Remote Management bei der FBF

[Semenchkare]

Port 80 auf dropbear

Hallo,

das habe ich auch schon probiert. Aber die FW scheinen nicht nur die Ports zu sperren, sondern auch nach Inhalten zu scannen....
So was kenne ich auch erst seit kurzem...
Nur Skype hat es wieder mal geschafft...

Gruss

Seme

 

[jojo-schmitz]

Transparent Proxy? Wenn de so ist, hat der alles mitloggen können, inclusive der Passwörter!
Dann nimm halt den Port, den Skype nutzt. Oder 443, den https port.

 

[Semenchkare]

Hi, ich check das mal mit 443

Hallo Jojo,

das ist ein sehr großes Rechenzentrum. Da geht wirklich fast nix, selbst skype braucht 15 min. bis es online ist...
ich habe auch schon mal ultravnc-one-click via port 80 probiert - selbst das geht nicht....
Tja the next generation of firewalls ist ätzend....

Aber vielen Dank, ich teste das mal mit 443 bzw. capture mal den Skype-Port

Gruss

Seme

 

[kriegaex]

für jeden anderen Weg muß ich zusätzliche Soft auf den PC installieren. Und der ist nicht immer "nur" der Büro-PC.

Das ist nicht ganz richtig. Zusätzliche Software auf der Box tut's auch. Die Kombination aus Rudi-Shell und Matrixtunnel ist eine sehr mächtige Lösung, die auf Clientseite nichts anderes als einen Web-Browser mit HTTPS-Verbindung voraussetzt. Das sollte von überall funktionieren. Details zur Rudi-Shell und auch zur Kombination mit Matrixtunnel gibt es in meinem Wiki-Artikel.

 

[gianna]

@kriegaex

Das klingt alles hochinteressant, ist aber für den linuxfernen Normaluser kaum zu bewältigen, jedenfalls nicht mit vertretbarem Einsatz. Ich brauche nicht mal den DS-Mod und andere Erweiterungen der Original-Firmware, bisher bin ich mit FBEdit und dem Upload von tar-files ausgekommen.

Da es mir nach wie vor einzig um den Zugang auf die Weboberfläche der Box geht (HTTPS ist ok), bin ich lediglich an einer schlanken Lösung für die 7050 interessiert. Und um die umzusetzten, bedarf es einer Punkt-für-Punkt-Anleitung für die Landbevölkerung oder einer Installationsroutine. Wenn es das gibt, bin ich sofort auch mit Rudi-Shell und Matrixtunnel dabei! ;-)

 

[kriegaex]

Kein Problem, es war ja nur ein Hinweis. Alles Kann, nichts Muß. Rudi-Shell und Matrixtunnel kann man sich grundsätzlich auch ohne Mod als Nachladelösung bauen, aber wem das zu kompliziert ist, läßt es eben. Eine Anleitung existiert für den DS-Mod im Wiki, wer auf den Mod verzichten will, sollte sich selbst zu helfen wissen.

 

[McNetic]

Aber vielen Dank, ich teste das mal mit 443 bzw. capture mal den Skype-Port

'Den' Skype-Port gibt es nicht. Skype verwendet eine Reihe von komplizierten Techniken, um Firewalls zu umgehen bzw. andere Verbindungen vorzutäuschen. Das kann man nicht so einfach nachmachen, schon gar nicht ohne Zusatzsoftware auf Client *und* Server.

Gruss, Nico

 

[Razorworks]

Ähm...

Hallo,

ich hoffen, folgendes ist nicht zu abwegig - passt aber hier am besten hin, wie ich finde:

Ich habe eben per telnet das Portforwarding geändert. Das scheint aber noch nicht zu greifen.

Wie kann ich die Regeln neu einlesen, möglichst OHNE meine FBF neuzustarten???

Grüße aus der Hauptstadt an die Republik.

 

[kriegaex]

Soweit ich mich erinnere, braucht einfach der dsld ein Hangup-Signal (SIGHUP), dann sollte er die Konfiguration neu einlesen:

killall -sighup dsld

 

[Razorworks]

Hi Alex,

gehe ich dann OFFline und direkt wider ONline oder wird tatsächlich nur die Config erneut eingelesen?

Oder sollte die Config nach dem Speichern sofort gelten?

Greets.

 

[kriegaex]

Soweit ich weiß, Letzteres (keine Verbindungstrennung), aber probier's selbst. Wenn Du den dsld mit -v startest, sollte das Ereignis auch ins Syslog geschrieben werden bzw. auch mit -f -v im Vordergrundbetrieb direkt vom dsld angezeigt werden. Im zweiten Fall brauchst Du dann eine zweite Konsole, um parallel das zu beobachtende SIGHUP zu schicken.

Nein, nach dem Speichern gilt die neue Konfiguration nicht gleich, das hast Du doch selbst bemerkt. Sonst bräuchtest Du ja SIGHUP nicht. Ich nehme an, das Web-Interface sendet ebenfalls dieses Signal, wenn Du dort ein Forwarding änderst.

 

[Lukus]

Noch einmal etwas deutlicher:

Ich remote meine FBF 7170 (Firmware-Version 29.04.29) über http.
Ich würde gerne einfach auf die aktuelle FW-Version updaten.

Funktioniert dann noch das RemoteMamagement über http bei der neuen Firmware (oder muss ich dann von Neuem via Telnet den Weg freifummeln)?


Gruß,
Daniel

@ddd Danke für die Übersetzung
@kriegaex Danke für die Mühe

Router | AVM Fritz!Box 7170, FW 29.04.29
Anbindung | DSL 2000 mit 1&1 Deutschlandflat
Telefon | Tcom Sinus 300
VoIP | via 1&1

 

[kriegaex]

Die laufenden Dienste werden beim FW-Update schrittweise heruntergefahren, um Platz im Speicher zu machen und zu verhindern, daß irgendein Dienst ins TFFS (/var/flash) schreibt, während es aktualisiert wird. Dabei werden auch irgendwann die Internetverbindung getrennt und der Webserver heruntergefahren. Beim Remote-Update (z.B. Direkt-Download von AVM-Seite) läuft der DSL-Dämon samt Webserver etwas länger, beim Update über Datei-Upload werden die DSL-Verbindung schon früher gekappt und der Webserver nach erfolgtem Upload gestoppt.

Es gibt aber Möglichkeiten, ein Update komplett remote per Skript via Telnet, SSH oder Rudi-Shell (also Web) zu machen, vgl. meine Anleitung im Rudi-Wiki. Wenn die Box danach sauber hochfährt, hast Du sofort wieder Zugriff nach dem Reboot.

 

[DDD]

Ich habe Lukus eher so verstanden:

"Wenn ich die FW meiner FritzBox aktualisiere, über LAN oder so.
Funktioniert dann noch das RemoteMamagement über http bei der neuen Firmware?"

Oder wie ist das gemeint Lukus?

Wenn so wie ich es gesagt habe, dann wär eine Signatur mit deiner aktuellen Version hilfreich (ist auch für vieles andere hilfreich ) und die FW auf welche du aktualisieren willst.

 

[nobox]

@trudeh

Es gibt derzeit keine praktische Lösung für die neue Sperre, die AVM ab Firmware .33 eingerichtet hat.

...

Es bleibt nur der dornige und (wirklich nicht ungefährliche) Downgrade auf eine Firmware < .30, wie es hier im Forum schon vielfach beschrieben wurde.

Gruß, gianna

Meiner Erfahrung nach reicht es, per mount -o bind das webcm im cgi-bin Verzeichnis durch das einer alten Firmware zu ersetzen - weiße Seite ade.

 

[Vobe]

Wie FritzBox Fon hinter DLink 524 im KabelInternet per Remote managen

Hallo,

ich möchte die bei meinen Eltern installierte FritzBox Fon, aktuelle FW 06.04.15, per remote betreuen.

Da meine Eltern KabelInternet von KabelDeutschland haben, hängt die FritzBox Fon als ATA per LAN-Kabel an einem DLink Router 524 und dieser wiederum an einem Thomson KabelModem.

Die FritzBox Fon hat eine statische IP-Adresse aus dem Adressbereich "192.168.0.x" des DLink Routers.

Welche Einstellung auf der FritzBox bzw. auf dem DLink 524 brauche ich, damit ich die FritzBox Fon von mir aus zuhause erreichen und managen kann?

Einen DynDns Account für die FritzBox Fon habe ich schon angelegt.

Vielen Dank im voraus

Vobe

 

[kriegaex]

Da ich nicht annehme, daß auf dem DLink-Router ein SSH-Dämon läuft, würde ich dort eine Portweiterleitung auf die FB machen, dort wiederum eine auf sich selbst (entweder via virtuelles Interface oder über direktes Editieren der ar7.cfg), und dann brauchst Du noch Dropbear als SSH-Dämon auf der FB. Durch den kannst Du dann via Putty-Einstellungen alles tunneln, was Du brauchst: Verbindungen zu Web-Konfig auf der FB oder zu anderen Diensten auf Deinen Heim-Rechnern (bzw. denen Deiner Eltern), bspw. VNC & Co.

 

[Vobe]

Hallo kriegaex,

Danke für die schnelle Antwort.

Wenn ich das richtige verstehe, muss ich mir zuerst einmal unter http://www.the-construct.com/ ein Pseudo-Image mit der "Virtuelle Netzwerkkarte einrichten" und "Dropbear (SSH-Server)" basteln.

Dieses dann auf der FritzBox Fon aufspielen.

Im DI-524 den DynDns Account meiner Eltern eintragen und updaten lassen.

Im DI-524 gibt es den Konfiguartinspunkt "Virtuelle Server" mit dem HTTP-Benutzer von aussen über die öffentliche IP-Adresse (DynDns meiner Eltern)automatisch auf den lokalen Server im LAN umgeleitet werden.

Hier müsste ich dann also die statische IP der FritzBox Fon mit TCP und POrt 80 eintragen?

In der FritzBox Fon müsste ich dann eine Port-Weiterleitung auf die Statische IP 192.168.0.x mit dem Port 80 eintragen?

Wie rufe ich denn dann von zuhause die FritzBox Fon meiner Eltern auf?

Wäre dies im IE7 etwa so richtig: htttp://<eltern>.dyndns.org:80?

Und wo müsste ich mit PUTTY-Einstellungen noch alles tunneln?
Läuft PUTTy bei mir zuhause oder müsste ich mit PUTTY bei meinen Eltern noch etwas einstellen?

Gruß
Vobe

 

[Telefonmännchen]

In Deiner Konstellation (Fritz über LanA an vorgeschalteten Router) sollte schon ein im DLink eingerichtetes Portforwarding auf die IP Port 80 der Fritz reichen. Diese ist aber die sicherheitstechnich schlechteste Lösung auch wenn sie funktioniert, wei jeder von außen dann das Webinterface der Fritz aufrufen kann. Die Box wird dann nur noch durch das Passwort geschützt. Die Lösung mit dem SSH-Server ist die bessere Variante.

In Putty mußt Du nur noch einen Tunnel auf die IP der Fritz Port 80 auf Deinem Rechner einrichten. Bei Deinen Eltern ist alles mit der Installation und Einrichtung des SSH-Servers auf der Fritz getan.

Gruß Telefonmännchen

 

[Vobe]

Hallo Telefonmännchen,

besten Dank für die Antwort.

Ich denke auch, dass das ganze so sicher wie möglich sein sollte.

Wenn ich nun auf http://www.the-construct.com/ ein Pseudo-Image erstellen möchte, soll ich die Adresse des Webservers für die benötigten Files angeben.

Leider besitze ich keinen Webspace.
Oder kann ich die vorgegebene Adresse: http:// www.the-construct.com/files benutzen?

Ist beim Interface: eth0 richtig?

Gruß
Vobe