[Frage] Gibt es schon eine Lösung für "400 Bad Request" für 7490 Laborfirmware?

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
mipo

mipo

Aktives Mitglied
Mitglied seit
29 Okt 2004
Beiträge
1,345
Punkte für Reaktionen
145
Punkte
63
Hallo zusammen,

ich greife übers Internet auf meine FritzBox 7490 zu. Gibt es schon eine Lösung für den "400 Bad Request" Error,
den ich erhalte? Lt. AVM ist dieser Fehler bekannt. 2. Artikel, doch der Lösungsweg erscheint mir nicht ganz schlüssig.
Vermute einmal, dass hier ein falsches Thema verlinkt wurde.

https://avm.de/fritz-labor/fritz-labor-fuer-fritzbox-7490-und-7590/bekannte-probleme/

Meine URL (natürlich verfremdet): https://dslextern.netwerkname.de:495 (geht über DynDNS Account,
CNAME auf diese URL)

Immerhin funktioniert die Firmware weitestgehend und der interne Zugriff (aus dem LAN) ebenso.

Gruß
Michael
 
Zuletzt bearbeitet:
Wenn du nicht wenigstens den von dir tatsächlich verwendeten Port angibst, ist alles nur "Stochern im Nebel".
Da versagt garantiert jede Glaskugel!
 
Hallo Joe,

was hat der "tatsächliche" Port mit dem geschilderten Problem genau zu tun? Wichtig ist doch, dass dieser Port nicht verwendet wird. Aber meinetwegen, habe es korrigiert. :)

Ich habe natürlich für eure Glaskugeln noch den Hinweis Dyndns => URL per CNAME ergänzt.

Gruß
Michael
 
Danke für die Korrektur!
Leider hattest du in deinem Eröffnungspost nicht erwähnt, dass du die bereits von der FRITZ!Box intern verwendeten Ports nicht benutzt.
Meine Vermutung ging deshalb in Richtung Port 443, da dieser sonst eigentlich überall durchgelassen wird.
 
Kein Problem.
Bis zur Version 6.93 funktionierte der interne wie externe Zugriff einwandfrei. Intern über IP und extern über URL mit gleichem Port 495. Im Moment funktioniert
nur der Zugriff intern. Bisschen ärgerlich, da AVM scheinbar das Problem kennt und eine Lösung verlinkt hat, die aber meines Erachtens keinen Sinn macht.
Bei DNS Rebind gebe ich doch keinen Port an. Oder doch? - Funktioniert bei euch der Zugriff?
 
Seitdem es die LE-Zertifikate gibt, wertet AVM ja den SNI-Header aus ... soweit mir bekannt ist, wird beim Zugriff über die MyFRITZ!-Adresse das LE-Zertifikat verwendet.

Für andere (der Box bekannte) DynDNS-Namen wird dann ein entsprechender Eintrag im "alten" FRITZ!OS-Zertifikat vorgenommen. Wenn hier am Ende ein Hostname verwendet wird, der gar nicht im Zertifikat auftaucht, dann könnte auch das die Ursache für diesen Fehler sein.

Was passiert denn, wenn man direkt auf die Box über die DynDNS-Adresse und nicht über die andere Domain (wo dann wohl ein CNAME-Eintrag auf die DynDNS-Adresse verweist, wenn ich das richtig verstehe) zugreift? Was steht denn im SNI-Header bei so einem Zugriff?
 
Ich habe einen Accout bei SPDNS, wo CNAME nicht unterstützt wird. Keine Probleme beim Aufruf meiner URL (7580 FW 6.98-53651) aus dem Heimnetz und beim Aufruf der URL eines Bekannten (7590 FW 6.98-53507), dessen Box ich betreue. (Beide SPDNS). Kann das mit CNAME leider nicht testen.
 
Hallo zusammen,

ich schaue mir das Problem einmal mit meinem zweiten Test-DSL Anschluss und einer FritzBox 7590 an. Ihr könntet Recht haben, das wird ein Problem mit dem Zertifikat
sein. Da noch weitere kleinere Probleme im WLAN aufgetreten sind, habe ich gezwungenermaßen die 6.93 auf der 7490 per Recovery Image zurückgespielt.

Ich melde mich Anfang nächster Woche, wenn genauere Ergebnisse vorliegen.

Viele Grüße
Michael
 
Ich hatte das selbe Problem und konnte es lösen, indem ich einen Dummy DynDNS Eintrag erstellt habe mit der CNAME Domain. Bei mir ging das, da ich mein DynDNS woanders aktualisiere, wer auf die Aktualisierung durch die FRITZ!Box angwiesen ist, ist halt angeschi**en.

Wenn AVM mir das als Sicherheitsfeature verkaufen will, werde ich wohl den großen 6 Kilo Hammer nehmen und die FRITZ!Box ein für allemal 100% sicher machen und mir ordentliches Gerät kaufen.
 
  • Like
Reaktionen: mipo
Oh, seitdem ich gestern zwei 7490er (eine am DSL-Anschluss, eine im IP-Client-Mode) von 6.93 auf die 6.98-58361 Labor vom 02.07.2018 "hoch gezogen" habe, habe ich bei der "DSL-Kiste" das umgekehrte Phänomen (die "IP-Client" ist diesbzgl. allerdings unauffällig):

400 Bad Request

ERR_INVALID_REQWebserver Thu, 01 Jan 1970 00:21:55 GMT​

Allerdings ist mein Setup eher ungewöhnlich, da ich intern einen offiziell routebaren /24 IPv4 Bereich verwende, der "mein ist" (PI Address Space) und meine Geräte sind auch entsprechen vorwärts <meine-domain.de> und rückwärts <z.y.x.in-addr.arpa.> öffentlich per DNS eingetragen.

Weder der interne Zugriff per http(s)://<fqdn> noch CNAMEs -> A tut (meine Domain ist schon seit "ewigen" Zeiten für die Freigabe beim DNS-Rebind-Schutz eingetragen.
Intern funktioniert der Zugriff nur unter der Verwendung der IP der Kiste: http(s)://<ip>
Zugriff von Remote auf https://<DynDNS.FQDN>/# funktioniert auch.
 
Der Hostname über den der Zugriff erfolgen soll, muss unter DynDNS eingetragen sein, dann funktioniert dieser eine Hostname - ausschließlich.
Im Grunde keine schlechte Idee, nur ist natürlich DynDNS die völlig falsche Stelle und ein einzelner Eintrag völlig ungenügend und mit Sicherheit hat das mit Sicherheit nix zu tun.

Der Rebind Schutz, dient ausschließlich dazu die Namensauflösung im internen Netzwerk zu verhindern, auch wenn die Namensauflösung funktioniert, heißt das nicht, dass das entsprechende Gerät auch Anfragen akzeptiert. Bei Dir funktioniert die Namensauflösung, sonst würdest Du nichtmal den 400er bekommen.
 
Zuletzt bearbeitet:
Wir haben 1985 DNS eingeführt damit man sich keine IP Nummern mehr merken muss und von der unseligen HOSTS.TXT Datei aus ARPA Zeigen weg zu kommen....
Dann wurde es mit IPv6 DNS lebenserhaltend... :)

Und nun kommt AVM und verbietet mir in meinem Heimnetz DNS zu benutzen... wie d**f kann man sein?

Im Ernst:
Ich benutze in meinem Heimnetz ein RFC Netz. Ich habe 7 Fritzboxen aktiv im Einsatz dazu diverse Repeater.
Mein Nameserver ist in meinem offiziellen PI Netz.

Die ReBind Konfiguration meiner Fritzboxen ist nach menschlichen Ermessen und unter gewissenhafter Auslegung der wirklich schlechten AVM Dokumentation korrekt.

Und nun muss ich wieder IP Nummern in den Browser tippen um auf meine Fritz Boxen zugreifen zu können.

Wenn Sie mir mein Support Ticket genauso mies beantworten wie mein letztes betreffend der Art und Weise wie sie das Gastnetz durch die Lan Bridge des Repeaters führen ("sagen wir Ihnen nicht, ist unsere Betriebsgeheimnis") dann fliegt bei mir dann wirklich AVM raus.
 
Zuletzt bearbeitet:
Du kannst den Rebind Schutz ganz einfach komplett abstellen, indem Du unter Heimnetz > Netzwerk > Netzwerkeinstellungen > DNS-Rebind-Schutz > Domainnamen-Ausnahmen: box einträgst.
AVM verbietet hier also ausnahmsweise gar nichts sondern hat nur für nahezu alle FRITZ!Box Nutzer eine ungeeignete Voreinstellung.

7 FRITZ!Boxen + mehrere Repeater in einem Heimnetz? Vielleicht solltest Du Dir überlegen ob das nicht vielleicht vom Grundsatz her eine Frickellösung ist - Ich supporte viel, aber das würde ich verweigern.

Solltest Du in dem Tonfall Tickets eröffnet haben, kannst Du kaum das Wohlwollen des Supports erwarten.
 
ast schrieb:
Ich benutze in meinem Heimnetz ein RFC Netz.
Zum Vergrößern anklicken....

Willkommen im Klub (Mit "RFC Netz" meinst Du den RFC mit der #1918, sprich aus dem Bereich der dort als private address space definiert wird!?)

Helmchen schrieb:
Du kannst den Rebind Schutz ganz einfach komplett abstellen, indem Du unter Heimnetz > Netzwerk > Netzwerkeinstellungen > DNS-Rebind-Schutz > Domainnamen-Ausnahmen: box einträgst.
AVM verbietet hier also ausnahmsweise gar nichts sondern hat nur für nahezu alle FRITZ!Box Nutzer eine ungeeignete Voreinstellung.
Zum Vergrößern anklicken....

naja, dass wenn man "box" einträgt der Rebind-Schutz komplett abgeschaltet wird, ist ja wohl auch ein wenig "frickelig". Und funktioniert bei mir soweit auch nicht: Bin gerade auf die7490er 06.98-59782 BETA hoch.

Zugriff per FQDN auf DSL-Router geht immer noch nicht, auch nicht wenn ich "box" meiner Rebind-Schutz-Ausnaheme-Liste voranstelle
box
meine-domain.de
meine-domain.de.​

Zugriff per FQDN auf die 7490 im IP-Client-Modus geht weiterhin.

PS: nein, auch mit nur box in der Liste "tuts" nicht.
 
Zuletzt bearbeitet:
Der Zugriff von außen geht nur mit dem Domain Namen, der unter DynDNS eingetragen ist.

Die FRITZ!Box ist generell ein Frickelgerät für kleine Heimnetze, da wird versucht alles zu bieten, jedoch nichts richtig.

Dass der Rebind Schutz bei FQDNs nicht funktioniert liegt unter anderem daran, dass er dafür nicht vorgesehen ist und in Deinem speziellem Fall, dass Dein Problem nichts mit dem Rebind Schutz zu tun hat.

In 99,9% aller FRITZ!Box Installationen handelt es sich um NAT und damit haben alle internen Hostnamen implizit ein .box anhängen und deshalb ist mit dem Eintrag .box, der Rebindschutz hinfällig.
 
Helmchen schrieb:
Du kannst den Rebind Schutz ganz einfach komplett abstellen, indem Du unter Heimnetz > Netzwerk > Netzwerkeinstellungen > DNS-Rebind-Schutz > Domainnamen-Ausnahmen: box einträgst.
.
7 FRITZ!Boxen + mehrere Repeater in einem Heimnetz? Vielleicht solltest Du Dir überlegen ob das nicht vielleicht vom Grundsatz her eine Frickellösung ist - Ich supporte viel, aber das würde ich verweigern.
Zum Vergrößern anklicken....

Nein, es ist vom Grundsatz her keine Frickellösung sondern ein möglicherweise falscher Entschluss, es mit AVM Produkten zu versuchen da die Alternativen in deutlich anderen Preisregionen sind.

Aber wenn es Dich interessiert:
Ich habe drei Amtsleitungen, daher drei Fritzboxen im selben Heimnetz. Zwei Amtsleitungen sind "logisch zusammengeschaltet" indem ich den internen s0 einer 7580 in den ISDN Eingang der 7590 gesteckt habe, so dass ich alle 20 MSNs auf der 7590 sehe und benutzen kann.
Einige ältere Fritzboxen verwende ich als VoIP/ISDN Gateways um alte aber liebgewonnen Hardware weiter verwenden zu können.

Die WLAN Repeater sind der Größe meines Hauses geschuldet. Sorry for that.

Ob Du es supportest oder nicht ... sorry, aber das spielt für mich keine Rolle. Ich erwähnte die Zahl der Fritzboxen weil ich zunehmend feststelle, dass nichts diverse Logiken in der Fritzbox mehr aus dem Tritt bringt, als andere Fritzboxen die gar nichts mit dem Thema zu tun haben.

Was Deine fachliche Aussage angeht: Diese ist leider falsch.
Da ich die Top Level Domäne ".box" in meinem Netz nicht verwende, bringt auch ein Eintrag beim Rebind Schutz nicht. Ich habe es auch ausprobiert :)

Der DNS Server meiner intern genutzten Domäne ist auf der selben (von mir selbst gehosteten) Infrastruktur wie der Nameserver meiner außen sichtbaren Domänen. Die Fritzboxen erreichen diesen Nameserver durch eine interne Firewall und statische Routen auf den Fritzboxen.
Die Namen meiner internen Domaenen und der äußeren sind im ReBind Schutz eingetragen.


Solltest Du in dem Tonfall Tickets eröffnet haben, kannst Du kaum das Wohlwollen des Supports erwarten.
Zum Vergrößern anklicken....

Nun, Dein Posting ist ein gutes Bespiel dafür wie schnell man sich in Foren im Ton vergreift.

Aber ich muss der Wahrheit die Ehre geben, dass ich wirklich Vorurteile gegenüber der Qualität der AVM Supporthotline habe, da ich von ihr selten positiv überrascht wurde.
 
Zuletzt bearbeitet:
Hallo @ast,

ich kann Deine Meinung über den AVM Support gut nachvollziehen. Doch mal ehrlich, was soll man eigentlich von den Supportmitarbeitern verlangen? Die FritzBox ist "ein Feld-Wald-und-Wiesengerät",
recht preiswert von der Hardware. Da wird nicht allzuviel Gewinn hängen bleiben. Die Klientel ist nicht der Profi sondern der Laie, der sich mit wenig Geld einen möglichst vernünftigen Internetzugang
mit Telefonie einrichten will. Alles muss weitestgehend der "Einrichtungswizard" konfigurieren. - Für die etwas versierteren User gibt es den Expertenmodus, bei dem man etwas mehr konfigurieren kann.

ABER es ist alles mehr oder minder "Mainstream". Das fängt vom mehr oder minder bescheidenen QOS an, das bis vor wenigen Firmware total grottig war. Betreibe mal eine ITK-Anlage hinter einer
FritzBox - katastrophale Sprachverständigung bei einem gleichzeitigen Upload. Das hat AVM scheinbar mittlerweile in den Griff bekommen. Sind alles Selbstverständlichkeiten im (Semi-) Professionellen
Bereich. Und geht weiter über die "Freigaben" die wohl eher Portforwarding heißen und einen User
schon mächtig irritieren.

Immerhin lässt die FritzBox jetzt endlich auch die Eingabe von DNS Servern über die GUI zu. Das war
damals meine Mängelmeldung (natürlich nicht nur von mir, aber ich war dabei) die umgesetzt worden
ist.

Die Frage ist nur: Was bieteten sich für Alternativen? Preislich sind Faktor 2 akzeptabel ...

Gruß
Michael
 
Zuletzt bearbeitet:
AVM Produkte sind Frickellösungen, dass kannst Du schon an Deiner eigenen bzw. AVMs Aussage bezügl. des Gastnetzes erkennen. Kein Standard, sondern AVM Frickel Betriebsgeheimnis. Wenn man auf Frickelhardware aufbaut, kann nichts anderes dabei herauskommen als eine Frickellösung und deshalb ist Dein gesamtes Konstrukt eben eine Frickellösung!
Aber beim Gastnetz hört das ja nicht auf, auch die WLAN Repeater sind vom Grundsatz her Frickellösungen, die mit jedem weiteren Repeater eine Katastrophe für die verfügbare Bandbreite darstellen von Pingzeiten mal ganz zu schweigen.

Eine NichtFrickellösung ist hier einmalig eine saubere Verkabelung im Haus und dann richtige AccessPoints zu nutzen, per PoE reicht dafür ein einzelnes Kabel pro AP. Wenn man dann gleich CAT7 verkabelt ist man auch für die weitere Zukunft gerüstet. Und preislich kommt das Mittelfristig kaum teurer als mit AVM Produkten, denn den Bandbreitenschwund im MESH kannst Du nur durch immer die neueste Hardware kompensieren und auch das geht nur begrenzt. In einem NichtAVM Netzwerk wirst Du sehr viel seltener Hardware tauschen und dann meist nur spezialisierte und keine eierlegenden WollMichSäue, die gegenüber der spezialisierten Hardware teurer kommen, bei gleichzeitig in jeder Hinsicht besserer Leistung.

Was meine fachliche Aussage angeht, so ist diese sehr wohl richtig, Du hast nur nicht richtig gelesen, denn ich habe den Zusammenhang erklärt, dass die FRITZ!Box intern .box anhängt, und dass dies in 99,9% aller Installationen der Fall ist, wenn Du nun meinst zu den 0,1% gehören zu müssen, dann ändert das nichts an der Richtigkeit meiner Aussage, jedoch kann man in so einem Fall auch minimales Mitdenken erwarten und wenn Deine Kenntnisse für so fundamentale Überlegungen nicht ausreichen, dann kann mein Rat nur sein nutze soweit irgend möglich Standardeinstellungen, dann müssen Leute die Dir helfen wollen nicht jedes Mal bei Null anfangen und sich dann auch noch anhören das gesagte wäre falsch, wie zB auch was den RebindSchutz angeht, den Du offensichtlich nicht verstanden hast und natürlich AVM, ich und wer weiß wer noch "schuld" hat, nur halt Du nicht, Du hast ja auch ein RFC Netz, was auch immer das sein soll.

Und dann auch noch beleidigt sein, wenn der Produktsupport Deine Frickelei an einer Frickellösung nicht supporten will, deren "System" Du durch externe Frickelei in jeder Hinsicht ausgehebelt hast ohne wirklich zu verstehen, was Du eigentlich tust. Da solltest Du vielleicht Deine Erwartungshaltung mal der Realität anpassen - Support für Dein Netzwerk wirst Du nur teuer bezahlt von Profis erhalten, womit wir dann wieder bei dem Irrtum kostengünstiger AVM Produkte wären ..
Für alles andere zu diesem Thema schließe ich mich @mipo an

Aber jetzt nochmal und zum Mitschreiben: Dein Problem mit dem 400er Fehler hat NICHTS mit dem RebindSchutz zu tun! Wenn Du einen 400er Fehler bekommst, dann funktioniert DNS. Der RebindSchutz der FRITZ!Box wird darüber hinaus nur für die von der FRITZ!Box verwaltete Domain funktionieren also .box, für den RebindSchutz Deiner anderen internen Domains ist der entsprechenden DNS Server zuständig, der für interne Hosts nicht antworten darf bzw. halt doch, je nachdem was Du willst.
Dein Problem ist, dass die FRITZ!Boxen mit den aktuellen Beta Firmwares nur noch auf den Hostnamen antworten, der unter DynDNS eingetragen ist, dazu muss dort kein echtes DynDNS Konto existieren, Du kannst als Update URL auch Google eintragen nur beim Domainname muss die Domain eingetragen sein, mit der Du auf die entsprechende Box zugreifen willst und das ist dann der einzige Domainnamen, auf den diese Box reagieren wird.

Für weitere Zugriffsprobleme wünsche ich Dir viel Glück, Du wirst es brauchen und viel Geld, auch das wirst Du brauchen.

Ich für meinen Teil nutze gerne Zyxel Hardware, da stimmt auch für den ambitionierten Heimanwender das Preis-/Leistungsverhältnis und die absolute Leistung, die weit jenseits von allem liegt, was AVM zu bieten hat. Damit ist es zB problemlos möglich, ein GastNetz über mehrere interne Netze zu betreiben, was zB hinter einer KabelZwangsFRITZ!Box, die aufgrund alter Firmware nur als Modem dient, schlicht nicht möglich ist. Stichwort: VLAN gegenüber Frickel Betriebsgeheimnis.
 
Ich will dazu mal noch folgendes anmerken: auch ich hatte nach Update auf 7.01 (von 6.93) plötzlich den "404 bad request" - und zwar bei Zugriff über LAN - genauergesagt schon von aussen, aber mit port-Forwarding über einen internen Server.

Also: FB enthält Port-Forwarding auf internen Server, das funktioniert. Via ssh-Login auf dem Server mache ich dann Port-FW auf die interne LAN-Adresse der FB (Port 80 o. 443), um auf die FB-Admin-GUI zuzugreifen. So mache ich das schon lange mit 3 FB, bisher immer problemlos. Nun statt Login 404.

Der Grund ist zunächst mal, wie ich eindeutig herausgefunden habe, dass der Host-Header des Requests - obwohl dieser aus Sicht der FB aus dem LAN kommt - geprüft wird und "localhost" (was man üblicherweise beim Port-FW in der URL stehen hat) zur Ablehnung führt.
Manipuliert man den Host-Header (zur internen LAN IP-Adresse), so klappt es auch von aussen.
Stellt man also beispielsweise seinen Firefox auf HTTP/1.0 zurück (about:config - network.http.version), so klappt der Zugriff wieder normal. Denn in dieser uralten Protokoll-Version gab es noch keinen Host-Header. Doch obwohl erstaunlicherweise der Grossteil des Internet immer noch problemlos mit HTTP/1.0 funktioniert, möchte man das ja wohl nicht wirklich dauerhaft in seinem FF so konfigurieren!

Tatsächlich kann man das Problem auch umgehen, indem man einfach "localhost" in diese Ausnahme-Liste zum neuen DNS-Rebind-Schutz (FB Netzwerkeinstellungen ganz unten) einträgt - zum Glück auch ohne Restart. Das Problem hängt also eindeutig damit zusammen.

Ich würde allerdings sagen, das ist ein "Bug" bzw. ein ungewollter Nebeneffekt dieser Schutzfunktion? Denn zumindest oberflächlich ist dabei ja nur von einer Anpassung der DNS-Auflösung die Rede, die hier gar nicht im Spiel ist. Doch die Liste wird offensichtlich auch verwendet, um für eine (neue) Prüfung des Host-Header bei internen Anfragen Ausnahmen zu bekommen.

Also nochmal zusammengefasst: anders als die anderen in diesem Thread komme ich _nicht_ direkt von aussen, ich habe den Fernzugang nicht konfiguriert. Ich komme über einen internen Server via Port-FW defakto "von innen"! Trotzdem behindert einen dabei der neue Rebind-Schutz, Lösung siehe oben. Vermutlich bin ich da ja auch nicht der einzige und vielleicht hilft das mal jemandem.
 
  • Like
Reaktionen: Ottone
hyphone schrieb:
404 bad request
Zum Vergrößern anklicken....
Schreibfehler (aber dann wiederholt) oder hat AVM tatsächlich einen "404"-Fehler (das ist eigentlich "Not found") mit diesem "Kommentar" (der zum HTTP-Errorcode 400 gehört) eingebaut?
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 824 (Mitglieder: 57, Gäste: 767)

Neueste Beiträge

Statistik des Forums

Themen
246,216
Beiträge
2,248,288
Mitglieder
373,786
Neuestes Mitglied
horscht187
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück