[Gelöst] AVM-forwarding - ar7.cfg nicht genug?

[molfi]

Hallo.

Wir sind von einer 7270v3 auf eine 7490 umgestiegen.
Diverse Unklarheiten beim Umstieg konnten mit Hilfe von Foreneinträgen beseitigt werden.

Folgende Sache scheint aber irgendwie nicht mehr ordentlich zu funktionieren: AVM-forwarding.
Nachdem der Zugriff auf die Weboberfläche vom Internet aus freigegeben wurde, wird mittels AVM-forwarding zwar ein weiterer Eintrag in der ar7.cfg unter internet_forwardrules eingetragen, aber beim Neustart ist der Eintrag wieder weg.

Was mich dabei stutzig macht:
Wenn zusätzlich FTPS fürs Internet freigegeben wird, kann ich in der ar7.cfg keine Regel dazu finden.
Gibt es da evtl eine weitere Datei, in der die Firewall Regeln definiert werden?
Oder was geht da schief?

Gruß
molfi

 

[PeterPawn]

FTPS wird von der Box nur über "AUTH TLS" unterstützt, das ist also nur ein "Upgrade" einer Verbindung über Port 21.

Ansonsten funktionieren (syntaktisch einwandfreie, aber von Hand eingetragene) Forward-Regeln auch bei der 7490 - bis hin zur vorletzten Labor-Version (41137). Die 41222 habe ich allerdings nicht geprüft - das ist in meinen Augen auch ein recht schlechter Ansatz, weil man einfach nicht unterscheiden kann, ob Dein Problem nun aus dem Umstieg von der anderen Box oder aus der (gestern erst veröffentlichten) Labor-Version resultiert.

Hier solltest Du Dich auf eine denkbare Fehlerquelle beschränken und die erst einmal ausschließen ... da die 7490 ja zwei Systeme verwalten kann, wäre ein Test mit der Release-Version (die man dann für das Freetz-Image verwendet) auch kein übermäßiger Aufwand - die 41222 kann ja erhalten bleiben.

 

[MaxMuster]

Nachdem der Zugriff auf die Weboberfläche vom Internet aus freigegeben wurde, wird mittels AVM-forwarding zwar ein weiterer Eintrag in der ar7.cfg unter internet_forwardrules eingetragen, aber beim Neustart ist der Eintrag wieder weg.

Hast du das mehrfach versucht bzw. auch "sofort nach dem speichern neu gestartet"?
Die Box selbst hält eine "Kopie" der Einträge der ar7.cfg im RAM und so werden manchmal beim "Zurücksichern" dieser Werte die von Freetz (für die "normale GUI" unbemerkt) vorgenommenen Änderungen wieder überschrieben. Ein sofortiger Neustart kann das meist verhindern. Also am Besten mehrfach versuchen.
Die gleiche Problematik hat man auch, wenn man "direkt" die ar7.cfg verändert...

 

[molfi]

Danke für Eure antworten.

Ich "kämpfe" mit diesem Problem seit der beta 6.69 40929, ist also kein Problem der neuesten beta.
Bzgl des Umstiegs: AVM-forwarding war schon auf der 7270 vorhanden und die Bedienung war identisch
Ich habe die ar7.cfg nicht manuell geändert, immer über das Freetz AVM-forwarding.
Um mir den Inhalt anzuzeigen habe ich sie einfach per cat ar7.cfg > /tmp/ar7.bak lesbar gemacht ohne direkt mit nvi zu arbeiten.
Mehrfach versucht habe ich das auch schon. Mal mit Neustart direkt nach der Änderung, mal mit direkter Übernahme nach dem Speichern.
Aber egal wie ich das anstelle, der Eintrag überlebt nicht.

Ich habs grad 5 mal probiert
Neustart-Eintrag-Neustart
Neustart-Eintrag-Neustart
Neustart-Eintrag-Neustart
Neustart-Eintrag-Neustart
Neustart-Eintrag-Neustart

Hier der Eintrag den ich gerne realisieren möchte (von Freetz erzeugt)
tcp 0.0.0.0:22 0.0.0.0:22 0

Noch ne Idee vielleicht?

Gruß
molfi

 

[PeterPawn]

Wie bereits geschrieben ... einfach mal manuell eintragen (vorher mit "ctlmgr -s" den stoppen, dann überschreibt der auch nichts mehr) in die ar7.cfg und dann nach dem Speichern die Box neu starten.

Bei mir existiert eine ähnliche Freigabe, wobei ich nie auf die Idee käme, einen SSH-Daemon auf dem Standard-Port aus dem Internet zugänglich zu machen ... dann kann ich die Box auch gleich zum Bitcoin-Schürfen einsetzen, die CPU-Auslastung dürfte ähnliche Größenordnungen erreichen. Daher hat mein externer Port eine andere Nummer, aber intern geht der auf die 22 und einen "dropbear" als Server und das funktioniert auch bei der 41137.

 

[molfi]

Hallo PeterPawn.

Das wars. Reproduzierbar funktioniert es, wenn ctlmgr vorher mit option -s beendet wird und dann erst die Änderungen an der Firewall gemacht werden.
Bzgl des Ports gebe ich dir Recht. Hintergrund hierfür ist ein restriktives Netz aus dem ich die Verbindung initiiere.
Um die Gefahr zu reduzieren sind Passwortlogins nicht erlaubt, nur ein 2048 Bit Schlüssel ist hinterlegt.

Vielen Dank

Gruß
molfi

 

[PeterPawn]

Na ja, ich sehe die Gefahr auch weniger in unerlaubten (erfolgreichen) Logins als vielmehr in in einer erheblichen Belastung der FRITZ!Box durch einen ständig neu initialisierenden "dropbear", sowie irgendein Honk aus dem Internet den SSH-Port (mit einem SSH-Client zumindest) anspricht.

Selbst wenn der dann wegen "pubkeyauth" abblitzt, bis zu diesem Zeitpunkt hat der schon genug Ressourcen belegt - bei mir dauert der "dropbear"-Start für "sshfs" in der Regel um die 5 Sekunden (allerdings auch mit einem 4096-Bit-Key für den SSH-Host - ich nutze da denselben Schlüssel, wie das AVM-GUI für TLS).

Wenn da jemand im Sekundentakt aus dem Internet eine SSH-Verbindung aufzubauen versucht, braucht das eben erhebliche Rechenzeit (ist praktisch ein DoS-Angriff, der nur sehr wenige Pakete pro Sekunde braucht und nicht die Leitung, sondern die Box auslastet) - zumindest sollte man dann mal schauen, ob man nicht besser mit einem ED25519-Key für den Host (ich weiß gar nicht, ob das "dropbear" inzwischen kann) arbeiten sollte, damit die Last durch solche Zugriffe kleiner bleibt.