Remote Management bei der FBF

[Ihmchen]

Ich habe ein Programm gefunden, das genau das macht: Bitvise Tunnelier (Freeware)
Es kann statt Putty verwendet werde da es ebenfalls den SSH Tunnel aufbaut, die Weiterleitung zum Port 80 kann eingestellt werden und anschließend kann es ein Programm aufrufen, z.B. den IE mit localhost. Das Terminalfenster kann separat, muss aber nicht aufgerufen werden.

 

[kriegaex]

Mit Putty geht das auch, das braucht kein exotisches Programm.

Korrektur: Ähm, ach so, Ihr meint das SSH-Fenster, nicht das DOS-Fenster für die Batchdatei o.ä. Da weiß ich jetzt doch nicht, ob das nicht offen bleiben muß. Da ich inzwischen Windows nur noch selten boote, müßte ich das erst probieren. Entschuldigt den Lärm.

 

[Telefonmännchen]

Eine Batch-Datei ist auch überflüssig, denn man kann den Programmaufruf incl. aller Parameter auch in einer Verknüpfung hinterlegen. Somit erübrigt sich auch das offene "DOS"-Fenster. So bei mir praktiziert.

Erst legt man eine Verknüpfung zum Programm an, die man dann im Anschluß mit den entsprechenden Parametern erweitert. Somit lassen sich bei Erstellung mehrerer Verküpfungen das selbe Programm für unterschiedliche Verbindungen aufrufen. Ich habe mir eine Symbolleiste mit mehreren Remote-Verknüpfungen erstellt. Und dann noch einen Internetlink auf die Seite localhostort. Somit ist der Aufruf der Startseite mehrerer von mir remote betreuter Fritzboxen gerade mal zwei Klicks entfernt.

Nachteil dieses Vorgehensweise ist, daß auch die Passworte in den Verknüpfungen hinterlegt sind und somit von unberufenen Nutzern ausgespäht werden könnten. Das ist aber bei Benutzung einer Batch fast genau so. Es sei denn, man integriert die Abfrage des jeweiligen Passwortes in den Batch-Lauf. Auf einem Firmenrechner sollte man also letzte beschriebene Vorgehensweise bevorzugen. Das Terminalfenster von Putty ist aber in jedem Falle offen. Wie sollte man auch sonst die Verbindung wieder gezielt beenden?

Gruß Telefonmännchen

 

[kriegaex]

Ich habe das auch so unter Windows: Diverse Verknüpfungen, kein DOS-Fenster, außerdem Authentifizierung über Zertifikat, aber mir ist schon wichtig, zumindest die Paßphrase fürs Zertifikat selbst einzugeben, das dient als Sicherheitsmerkmal. Außerdem sehe ich es genauso, daß es gut ist, eine Konsole zu haben, denn Shell-Befehle direkt eingeben zu können, ist mir allemal wichtiger als nur die Web-Ports zu tunneln (das geht eher nebenher).

 

[555alex]

hallo.
ich suche auch nach einer möglichkeit auf (m)eine fritzbox unkompliziert von unterwegs zuzugreifen. es geht mir dabei nur um die möglichkeit von unterwegs z.b. mal schnell eine rufumleitung oder ähnliches zu ändern.
aber ehrlich gesagt sind mir tiefergehende modifikation (noch) zu hoch...

aber mal eine frage zur sicherheit - was wäre wohl sicherer?

eine unter immer gleicher "dyndns-adresse" erreichbare box mit einem immer gleichen kennwort (solange man es nicht selbst ändert), jedoch mit verschlüsselter übertragung.
oder
eine box die nur "auf zuruf", für eine begrenzte zeit, nur über die aktuelle wan-ip, mit einem immer anderen kennwort, jedoch nicht verschlüsselt über http port 80 erreichbar ist.

 

[kriegaex]

Fals Du SSH verwenden kannst von dort aus, wo Du den Zugriff starten möchtest, mach doch SSH mit Zertifikat + Paßwort. Dann bräuchte ein Angreifer schon beides. Das ist ziemlich sicher.

Deine genannte Variante 1 wäre Matrixtunnel + sicheres Paßwort.

Deine genannte Variante 2 wäre z.B. Telnet + OPIE (One Time Passwords in Everything), daran habe ich mal gebastelt (geht auch), habe aber momentan wenig Zeit, es "rund" zu machen. Evtl. zu 15.3...

 

[DDD]

Passwort reicht doch auch aus bei SSH, oder? Braucht man nicht gleich ein Zertifikat?! Finde das mit Passwort halt einfacher, bzw habs bisher nur so gemacht.

 

[kriegaex]

Du hast nach Sicherheit gefragt. Bei einem Zertifikat kann nicht jeder, der das PW kennt, gleich zugreifen. Er bräuchte auch den Schlüssel.

 

[newland]

Und wenn du keine putty etc. hast mache es ein fach per stunnel oder matrix dann auf https port 443. Dann kannst du auch auf der Ferne auf der BOx zugreifen. Wie das geht steht in Wikki (musste mal unter RudiShell schauen) steht ein Beitrag drin.

 

[shelf]

Remote Management per SSH-Tunnel funzt mit neuer VPN-Firmware 29.04.51 nicht mehr

Hallo,

habe gestern in meine 7170 die neue VPN-Firmware 29.04.51 eingespielt.

Seitdem kann ich aus der Ferne nicht mehr zugreifen per SSH-Tunnel:

PuTTY Fatal Error
Network Error: Connection refused

Hab mir die ar7.cfg runtergezogen von der Box, die ist jetzt leer!

Was kann ich tun, außer einem Downgrade auf die alte VPN-Firmware 29.04.34 ?

 

[Friedhelm]

Hallo,

@shelf: Wie hast du denn dropbear in die 04.51 reinbekommen?

 

[shelf]

@ Friedhelm: Durch folgenden Eintrag in der debug.cfg

# Installation SSH-Server:
wget http://SERVER.de/fritzbox/dropbear
chmod +x /var/tmp/dropbear
ln -s /var/tmp/dropbear dropbearkey
/var/tmp/dropbearkey -t rsa -f /var/tmp/dropbear_rsa_hostkey -s 512
cp -p /var/tmp/shadow /var/tmp/tmp_shadow

# Hier den Hash des root-Passworts eintragen
sed -e "/root:/s#^root:[^:]*:#root:HASHWERT#" /var/tmp/tmp_shadow > /var/tmp/shadow
/var/tmp/dropbear -r /var/tmp/dropbear_rsa_hostkey

Hab die Zeilen mal manuell per Telnet-Zugang eingegeben. Nach dem Befehl
/var/tmp/dropbearkey -t rsa -f /var/tmp/dropbear_rsa_hostkey -s 512
kommt jetzt komischer Weise die Fehlermeldung
/var/tmp/dropbearkey: can't load library 'libutil.so.0'

Weiteres Problem ist, den TCP-Port 22 am WAN freizugeben, damit man auch von extern per SSH-Tunnel auf die Box kommt. Das konnte man vorher in der ar7.cfg einstellen. Nun ist diese Datei aber leer ...

 

[Friedhelm]

Hallo,

/var/tmp/dropbearkey: can't load library 'libutil.so.0'

Die Fehlermeldung wurde schon ziemlich oft behandelt hier im Forum.

Weiteres Problem ist, den TCP-Port 22 am WAN freizugeben, damit man auch von extern per SSH-Tunnel auf die Box kommt. Das konnte man vorher in der ar7.cfg einstellen. Nun ist diese Datei aber leer ...

Solange die Box keinen ordentlichen Internetzugang hat, ist die ar7.cfg leer, erst danach wird sie gefüllt.
Du hast sie aber schon korrekt als Character Device behandelt (also mit cat anstatt mit cp)?

 

[shelf]

Habe das library-Problem recherchiert. Mit einer aktuelleren dropbear-Version (17.11.2006) aus http://www.the-construct.com/download/files.zip Verzeichnis linux26 ist das Problem gelöst.

Hinsichtlich der ar7.cfg habe ich auf gut Glück die alte Datei aus der Konfiguration mit der vormaligen VPN-Firmware 29.04.34 eingespielt. Jetzt komme ich wieder per SSH-Tunnel von extern auf die Box.

Vielen Dank @ Friedhelm !

 

[hklomann]

ab firmware *.49 remotezugriff per https ohne mod`s möglich
getestet 7170 7141 und 7270 geht auch bei gefritzter 701

remote https aktivieren

 

[shelf]

Funzt einwandfrei! Vielen Dank @ hklomann!
Da wäre ich ohne Deinen Link nie drauf gekommen, da die FRITZ!Box die Registerkarte "Fernzugriff über HTTPS" unter Einstellungen > Erweiterte Einstellungen > Fernzugang nicht mit anzeigt ... man kommt nur dahin, wenn man Deinen Link verwendet.

 

[DDD]

Gut zu wissen dass es sowas gibt...

Aber wenn man ein Kennwort auf der Weboberfläche drin hat, kommt man nicht zu dem Menü irgendwie ...

 

[Mr.Cool]

Dann versucht es doch mal mit der neuen Labor version, ist glaube ich die Version 29.04.97-10173 die am 14.02.08 raus kam, dort ist https (Fernzugriff) auch in der Weboberfläche integriert und nicht versteckt.

 

[DDD]

Wie isn das eigentlich. man schaltet das frei, richtet dyndns ein
und dann kann man über den Browser und über dyndns direkt auf die
FritzOberfläche zugreifen?
Der einzige Schutz ist dann das Login Passwort der Weboberfläche?!

 

[jojo-schmitz]

Nein. Man braucht 2 Passworte und einen Usernamen: Zuerst https://dein.dyndns.org mit dem User fritzbox und dem Password, dass die Box Dir generiert hat, dann das 'normale' Password, dass Du auch lokal benutzt.

Tschö, Jojo