[Frage] Mehrere DynDns-Domains /-Accounts in 7490

[b0mbel]

Hallo zusammen,

ich würde gerne in der 7490 2 DynDns-Accounts einrichten.

Es sind jeweils Ziele für ein Frame Redirect.

Es gibt unterschiedliche Anleitungen, wie man vorzugehen hat.

Im Endeffekt habe ich 2 entsprechende Sicherungen der Einstellungen erstellt - mit je einem dieser besagten Accounts.

Die dazugehörigen Einträge habe ich dann in eine der beiden Dateien zusammengefügt.
Es gibt ein Perl-Script im Netz, welches die richtige CheckSumme berechnet … auch diese habe ich entsprechend abgaendert.
Trotzdem bekomme ich die Fehlermeldung, bei Wiederherstellung / dem Zurückspielen der Sicherung, dass dies keine gültige Import-Datei sei.

"NoCheck" habe ich nicht drin … dies wurde wohl Mal abgeschafft.

Gibt es eine Möglichkeit mehrere DynDns-Accounts anzulegen oder ist das bei der 7490 gar nicht mehr möglich?

Danke im Voraus.
-b0mb

 

[GottSeth]

Wozu soll das gut sein ?

Lass doch einfach die zweite Web-Adresse auf die erste Dyn-DNS zeigen

 

[jocale]

Mit eine gefreetzte Firmware geht das, z.B. mit opendd oder inadyn.

 

[b0mbel]

Wozu soll das gut sein ?

Lass doch einfach die zweite Web-Adresse auf die erste Dyn-DNS zeigen

Danke für den Tipp .. leider nicht die Antwort auf meine Frage … so weit war ich auch schon … aber ich möchte es trennen ….

 

[b0mbel]

Mit eine gefreetzte Firmware geht das, z.B. mit opendd oder inadyn.

Ja, mit Freetz geht's, ich weiss … wollte aber nicht modden , wenn's nicht sein müsste ….

 

[koyaanisqatsi]

Moin

Grundsätzlich ist das auch mit Fritz!Box Bordmitteln möglich.
Wahrscheinlich hängt das aber von deinen DynDNS-Anbieter ab.
Bei spdns.org geht die Aktualisierung von 2 (gleichen, für DualStack: IPv4 & 6) Hostnamen in einem Rutsch.
Die müssen aber vorher auch bei spdns.org angelegt werden.
In meinen Fall einen für IPv4 (Typ A) und einen für IPv6 (Typ AAAA).
Die Update-URLs können beide angegeben werden in: Internet/Freigaben/Dynamic DNS: [Benutzerdefiniert] Update-URL

https://update.spdns.de/nic/update?hostname=<domain>&myip=<ipaddr> https://update.spdns.de/nic/update?hostname=<domain>&myip=<ip6addr>

Screenshot:
Tip: Auf der Seite: Internet/Freigaben/Dynamic DNS mal oben rechts den Hilfebutton klicken (Kontextsensitiv).
Wenn verschiedene Hostnamen auf dieselbe IPv4 zeigen sollen, dann jeweils diesen Hostnamen anstatt des Platzhalters <domain> verwenden.
...und bei der 2. URL auch <ipaddr> anstatt <ip6addr> nehmen.

 

[b0mbel]

Danke.
Was ich aber möchte sind 2 unterschiedliche Domains bei einem Anbieter.
Angelegt sind beide mit dem gleichen Account bei DynDns.org

Beide dyndns-Domains sollen auf die gleiche IP zeigen (IPv4).

Ich möchte nicht 2 gleiche sondern 2 unterschiedliche einpflegen.

Danke.

 

[koyaanisqatsi]

Dann nochmal meinen Post, ab Tip:, lesen.
Du brauchst im Prinzip nur die Platzhalter durch das was du willst ersetzen.

 

[b0mbel]

Ja, danke, habe ich …. auch in dem "HilfeText" steht drin, dass <> benötigt werden. Habe ich alles auch so eingetragen … was ich aber nicht verstehe, ich muss trotzdem einen "DomainNamen" eintragen … sonst kann ich es nicht übernehmen …

 

[koyaanisqatsi]

Der kann lauten wie du willst.
Aber nimm doch einen für die erste URL, und für die Zweite eben nicht.

 

[andilao]

Geht (nur) über die cfg per fbeditor. Das Thema kommt hier aber mindestens aller 2 Jahre. ;-)

 

[PeterPawn]

@b0mbel:
Wenn ich Dich richtig verstehe, scheitert es ja eigentlich nur an der Aktivierung des zweiten Accounts.

Ich hatte das zwar mal bei AVM als potentielle Sicherheitslücke gemeldet (weil ein Angreifer an dieser Stelle auch seinen eigenen Account unterbringen kann, der im GUI weder sicht- noch änderbar ist), aber es wurde m.W. bisher noch nicht gefixt. Damit kannst Du ganz einfach in einer Telnet-Session hingehen und die Datei "ar7.cfg" bearbeiten. Eine vorherige Sicherung aller Einstellungen über das GUI ist Pflicht, das nur am Rande. Zur richtigen Vorgehensweise beim Bearbeiten der ar7.cfg gibt es genug Threads, wenn Du Dich rückversichern willst, ob Du es richtig machen würdest, schreib das halt hier auf und man kann es diskutieren.

Du schreibst ja, Du hättest die export-Datei modifiziert ... das müßte dann theoretisch dasselbe Prinzip sein beim Editieren der ar7.cfg.

Der Abschnitt "ddns" sollte dann in etwa so aussehen:

ddns {
        accounts {
                enabled = yes;
                domain = "...";
                username = "...";
                passwd = "...";
                ddnsprovider = "<userdefined>";
        } {
                enabled = yes;
                domain = "...";
                username = "...";
                passwd = "...";
                ddnsprovider = "<userdefined>";
        }
        types {
                type = "dyndns";
                url = "/nic/update?system=dyndns&hostname=<domain>&myip=<ipaddr>&wildcard=NOCHG";
        } {
[...]
        } {
                type = "userdefined";
                url = "https://dyndns.yourfritz.de/update?ip4=<ipaddr>&ip6=<ip6addr>&ip6p=<ip6lanprefix>&ds=<dualstack>&mail=1&notify=1";
        }
        provider {
                name = "dyndns.org";
                type = "dyndns";
                livedelay = 0w;
                touchtime = 30d;
                server = "members.dyndns.org";
                ip6server = "";
                infourl = "http://www.dyndns.org/";
                ddnsmode = ddns_both;
        } {
 [...]
        }
}

Alles was den zweiten Account betrifft, läßt sich nur über direkte Änderungen der ar7.cfg manipulieren, es helfen auch keine indizierten Abfragen mit "ctlmgr_ctl" oder "query.lua". Änderungen am ersten Account über das GUI beeinflussen den zweiten Account dafür auch nicht. Der Export klappt damit ebenfalls, ob es beim Import Probleme gibt, habe ich noch nie getestet.

Den Erfolg bzw. das Verhalten des DynDNS-Daemons kannst Du anhand der Dateien "/var/tmp/ddns*" kontrollieren. Wenn es bei Dir Probleme geben sollte, weil beide DynDNS-Accounts bei ein und demselben Provider liegen, kannst Du mit der notwendigen Sorgfalt jederzeit eigene zusätzliche Provider definieren, dann bleibt "userdefined" frei.

 

[b0mbel]

Danke für Eure FeedBacks

@andilao

ich gebe zu, FBEditor habe ich _nicht_ ausprobiert

@PeterPAWN
Es scheitert nicht an der Aktivierung.
Wie ich geschrieben habe.
Ich habe erst ein Mal meinen erste Domain bei DynDNS eingetragen und mir eine Kopie der Config gezogen.
Dann habe ich die zweite Domain eingetragen (beide haben die gleichen Zugangsdaten) und mir die dazugehörige Config ebenfalls gezogen.
Dann habe ich den Part unter dyndns "accounts" entsprechend zusammen gefügt und abgespeichert.
Wenn ich diese Config-Datei zurückspielen möchte, sagt das System, dass dies keine gültige Import-Datei sei.

Daraufhin hatte ich mir die Checksumme angeschaut (letzte Zeile der Config-Datei) und entsprechend abgeändert und gegengecheckt.
Das hat gepasst … trotzdem nimmer sie nicht als Import-Datei an.

Danke!

 

[Benares]

Ich weiss, dass AVM mehrere DDNS-Anbieter intern schon recht lange unterstützt, nur über die Oberfläche kann nur ein Provider konfiguriert werden.

Ich habe 2 Accounts, einen bei DynDNS und einen bei NO-IP, die beide auf den gleichen Host zeigen sollen. Einfach nur als Redundanz, falls einer der Anbieter mal kränkelt (was in letzter Zeit kaum vorgekommen ist). Momentan aktualisier ich DynDNS über die FritzBox und beide nochmal über mein Synology-NAS (da gehen mehrere offiziell). Ich würde aber gerne beide Accounts von der Fritzbox aktualisieren lassen, da das einfach zeitnäher ist.

Geht das immer noch nur durch Anpassen der ar7.cfg? Wenn ja, wieso eigentlich?

 

[PeterPawn]

Es scheitert nicht an der Aktivierung.
Wie ich geschrieben habe.

Na gut, vielleicht habe ich mich ja etwas unglücklich ausgedrückt ... ich meinte damit eigentlich, es scheitert an der Eintragung des zweiten Accounts in der ar7.cfg und nicht daran, daß Du nicht weißt, was Du machen mußt bzw. was Du wo eintragen sollst. Eine andere "Aktivierung" gibt es für den zweiten Account ja gar nicht, wie ich bereits geschrieben habe.

Inzwischen bin ich mir beim "Grundverständnis" nicht mehr so sicher und vielleicht läßt Du uns ja mal an ein paar weiteren Informationen - von der Firmware-Version bis zur modifizierten (auszugsweisen) ar7.cfg - teilhaben. Für reines Raten ist mir die Zeit zu schade.

Ob es mit einem Import überhaupt (noch) funktioniert, weiß ich - wie schon geschrieben - ohnehin nicht. Fakt ist, daß die Verwendung eines zweiten Accounts mit 06.23 noch klappt. Im-/Export interessiert mich persönlich einfach nicht, daher bin ich da raus, wenn Du unbedingt diesen (in meinen Augen eben unnötig komplizierten) Weg gehen willst, noch dazu, wenn Du die Prüfsumme gesondert mit dem Perl-Skript berechnen läßt, anstatt den FBEditor zu benutzen (was ich zugegebenermaßen auch nicht mache, aber ich kann meine geänderten Files auch importieren). Das Editieren in einer Telnet-Session ist eindeutig der bessere Weg, zumal ich mir nicht so richtig sicher bin, ob Du nicht am Ende tatsächlich die verschlüsselten Informationen aus zwei verschiedenen Export-Files mischen willst, was ohnehin zum Scheitern verurteilt ist.

Solltest Du Probleme mit dem Betrieb mit einem zweiten Account haben, lese ich gerne wieder weiter.

EDIT:

Ich würde aber gerne beide Accounts von der Fritzbox aktualisieren lassen, da das einfach zeitnäher ist.

Mit Editieren der ar7.cfg (ein anderer Weg ist mir nicht bekannt, da das Variableninterface bei den DynDNS-Accounts keine Indizes unterstützt bzw. bei Index 1 einfach nur leere Angaben liefert und auch nichts schreiben will) funktioniert das problemlos.

Dieser Account kann aber eben weder angesehen noch geändert werden, ohne die ar7.cfg direkt zu modifizieren (ob Import klappt, interessiert mich persönlich - wie schon geschrieben - nicht, Export zur Sicherung klappt auch mit zwei Accounts).

Das ist auch gleichzeitig die Gefahr an diesem "unsichtbaren" Verhalten, da ein Angreifer, der sich an dieser Stelle selbst verewigt, damit sich seine Schäfchen bei jeder Änderung der IP-Adresse ordentlich bei ihm melden (dafür braucht er kein einziges zusätzliches Programm auf der Box, das geht alles mit Bordmitteln, wenn er die ar7.cfg erst einmal manipuliert hat), im GUI nicht erkannt wird und auch die Angaben im zusätzlichen DynDNS-Account sind i.d.R. ja verschlüsselt, so daß da ungewöhnliche Angaben auch nicht auf Anhieb auffallen.

Eine einmalige Modifikation der ar7.cfg sollte eigentlich ausreichend sein, wer will, probiert es eben mit Import (wenn er eine gültige Prüfsumme hinbekommt) und verwendet dabei natürlich Klartext in den Accountangaben (deshalb verstehe ich auch nicht, warum b0mbel da irgendwas aus zwei verschiedenen Dateien zusammenkopiert), denn die Box verschlüsselt das schon selbst beim Speichern der Datei.

 

[b0mbel]

Eine einmalige Modifikation der ar7.cfg sollte eigentlich ausreichend sein, wer will, probiert es eben mit Import (wenn er eine gültige Prüfsumme hinbekommt) und verwendet dabei natürlich Klartext in den Accountangaben (deshalb verstehe ich auch nicht, warum b0mbel da irgendwas aus zwei verschiedenen Dateien zusammenkopiert), denn die Box verschlüsselt das schon selbst beim Speichern der Datei.

Die Datei, bzw. Domain, Benutzername sowie das Passwort liegen doch nicht im Klartext vor.
Wenn ich die Config doch abändere und die zurück spiele, und die o.g. Werte im Klartext hinterlege, wann kodiert die Box diese Einträge denn?

Ich bin quasi so vorgegangen, wie es hier mehr oder minder beschrieben ist, wobei diese NoCheck-Geschichte ja nicht mehr greift und man die entsprechende Prüfsumme braucht - aber dafür gibt es ein kleines Perl-Script, welches einwandfrei funktioniert.

https://www.optimox.de/tutorials/fritz_box/mehrere-dyndns-services-mit-der-fritzbox-nutzen


Nach meinem Verständnis, wenn die Kodierung der besagten Parameter beim Wiedereinspielen vollzogen wird, durch die Box, sollte diese doch beim Export diese Parameter dekodieren / entschlüsseln und somit im Klartext darstellen … tut sie aber nicht … deswegen denke ich auch nicht, dass Klartext an dieser Stelle weiter hilft …

 

[koyaanisqatsi]

Tja, ich hab das mal nach meinen Tip gemacht. Und das geht auch so.
...aber warum einfach wenn es doch durch tricksen viel komplizierter ist.
Screenshot:
Domainname: anonymous (natürlich kann auch der Echte genommen werden)
Die Platzhalter für <domain> wurden in der Update-URL einfach durch die echten Namen ersetzt.
...seit 15 Minuten keine Fehler im Ereignislog, wegen DynDNS.
(Wenn statt anonymous der echte Name benutzt wird, denn darauf wird geprüft)
Aber auch mit anonymous und Fehler bei der Überprüfung sind die Hostnamen gültig und aktualisiert.
Naja, ist halt wieder einmal ein Tip den keiner braucht. :lamer:
...ich finds praktisch und einfach.

 

[sf3978]

Was genau meinst Du mit:

Ich möchte nicht 2 gleiche sondern 2 unterschiedliche einpflegen.

?

Du hast nicht 2 accounts, sondern lediglich einen account mit 2 Hosts?

BTW: Es gibt ddns-Provider, bei denen kannst Du (kostenlos) mit einem account bis zu 5 Hosts haben, die Du über das Web-IF der FritzBox updaten kannst. Als Hostname muss man dann all angeben. Mit dem Hostnamen all hat der AVM-ddns-Client aber ein Problem (... denn für all funktioniert die Namensauflösung nicht) und da gibt es laufend Meldungen in der FritzBox. Das updaten mit dem AVM-ddns-Client funktioniert aber ohne Probleme.

 

[Benares]

@koyaanisqatsi
Bei einem Anbieter mit zwei unterschiedlichen Hosts versteh ich es ja.
Aber wo bringt man bei 2 Accounts bei unterschiedlichen Anbietern die zusätzlichen Anmeldeinformationen unter?

 

[PeterPawn]

Tja, ich hab das mal nach meinen Tip gemacht. Und das geht auch so.

Hast Du das tatsächlich mal mit zwei verschiedenen Accounts probiert?

In Deinen URLs fehlen alle Angaben zur Benutzerauthentifizierung, damit darf man wohl annehmen, daß die Anmeldung über "normale" HTTP-Basic-Auth erfolgt.

Überprüfe mal mit einem Netzwerkmitschnitt, ob da tatsächlich zwei verschiedene Update-Requests daraus werden (was ich schon etwas verwunderlich fände, was aber tatsächlich - je nach vom Programmierer verwendeter Technik - denkbar wäre). Ich würde das im Moment (bis Du sagst, es sind tatsächlich zwei getrennte Requests - und bitte nicht nur den ersten Versuch, der u.U. mit 401 beantwortet wird, als zusätzlichen Request zählen) eher als einen einzelnen HTTP-Request mit irgendwelchen "garbage"-Angaben in der URL sehen und nicht als eine Möglichkeit, tatsächlich ein "array" von URLs anzugeben (dann müßte ja auch eine dritte, vierte, usw. URL gehen).

Naja, ist halt ein Tip den keiner braucht.

Wenn das tatsächlich so funktionieren sollte, wäre das auch eine interessante Baustelle ... ich glaube aber bis zur Bestätigung (und auch dann erst nach einem eigenen Test, den ich ohne Bestätigung aber nicht mache) eher nicht daran, daß es so funktioniert (als mehrere Requests).

Nach meinem Verständnis, wenn die Kodierung der besagten Parameter beim Wiedereinspielen vollzogen wird, durch die Box, sollte diese doch beim Export diese Parameter dekodieren / entschlüsseln und somit im Klartext darstellen … tut sie aber nicht … deswegen denke ich auch nicht, dass Klartext an dieser Stelle weiter hilft …

Gut, was müßte ich denn jetzt anstellen, um Dich von Deinen Irrtümern zu überzeugen? Noch einmal alles aufschreiben, was zur Verschlüsselung von sensiblen Daten durch die FRITZ!Box hier schon mehrfach geschrieben wurde?

Mehr als Dir zu beschreiben, wie es funktioniert, kann (und will) ich nicht ... wenn Du es besser weißt, streiche ich hier die Segel.