Fritzbox 7590 ar7.cfg editieren (forwardrules)

[MikeBl]

Hallo,
da das avm forward-plugin in freetz nicht funktionierte und abgeschalten wurde, versuche ich forwardrules direkt in der ar7.cfg einzutragen. Hintergrund, ich möchte das freetz-webif von außen erreichen.

habe folgendes gemacht:
via putty auf meine box, dann:
nvi /var/flash/ar7.cfg
an entsprechender Zeile

internet_forwardrules = "tcp 0.0.0.0:xxxxx 0.0.0.0:xxxxx 0 mark 1", <--- war schon vorhanden
"tcp 0.0.0.0:81 0.0.0.0:81 0";<---- habe ich hinzugefügt

eingegeben (hinzugefügt)
mit :wq abgespeichert
danach box mit reboot neugestartet

Leider ist nach Neustart Eintrag "tcp 0.0.0.0:81 0.0.0.0:81 0" wieder raus.

Was mache ich falsch ??

 

[PeterPawn]

1. falsche Kommandofolge, der "ctlmgr" überschreibt die Änderung gleich wieder

2. falsche Stelle in der "ar7.cfg", obwohl einige auch mit einer Änderung dort Erfolg hatten ... anderen ist es nicht gelungen und sie fahren mit der Alternative besser (solange VoIP genutzt wird in dieser Box)

Ist aber bereits "abgehandelt" ... die Suche hilft hier garantiert weiter, spätestens wenn man mit "voip_forwardrules" an die Sache (bzw. die Suche) herangeht.

 

[MikeBl]

Da geht's dann schon los, weil viele Suchergebnisse Aussagen NICHT voip_forwardrules nehmen. In manchen Anleitungen steht noch ar7cfgchanged nach dem abspeichern und dann Reboot. Hat leider auch nicht zum Erfolg geführt. Da ich über relativ wenig bzw über begrenzte Linuxkenntnisse verfüge, wäre ich über jede Hilfe dankbar. Möchte auch nicht Sachen eingeben, welche mir dann evtl die Box zerschiesst.

 

[PeterPawn]

Ich argumentiere seit Jahren gegen "ar7cfgchanged" ... wenn Du also Beiträge von mir findest, ist darin die korrekte Vorgehensweise beschrieben (man liest zu dem Thema auch nichts mehr, was älter als zwei Jahre ist (bzw. vor der PCP-Implementierung von AVM liegt, denn das dürfte zeitlich in etwa hinkommen) ... denn da funktionierte auch das "avm_forwarding"-Paket ja dann noch und das Problem stand gar nicht im Raum) und es hat vermutlich auch niemand damit Probleme, wenn Du nach der Lektüre eines solchen Beitrags noch einmal nachfragst (mit Deinem konkreten Vorhaben und nicht "wie macht man das?"), um Dich zu vergewissern, daß Du es richtig verstanden hast ... am besten macht man das dann auch in den anderen Threads, dann gibt es nicht noch einen weiteren, der genau denselben Inhalt hat und man macht es späteren Suchenden nicht noch einmal schwerer.

Der Gipfel der Nützlichkeit für spätere Leser wäre dann der Link von diesem Thread auf den "richtigen".

PS: Ich habe gerade selbst mal mit "voip_forwardrules" hier im IPPF gesucht ... die behauptete "Masse" an Suchergebnissen gibt es gar nicht und ich habe meinerseits auch nicht die Absicht, mit einer weiteren Erklärung da noch eine zusätzliche Fundstelle zu liefern. Einer der dabei gefundenen Beiträge zeigt sogar vorbildlich, wie man es wirklich machen sollte ... da werden nämlich (zusätzlich zur zusammengefaßten Beschreibung) auch noch die Threads verlinkt, wo er diese Infos dann gefunden hatte.

 

[MikeBl]

Hatte auch unter Google, nicht im IPPF nach voip_forwardrules gesucht. (mein Fehler)

so hat Eintrag funktioniert:

cat /var/flash/ar7.cfg > /var/tmp/ar7.cfg
vi /var/tmp/ar7.cfg
unter:
voip_forwardrules "tcp 0.0.0.0:81 0.0.0.0:81"; hinzufügen, abspeichern,

sehr zeitnah:
ctlmgr -s
voipd -s
cp /var/tmp/ar7.cfg /var/flash/ar7.cfg
ausführen

und

reboot

Danke !!!!

 

[NDiIPP]

Hintergrund, ich möchte das freetz-webif von außen erreichen.

Das ist doch imo unverschlüsselt (http, kein https, oder hat sich das mittlerweile geändert und mir ist das nur entgangen?), willst du das wirklich? Ich würde dir empfehlen eher auf VPN, stunnel oder einen SSH-Tunnel zurückzugreifen um von außen auf das Freetz-Webif zuzugreifen. Für letzteres könnte man beispielsweise dropbear mit in das Freetz-Image einbauen lassen.

 

[PeterPawn]

Für "stunnel" habe ich extra einen Patch bereitgestellt (der ist m.W. auch immer noch im Freetz enthalten), damit dafür auch das Zertifikat der FRITZ!Box genutzt werden kann und man nicht mit einem weiteren hantieren muß ... wenn ich mich richtig entsinne, hat @frater damit bei ein paar Boxen das Freetz-GUI auf sicherem Weg "nach außen" verlegt.

Das kann man - wenn man will - auch so machen, daß es tatsächlich (und zwar mit TLS) auf dem Port 81 zur Verfügung steht ... dann macht man halt die Weiterleitung von extern:81 auf irgendeinen internen Port, auf dem "stunnel" auf die Verbindung wartet und das "stunnel" geht dann wieder an die interne Adresse auf Port 81.

Ich hatte #1 gar nicht so genau gelesen, daß es das Freetz-GUI sein sollte, was hier erreichbar gemacht werden soll - davon kann man tatsächlich nur abraten, denn das hat praktisch gar keinen Schutz (auch nicht gegen Brute-Force), wenn ich mich richtig erinnere und baut nur auf die HTTP-Authentifizierung des "httpd"-Applets der BusyBox (mal ganz abgesehen von der Gefahr des "Sniffens", die man mit TLS ja umschiffen könnte).

 

[MikeBl]

Das es unsicher ist, war mir so nicht bewußt. Dropbear ist im Image mit dabei. Es gibt auf freetz.org auch eine Anleitung dafür um Mithilfe von Dropbear auf das webif von freetz von außen zu kommen. Scheint aber da ein Fehler zu geben, da man nur, wenn man sich an diese hält, nur eine leere Seite erreicht.
Aber wie gesagt, ich bin schon froh, dass das jetzt überhaupt funktioniert, da ich fast keine Ahnung von Linux habe und mir das alles (Befehle) zu merken, geschweige zu begreifen, dafür bin ich mittlerweile zu alt, ist auch der Grund warum ich immer so dusselige Fragen stelle. Hat ja nun auch fast ein halbes Jahr gedauert bis ich es so hinbekommen habe, hier Fragen tue ich nur, wenn ich so gar nicht mehr weiter komme.

 

[candyman666]

Das es unsicher ist, war mir so nicht bewußt. Dropbear ist im Image mit dabei.

Hallo Mike,

was du erstmal erreichen musst ist den SSH Zugriff von Außen. Meine Empfehlung ist den SSH Port auf einen Wert >1024 abzuändern und das entsprechend in der voip_forwardrules eintragen.
Zum Beispiel:
"tcp 0.0.0.0:33333 0.0.0.0:33333"

Danach brauchst du nur ein kleines Programm Namens Putty. Das ist ein SSH Client für Windows mit vielen nützlichen Features. Unteranderem unterstützt er das SSH Port Forwarding. Damit kannst du all deine internen Services erreichbar machen. Der Vorteil daran ist, das du nur einen Port in der FB öffnen musst. In dem Bilchen habe ich mal 2 Forwardings dargestellt, mit denen du das WebIf von Freetz und die FB Oberfläche erreichst. Was man noch wissen sollte, das Forwarding wird logischer Weise auf deinen Rechner umgelenkt. Daher musst du im Browser die lokale Adresse benutzen. http://127.0.0.8080 oder eben die 8081. Wenn du in der Konfiguration von Putty noch eine Rule mit L8082 auf 129.168.178.122:8080 anlegst, kommst du mit der Adresse 127.0.0.1:8082 auf den anderen Rechner Port 8080.

 

[PeterPawn]

Ja, solche Dinge kann man auch mit SSH-Tunneln lösen.

Wenn es aber nur um die sichere Nutzung eines HTTP-GUI geht, welches ansonsten keine eigene TLS-Verschlüsselung bietet, dann muß man entweder triftige Gründe haben für die SSH-Geschichte (meinetwegen weil man die auch sonst noch gebrauchen kann) oder man lädt sich nur vollkommen unnötig weitere Abhängigkeiten auf.

Man braucht dann nämlich auch auf dem "abfragenden" Gerät einen SSH-Client (von den zusätzlich notwendigen Authentifizierungen per Kennwort oder Schlüsselpaar ganz zu schweigen) ... das sieht bei anderen Geräten als einem Windows-PC mit PuTTY dann auch wieder anders aus (selbst wenn es für die diversen mobilen Geräte i.d.R. auch SSH-Clients gibt, müssen die nicht immer auch parallel SSH-Tunnel unterstützen).

Denn "stunnel" (und andere solcher Tunnel-Broker, aber "stunnel" steht eben für Freetz zur Verfügung) macht genau das, was es hier braucht ... die "normale" HTTP-Verbindung wird um einen TLS-Wrapper ergänzt und man kann ganz normal mit jedem Browser - aber nun eben verschlüsselt - direkt auf die Oberfläche zugreifen, die dazu natürlich noch eine eigene Authentifizierung braucht (denn eine TLS-Verbindung kann jeder aufbauen), was ja bei Freetz der Fall ist. Leider fehlt allerdings Freetz eben der Schutz gegen "Probieren bis der Arzt kommt" ... das sieht bei "dropbear" und Kennwort-Authentifizierung aber auch nicht wirklich besser aus.

Wer sich hingegen ein wenig mit Zertifikaten auskennt, der kann gerade auch mit "stunnel" dann TLS-Verbindungen konfigurieren und aufbauen, die kein anderer so ohne weiteres benutzen kann (das ist im Prinzip derselbe Schutz, wie ihn ein SSH-Server mit "public key authentication" bietet). Dazu muß man dann nur "client-side certificates" verwenden (dabei weist sich der Client gegenüber dem Server mit einem eigenen Zertifikat aus, was im Prinzip heute auch jeder Browser - auch auf Mobilgeräten - unterstützt) und dann kann man theoretisch sogar auf jede weitere Authentifizierung verzichten, wenn es keine getrennten "security domains" hinter dieser TLS-Verbindung gibt.

SSH-Tunnel haben zweifellos ihre Berechtigung ... sind aber auch für Laien eher schwer zu konfigurieren (und zu durchschauen) und damit auch wieder ein Risiko, falls man sich damit nicht auskennt.

Will man am Ende nur mit einem Browser auf eine HTTP-Oberfläche zugreifen und die ist ansonsten ausreichend abgesichert (gerne auch mit einem Schutz gegen Brute-Force-Attacken), ist "stunnel" die deutlich flexiblere Lösung, weil man eben kein spezielles Programm auf dem zugreifenden Client braucht und jeder (halbwegs moderne) Browser direkt verwendet werden kann.

 

[MikeBl]

Intern funktionierts schon mit stunnel. Kann die GUI mit 127.0.0.1:9009 erreichen.(ich muß diesen Port nehmen, da ich nur über diesen aus dem Firmennetzwerk zu meinen heimischen Router komme. 2. Fritzbox, Drucker und 2 weitere PC's erreiche ich extern (myfritz), natürlich nicht selbigen Port) Nur extern über myfritz bzw dyndns bekomme ich es nicht gebacken (Fritzbox auf der DSL und freetz läuft). Überall wird beschrieben ich soll ein portforwarding (Freigabe) machen, kann aber Box nicht auswählen, bzw, wenn ich ip der Fritzbox manuell eingebe kommt: Die IP-Adresse wird bereits von einen anderen Gerät verwendet.
"tcp 0.0.0.0:9009 0.0.0.0:9009" hatte ich in den voip_forwardrules eingetragen, klappt aber auch nicht.

hat sich erledigt, meine Box (freetz-gui) ist jetzt via stunnel von extern erreichbar
dieser Eintrag:"tcp 0.0.0.0:9009 192.168.2.20:9009" brachte den nötigen Erfolg

 

[Manu8000]

Bei mir funktioniert das leider weder auf meiner 7390 6.83, noch auf meiner 7490 7.01
Beide sind mit dem recht aktuellen trunk 14869M gefreetzt.
Die Änderung der arc7.cfg bleibt nach dem reboot erhalten, aber der Port ist nicht offen (wird auch nicht im AVM-WI unter Diagnose/Sicherheit angezeigt).
Hier ein Auszug (angehängt habe ich nur den Port 40000):

        voip_forwardrules = "udp 0.0.0.0:5060 0.0.0.0:5060",
                            "tcp 0.0.0.0:5060 0.0.0.0:5060",
                            "udp 0.0.0.0:7078+32 0.0.0.0:7078",
                            "tcp 0.0.0.0:40000 0.0.0.0:40000";
        voip_ip6_forwardrules = "udp 5060 # SIP", "tcp 5060 # SIP",
                                "udp 7078-7109 # RTP";

Habe auch ohne Erfolg die Ziel-URL von 0.0.0.0 auf 162.168.178.1 ersetzt.
Mir geht es nur um stunnel.

Kann mir da bitte jemand helfen? Muß ich vielleicht noch was anderes um- oder einstellen?

//edit by stoney: [CODE] TAG [/CODE] gesetzt

 

[f666]

Wenn du deine Regeln unter "voip_{,ip6_}forwardrules" einträgst, muss auch der voipd laufen, also Telefonnummern aktiviert sein.

 

[xrated]

was ist denn eigentlich an
nvi /var/flash/ar7.cfg
ar7cfgchanged
falsch, bei mir funktioniert das

 

[Manu8000]

Wenn du deine Regeln unter "voip_{,ip6_}forwardrules" einträgst, muss auch der voipd laufen, also Telefonnummern aktiviert sein.

Vielen Dank. Das muss war der entscheidenden Punkt. Da ich kein VOIP habe, richtete ich eine Fake-Nummer ein. Dies brachte den Erfolg.

Weitere Erkenntnisse:
1.) bei meiner 7390 mit 6.83 funktioniert das sowohl mit der vpn.cfg (VPN muss aktiv sein), als auch mit der ar7.cfg (VOIP muss aktiv sein).
2.) bei meiner 7490 mit 7.01 funktioniert es nur noch mit der ar7.cfg (VOIP muss aktiv sein). In der vpn.cfg taucht "ike_forward_rules" gar nicht mehr auf und auch ein manuelles hinzufügen brachte leider nichts.

 

[tombay1969]

Hallo Guten Abend, ich habe im anderen Thread dieses thema schon beschrieben aber ich denke es passt besser hier rein. Ich hatte letztes Jahr noch mit der fritzbox 7362sl freetz 6.83 Transmission laufen gehabt ohne das der pc hochgefahren bleibt. Nun habe ich freetz 07.01 mit Transmission (peer port 54321)und AVM-Forwarding Ich hatte imner die internet forwardrules mit FBEditor den port 54321 eingetragen und der port war offen, nun geht es ja nicht mehr sondern nur über voip Forwardrules wie ich gehört habe richtig? Ich habe nun in der fritzbox 1 Internet Rufnummer aktiviert, unter Diagnose/Sicherheit steht SIP/RTP als Freigabe wie auf dem bild zu sehen ist. Habe noch 2 Bilder eingestellt einmal wo der open port checker meldet das der port closed ist und noch eins wo ich nachden die internet Rufnummer aktiviert habe in der FBEditor geschaut habe unter voip forwardrules. Die frage ist jetzt, was muss ich jetzt machen um meinen port von oder für Transmission nach draußen zu öffnen bzw das der erreichbar ist?

 

[f666]

Ich kann der Beschreibung nicht ganz folgen.
Mit dem Web Dienst wird der Port 80 geprüft? Der ist natürlich geschlossen.

Was hast du genau in welche Konfigurationsdatei eingetragen? (Port 54321)

 

[tombay1969]

Hi ich hab noch gar nichts eingetragen, habe gestern voip Internet Telefonie aktiviert, SIP/RTP ist als Freigabe unter Diagnose /sicherheit zu sehen. In Freetz - Transmission habe ich den peer port als 54321 eingetragen, ich habe auch unter Fritzbox - internet-freigaben den port 54321 als tcp frei gegeben. Nun habe ich gehört das man statt internet forwardrules wie es bei der version 6.83 war die Voip Forwardrule in Telnet benutzt um den port frei zu bekommen da ich die Version 07.01 habe, deshalb hab ich voip aktiviert in der fritzbox. Ich weiß jetzt nicht genau was oder wie ich das machen muss, muss ich in putty oder FBEditor unter voip_forwardrule da meine tcp 0.0.0.0 54321 0.0.0.0 54321 eingeben?
Transmission web interface kann ich ja öffnen mit Firefox, in dem tracker wo ich jahrelang bin erscheint auch Transmission aber in rot und bin nicht erreichbar.

 

[tombay1969]

Hallo zusammen, ich möchte wie in der freetz version 6.83 wo ich Transmission port freigabe unter Internet_Forwardrules frei gegeben habe auch unter der version 07.01 frei geben. Der Unterschied ist das man es jetzt über Voip_forwardrules machen muß, ich hab in der fritzbox voip internet telefonie aktiviert und wird auch unter Diagnose - sicherheit als sip und rtp als port geöffnet angezeigt. Jetzt wollte ich in putty die voip_forwardrules "tcp 0.0.0.0:54321 0.0.0.0:54321eintragen (54321 ist der peer port Transmission) und speichern nur weiß ich nicht wo genau? Habe nach dieser Anleitung hier mal mit putty probiert ..

cat /var/flash/ar7.cfg > /var/tmp/ar7.cfg
vi /var/tmp/ar7.cfg
unter:
voip_forwardrules "tcp 0.0.0.0:81 0.0.0.0:81"; hinzufügen, abspeichern, statt 81 die 54321 richtig?

sehr zeitnah:
ctlmgr -s
voipd -s
cp /var/tmp/ar7.cfg /var/flash/ar7.cfg
ausführen

und

reboot

Muss ich nach der Eingabe cat /var/flash/ar7.cfg auf enter drücken? Dann die /var/tmp/ar7.cfg wieder enter? Habe die 3 angegeben und enter gedrückt, danach konnte ich hoch scrollen weil er ganz am ende war, ich hab alles durchgesucht aber nichts von Voip_forwardrules gefunden oder muss ich diese irgendwo eintragen? Wenn ja wo genau?

 

[PeterPawn]

Wenn da irgendetwas mit Scrollen war, klingt das für mich eher nach einem Fehler beim Abtippen, wo das "kleiner als" (oder korrekt: die Redirection für STDOUT) fehlte und stattdessen eben in der Konsole ausgegeben wurde. Keines der Kommandos liedert eine (nennenswerte) Ausgabe auf der Konsole, mit Ausnahme des Editors und der startet in FRITZ!OS (bzw. wenn es der aus der BusyBox ist, der kein "Gedächtnis" hat) eigentlich immer am Beginn einer Datei und nicht am Ende. Ein zu kleiner Scrollback-Buffer würde auch erklären, warum beim "Hochscrollen" nichts von "voip_forwardrules" zu finden war.

Ansonsten versteht es sich (eigentlich) von selbst, daß man in einer Kommandozeile die Eingaben (sofern es sich nicht um gezielte "entweder / oder"- bzw. "multiple choice, single answer"-Abfragen handelt, wo dann meist ein einzelner Buchstabe bereits ausreicht für die Wahl einer dieser Möglichkeiten) jeweils mit "Return" (oder nenne es "Enter" - wobei wenn's schlecht läuft, die "Enter"-Taste im Nummernblock einen anderen Scan-Code liefert, der auch tatsächlich anders interpretiert wird - hängt halt von der Software ab) oder auch "Ctrl-M" (für all diejenigen, die schon sehr, sehr lange mit solchen Geräten arbeiteten) abzuschließen sind ... ich kenne keine Shell, wo das nicht so wäre (auch wenn man es meist umstellen kann).