[gelöst] Freetz-Config-GUI (Port 81) nach außen freigeben

[hermann72pb]

Was für ein Referer-Problem hattest Du eigentlich gemeint?

Vergiss es, ich hab es mit AVM WebIF verwechselt... Wenn man AVM WebIF über matrixtunnel tunnelt, dann muss man den referer nicht entfernen.

Der Vorteil von matrixtunnel ist, dass du eigene Zertifikate erstellen kannst und zwar nicht die selbstunterschriebene, sondern fremdunterschriebene, wie man es normalerweise tun sollte und wie es in guten Anleitungen zu SSL steht. Wenn man danach noch RootCA der "Zertifizierungsstelle" (die nicht gleich dem Zertifikatinhaber sein darf!) in den Browser importiert, dann spuckt er nicht jedes Mal "nicht vertrauenswürdig" aus, was bei AVM-https-Lösung immer der Fall ist. Hinzu kommt nocht, dass AVM bei jedem reboot der Box die Zertifikate neu erstellt. Das Ausstellungsdatum ist meist voll daneben, weil die Box zu dem Zeitpunkt ihre Uhr noch nicht synchronisiert hat....

Naja, aber hoffentlich werden sie es irgendwann mal ausbügeln...

MfG

 

[ao]

Ah, ok, danke für Deine Erklärung, Hermann!
Den Hinweis bzgl. des Referers lasse ich mal stehen, da ich definitiv feststellen konnte, dass das AVN-GUI mit dem Referer (zumindest beim Firefox) nicht erreichbar ist.

 

[freddy4711]

Hi...

habe ebenfalls versucht, das GUI laut Anleitung freizugeben - was aber leider erfolglos war.

Hier meine Vorgehensweise:

1. Einrichten einer virtuellen IP für die Box mittels VirtualIP. Anschließend habe ich die Box rebootet.

Virtuelle IP-Adresse: 192.168.2.253
Subnetzmaske: 255.255.255.0
Interface: eth0:1

ifconfig zeigt:

eth0:1    Link encap:Ethernet  HWaddr 00:15:0C:E8:B2:59
          inet addr:192.168.2.253  Bcast:192.168.2.255  Mask:255.255.255.0
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1

2. Im AVM-GUI eine Portfreigabe eingerichtet.

ar7.cfg:

"tcp 0.0.0.0:443 192.168.2.253:22 0 # SSH-Server",

Nachdem ich alle Einstellungen gemacht habe, habe ich eine Portcheck auf den Port 443 durchgeführt.

Leider war der Port 443 nicht geöffnet. Ein erneuter Reboot der Box konnte auch nicht zum gewünschten Ergebnis führen.

Kann mir jemand helfen, bzw. erklären, warum der Port geschlossen bleibt?


gruß Andreas

 

[hermann72pb]

1. 443 könnte durch AVM-https belegt sein.
2. Wenn du schon ar7.cfg postest, was hält dich davon ab, die Weiterleitung dort direkt handisch einzutragen?
3. Warum willst du Port 22 über 443 laufen lassen?

MfG

 

[freddy4711]

Hi...

ich habe mich nur an die Anleitung aus dem Wiki gehalten. Und dort steht:

...kann man dropbear auf Port 443 lauschen lassen. Alternativ kann man aber auch eine Fritzbox-interne Portweiterleitung von Port 443 auf Port 22 einrichten, was über das original AVM-GUI möglich ist

Diese Weiterleitung habe ich versucht (über GUI und auch schon händisch in die ar7.cfg direkt) einzurichten. Leider bei beiden Versuchen ohne Erfolg.

 

[hermann72pb]

mach doch in ar7.cfg an einer passenden Stelle die Zeile:

...
tcp 0.0.0.0:22 0.0.0.0:22[B][COLOR="Red"],[/COLOR][/B]
...

Komma am Ende ist wichtig, oder eben Semikolon, wenn es die letzte Regel ist.

Damit gibts du erstmal dein dropbear nach draußen frei. Danach versuchst du dich mit putty auf deine externe Adresse mit Port 22 zu verbinden. Wenn es klappt, dann bist du schon mal weiter. Dann ändere mal die erste 22 in deiner Regel gegen 443 und probiere nochmal externe Adresse + Port 443 mit Putty. usw.

MfG

 

[freddy4711]

Ich habe zuerst die Regel

tcp 0.0.0.0:22 0.0.0.0:22,

hinzugefügt und getestet --> Port geöffnet - Zugriff von Außen mit Putty möglich.
Danach die Regel abgeändert:

tcp 0.0.0.0:443 0.0.0.0:22,

--> Port geöffnet - Zugriff möglich.

Ich denke, es liegt an der virtuellen IP, die ich mittels VirtualIP eingerichtet habe. Wenn ich an diese Adresse weiterleite, funktioniert die Portfreigabe nicht.

 

[ao]

Hast Du einen Box-Reset gemacht? Das ist nach jeder Änderung nötig (siehe diverse Artikel zu VirtualIP).

 

[freddy4711]

Was meinst du mit Box-Reset? Ich habe die Box neu gebootet...

gruß

 

[sf3978]

@freddy4711
Wenn Du den dropbear auf der VirtualIP und auf Port 443 erreichen willst, geh wie folgt vor:

In der Freetz-GUI für dropbear bei Port 443 eintragen und bei Zusätzliche Kommandozeilen-Optionen (für Experten): ListenAddress 192.168.2.253
Ein Reboot der Box ist nicht erforderlich.
Bei mir funktioniert das einwandfrei:

yy@XXXX:~> ssh -oPort=443 [email protected].???.253
The authenticity of host '[192.168.???.253]:443 ([192.168.???.253]:443)' can't be established.
RSA key fingerprint is 66:jj:6c:k8:i9:b6:4r:1d:6c:gh:2a:46:67:43:23:11.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '[192.168.???.253]:443' (RSA) to the list of known hosts.
[email protected].???.253's password:
   __  _   __  __ ___ __
  |__ |_) |__ |__  |   /
  |   |\  |__ |__  |  /_

   The fun has just begun...


BusyBox v1.11.3 (2008-10-10 00:40:30 CEST) built-in shell (ash)
Enter 'help' for a list of built-in commands.

ermittle die aktuelle TTY
tty is "/dev/pts/0"
Console Ausgaben auf dieses Terminal umgelenkt
/var/mod/root # netstat -na
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 0.0.0.0:8080            0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:81              0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:21              0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:53              0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:443             0.0.0.0:*               LISTEN
tcp        0      0 192.168.???.1:81        192.168.???.???:50805   TIME_WAIT
tcp        0      0 192.168.???.[B][COLOR="Red"]253:443[/COLOR][/B]     192.168.???.???:54983   ESTABLISHED
tcp        0      0 192.168.???.1:81        192.168.???.???:50804   TIME_WAIT
udp        0      0 0.0.0.0:2048            0.0.0.0:*
udp        0      0 0.0.0.0:2049            0.0.0.0:*
udp        0      0 0.0.0.0:2050            0.0.0.0:*
udp        0      0 0.0.0.0:2051            0.0.0.0:*
udp        0      0 0.0.0.0:4500            0.0.0.0:*
udp        0      0 0.0.0.0:53              0.0.0.0:*
udp        0      0 0.0.0.0:500             0.0.0.0:*
raw        0      0 0.0.0.0:2               0.0.0.0:*               7
raw        0      0 0.0.0.0:2               0.0.0.0:*               7
raw        0      0 0.0.0.0:2               0.0.0.0:*               7
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags       Type       State         I-Node Path
unix  2      [ ]         DGRAM                      2353 /var/tmp/me_dsld.ctl
unix  2      [ ]         DGRAM                      1355 /var/tmp/me_logic.ctl
unix  2      [ ]         DGRAM                      1366 /var/tmp/me_ctlmgr.ctl
unix  2      [ ]         DGRAM                      1890 /var/tmp/me_multid.ctl
unix  7      [ ]         DGRAM                      2730 /dev/log
unix  2      [ ]         DGRAM                      1512 /var/tmp/to_wpa_hidden_sock
unix  2      [ ]         DGRAM                      1514 /var/tmp/wpa_debug_sock
unix  2      [ ]         DGRAM                      5127
unix  2      [ ]         DGRAM                      4125
unix  2      [ ]         DGRAM                      2932
unix  2      [ ]         DGRAM                      2913
unix  2      [ ]         DGRAM                      2734
unix  2      [ ]         DGRAM                      1721
/var/mod/root #

Änderungen in der ar7.cfg sind nicht erforderlich.