FRITZ!Box 7590 07.20 vom 06.07.2020

Hey Peter,

Was kommt denn bei dir für eine Fehlermeldung?
Bei mir wird ein falsches Passwort bemängelt, was aber nicht sein kann, da das PW sauber vom KeepassXC geliefert wird und ja immer funktionierte.

Als Fehler kommt das keine sichere Verbindung aufgebaut werden kann.

Da ich aber eine "kleine" Privat-CA betreibe und jedes Jahr ein paar Hundert Zertifikate für Familie und Freunde (für diverse Server, aber hauptsächlich für Mailverschlüsselung mit S/MIME) produziere, habe ich vor fast einem Jahr mal ein unter 7.12 funktionierendes und ggw. noch gültiges Zertifikat erzeugt, welches noch immer aktiv in der F!B ist. Heute erstmalig (um dir antworten zu können) mit diesem eine https-Verbindung aufgebaut - und die o.g. Fehlermeldung erhalten.

Welche Fehlermeldung kam bei dir? Wird das Passwort beim Import bemängelt oder wo?

Ich kam auch nur dadrauf weil die MyFritz-App sich nicht connecten wollte bzw. sich nicht einrichten wollte. Daher bin ich die Möglichkeiten mal durch gegangen... Ich mache die Sachen auch lieber per VPN. Habe wie du eine kleine Privat-CA für paar Sachen (S/MIME, https: intern, usw...). Mit 7.12. läuft... mit 7.20...nööööö
 
Welche Properties hat denn der dafür verwendete Schlüssel? Sicherlich ein RSA-Key, aber welche Schlüssellänge?

AVM hat selbst sehr lange auf einen 1024-Bit-Key gesetzt und irgendwann dann auf 2048-Bit-Keys gewechselt. Genau weiß ich nicht mehr, wann das war, aber ich hatte damals etwas dazu geschrieben, warum es Sinn machen kann, wenn man den Key der eigenen Box (also den, den sie selbst generiert) noch einmal zu erneuern, weil der "alte" ggf. eine zu geringe Key-Length hat.

Allerdings kannst Du das auch gleich wieder vergessen, wenn Deiner mind. 2048 Bit aufweist - darüber hinaus wird AVM (hoffentlich) nicht gehen. Aber es wäre denkbar (und ggf. auch nachvollziehbar), daß man inzwischen einfach der Ansicht ist, 1024 Bit wären zu wenig bei einem RSA-Key und deshalb eine Mindestlänge erwartet. Wer seinen Key schon vor langer Zeit generiert (damals noch passend zu dem, was AVM mit 06.20 (wenn ich mich richtig erinnere) eingeführt hat) und danach nur noch die Zertifikate für diesen Key jeweils erneuert hat (weil hoffentlich niemand ein Zertifikat mit einer so langen Laufzeit ausgestellt hat, auch nicht mit seiner eigenen CA), könnte vor einem solchen Problem stehen und die meisten anderen, die schon längere Keys verwenden, merken davon dann halt nichts.

Allerdings kann ich mich auch nicht an eine entsprechende Mitteilung von AVM in der "info.txt" erinnern ... falls es tatsächlich daran liegen sollte. Vielleicht habe ich die aber auch nur überlesen oder irgendeine andere Info in dieser Hinsicht nicht richtig verstanden.

Vielleicht klären wir ja doch erst einmal die Frage, was das für ein Key ist, denn ich weiß eigentlich gar nicht, ob AVM mittlerweile auch Verfahren mit elliptischen Kurven unterstützt und man z.B. auch ein Zertifikat für einen ED25519-Key hochladen könnte - dafür ist 07.20 eben noch zu neu, als daß man das schon alles erkundet haben kann.

In der Online-Hilfe ist jedenfalls immer noch von einem RSA-Key die Rede und Angaben zu einer Mindestlänge des Keys fehlen: https://service.avm.de/help/de/FRITZ-Box-7590/019/hilfe_internet_remote_https - nur muß das nicht unbedingt etwas bedeuten, denn AVM verwendet da durchaus die "Standardbibliotheken" aus dem OpenSSL-Projekt (Version 1.1.1g vom 21.04.2020 in der 154.07.20) und die können von sich aus manches, was bei AVM nicht beschrieben ist.

In der Vergangenheit zählte dazu u.a. auch die Möglichkeit, eigene, bessere Primzahl-Auswahlen als "DH PARAMETERS" in der Datei mit dem privaten Schlüssel zu hinterlegen, die dann auch tatsächlich vom Webserver genutzt wurde, anstelle der fest eingebauten, "schwachen" (weak) Auswahl an Werten - auch wenn man diese nicht direkt beim Upload des eigenen Keys angeben konnte und sie erst nachträglich ins TFFS schreiben mußte.

EDIT: Eine minimale Schlüssellänge könnte u.U. auch von der OpenSSL-Version oder sogar vom verwendeten Browser erzwungen werden - wobei die Browser eigentlich am Beginn der Corona-Krise wieder zurückgerudert sind bei "weak certificates", weil so viele staatliche Stellen ansonsten nicht erreichbar gewesen wären, da die häufig noch nicht umgestellt hatten.
 
Zuletzt bearbeitet:
Die Fehlermeldung mit dem falschen PW kommt, wenn ich mich per Benutzername und PW an der F!B anmelden will. Will sagen, die https-Verbindung kommt zustande, aber dann eben nicht die Anmeldung.
Bei der 7.12 konnte ich mich per https und den im KeepassXC gespeicherten Daten anmelden. Oder um noch mal ganz deutlich: das Zertifikat war und ist auf der F!B und die gleichen Auth.-Daten waren und sind im KeepassXC. Das einzigste, was sich geändert hat, ist die Firmware des F!B.

edit nach dem Lesen des Beitrages von PeterPawn:
Meine Zertifikate haben eine Schlüssellänge von 4K. Ich habe ein Root-Zertifikat mit 15 Jahren Gültigkeit (aus alter beruflicher Gewohnheit "PCA" genannt) und dieses signiert die jeweilige Jahres-CA (in diesem Fall CA-2019). Und diese hat dann die Benutzer-Zertifikate (S/MIME) und die Server-Zertifikate signiert. Und in der exportierten .pem-Datei ist dann auch "alles" drin. Für die rein lokale Anwendung auf der eigenen F!B habe ich keinen Anlass gesehen, ein PW für die Verschlüsselung des private-Key zu nutzen.
Und ich habe mich bisher auch davor gedrückt, auf elliptische Kurven umzustellen. Das kommt 2021, wenn die "PCA" ausläuft. (Ja, so schnell vergehen 15 Jahre ...)

Was mich eben wundert (ohne dass ich das unbedingt untersuchen will) ist, dass die https-Verbindung steht (und die Anmeldeseite korrekt angezeigt wird, auch nach Löschung des Cache) und lediglich die Kombination aus Benutzername und Passwort bemängelt wird.
 
Zuletzt bearbeitet:
Hallo @PeterPawn,

bei mir ist es wie bei @Peter_Lehmann das sich nur die Firmware der FritzBox geändert hat.

Kurzer Steckbrief zu meinen Certs:

  • Key-Länge: 4096
  • kryptographisches Verfahren: RSA
  • Länge: habe zwischen ein paar Tagen und 1 Jahre ausprobiert, seit dem ich merkte das es nicht geht.

Mit meiner 7490 und 7.12 => läuft
Mit meiner 7590 und 7.20 => läuft nicht

Das Cert is das identisch.
 
Ich habe mal eine Frage. Ich habe auf meiner 7590 die neue Releaseversion 7.20 aufgespielt. Per Ethernet ist diese mit einem 10G Switch verbunden. An dem Switch hängt eine 7580 als AP im Mesh. Mesh Verbindung ist über das Ethernet eingestellt.

Mir ist jetzt wiederholt passiert, dass nach einiger Zeit die 7590 die Verbindung mit dem Switch verliert. Damit ist alles was mit dem AP oder direkt am Switch hängt vom Internet abgekoppelt. Verbindung mit der 7590 ist dann natürlich auch nur möglich wenn man sich mit der 7590 per Ethernet oder WLAN verbindet. Wenn man dies tut zeigt die 7590 in der Mesh und Netzwerkübersicht ganz normal die Geräte mir einer 1Gbit Verbindung an.

Dieses Mal konnte ich das Problem beheben, indem ich das Ethernet Kabel vom WAN Anschluss in den LAN1 Anschluss der 7590 umgesteckt habe. Ich meine, aber dass ich etwas vergleichbares auch schon vor einer Woche oder so gemacht habe.

Hat jemand anderes ein vergleichbares Problem festgestellt? Vor dem Update auf 7.20 hatte ich noch nie solche Probleme. Wäre interessant zu wissen, ob auch jemand anderes Ethernet Probleme hatte nach dem Update auf 7.20. Ich habe solche in diesem Thread nicht gesehen, aber vielleicht habe ich es auch einfach übersehen.
 
@Peter_Lehmann / @BurningCrash

Dann dürfte der augenfälligste Unterschied eben der Wechsel von OpenSSL 1.0.2r in der 07.12 zur 1.1.1g in der 07.20 sein - und die ist dann eben auch so "neu", daß sie nicht die gesamte Labor-Reihe über getestet werden konnte (begonnen hat das noch mit der 1.1.1c).

Ich habe zwar eine 7590 da, aber bisher auch noch keine Zeit zur Installation der Release-Version gefunden - sonst würde ich Eure Funde jeweils selbst versuchen zu reproduzieren. Denn offensichtlich sind das ja nicht dieselben Symptome, wenn ich #381 und #383 vergleiche.

Es gibt zwar auch noch ein paar Möglichkeiten, wo das FRITZ!OS beim Upload eines Benutzerzertifikats etwas falsch machen kann - aber dann dürfte ja keine TLS-Verbindung aufgebaut werden (zumindest keine mit dem richtigen Zertifikat unter Benutzung des zertifizierten Keys), wie das nach #383 der Fall ist und warum es für die Gültigkeit der Kombination aus Benutzername und Kennwort eine Rolle spielen soll, ob das eine TLS-Verbindung mit einem von der Box selbst erstellten und selbst signierten Zertifikat ist oder mit einem vom Benutzer hochgeladenen Key/Zertifikat, liegt außerhalb meiner Vorstellungskraft, solange beide TLS-Verbindungen funktionieren.

Bei einem Fehler in der Richtung: "Es kann keine gesicherte Verbindung aufgebaut werden." (wie in #381) kann ich mir noch irgendwelche Probleme in der Chain (bis hin zur (personal) CA) vorstellen - aber das ist lt. #383 ja auch nicht der Fall.

Das LE-Zertifikat mit seinen Eigenschaften dürfte das beste "Template" für die notwendigen Properties eines eigenen, benutzerdefinierten Zertifikats sein - ich würde diese (inkl. aller Zertifikate in der Kette bis zur CA) noch einmal genau prüfen. Die Properties des "private keys" sind es dann vermutlich nicht - aber mancher verwendet ggf. auch noch SHA1 für das Signieren von Zertifikaten (weil er es mal so konfiguriert hat in seiner "openssl.conf" - oder was auch immer er/sie da verwendet) und ist sich dessen gar nicht bewußt.

Da die neue TLS-Library (libssl.so.1.1) aber mit dem verwendeten Browser auch andere Algorithmen (ja, sogar andere TLS-Versionen) aushandeln kann, als die in der 07.12 verwendete (selbst wenn Zertifikat und Browser sich nicht ändern), ist dann wohl doch eher ein genauerer Blick auf die Versuche des TLS-Handshakes erforderlich - da, wo gar keine "sichere Verbindung" aufgebaut werden kann.

Ich kann mich erinnern, daß AVM da irgendwo mal eine recht eigenwillige Art der "Verweigerung" einer TLS-Verbindung eingebaut hatte, wo anstelle der dafür eigentlich vorgesehenen Fehlermeldung im Handshake einfach ein Abbruch der Verbindung durch die Box erfolgte (auch dazu gibt's irgendwo hier einen Beitrag von mir und ich weiß schon wieder nicht, wo oder auch nur wann das war) - ob das mittlerweile anders ist (wieder nur für den Fall, daß da gar keine TLS-Verbindung zustande kommt), wäre ggf. auch noch einen Blick wert. Ich weiß aber nicht mal mehr, welche Protokoll-Version da von AVM abgelehnt wurde - da reichen die Möglichkeiten ja von SSLv2 über SSLv3 bis zum TLS1_0.

Beim Problem, daß auf einmal der Benutzername und/oder das Kennwort nicht stimmen sollen, bin ich einigermaßen ratlos und verblüfft - ich könnte mir höchstens noch vorstellen, daß da die Rechte des verwendeten Benutzers hinsichtlich "Zugriff auch aus dem Internet" beim Update auf 07.20 gelitten haben - wenn ich das richtig verstanden habe, gab es da ja noch keinen Test durch ein Downgrade auf 07.12 (mit denselben Einstellungen) und es ist ein ansonsten auch eher selten benutzter Zugang, so daß das bisher event. nicht auffiel. Da würde ich vielleicht noch einen neuen Benutzer anlegen und mit dem testen, ob das zu demselben Problem führt.

EDIT: Ich habe den Beitrag zur Limitierung der Server-Dienste in der FRITZ!Box auf TLS1.2 (oder höher) dann doch noch gefunden: https://www.ip-phone-forum.de/threa...-07-08-und-die-umstellung-auf-tlsv1-2.303240/
 
Zuletzt bearbeitet:
:mad: :mad: :mad:
Oh, ist das peinlich ...

Peter, als du gestern die Lösung gepostet hast (dein letztere Absatz), habe ich schon geschlafen. Und heute 05:50 wachte ich mit dem Gedanken an die Lösung auf:
Da ich ja grundsätzlich kein Gerät von außen erreichbar mache, hatte mein Benutzer selbstverständlich auch kein Recht dazu!
Den Haken gesetzt - und schon gehts! (Kaum macht man alles richtig ...)

Also, ich ziehe alles zurück und behaupte das Gegenteil ;) => Keine Probleme beim https-Zugang aus dem Internet mit der Fw 7.20
und meinen selbst generierten Zertifikaten. Wichtig ist natürlich, dass in der .pem sämtliche erforderliche Bestandteile (also auch die public-Keys der bei mir signierenden PCA und der CA-2019) enthalten sind und meine eigene CA im Browser als vertrauenswürdige CA eingetragen ist. Aber diese Punkte dürften ja selbstverständlich sein.
So, und nun schnell wieder "dicht" gemacht. Den https-Zugang wieder deaktiviert und dem Benutzer (also mir) das Recht zum Zugang aus dem Internet genommen. Und auch noch mal den Zugang über dem Mobilfunknetz via Wireguard getestet.


MfG Peter
 
Danke für die Rückmeldung @Peter_Lehmann.

@PeterPawn ich schau nochmal drüber. Wollte meine Skripte eh mal überarbeiten um die Zertifikate zuerstellen. Möglich ist das mir was bezüglich der SHA-Geschichte was durchgerutscht ist. Wir sind ja alle nur Menschen

Ansonsten werde ich die Box eh mal resetten um durch das ausprobieren nicht einen Fehler verursacht zu haben bzw durch umziehen mit export-Datei nicht was so will wie es soll.


//EDIT: SHA war korrekt (also nicht SHA1 o.ä.)
Baue heute Abend mein Skript neu auf und prüfe u.a. ob das zusammenbauen von der PEM für die FB auch korrekt ist. Möglich das ich mich damals an die FB angepasst habe und 7.20 da was „geändert“ hat und es deshalb nicht funktioniert (weil der frühere Fehler in der alten Version „ignoriert“ wurde).

Ich werde berichten
 
Zuletzt bearbeitet:
Dieses Mal konnte ich das Problem beheben, indem ich das Ethernet Kabel vom WAN Anschluss in den LAN1 Anschluss der 7590 umgesteckt habe. Ich meine, aber dass ich etwas vergleichbares auch schon vor einer Woche oder so gemacht habe.

Hat jemand anderes ein vergleichbares Problem festgestellt? Vor dem Update auf 7.20 hatte ich noch nie solche Probleme. Wäre interessant zu wissen, ob auch jemand anderes Ethernet Probleme hatte nach dem Update auf 7.20. Ich habe solche in diesem Thread nicht gesehen, aber vielleicht habe ich es auch einfach übersehen.

Hallo,
ich hatte meine 7590 Master und 7590 Client auf Werkseinstellungen zurückgesetzt. Bei der Neukonfiguration konnte ich die 7590 Client nicht mehr über den WAN Port ins Netzwerk aufnehmen. Über einen LAN Port hat es funktioniert.

Gruß
 
@Fechenheimer
Hast du auch daran gedacht unter Netzwerk - Netzwerkeinstellungen
Wan Einstellung als Lan 5

Gruß
 
Hallo,
ich hatte meine 7590 Master und 7590 Client auf Werkseinstellungen zurückgesetzt. Bei der Neukonfiguration konnte ich die 7590 Client nicht mehr über den WAN Port ins Netzwerk aufnehmen. Über einen LAN Port hat es funktioniert.

Gruß

Ich hatte den WAN Port schon auf LAN5 umgestellt. Aber auch davon unabhängig hatte ich heute schon wieder einen solcher Hänger. Habe das Ethernet Kabel von LAN1 auf LAN2 umgestöpselt und es lief wieder alles. Ich habe jetzt mal ein Ticket bei AVM geöffnet.
 
Bei mir tut seit vielen Wochen ein DVB-C WLAN-Repeater per LAN-Brücke am WAN als LAN5 seinen Dienst ohne Unterbrechung vor und nach dem Update.
 
Ich warte mal die Antwort von AVM ab. Ansonsten resette ich die 7590 mal und schaue, ob das was bringt.
 
Anscheinend gibt es hier Probleme bei VPN Kopplungen zwischen 7590 7.20 und 7490 oder habe ich das falsch gelesen und auch Sync Abbrüche gibt es bei vielen? D. h. am besten noch warten bis zur nächsten Version oder?
 
Anscheinend gibt es hier Probleme bei VPN Kopplungen zwischen 7590 7.20 und 7490 oder habe ich das falsch gelesen und auch Sync Abbrüche gibt es bei vielen? D. h. am besten noch warten bis zur nächsten Version oder?
Mein eigentliches Problem war, dass die Fritzboxen nicht mehr in der Netzwerkübersicht von Windows 10 zu sehen waren. Ich habe eine 7590 als Master, eine 7590 als Client und zwei 7530. Eine per LAN an der 7590 Master und die andere per WLAN an der 7590 Client. Nach dem Werksreset konnte ich, wie oben schon geschrieben, nicht mehr über den WAN Port verbinden. In den Einstellungen steht der Port auf WAN. Ein Ticket ist bei AVM eingestellt.
Weiterhin konnte ich keine VPN Verbindung mehr von meinem iPad aus herstellen. Die Einstellungen wurden mehrfach gelöscht und immer wieder versucht. Als Meldung kommt: VPN Server antwortet nicht.
Nach drei Tagen konnte ich jetzt wieder eine VPN Verbindung herstellen, nachdem die Boxen mehrfach neu gestartet wurden.
 
In den Einstellungen steht der Port auf WAN.
Genau das ist ja dein Problem, dort mußt du LAN5 eintragen wenn du sie als Mesh-Client nutzen möchtest.
WAN wäre nur dann gut, wenn du sie als Master hinter einem Modem oder anderem Router betreiben wolltest.
War in 7.12 automatisch gelöst, nun muß man es manuell entsprechend konfigurieren (kein Vorteil ohne Nachteil).
 
FYI:
@Peter_Lehmann und @PeterPawn:

Problem gelöst auch wenn ich gerade nicht so erklären kann aber das machte den Unterschied zu den Zertifikaten die unter 7.12 und 7.20 funktionierten.

Das Zertifikat war soweit i.O. und je nach Browser ging es ja nicht oder wurde mit Fehlermeldung aufgerufen.

Ich habe also mein Skript bisschen umgebaut, ausprobiert, einigen Reboots und nach einer Fehlermeldung "ERR_SSL_KEY_USAGE_INCOMPATIBLE" (getestet mit Android, iOS und Mac; waren die Geräte die gerade zur Hand waren) hab ich noch folgendes (rot markiertes) ergänzt in der zuständigen OPENSSL.cnf

"keyUsage = nonRepudiation,...."

Und damit war die FB prinzipiell erreichbar.

Bevor die Frage kommt: Ich hab die Boxen so ausgestattet das selbst wenn ich meinen VPN-Zugang verlieren sollte, weit weg von Zuhause bin und jemand zuhause die Fernwartung anknipst, ich von einem meiner Rechner wo halt die eigene CA hinterlegt ist wieder drauf zugreifen kann.

In alle Richtungen abgesichert sein ;-)


PeterPawn kann das bestimmt erklären ;-)
 

Neueste Beiträge

Statistik des Forums

Themen
246,197
Beiträge
2,247,892
Mitglieder
373,755
Neuestes Mitglied
grdex
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.