FritzBox Fon WLan 7050 hinter Kabelmodem: Über I-Net aufs Web-Interface zugreifen

[BerndtAl]

Hallo,

auf diesem Wege wende ich mich an die vielen Experten in diesem Forum, mir bei einer Problemstellung zu helfen. Vorausschicken möchte ich, dass ich bereits mehrere Tage in diesem Forum und im Internet gelesen habe und teilweise auch Lösungsvorschläge entdeckt habe. Leider paßten diese dann aber entweder nicht zu meiner Ausgangssituation, nicht zu meinem Fritzbox-Modell oder bedienten sich Mittel, die nicht mehr verfügbar sind (TheConstruct oder alte firmware-Versionen).

Meine Problemstellung:
Ich möchte bei meiner FritzBox Fon WLan 7050 (Firmware-Version 14.04.33), die über Lan A hinter einem Kabelmodem am Netz hängt, über das Internet auf das Web-Interface der Box zugreifen. Hinter der Fritzbox ist kein PC, daher möchte ich also direkt auf die Box zugreifen. Da ich Laie bin, möchte ich es mit möglichst wenig Aufwand erreichen. Kleinere Sicherheitsrisiken wären tolerierbar.

Verschiedene Ansätze konnte ich bereits ausmachen:
1. Dyndns & Portfreigabe
Problem: Da die Box - wie gesagt - hinter einem Kabelmodem über Lan A am Netz ist, kann ich im Web-GUI die entsprechenden Einträge bei DynDNS und Portfreigabe, nicht vornehmen, da sie in dieser Konfiguration dann nicht zur Verfügung stehen. Mit der Unsicherheit, dass jemand die Box vom Netz aus resettet könnte ich leben.
Frage: Kann man die Einträge auch per FBEditor in der AR7.cfg vornehmen? An welcher Stelle müßten diese stehen und wie müßten sie lauten?

2. Dropbear auf der Box installieren und per SSH mit Putty verbinden
Problem: Ich habe keine (für mich verständliche) Anleitung gefunden, wie ich das Schritt für Schritt auf einer FritzBox 7050 realisieren würde. Auch für diese Lösung müßte ich ja wohl Portfreigaben machen, die ich aber bei einem Anschluß der Box über Lan A ans Netz nicht übers Web-GUI machen kann (s.o.).
Frage: Wie würde ich hier Schritt für Schritt vorgehen? Was ist erforderlich?

Über Eure Hilfestellungen würde ich mich sehr freuen. Vielen Dank bereits im voraus.

Viele Grüße
Alex

 

[wandreas]

hallo
zuerst dachte ich, wo liegt dein Problem --> DynDNS eingerichtet --> Fernwartung freigegeben --> fertig.

Aber wer lesen kann ist klar im Vorteil.

1.Problem: Du musst irgendeine Möglichkeit schaffen um vom internen Netzwerk (LanB, USB, WLAN) auf die Fritzbox GUI zu kommen.
2.Problem: DynDNS muss durch das Kabelmodem gehen, oder dein Kabelmodem kann DynDNS (ich kenne nicht dein Kabelmodem)
dann siehe oben oder (es ist ja bald Weihnachten) 6360

wandreas

 

[BerndtAl]

Hallo,

danke für die Antwort. Ich versuche die Problemstellung nochmals etwas zu konkretisieren:

Die Fritzbox soll hinter einem Kabelmodem bei einem älteren Familienangehörigen im Ausland angeschlossen werden, um dort für VOIP-Dienste genutzt zu werden. Da sich die "Älteren" mit der Technik nicht so gut auskennen, soll die Box übers Internet für mich konfigurierbar sein. Ich war mal dort und habe die Box hinter dem Kabelmodem angeschlossen, so dass alle Voip-Dienste funktioniert haben. Leider kenne ich das Kabelmodem aber nicht genauer. Das Web-Interface der Box muss direkt übers Netz ansprechbar sein, es gibt KEINE Möglichkeit über das "interne Netzwerk" bspw. über einen dahinter liegenden PC zu kommen. Es muß "von außen" sein.

Vor allem habe ich schon mal ein grundsätzliches Verständnisproblem:
Wenn ich die Box wie geschildert anschließe, was geschieht dann mit den DynDNS- und Portforwarding-Funktionen der Box? Werden die nur im Web-Interface deaktiviert oder habe die auch tatsächlich keine Funtkion. Außerdem die Frage: Kann ein Kabelmodem schon bestimmte Ports blocken?

Testen kann ich das ganze nur bei mir an meinem Laptop mit UMTS-Karte, was vom grundsätzlichen Aufbau recht ähnlich dem Aufbau der Fritzbox hinter dem Kabelmodem sein sollte. Die Box ist über ein LAN Kabel mit der Box verbunden, wobei ich der Box eine feste IP zugeordnet habe.

Insgesamt geht es für mich also sowohl um grundsätzliche Fragen zum zu verwendenden Ansatz als auch zum anderen um die technischen Dinge, die dann schrittweise zu tun sind. Wenn ich es beispielsweise schaffen würde (versuche es nämlich gerade) dropbear entsprechend http://http://www.ip-phone-forum.de/showthread.php?p=405834#post405834 zu installieren, bringt mich das dann bei meinem Problem weiter? Wie würde ich dann die DynDNS-Geschichte und das Portforwarding lösen?

Danke & VG, Alex

 

[sf3978]

... Wenn ich es beispielsweise schaffen würde (versuche es nämlich gerade) dropbear entsprechend http://http://www.ip-phone-forum.de/showthread.php?p=405834#post405834 zu installieren, bringt mich das dann bei meinem Problem weiter?

Ja, das bringt dich weiter.

Wie würde ich dann die DynDNS-Geschichte und das Portforwarding lösen?

Siehe hier (>>> klick <<<), im Abschnitt "Portweiterleitung".

 

[BerndtAl]

Hallo sf3978,

danke für Deine Antwort. Habe mir jetzt insbesondere Deinen zweiten Link angeschaut und weiß allerdings nicht, was damit genau gemeint ist:

Im Ergebnis muss zu den "forwardrules" eine der folgenden Art hinzugefügt werden, natürlich mit dem richtigen Protokoll (TCP/UDP) und der richtigen Port-Nummer. Zu beachten ist, dass die Zeilen mit "," abzuschließen sind, die letzte Zeile mit ";":

## falls es **nicht** die letzte Zeile ist so,
## wenn es **die letzte** ist, bitte ein ";" statt des ","
"udp 0.0.0.0:1194 0.0.0.0:1194" ,

Das Format dafür ist: <Protokoll> <In IP>:<In IP-Port> <Out IP >:<Out IP-Port> Hier ist das erste "0.0.0.0" jeweils alles eingehende das zweite "0.0.0.0" steht für "die Box selbst". Der "ausgehende" Port ist hier wie der eingehende der Standardport von OpenVPN: 1194.

Bei mir taucht an zwei Stellen "forwardrules" in der AR7.cfg auf. Ich habe aber über das Web-Interface auch keine festgelegt. Daher bin ich mir unsicher, ob das die richtigen Stellen sind:

"reject udp any any eq 158",
"reject udp any any eq 515",
"reject icmp any 149.1.1.0 255.255.255.0";
}
forwardrules = "udp 0.0.0.0:5060 0.0.0.0:5060";
shaper = "globalshaper";
}

Und:

highoutput {
policy = "permit";
accesslist = "permit udp any any",
"reject ip any any";
}
forwardrules = "udp 0.0.0.0:5060 0.0.0.0:5060";
shaper = "globalshaper";
}
}

Protokoll dementsprechend "udp"? An welcher Stelle wäre das o.g. einzufügen?

Außerdem stellt sich mir die grundsätzliche Frage, nachdem ich Deinen Link bei Freetz gelesen habe, ob das nicht doch besser mit OpenVPN und Freetz zu lösen ist?

Danke
Alex

 

[sf3978]

...
Außerdem stellt sich mir die grundsätzliche Frage, nachdem ich Deinen Link bei Freetz gelesen habe, ob das nicht doch besser mit OpenVPN und Freetz zu lösen ist?
...

Ja, mit Freetz und OpenVPN, kann dein Problem eleganter gelöst werden.

 

[BerndtAl]

Wie würde ich dabei grundsätzlich vorgehen? Welche "Freetz-Module" bräuchte ich dafür? Geht das auch mit der 7050? Mit welchem Programm stellt man dann nachher die die Verbindung her? Da braucht man doch was anderes als Putty, oder? (edit: Habe gerade mal das HOWTO auf openvpn.net gelesen. Das Programm OpenVPN ist dafür also mein Freund!)

Leider kenne ich mich mit der Materie nur in kleinen Teil aus. SSH und Putty ist mir einigermaßen geläufig, ohne Hintergründe zu kennen. OpenVPN ist für mich nicht wirklich geläufig.

Außerdem wäre ich für mein Verstädnis auch an o.g. Fragen interessiert.

Danke & VG

 

[sf3978]

Als Paket in Freetz, brauchst Du OpenVPN. Was mit der 7050 geht, kannst Du hier (klick) nachlesen. Die Verbindung kannst Du mit einem OpenVPN-Client herstellen.

 

[BerndtAl]

Danke für die Infos. Werde mich jetz erstmal da durcharbeiten müssen. Trotzdem noch die Frage bzgl. der Portweiterleitungen, da dies ja scheinbar auch von grundlegender Bedeutung an vielen anderen Stellen ist. Wie müsste ich bzgl. o.g. Fragen vorgehen?

Außerdem bin ich im Thread http://www.ip-phone-forum.de/showthread.php?t=79500&page=2 noch darauf gestoßen:

Zusammenfassung:
Wenn sich bei euch die Fritzbox nicht selber ins Netz verbindet, sondern ein anderes Gerät dies tut (auch wenn die FBF als Modem "missbraucht" wird), müsst ihr natürlich das Gerät, dass sich ins Netz einwhält, der FBF bekanntmachen.
Das geschieht über zwei Dinge:

a) Die Fritzbox muss das Gerät als Nameserver eingetragen bekommen
b) Die Fritzbox muss das Gerät als Gateway eingetragen bekommen

Diese Einträge sollten in der 'input.cfg' erfolgen. Bei mir hat es nicht geklappt, weil diese beiden Einträge am Ende der Datei standen. Am besten fügt ihr diese unter die Zeile, in der das root-Passwort gesetzt wird.

Hier meine 'input.cfg':

Code:

# SSH und Etherwake Script - v0.3

# # # # # # # KONFIGURATION # # # # # #

# Server auf dem die Daten liegen
# Serverurl ohne http:// und Verzeichnis angabe
serverurl="!!! HIER EUER SERVER !!!"
# Pfad zu den Dateien (zb serverdir="/fritzbox")
serverdir="/ HIER DAS VERZEICHNIS"
# SSH
#Port auf dem SSH laufen soll
dropbearport="22"
# Etherwake
# MAC Adresse des zu Weckenden PC
wolmac="01:23:45:67:89:AB"
# Interface über das geweckt werden soll, die FBF ata hat eine andere belegung der Interfaces
# intf = StdFkt - ataFkt
# eth0 = LAN1 - WAN
# eth1 = LAN2 - LAN1
wolinterface="eth0"
# System
# Verschluesseltes Passwort des Root Users (Wichtig für SSH)
PASSWD='36d6NYYMch85U'

# # # # # # KONFIGURATION ENDE # # # # #

# Default Gateway
defgw="192.168.1.1"

# Aendern des Root Passwortes
cp -p /var/tmp/shadow /var/tmp/shadow.old
sed -e "/root:/s#^root:[^:]*:#root:$PASSWD:#" /var/tmp/shadow.old > /var/tmp/shadow
# Hinzufuegen des Nameservers.
# ACHTUNG: Dieser Befehl loescht alle Eintraege in der resolv.conf!
# Wenn ihr den Nameserver nur an die Datei anfuegen wollt, benutzt anstatt '>' einfach '>>'
echo nameserver $defgw > /etc/resolv.conf
# Den Default Gateway setzen
/sbin/route add default gw $defgw

# Warten bis die FritzBox den Server erreichen kann
while !(ping -c 1 $serverurl); do
sleep 5
done

# In das Lokale Verzeichnis wechseln
cd /var/tmp

# Anlegen eines vereinfachenden WOL Scripts
echo "/var/tmp/etherwake -i $wolinterface $wolmac" > ./startpc

# Nachladen von Dateien
wget http://$serverurl$serverdir/dropbear
wget http://$serverurl$serverdir/busybox

# Anpassen der Dateirechte
chmod +x /var/tmp/dropbear
chmod +x /var/tmp/busybox
chmod +x /var/tmp/startpc

# Symlink fuer dropbearkey erstellen
ln -s /var/tmp/dropbear dropbearkey
ln -s /var/tmp/busybox etherwake
ln -s /var/tmp/busybox uudecode
ln -s /var/tmp/busybox uuencode

Besonders wichtig scheint aus meiner Sicht?

# Default Gateway
defgw="192.168.1.1"

Muss ich das auch beachten? Wie editiere ich die input.cfg?

Danke & Vg
Alex

 

[sf3978]

... Trotzdem noch die Frage bzgl. der Portweiterleitungen, da dies ja scheinbar auch von grundlegender Bedeutung an vielen anderen Stellen ist. Wie müsste ich bzgl. o.g. Fragen vorgehen?
...

Wenn Du Freetz auf der Box hast, dann kannst Du auch das Paket "avm-firewall" installieren. Dieses Paket hat ein Freetz-Web-IF, mit dem die Portweiterleitung, ganz einfach einzurichten ist.

EDIT:
Hier (klick) hat einer eine 7050 mit OpenVPN.

 

[BerndtAl]

Danke nochmals für Deine Antworten. Habe jetzt viel über Freetz gelesen. Ich tauche aber immer wieder darauf, dass Freetz zwar toll ist, aber bei einer 7050er mit leider nur sehr wenig Flash-Speicher nicht allzu viel ohne Probleme möglich ist. Ein Freetz mit OpenVPN auf eine 7050er zu bekommen, scheint mir - so verlockend Freetz auch klingt - für mich als Laien nicht so trivial. Ein weiteres Paket für Portfreigaben-Steuerung darauf zu bekommen, dann ja fast ausgeschlossen. An mehreren Stellen konnte ich davon lesen, dass es zwar möglich ist, aber dies wurde nur von Profis geschrieben, bspw. http://trac.freetz.org/ticket/870.

So komfortabel Freetz auch aussieht, scheint der Weg über Dropbear und Anpassung der ar7.cfg doch realistischer. Oder sehe ich das falsch? Könnte mir jemand bei obenstehenden Fragen bzgl. der Anpassungen in der ar7.cfg für Portfreigaben und dyndns nochmals helfen?

Danke & Vg,
Alex

 

[sf3978]

... Könnte mir jemand bei obenstehenden Fragen bzgl. der Anpassungen in der ar7.cfg für Portfreigaben und dyndns nochmals helfen?
...

Den Eintrag in die ar7.cfg könntest Du so machen:

highoutput {
policy = "permit";
accesslist = "permit udp any any",
"reject ip any any";
}
forwardrules = "udp 0.0.0.0:5060 0.0.0.0:5060"[COLOR="Red"],[/COLOR]
          [COLOR="Red"] "tcp 0.0.0.0:<[B]Port[/B]> 0.0.0.0:<[B]Port[/B]> 0 # dropbear";[/COLOR]
shaper = "globalshaper";
}
}

ar7cfgchanged nicht vergessen. Hat die 7050 einen dyndns-Client?

 

[BerndtAl]

Danke für die Antwort. Einzutragendes Format ist mir jetzt klar. Was bedeutet das dann eigentlich in Worten, dass 0.0.0.0ortXY auf 0.0.0.0ortXY weitergeleitet wird? ("tcp 0.0.0.0:<Port> 0.0.0.0:<Port> 0 # dropbear"; )

Leider ist mir aber immer noch unklar, an welcher Stelle ich das in der ar7.cfg ändern muß? Wie oben geschildert steht bei mir an zwei Stellen forwardrules. Beide stehen in einem"dsldpconfig {"-Klammerbereich. Muss ich es an beiden Stellen eintragen?

Was meinst Du mit "ar7cfgchanged nicht vergessen."?

Im Web-Interface der 7050er findet man bei der Einstellung für einen Anschluß als DSL-Modem den Link für DynDNS unter Einstellungen -> Internet. Bei meinem Aufbau (Netz über LAN A hinter Kabelmodem) gibt es den Link aber nicht mehr. Genauso fehlt dann auch der Link für die Portfreigaben. Daher gehe ich aber davon aus, dass die 7050er grundsätzlich DynDNS beherrscht. Ist das auch in der ar7.cfg zu ändern? Dort gibt es ja folgende Einträge:

ddns {
accounts {
enabled = no;
domain = "";
iface = 0;
username = "";
passwd = "";
ddnsprovider = "dyndns.org";

Was müßte man dort eintragen?

Und funktioniert das ganze dann auch bei meinem Aufbau hinter einem Kabelmodem noch?

Danke & VG