch schon seit einiger Zeit.
Was du machst, ist den Anrufbeantworter zeitweise zu deaktivieren. Die Rufumleitung auf den deaktivierten AB bleibt natürlich bestehen und so bekommt der unbekannte Anrufer nur das besagte piepsen.
Was fehlt ist eine zeitgesteuerte Rufumleitung.

 

[Kaffeejunkie]

rerhafnhabu, so ne Zeitgesteuerte Rufumleitung wäre echt gut. Vergesse nämlich des öfteren, diese wieder ein bzw. aus zu shalten.

 

[Eumeltier]

So, ich habe jetzt zum ersten Mal ein Problem mit einer Labor.

Telefonieren geht gar nicht. Rein oder Raus, Rufaufbau klappt, aber sobald man selber bzw. die Gegenstelle aufnimmt, kommt das Besetztzeichen.

Gruß,
Martin

 

[winni_]

Das ist leider kein Problem der Labor, so wie es aussieht geht gerade bundesweit garnix uebers Festnetz.
MfG

 

[winni_]

So, gerade aus dem Telekom Hilft Forum:

Hallo zusammen, ich habe weitere Informationen bekommen.

Derzeit kommt es zu Beeinträchtigungen im IP-Angebot der Deutschen Telekom.
Die Deutsche Telekom arbeit bereits an der Fehleranalyse. Derzeit lässt sich kein konkretes Störungsende nennen.

Wir bitten Sie um Verständnis, für die sich derzeit abzeichnende Situation und können den Ärger und die Enttäuschung nachvollziehen. Die Situation entspricht nicht unserem Verständnis von technischer Verfügbarkeit unseres Netzes.

Viele Grüße
Christoph T.​
https://telekomhilft.telekom.de/t5/Frage-stellen/Störung/qaq-p/1351314/search-sort-type-order/date#

 

[Eumeltier]

Doch bei meinem Bruder am selben MSAN auch mit AVM 7490 (6.24) geht alles.

 

[winni_]

Ist oder war ☺ aber trotzdem eine bundesweite Stoerung, liess den Link, oder auch hier: https://xn--allestrungen-9ib.de/stoerung/deutsche-telekom
MfG

 

[Eumeltier]

Ist ja lustig, daß es bei mir nicht geht aber an einem anderen Anschluß am selben MSAN schon...

 

[robert_s]

Ich nutze einen Telekom ADSL2+ Annex J Anschluss. Upstream ist bei mir 2323 kbit/s brutto. Und die werden jetzt erstmalig auch (netto entsprechend) erreicht. Vorher ging immer nur soviel durch, als hätte ich ca. 1500 kbit/s brutto. CRC-Fehler auf der DSL-Strecke waren nicht dafür verantwortlich, dass es langsamer war.

Am Telekom BRAS hat sich bei mir in der Zwischenzeit auch nichts für mich Sichtbares geändert. Es könnte also tatsächlich am neuen FRITZ!OS liegen. Hat zufällig jemand Ähnliches beobachtet?

Hast Du den telnet-Zugang geöffnet? Dann schau doch mal mit "tc -s qdisc" wie das Traffic Shaping für den Upstream eingestellt ist. Interessant wäre bei Dir natürlich der Vergleich mit einer älteren Firmware...

 

[DickS]

Ich habe festgestellt, dass mein Upload bei der aktuellen Firmware höher ist.

Gut, werde dann auch mal die 7490 mit der Labor bestücken und an meiner 2+ Leitung anschließen. Wenn sie auf die Werte der 7270 kommt (oder nahe), wäre das schon mal eine tolle Sache!