Gelöst: Im Matrixtunnel zum FREETZ-Web-IF

Accuvue

Neuer User
Mitglied seit
10 Jul 2008
Beiträge
187
Punkte für Reaktionen
0
Punkte
16
Beschäftige mich gerade mit dem kleinen Programm matrixtunnel, um das FREETZ-Web-Interface von außen zugänglich zu machen. Beschreibungen gibt es ja einige hier. Aber es funktioniert nicht. Was vielleicht daran liegt (und das ist jetzt meine Vermutung), weil ich das ganze Prozedere mit stunnel und Co bissel abkürzen wollte und mir das Zertifikat online erstellt habe über

https://www.checkdomain.de/ssl-zertifikate/generator/

Es gibt da auch noch ein paar weitere Seiten die sowas anbieten.

Frage:
Geht dieser Weg überhaupt oder könnte das die Ursache sein, das die Box nicht von Außerhalb erreichbar ist?

Den Aufruf hab ich mir hier im Forum ausgesucht:
matrixtunnel -A /var/media/ftp/uStor01/certs/server.crt -p /var/media/ftp/uStor01/certs/server.key -d 1443 -r 81

Die Freigabe ebenfalls:
tcp 0.0.0.0:81 0.0.0.0:1443

Es kommen keine Fehlermeldungen beim Start, es funktioniert eben einfach nur nicht. Deshalb meine Frage nach dem Onlinezertifikat...
 
Zuletzt bearbeitet:
Ist der Port von aussen denn erreichbar?
 
[Edit frank_m24: Sinnfreies Vollzitat vom Beitrag direkt darüber gelöscht, siehe Forumregeln.]

Weder von außen noch von innen
 
Ah, ok. War bisher aufgrund fehlender .config nicht klar, daß du das AVM-Firewall-Paket mitgebaut hast ;-)
den Haken ganz unten auf der Seite ist natürlich auch gesetzt gewesen zum aktivieren?!?
 
[Edit frank_m24: Sinnfreies Vollzitat vom Beitrag direkt darüber gelöscht, siehe Forumregeln.]

Ja klar.

Wenn ich richtig gelesen habe, sollte doch https://fritz.box:1443 von intern die gewünschte Seite liefern? Von außerhalb sollte es mit https://meineip.net:81 funktionieren. Klappt beides nicht...
 
Tja, und da scheint dein Fehler zu sein. Freetz hört per Default auf Port 81, und nicht auf 1443. (oder hast du das eingerichtet so? Dann solltest du das _wirklich_ dazuschreiben.
 
[Edit frank_m24: Sinnfreies Vollzitat vom Beitrag direkt darüber gelöscht, siehe Forumregeln.]

Schon klar. Aber ich dachte der https-Zugang ist mit matrixtunnel auf Port 1443 angelegt worden? Was macht die matrixtunnel-Befehlszeile denn sonst?
 
Schau dir mal an, was du dort freeigibst. Du gibst Port _81_ innen auf Port 1443 _aussen_ frei.
Du willst aber, dass Matrixtunnel von _innen_ auf Port 1443 auch _aussen_ auf Port 1443 zu erreichen ist. Wie muss also die Zeile lauten?
 
Es ist vollkommen egal, opb du dich da mit Linux auskennst oder nicht, das ist eine simple Logiksache.

Dein Tunnel hört auf welchem Port? Dieser ist der eine Wert, den du in den Forwardrules angeben musst. Und dann hast du noch dne Port, auf dem du aussen hören willst, ebenso in dien Forwardrules.

Ich versuche mal ein Beispiel:
Wenn du das AVM-Webinterface unverschluesselt auf Port 80 nach draussen freigebe willst, muss dort stehen:
"tcp 0.0.0.0:80 0.0.0.0:80"

Für meine Freundlichkeit ausserhalb von "lern richtig lesen und denken" hoffe ich, dass du das freetz-Wiki um entsprechende Teile ergänzt, sollte das dort nicht Aussagekräftig vorhanden sein. Danke.
 
[Edit frank_m24: Sinnfreies Vollzitat vom Beitrag direkt darüber gelöscht, siehe Forumregeln.]

Das war ja nun ein sehr einfaches Beispiel Herr Lehrer. Hier sind beide Ports gleich. Und wie ist das nun in meinem Beispiel? Der innere Port zuerst, ja?
 
Wieso sind bei dir nicht beide Ports gleich? Möchtest du den Tunnel aussen an einem anderen Port lauschen lassen als innen? Ansonsten ist sicherlich die Reihenfolge: Erst aussen (sprich die freigegebene IP+Port), und dann die innere. IP ist in beiden Fällen identisch, da mit "0.0.0.0" die Box selber gemeint ist, und die Ports: Wenn erst aussen, und dann innen kommt her oder frau schüler.... *seufz*
 
[Edit frank_m24: Sinnfreies Vollzitat vom Beitrag direkt darüber gelöscht, siehe Forumregeln.]

naja. Man könnte ja auch erstmal beide Ports gleich machen. Hast schon recht.

Meinst Du das das mit den im Web erstellten Zertifikaten klar geht? Immerhin kommt keine Fehlermeldung...
 
Probiers? Ich werd mir keine erstellen, matrixtunnel auf meine Box bringen und das für dich testen.
Aber natürlich funktioniert das nicht, wenn der Port nicht freigegeben ist :D
 
@Accuvue: Bitte erzeuge keine unnötigen Vollzitate. Du bist lange genug dabei, um das zu wissen.
 
Hab mein Problem mit Matrixtunnel inzwischen selbst gelöst. Lasst mich meiner Anleitung zunächst folgendes voranstellen:

Hier im Forum finden sich Leute, die gern ihre Fritzbox modifizieren wollen. Aus bekannten Gründen stellt Ihr hier keine fertigen Images rein. Nicht schlimm, es gibt ja gute Wikis, die einem die ersten Schritte beim Erstellen der Images erleichtern. Und mit etwas Glück hat man dann ein einfaches und funktionierendes Image für seine Freetzbox.

Wer sich weiter mit dem Freetz-Projekt beschäftigt, bekommt aber sehr bald Fragen. Immerhin befinden wir uns mitten in einer Linux-Welt voller kryptischer Befehle und Zeichenketten. Wiki-Erklärungen für Addons und Patches sind oft unvollständig, veraltet oder es gibt gar keine. Der Anfänger kommt dann einfach nicht weiter.

Hier könnte dieses Forum helfen. Könnte man meinen… Denn sicher gibt es hier viele Gleichgesinnte die vor ähnlichen Problemen stehen oder standen und vielleicht eine Lösung parat haben.

Eine Zeit lang scheint das auch gut funktioniert zu haben, wenn man so in den Suchfunktionen stöbert. Neuerdings, scheint es, sind hier aber nur die Fragesteller unter sich. Unterbrochen von oft arroganten Pöblern, besserwissenden Zurechtweisern und Leuten die meinen hier den Blockwart spielen zu müssen. Das hilft nicht wirklich. Es schadet diesem Forum. Finde ich…

Das vorab. Wollte ich nur mal kurz loswerden.


Um mit gutem Beispiel voran zu gehen, hier meine Lösung zum Thema dieses Threads:

Ziel war es, mittels des Programms „Matrixtunnel“ einen (einigermaßen) sicheren Zugang zum Freetz-WebIF zu schaffen, um dieses „von aussen“ administrieren zu können. Die benötigten Zertifikate sollten der Einfachheit halber mittels eines im Netz verfügbaren Zertifikatgenerators erstellt werden. Also ohne „openssl“, wie hier in einem anderen Thread beschrieben.

Man gehe also wie folgt vor:

1.) Matrixtunnel ins Freetzpaket einbinden
2.) Zertifikat auf der Seite
(gibt sicher auch andere Seiten) erstellen:
Schlüssel-Größe: 1024 Bit (empfohlen)
Schlüssel-Typ: RSA (empfohlen)
Key-Passwort: (unbedingt leer lassen!!!)
Erstellen für: Privatperson
Eigenname: MaxMuster
Land: Deutschland
Bundesland/Provinz: Saxonia
Ort: Chemnitz
Ihr Name: Max Muster
Ihr Projekt: freetz
E-Mail: [email protected]
Dann auf „Weiter“ drücken und über die beiden Fenster „Der Schlüssel“ und „Das CSR“ staunen.
3.) Den Inhalt des Fensters „Der Schlüssel“ in eine Datei „key.pem“ kopieren. Dabei auf Unix-Zeilenenden achten
4.) Auf der Webseite “self-signed certificate” erzeugen und dieses in eine eine Datei „cert.pem“ kopieren. Wieder auf Unix-Zeilenenden achten
5.) Die Dateien per FTP auf den USB-Stick kopieren.
6.) Mittels „Putty“ die beiden Dateien nach „/tmp/flash/.stunnel/“ kopieren
7.) In die rc.custom folgende Zeile kopieren:
matrixtunnel -A /tmp/flash/.stunnel/certs.pem -p /tmp/flash/.stunnel/key.pem -d 444 -r 81
8.) Portfreigaben einrichten über
Freetz-WebIF – Pakete – AVM-Firewall – Forwarding
tcp 0.0.0.0:444 0.0.0.0:444
9.) Hinzufügen, Haken setzen und Übernehmen
10.) Jetzt Box starten und über
zugreifen

Viel Erfolg dabei. Wenn man weiß wie's geht ist es nie schwierig!
 
Und wieso hier und nicht im Wiki? *besserwisserisch zurechtweis*, da du ja Wiki, Forum und SuFu beanstandest, geh doch dahingehend mit gutem Beispiel voran...

Schön übrigens, dass du vor allem wegen der spärlichen Hilfe in der Lage warst, SuFu, Wiki und Fakten mit einigen Hinweisen in die richtige Richtung so zu kombinieren, dass du es _begriffen_ hast, und nicht nur abgeschrieben. Das ist Sinn davon.
 
Erschwerend ist/war in deinem Fall der falsche Link im Matrixtunnel-Wiki

"Zertifikate erzeugen" sollte schon auf TipsTricks zeigen. Zu spät, ich weiß, aber vielleicht korrigierst du das gleich mit. ;)
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.