Remote Management bei der FBF

[blieni]

nein 7150 ist im netzwerk 192.168.181.xxx ( wie alle clients )

..allerdings mit fester IP adresse.. wlan ist aus..nur LAN1..

habe es ebend noch einmal versucht...irgendwie leitet (routet) die 7050 die adresse 192.168.178.253 nach 192.168.181.xxx an LAN1..

aber warum ohne portfreigabe??.. du gibst ein xxxxxxxx.dyndns.xxx : port ..du erreichst 7050

ohne 7150 am LAN oder im netzwerk..alles prima

mit 7150 am LAN oder im netzwerk kommst du mit xxxxxxxxxxxx.dyndns.xxx ohne portangabe du erreichst die 7150..aber alle anderen portfreigaben in der 7050 sind nicht verfügbar ..

die 7150 hat keine portforewardings..sie hat keine mods..nackig..original AVM
nur internet-telefonie ist eingegeben

 

[tom.stein]

Upnp? Sicherheitshalber mal bei beiden abschalten. Ist nur eine Idee, aber im Bereich des möglichen.

 

[jojo-schmitz]

die 7150 braucht auch keine Port Forwards. Nochmal: macht sie DynDNS? Das sollte sie nicht tuen.
Warum nutzt Du nicht die default Addressen 192.168.178.*?
public-ip:80 soltest Du in keinem Fall irgenwo hin umleiten.

edit: upnp abschalten ist in der Tat ein gute Idee, zumindest testweise

 

[blieni]

dank ihr beiden UpnP aus auf beiden boxen! 7150 -IP vom DHCP geben lassen

kein DDNS auf 7150..geht auch nicht weil client-modus

kein public-port : 80 wird geforewarded ..nie nimmer nich

erst 7050 neu gestartet..dann 7150.. und..

leider immernoch dasselbe .. mit xxxx.dyndns.xx ohne portangabe erreiche ich die 7150 im client mode (Eine bestehende Internetverbindung im Netzwerk wird mitbenutzt)

..alle forewardings auf der 7050 sind nicht verfügbar ..es ist wirklich tricky

nehme ich das LAN-kabel weg..starte die 7050box neu.. sind alle forewardings da wie gewohnt..

stecke ich das LAN-kabel dann ein..übernimmt die 7150 irgendwie das kommando..und ist das einzige gerät, das von aussen erreichbar ist

 

[fabske]

Wie sieht das mit den Firmware updates aus, wenn man so einen mod installiert hat? Wird der mod beim Firmwareupdate zerstört?

 

[DDD]

Nein, normalerweise nicht.

 

[kriegaex]

Doch. Ein Mod (Kurzform für Modifikation), also z.B. DS-Mod, ist selbst ein Firmware-Update. Jedes neue FW-Update überschreibt das ältere. Wenn es um Nachlade-Lösungen beim Booten aus debug.cfg heraus geht, also solche Sachen, die von The-Construct angeboten werden, die bleiben erhalten (Konfigurationsdaten werden beim FW-Update nicht überschrieben), solange man keinen Full Recover macht.

 

[DDD]

Jo, ich dachte er meint halt nur die Pseudo Images von construct, wodrum es hier ja geht, und die bleiben ja erhalten, bzw die Debug.cfg.

 

[jojo-schmitz]

Selbst ein Werksreset überschreibt die debug.cfg nicht, sehr wohl aber die anderen Konfigurationsdateien.

 

[DDD]

Ein Recovery aber schon oder?

 

[jojo-schmitz]

Ja.

Tschö, Jojo

 

[ee2592]

Anleitung (kurz) zur Einrichtung der Fritzbox-SSH-Fernwartung

Wenn du den Port 80 so getunnelt hast, wie es in den Aleitungen steht, dann kommst du durch die eingabe von "localhost" auf die FritzBox.

MfG Oliver

Hallo,
gibt es diese Anleitung zur Einrichtung der ssh-FW der Fritzbox schon irgendwo kurz zusammengefasst?
Danke vorab für einen Tipp und schöne Grüße,
ee

 

[kriegaex]

Wie weit bist Du denn schon? Hast Du schon Dropbear als SSH-Server auf der Box? Falls ja, wie? Download beim Hochfahren à la "The Construct" oder fest installiert per DS-Mod? Kommst Du lokal schon per SSH-Client drauf? Welchen Client verwendest Du (z.B. Putty auf Windows oder etwas anderes)?

Wir helfen gern, aber nicht ab Adam und Eva, falls unnötig.

 

[DDD]

Ich hab auf der letzten Seite eine kurze Anleitung geschrieben:
http://www.ip-phone-forum.de/showpost.php?p=915441&postcount=263

Kommste damit nicht klar?

 

[Jonnyblue]

Hi,
danke für die Anleitungen für denn SSH zugang!

Frage: (und ja ich hab die sufu benutzt und nix gefunden!)

Ich möchte das "per SSH RemoteManagement" nur von einem bestimmten IP Range zulassen. So, dass ich z.B. nur von meiner Firma (fester IP Range) auf meine FBF komme. Ich denke das wäre eine DEUTLICHE erhöhung der Sicherheit.

Ich habe bereits versucht das Portforwarding zu ändern. Eigentlich sollte es ja reichen die ar7.cfg so zu ändern dass eben aus
"tcp 0.0.0.0:12345 192.168.179.1:22 0 SSH"
folgendes wird:
"tcp quellip:12345 192.168.179.1:22 0 SSH"

Aber wie mach ich hier jetzt ne ganze Range rein? Jemand ne Idee? Und komischerweise, scheint das was ich oben beschrieben habe auch nicht zu funktionieren obwohl das doch eig. funktionieren sollte?!

 

[wichard]

und ja ich hab die sufu benutzt und nix gefunden!

Ich musste auch noch mal tief graben, um mein eigenes Posting wiederzufinden...

Ich möchte das "per SSH RemoteManagement" nur von einem bestimmten IP Range zulassen.

Sollte eigentlich funktionieren wie hier: http://www.ip-phone-forum.de/showthread.php?t=84279&highlight=reject (Aber wie schon damals: Ohne Gewähr!)

P.S.: Zur Freigabe von IP-Bereichen siehe auch http://www.ip-phone-forum.de/showthread.php?t=87835&highlight=reject


Gruß,
Wichard

 

[kriegaex]

Soweit mir bekannt, funktioniert das, was du möchtest, nicht ohne iptables. Davon abgesehen, schlage ich vor, Du erzeugst ein selbst signiertes Zertifikat mit OpenSSL für Dropbear und konfigurierst ihn so, daß der Login nur per Zertifikat + Paßphrase, nicht aber per Benutzer und Paßwort möglich ist. Dann nimmst Du dorthin, von wo aus Du zugreifen möchtest, das Zertifikat mit und kommst sicher authentifiziert von überall aus an Deine Box.

Edit: Der zeitlichen Überschneidung mit Wichards Beitrag ist es zu verdanken, daß ich meinen ersten Satz so geschrieben habe, wie er da noch immer steht. Wie gesagt, soweit mir bekannt... Gut, daß es immer noch Leute gibt, die mehr wissen, ich lerne liebend gern dazu. Dennoch empfehle ich eher den Ansatz mit dem Zertifikat, er ist universeller, externe IPs können sich ändern, und wer weiß, wer noch den Rechner mit dieser IP benutzen kann. Und was ist, wenn es der Server einer Firma ist, der via NAT allen Clients im dahinter liegenden Netz private IPs gibt und nach außen immer nur eine zeigt?

 

[Jonnyblue]

Ich habe das ganze jetzt folgendermaßen realisiert:

-> Pseudoimage mit www.the-construct.com mit dropbear und Virtueller IP (192.170.1.1)
-> Portweiterleitung Port 54345 auf 22 auf die 192.170.1.1 der Box
-> Per SSH auf die Box und in der ar7.cfg dann unter "dslifaces" unter "access-list" zwei neue Einträge mit

“permit tcp 217.1.1.0 255.255.255.0 any eq 54345”,
“reject tcp any any eq 54345”,

Somit hat das komplette C Netz von 217.1.1.X zugriff auf die Box und sonst niemand.

Soweit GENIAL!

Problem: ich sollte das ganze bei mehreren Boxen machen, darunter auch 7050er Boxen, die ja seit der neueren Firmware kein VI mehr integriert haben (AHHHHH!!!). Jemand eine Idee wie ich OHNE SCRIPT das am besten bewerkstellige die zwei Zeilen in die ar7.cfg zu knallen.
Am besten wäre eine Lösung über die debug.cfg, da die bei jedem start ausgeführt wird und somit nicht nach einem Reset der Box dann auf einmal die Box im Internet von jeder IP aus erreichbar ist. (Die ar7.cfg wird ja bei einem Reset überschrieben oder?)

Über eine möglichst genaue beschriebung der vorgehensweise würde ich mich sehr freunen *g* Vielen Dank schonmal!

 

[jojo-schmitz]

die ar7.cfg wird nicht beim jeden Start überschrieben, nur bei einem Werksreset oder dem Einspielen einer Sicherung.

den fehlene vi der 7050 kann man nachrüsten, die von The-Construct nachgeladene busybox enthält einen vi, bleibt dann nur noch die Nachbildung/Änderung der nvi Scripts, damit dieses auch eben diesen vi benutzt.
Dieser nvi Nachbau kann locker in die debug.cfg eingeflochten werden, ist 'n 2-Zeiler (edit: 3-Zeiler)

sed 's:vi :/var/tmp/busybox &:g' /usr/bin/nvi >/var/tmp/nvi
chmod +x /var/tmp/nvi
mount -o bind /var/tmp/nvi /usr/bin/nvi

Bei 100 Maschinen wäre es aber wohl durchaus der Mühe wert sich Gedanken über ein Script zu machen...
Auch die debug.cfg ist ein Script, daher verstehe ich nicht so gans, was Du mit 'ohne Script' meinst.

Tschö, Jojo

 

[knomus]

Hallo, ich habe die Fritzbox 7141 und möchte per Fernwartung diese konfigurieren. leider klappt das alles nicht was hier beschrieben wurde. Kann mir jemand sagen, was ich tun muss damt ich auf die Box von außen zugreifen kann?

Danke schon mal!