[Problem] Fritzbox 7390 Fon Wlan -- Portfreigabe -- Ziel nicht im Heimnetz ?!

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
Hat hier schon mal jemand einen Reset durchgeführt und dann von "vorne" angefangen und alle Daten neu eingegeben??
Das wurde mir seitens AVM vorgeschlagen, da AVM noch nicht wirklich etwas gefunden hat!
 
Wenn schon, dann bitte keinen Reset auf Werkseinstellungen, dadurch werden Konfigurationsfehler nicht vollständig beseitigt.
Der einzig richtige Weg ist ein vollständiges Zurücksetzen mittels der passenden Recover-Image.exe und anschließender Neueingabe aller Daten von Hand oder mittels des 1&1-Startcodes.
Vorher eventuell noch das Telefonbuch sichern und später zurückspielen.

Joe
 
Ja genau, ich denke es ist konkret dieser teil:

Code: 
if (!ip.addrInNet(net, gateway)) {
for (var b=0; b < Math.ceil(net.net.length / 8); b++) {
var part = net.net.substr(b*8, 8);
if (ip.byteToBitstr(jxl.getValue(gatewayPrefix+String(b))).substr(0,part.length) != part) {
mark(gatewayPrefix+String(b));
}


Ich habe bei mir mal versucht den link html -> /usr/www/avm auf /var/media/ftp/uStor01/all zu ändern , natürlich die Daten vorher dahin kopiert ..

Dann kann man auch das script ändern... o.g. CODE habe ich mal auskomentiert , leider geht mein AVM Web interface nach einem kill -HUP auf die pid des ctlmgr nicht mehr , scheint wohl nicht zu reichen ...ein kill -9 auf die pid und dann ein ./rc.net websrvreload hat geholfen , aber leider nicht das eigentliche Problem behoben.

Es gibt leider mehrere script in denen outofnet benutzt wird, selbst ein initialisieren der var mit "ok" ;-) führt leider nicht zum Erfolg :mad:

Code: 
js/validate.js:lib.outofnet = "ok";
lua/val.lua:outofnet="ok",
lua/val.lua:return ret.outofnet,marked
lua/val.lua:return ret.outofnet,marked
lua/newval.lua:outofnet = "ok",
lua/newval.lua:return ret.outofnet
lua/newval.lua:return ret.outofnet
 
Zuletzt bearbeitet:
trb schrieb:
Dann kann man auch das script ändern... o.g. CODE habe ich mal auskomentiert , leider geht mein AVM Web interface nach einem kill -HUP auf die pid des ctlmgr nicht mehr , scheint wohl nicht zu reichen ...ein kill -9 auf die pid und dann ein ./rc.net websrvreload hat geholfen , aber leider nicht das eigentliche Problem behoben.
Zum Vergrößern anklicken....
Ich will Euch nicht den Spaß verderben ... aber ihr fangt (meiner Meinung nach jedenfalls) am falschen Ende an. Wenn das aus der Lua-Seite resultierende Setzen von Routen Portfreigaben per ctlmgr (die ganzen cmtable/saveset-Sachen laufen im Prinzip auch darauf hinaus) nicht funktioniert, dann bringt es auch nichts, die davor liegenden Javascript-Prüfungen zu überlisten.

Der erste Schritt sollte also sein, mit einer eigenen Lua-Seite (damit der cmtable-Mechanismus gleich mitgeprüft wird, sonst kann man auch erst einmal ctlmgr_ctl probieren) die gewünschten Kommandos überhaupt an die Box heranzutragen. Schlägt bereits das fehl, weil da eine zweite Gültigkeitsprüfung beim Setzen von Routen Portfreigaben erfolgt (meine Erfahrung), dann kann man sich jede weitere Suche im JS schenken.

Der ctlmgr braucht eigentlich kein HUP, der speichert nichts zwischen (bisher jedenfalls noch nie aufgefallen). Wenn man dann trotzdem irgendwelche Änderungen vornehmen und den ctlmgr neu starten will, ist die Sequenz 'ctlmgr -s' und 'ctlmgr' der einfachere Weg. Dann wird z.B. eine PPPoE-Verbindung nicht neu gestartet usw.. Allerdings darf man die Box nicht lange ohne ctlmgr stehen lassen (am besten beide Kommandos in einer Zeile absetzen), sonst startet der Watchdog sie neu (die Box, nicht den ctlmgr ;)).
 
Zuletzt bearbeitet:
Nun ja , ich bin mir nicht Sicher ob wir von der gleichen Sache reden. Es geht nur darum bereits vorhandene "Port forward rules" zu aktivieren.

zur Vollständigkeit hier noch mal alle daran beteiligten Komponenten: (z.b. mit Live http headers)

Code: 
POST /internet/port_fw.lua sid=SOMERANDOMSIDSTUFF&apply=
#request# GET [url]http://BOXIP/css/default/main.css[/url]
#request# GET [url]http://BOXIP/css/default/sso_dropdown.css[/url]
#request# GET [url]http://BOXIP/css/default/print.css[/url]
#request# GET [url]http://BOXIP/js/jxl.js[/url]
#request# GET [url]http://BOXIP/js/ready.js[/url]
#request# GET [url]http://BOXIP/js/help.js[/url]
#request# GET [url]http://BOXIP/js/popup.js?lang=de[/url]
#request# GET [url]http://BOXIP/js/zebra.js[/url]
#request# GET [url]http://BOXIP/js/ajax.js[/url]
#request# GET [url]http://BOXIP/js/sso_dropdown.js[/url]
#request# GET [url]http://BOXIP/js/validate.js[/url]
#request# GET [url]http://BOXIP/js/sort.js[/url]
#request# GET [url]http://BOXIP/css/default/images/leer.gif[/url]
#request# GET [url]http://BOXIP/css/default/images/kopfbalken_links.png[/url]
#request# GET [url]http://BOXIP/css/default/images/kopfbalken_mitte.gif[/url]
#request# GET [url]http://BOXIP/css/default/images/link_open.gif[/url]
#request# GET [url]http://BOXIP/css/default/images/icon_hilfe.png[/url]
#request# GET [url]http://BOXIP/css/default/images/wait.gif[/url]
#request# GET [url]http://BOXIP/css/default/images/finished_ok_green.gif[/url]

Ich denke nicht das man hier bei den luas anfangen müsste, da diese nicht wirklich benutzt werden :)

PS: den restart des Webinterfaces habe ich nur gemacht um sicher zugehen das es dem geänderten Soft-Link auf html folgt ...

Einen Workaround habe ich gefunden ...
Wenn ich eine IP aus dem Guest LAN als alias auf e.g. auf lan:3 setzte funktioniert alles ...
klar dann prüft , welches script auch immer die ip , diese ist dann im LAN (nicht wirklich, der Traffic diese Netzwerks geht ja über eine andere bridge) und alle Prüfungen sind ok ;-) lol :D


Cheers
 
Zuletzt bearbeitet:
trb schrieb:
Ich denke nicht das man hier bei den luas anfangen müsste, da diese nicht wirklich benutzt werden :)
Zum Vergrößern anklicken....
Ok, waren nur meine "two cents" ... wobei ich die These, eine Änderung von Javascript-Code (der läuft lokal im Browser) würde ein anderes Verhalten der Box hervorrufen (und die muß ja erst mal das Kommando zum Aktivieren der Portfreigabe akzeptieren, was sie - meine Erfahrung mit 06.20 - erst nach einer erneuten Prüfung der Voraussetzungen tut), schon in Zweifel ziehen würde.

Ansonsten bauen inzwischen eigentlich alle in der FRITZ!Box aufzurufenden Webseiten auf Lua, es gibt nur noch einige wenige html-Seiten für (eher statische) Anzeigen.

PS: Vielleicht lohnt die Zeile 139 in /usr/www/avm/internet/port_fw.lua ja doch einen Blick. ;)
 
PS: Vielleicht lohnt die Zeile 139 in /usr/www/avm/internet/port_fw.lua ja doch einen Blick.
Zum Vergrößern anklicken....

Ja das habe ich auch gesehen , dort werden die Rules in die entsprechende Table eingetragen, allerdings nur wenn die wenn sie die Prüfungen einige Zeiten tiefer bestehen: (denke ich zumindest)

Code: 
<script type="text/javascript" src="/js/validate.js"></script>                                                                                                                                     
<script type="text/javascript" src="/js/sort.js"></script>

Die Grundsätzliche Frage ist doch: warum wird die Guest bridge nicht als valides Netzwerk anerkannt wird ...

Wenn ich mir z.B die file lanifaces anschaue stehen beide bridges drin (lan,guest) ...
 
Zuletzt bearbeitet:
Moin Tja, mit dem Update auf FRITZ!OS 6.20 steh ich auch vor dem Problem eine interne Freigabe zum Laufen zu kriegen.
Momentan versuch ich es über die VoIP Freigaben, und was soll ich sagen? Sieht gut aus...
ar7.cfg (Fritz!Box 7360SL)
Code: 
voip_forwardrules = "udp 0.0.0.0:5060 0.0.0.0:5060",
                             "tcp 0.0.0.0:5060 0.0.0.0:5060",
                             [COLOR=red]"tcp 0.0.0.0:8088 0.0.0.0:8088",
[/COLOR]                             "udp 0.0.0.0:7078+32 0.0.0.0:7078";
         tr069_forwardrules = "tcp 0.0.0.0:8089 0.0.0.0:8089";
         voip_ip6_forwardrules = "tcp 5060,[COLOR=red]8088[/COLOR]", "udp 5060,7078-7109";
tr069_ip6_forwardrules = "tcp 8089";
...nach abspeichern ar7cfgchanged ausführen.

AVM-Webif: Diagnose/Sicherheit
VoIP_Freigabe_ar7_01.jpg
Mein tinyproxy läuft wieder wie Smitz Katze. :mrgreen:
 
Zuletzt bearbeitet:
trb schrieb:
Ja das habe ich auch gesehen , dort werden die Rules in die entsprechende Table eingetragen, allerdings nur wenn die wenn sie die Prüfungen einige Zeiten tiefer bestehen: (denke ich zumindest)
Zum Vergrößern anklicken....
Das interpretierst Du (das leite ich aus Deinen Äußerungen ab, nicht aus Vermutungen, wie eine Lua-Seite funktioniert, damit wir uns nicht mißverstehen) falsch.

Der Code in der Lua-Seite wird bis zur Zeile 169 erst einmal komplett auf der Box selbst ausgeführt. Beim ersten Roundtrip (dem Aufruf der Seite mit HTTP-GET) wird vom Lua-Code der entsprechende HTML-Inhalt für die Anzeige im Browser erzeugt (box.post ist dann nil).

Das im HTML-Code enthaltene Formular ruft dann diese Lua-"Seite" wieder auf (neuer Roundtrip), wenn der Nutzer den 'Übernehmen'-Button drückt, diesmal eben mit box.post != nil, denn das Formular verwendet "POST" als HTTP-Methode (Zeile 224 in port_fw.lua).

Beim Aufruf über POST (und nur dann) wird also zusätzlich vor der Ausgabe des "neuen" HTML-Codes erst einmal geprüft, was der Nutzer eigentlich wollte. Hat er dann den "Übernehmen"-Button gedrückt (box.post.apply != nil in Zeile 132), wird eine "Tabelle" (cmtable) mit Anweisungen an den ctlmgr erstellt, in der für jede in der Liste enthaltene Portweiterleitung der neue Status (activated) in Abhängigkeit vom "checked"-Attribut der zugehörigen Checkbox neu gesetzt werden soll (zzgl. einiger weiterer Variablen wie "exposed host" z.B., wenn das erforderlich ist).

Diese "Kommando-Tabelle" wird dann in Zeile 162 abgearbeitet. Tritt dabei ein Fehler auf (errcode != 0), wird anhand der ebenfalls von diesem Aufruf bereitgestellten Fehlernachricht (errmsg) zusätzlicher HTML-Code für die Anzeige im Browser generiert (Zeile 164). Wenn die angezeigte Fehlermeldung also an dieser Stelle generiert wird, ist sie eher das Ergebnis des Versuchs, die Einstellung zu ändern und Du kannst Dich mit Deinem Javascript-Code (der nur die Prüfung vor der Übermittlung an die Box, also ohne zusätzlichen Roundtrip, übernimmt) auf den Kopf stellen. Ob das so ist (also ob die Fehlermeldung schon aus der Ausführung des cm-Sets stammt), solltest Du eben vorher klären (das war der Inhalt meines ersten Posts dazu) ... ansonsten vergeudest Du u.U. Deine Zeit an der vollkommen falschen Stelle.

Du mußt also bei der Analyse von Lua-Seiten immer strikt trennen zwischen dem Code, der wirklich auf dem Host (in unserem Falle die Box) ausgeführt wird und dem Teil, der als HTML-Code an den Browser des Aufrufers übermittelt wird. Egal was der Javascript-Code auf dem Browser auch immer machen mag, er kann nur mit dem Host per HTTP-Request (GET/POST) kommunizieren und alle Änderungen an Einstellungen der Box sind immer das Ergebnis eines solchen Requests. Das ist zwar etwas vereinfacht mit der Kommunikation ... aber im Prinzip stimmt es hier und jede andere Möglichkeit (Ajax) verstellt nur den Blick auf das hier verwendete Modell.

Die Grundsätzliche Frage ist doch: warum wird die Guest bridge nicht als valides Netzwerk anerkannt ...
Zum Vergrößern anklicken....
Die Aussage: "Weil eine Portfreigabe in das Gast-Netzwerk nicht gewollt ist." wäre doch auch eine logische Erklärung, oder ?
 
Guten Morgen,
ich habe soeben die Fritzbox auf Werkszustand (und zwar nur den Reset auf Wrkseinstellungen, da dies ja der Vorschlag von AVM war) gesetzt und siehe da ich konnte wieder Portfreigaben erstellen...
Sowohl im 192.168.178.1 als auch in der von mir verwendeten 192.168.1.2 ....
 
@Eddie Dickens:
Betrifft das jetzt nur Freigaben ins "LAN" oder kannst Du tatsächlich auch Freigaben auf Geräte im (isolierten) "Gastnetz" anlegen und aktivieren ? Das Gastnetz verwendet bei der 7390 das Subnet 192.168.179.0/24 und das läßt sich auch nirgendwo anders einstellen bei einer 7390 (die Anzeige erfolgt unter Heimnetz/Netzwerkeinstellungen/IPv4-Adressen). Bei einer 7490 wird stattdessen das Subnet 172.31.179.0/24 verwendet.

Ansonsten sind das verschiedene Baustellen. trb und meyergru schreiben ja eindeutig, sie wollen Freigaben in das Gastnetz einrichten und scheitern dabei. Bei herbie_2005 und Dir handelte es sich ja um das Problem, daß gar keine Freigaben mehr funktionieren wollten (also auch ins LAN nicht). Und selbst das teilt sich dann eigentlich noch einmal ... herbie_2005 hat seine Firmware modifiziert und Du verwendest (der Signatur nach jedenfalls) die originale AVM-Firmware.

Nun kann man das ja alles in einen Topf werfen ... aber die vom AVM-Support vorgeschlagene Lösung mit dem Werksreset (Du schreibst ja selbst, es ist auch bei der Analyse der Daten Deiner originalen Firmware durch den AVM-Support keine Ursache gefunden worden - das kann herbie_2005 mit seiner Freetz-Version noch nicht einmal als Anliegen an den Support herantragen) kann funktionieren bei Deinem Problem und bei herbie_2005 (wenn dort nicht Freetz die Ursache ist/war) ... eine Freigabe in das abgeschottete Gastnetz erlaubt sie dann immer noch nicht.

Das Problem mit der Freigabe in das Gastnetz ist nämlich eindeutig die entsprechende Prüfung in der Firmware auf der Box (und nicht irgendwo im Javascript, das ist nur zusätzlich). Wenn man eine Freigabe auf eine Adresse im Gastnetz einrichten will, schlägt die Gültigkeitsprüfung in der Firmware fehl.

Das läßt sich erstens recht einfach über mehrere Versuche mit anderen gültigen Freigabeadressen (im Ausschlußverfahren) nachweisen und zweitens wird die angezeigte Fehlermeldung eindeutig nicht per Javascript erzeugt, sondern bereits im HTML-Quelltext (die "div" mit "class=LuaSaveVarError") von der Box mit übertragen. Das läßt sich auch mit einfachsten Mitteln (z.B. dem Netzwerk-Monitor der Firefox-Developer-Tools) nachprüfen ...

trb schrieb:
Einen Workaround habe ich gefunden ...
Wenn ich eine IP aus dem Guest LAN als alias auf e.g. auf lan:3 setzte funktioniert alles ...
klar dann prüft , welches script auch immer die ip , diese ist dann im LAN (nicht wirklich, der Traffic diese Netzwerks geht ja über eine andere bridge) und alle Prüfungen sind ok
Zum Vergrößern anklicken....
Wie kommst Du eigentlich auf die Idee, der Traffic an eine explizit an "lan:3" zugewiesene IP-Adresse würde über irgendein anderes Interface als über dieses gehen ?

Das würde die Idee der Isolation des Gastnetzes ja komplett ad absurdum führen.

Du kannst natürlich eine bestimmte Adresse aus dem Gastnetz an lan:3 binden, der Traffic für diese Adresse geht aber immer noch an die lan-Bridge und ein Gerät an LAN4 mit dieser Adresse (ich rede jetzt von einem LAN-basierten Gast-Netz über den LAN4-PHY - das ist intern dann ethgbr3) wartet sich einen Wolf.
 
Zuletzt bearbeitet:
Jetzt muss ich noch mal dumm fragen: Ihr redet schon davon, dass es mit 86.06.04 auf dem Gast LAN, nicht auf dem Gast WLAN funktioniert, oder?

Ich habe es nochmals damit versucht - einrichten lässt es sich, man bekommt dann eine Regel angehängt an ein "landevice". Leider kommen die Pakete über den Port-Forward dort aber nicht an, ein entsprechender tcpdump bleibt stumm. Dazu habe ich ein Device am Port 4 mit Gast-LAN-Einstellung gewählt. Ansonsten geht das, es bekommt eine IPv4 per DHCP und es kann ins Internet - nur der Port-Forward geht nicht.
 
meyergru schrieb:
Ihr redet schon davon, dass es mit 86.06.04 auf dem Gast LAN, nicht auf dem Gast WLAN funktioniert, oder?
Zum Vergrößern anklicken....
Ich rede nur davon, daß bei der 84.06.20 die Portfreigabe in das Gastnetz nicht vom Javascript in der Seite port_fw.lua blockiert wird, sondern daß dort ein zusätzlicher Check in der Firmware erfolgt und man somit auf diesem Weg auch keine Portfreigabe ins Gastnetz einrichten kann, wenn man die JS-Prüfung "austrickst".

Zur 06.04 kann und will ich nichts sagen, dieser Thread ging irgendwann vor 3 Monaten mit der 06.10 und einem geänderten Verhalten bei herbie_2005 los. Ob und wie das Problem von herbie_2005 nun gelöst wurde (ggf. durch Reset, bei ihm war es ja auch nicht das Gastnetz), steht in den Sternen ...

Die Anstrengungen von trb und von Dir, die ich in der Aussage
meyergru schrieb:
Mir wäre Port-Forwarding ins Gastnetz (DMZ) auch sehr wichtig.
Zum Vergrößern anklicken....
zu lesen glaubte, sind mit ziemlicher Sicherheit ab 06.20 zum Scheitern verurteilt, jedenfalls auf dem bisher von trb eingeschlagenen Weg.
 
Bei mir ist nichts gelöst; ich komme aber momentan nicht weiter in der Sache.
 
Herbie_2005 schrieb:
Bei mir ist nichts gelöst; ich komme aber momentan nicht weiter in der Sache.
Zum Vergrößern anklicken....
Bei Dir wäre ja der Weg mit dem Reset (bei gesicherten Einstellungen) zumindest als Test nur eine Sache von max. 30 Minuten.

Wenn sich nach dem Reset die Freigabe ordentlich einrichten läßt, dürfte das Problem in der gesicherten Konfiguration liegen. Braucht man dann schnell wieder die "alte" Konfiguration, kann man erst einmal die Sicherung wieder einspielen und in aller Ruhe untersuchen, wo das Problem nun liegt.

Die Richtung, daß die Firmware beim Einrichten einer Portfreigabe eine Prüfung ausführt, ob das Freigabeziel über 'dev lan' erreichbar ist (oder sogar direkt über eines der dort zu einer Bridge zusammengeführten Interfaces), dürfte mit einiger Wahrscheinlichkeit richtig sein. Das würde zumindest erklären, wieso die Einrichtung für das Gastnetz (das ist eine andere Bridge (LAN4 + Guest-WLAN) oder auch nur eines dieser beiden Interfaces, je nach Konfiguration) scheitert.

Auch Deine Angabe, daß das Problem mit der 06.04 noch nicht auftrat, paßt in diese Erklärung ... AVM hat an der Prüfung für die Portfreigaben definitiv gearbeitet, wie ich es bereits vor knapp 3 Monaten geschrieben habe. Ich würde sogar sagen - das ist aber nur eine begründete Vermutung -, daß dieser Teil deshalb überarbeitet wurde, weil die AVM-Firmware bei den DOCSIS-Boxen nun die Möglichkeit des KDG-"Homespots" bietet (die Firmware basiert ja bei AVM modellübergreifend auf derselben Basis, dafür gibt es zahlreiche Beispiele, Du brauchst bloß mal in Deiner 7390 nach /bin/boxfeaturedisable zu suchen, die macht in einer 7390 auch keinen Sinn). Wenn dort (absichtlich oder versehentlich) eine Portfreigabe in das Hotspot-Netz einzurichten wäre oder die (vermutlich) VLAN-basierte Isolation des Hotspot-WLANs irgendwie anders durchbrochen werden könnte, wäre das der absolute GAU.

Wenn ich mir die bei Dir installierten Freetz-Packages ansehe, ist eine "Leiche" in den Einstellungen der AVM-Konfiguration (über AVM-Firewall) oder in den Freetz-Einstellungen ja nun auch nicht so unwahrscheinlich. Anfang August bist Du auf die 06.04 zurück, jetzt lt. Signatur bei der 06.20 angekommen.

Wenn Du jetzt ein paar Tests ausführen könntest, würde sich das Problem bestimmt einkreisen und dann wohl auch lösen lassen. Die Beschreibung, daß sich keine Portfreigaben für Geräte im LAN einrichten lassen, ist jedenfalls ziemlich einmalig und Du bist ganz sicher nicht der Einzige, der diese Konfiguration benötigt.

Daß es also gar nicht funktioniert, ist mehr als unwahrscheinlich ... aber
herbie_2005 schrieb:
ich komme aber momentan nicht weiter in der Sache
Zum Vergrößern anklicken....
kann ja nun alles mögliche heißen, von "keine Zeit zum Test" bis "ist auch nicht so wichtig".
 
Vielen Dank für die Ausführungen. Ja, ich habe gerade sehr wenig Zeit für ausgiebige Tests. Ich sollte mal mit einem Recovery anfangen und alles komplett neu eingeben.
 
Soooo. Ich habe mein Problem mit der 84.06.04 gefunden... schuld waren die Kindersicherungen bzw. Zugangsbeschränkungen im Gastnetz.

Das löst zwar nicht das Problem mit der 84.06.20, aber man hat zumindest die Option, auf die alte Version zurückzugehen.
 
Ihrer Fehlerbeschreibung nach, gehe ich von einer inkonsistente
Konfiguration der "alten" Einstellung aus.
Stellen Sie daher die Werkseinstellung wieder her und führen Sie eine
manuelle Konfiguration der FRITZ!Box durch.
Zum Vergrößern anklicken....

Nun denn... es wird wohl noch ein langer dunkler Winterabend kommen...
 
Eddie Dickens schrieb:
Nun denn... es wird wohl noch ein langer dunkler Winterabend kommen...
Zum Vergrößern anklicken....
:gruebel:
Hattest Du das Reset nicht in #30 schon gemacht ? Oder habe ich das mißverstanden ... Du hast nur getestet, ob es geht und dann die alten Einstellungen wiederhergestellt ?

Ich würde auch das Kind nicht mit dem Bade ausschütten ... einfach mal eine Sicherung machen, alle Vorkommen von 192.168 einer kritischen Plausibilitätsprüfung unterziehen (bei herbie_2005 dann die Freetz-Konfiguration nicht vergessen) und dann findet sich - notfalls im Quervergleich mit der gesicherten Konfiguration des zwischenzeitlichen Versuchs, ob das mit Werkseinstellungen alles klappt - garantiert auch der Übeltäter. Dauert eventuell auch so lange, dafür lernt man dabei ungemein interessante Sachen über die Einstellungen und wo da was gespeichert wird. Eine (permanente) Speicherung von Daten außerhalb der gesicherten Einstellungen (wie z.B. früher in der multid.leases) findet jedenfalls nicht mehr statt, damit sind auch alle DHCP-Vorgaben u.ä. jetzt in der ar7.cfg enthalten.

Ich könnte mir bei ganz alten Konfigurationen z.B. vorstellen, daß da alte Freigaben in den Einstellungen existieren, die an die IPv4-Adresse des Clients geknüpft sind, diese dann wiederum an die MAC-Adresse. Wenn jetzt aus irgendwelchen Gründen einer solchen MAC-Adresse (in Kombination mit den anderen neuen Einstellungen, wie unbekannte Clients zu behandeln sind) ein eingeschränktes Profil zugeordnet wird und die Plausibilitätsprüfung bei der Aktivierung der Weiterleitung sich dann daran stößt, daß dieser Client dem Profil nach eigentlich nur HTTP+Mail ausgehend verwenden darf, würde zwar die Fehlermeldung nicht ganz passen, aber die Erklärung wäre auch nicht vollkommen an den Haaren herbeigezogen.

Andere Möglichkeit: Selbst wenn jetzt bei herbie_2005 die .25 dem freizugebenden Gerät zugeordnet ist, kann ja immer noch eine alte Zuordnung der .25 in der landevices-Sektion existieren, die beim Iterieren vor der aktuellen erreicht wird.

Nur zwei theoretische Überlegungen ... aber anstelle des AVM-Supports würde sicherlich auch jeder von uns die simple Empfehlung "Machen Sie ein Werksreset." einer intensiveren Fehlersuche vorziehen; ist ja auch nicht ganz falsch, bürdet aber die Arbeit eben dem Kunden auf.

Wenn man das lieber vermeiden möchte, wäer die Sektion "landevices" da ein heißer Kandidat, dort hinein verirren sich auch schon mal solche Einträge:
Code: 
        } {
                ip = 192.168.178.13;
                name = "FR300E";
                neighbour_name = "";
                mac = A2:05:43:XX:XX:XX;
                medium = medium_unknown;
                auto_etherwake = no;
                ifaceid = ::;
                type = neightype_pc_linux;
                staticlease = no;
        } {
                ip = 192.168.178.13;
                name = "iPad";
                neighbour_name = "iPad";
                mac = C8:BC:C8:XX:XX:XX;
                medium = medium_wlan;
                auto_etherwake = no;
                ifaceid = ::cabc:c8ff:feXX:XXXX;
                type = neightype_pc_linux;
                staticlease = no;
        } {
Die doppelte IP-Adresse dürfte (der Theorie nach) nicht auftreten, aber der FR300E war inzwischen schon wesenlich länger als die Lease-Time nicht mehr zu sehen und dann wurde die Adresse eben irgendwann mal an das iPad vergeben, ohne dabei den FR300E aus der Liste zu löschen. Es kann genauso gut sein, daß der irgendwann mal mit importiert wurde.
In der "Liste der Netzwerkgeräte" im GUI taucht der FR300E jedenfalls gar nicht erst auf, wenn man aber manuell mit 'ctlmgr_ctl landevices settings/lanX' die Geräte durchgeht (wie das z.B. einige Lua-Skripte auch tun), kommt er vor dem iPad und wenn man dann anhand seiner MAC-Adresse (A2:05:43:...) weiter sucht, kommt man auf das "gesperrt"-Profil. Wer also mit der IP-Adresse .13 seine Suche nach Netzwerkgeräten beginnt, landet bei einer Box mit dem o.a. Ausschnitt aus landevices am Ende beim "gesperrt"-Profil.

Blöderweise ließ sich bei meinem Test (7490 mit 06.20) dann doch eine Portweiterleitung auf die .13 einrichten ... allerdings wird die dann (eingerichtet über die Dropdown-Liste für 'iPad') glatt als "FR300E" angezeigt, obwohl das iPad im WLAN aktiv ist und die .13 in Wirklichkeit jetzt dort endet - das zeigt auch, daß man sich auf die Angaben in der Liste nur bedingt verlassen kann und die Anzeige "an Computer" da vielleicht doch zur Kontrolle noch die IP-Adresse zusätzlich enthalten sollte.
Eine HTTP-Portweiterleitung, die versehentlich auf dem falschen Gerät endet - sagen wir mal ein "blödes Webradio", dessen GUI so viele Lücken aufweist, daß es kein vernünftiger Mensch freiwillig freigeben würde, womöglich auch noch, weil ihm komplett die Authentifizierung fehlt und da jeder sich dran ausprobieren kann - ist nicht nur theoretisch eine Katastrophe.
Welche Angriffsmöglichkeiten selbst ein Tintenstrahldrucker als "Sprungbrett" ins LAN bieten kann, hatten wir doch erst vor kurzem, als jemand mal kurzerhand Doom auf dem TFT-Display eines solchen Druckers hat laufen lassen.
Und wer wirklich glaubt, alle seine Geräte auch nach innen ordentlich gesichert zu haben, ist entweder wie ich ein Paranoiker (ich weiß aber, daß ich nicht alles sichern kann) oder irrt sich einfach nur gewaltig. Aus dem LAN (also mit einem Relay auf einem anderen Gerät) ist auch eine FRITZ!Box praktisch nackt. Und es gibt in einem modernen Haushalt genug Geräte, die potentiellen Angreifern ein lohnendes Ziel sein können ... selbst der DLNA-Server eines TV-Gerätes kann entsprechende Lücken haben.

Mal wieder OT, sorry, zurück zur Portweiterleitung an sich:

Man sieht jedenfalls schon an diversen Kleinigkeiten, daß da ein Konglomerat aus den verschiedensten Eingabedaten zusammengemischt und daraus zumindest die GUI-Anzeige gebaut wird (die ja durchaus bekanntermaßen ihre Inkonsistenzen aufweist, da gibt es genug Berichte zu).
Warum die Algorithmen bei der Plausibilitätsprüfung für Portfreigaben da grundsätzlich anders herangehen sollten, sehe ich nicht ... einige Sachen werden eben seit neuestem an die MAC-Adresse gebunden (die "verbesserte Kindersicherung" dürfte da eine Rolle spielen), während die Portweiterleitungen wohl immer noch von der IP-Adresse als "Schlüsselelement" ausgehen. Da kommt es dann leicht mal durcheinander ... s.o.

Fazit:
Was auch immer das sein mag, eines ist sicher: AVM hat zur 06.20 den Code zur Prüfung der Plausibilität einer Portfreigabe in dsld/ctlmgr (noch einmal) aufgenommen, die frühere Javascript-basierte Prüfung ist nicht mehr die einzige, die da ausgeführt wird. "Leichen" in der Netzwerkkonfiguration, die im GUI gar nicht sichtbar sind, könn(t)en auch diese Prüfung durcheinander bringen. Ein "Ausmisten" der landevices-Sektion der ar7.cfg (und die Kontrolle an anderen Stellen, z.B. bei statischen Routen) könnte auch schon helfen (anstelle einer kompletten Neukonfiguration), wenn man das Risiko der u.U. vergeblich investierten Zeit in Kauf nehmen kann und will.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 852 (Mitglieder: 29, Gäste: 823)

Neueste Beiträge

Statistik des Forums

Themen
246,155
Beiträge
2,247,018
Mitglieder
373,674
Neuestes Mitglied
Jens_120
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück