Remote Management bei der FBF

[DDD]

Ich habe auch mal eine Frage zur Fernsetuerung der FritzBox.

Ich betreue so ein paar Boxen im bekanntenkreis hobbymäßig, und wenn irgendwas war hab ich mich oft über VNC auf die Clients verbunden und hab dann so die Box dort eingestellt.

Jetzt hab ich aber seit kurzem ne FBFWlan bei meinen Eltern stehen, die aber (noch) keinen PC haben. Das heisst ich müsste irgendwie von zuhause mal auf die Box.

Habe mir schon so einiges durchgelesen, hier im Forum, bei Tecchannel,... aber irgendwie bin ich mir noch unschlüssig wo ich anfangen soll bzw was sinnvoll ist für mein vorgehen.

Soll ich das mit OpenVPN realisieren? Oder mit SSH? Wenn das damit geht? Will schon gerne die Fritz Oberfläche haben und nicht nur die shell.
Oder soll ich gar gleich nur einen Port weiterleiten auf die Fritz, und mich dann drauf verbinden, so das die Box nur mit dem Passwort geschützt ist?! Soll ja nicht so das sicherste sein.

Was wären eure Ratschläge?

 

[jojo-schmitz]

Ich mach's mit ssh, einem Tunnel zur Box (L80 <-> 192.168.178.1:80) und IE auf http://127.0.0.1
Sogar FW Updates funktionieren so, zumindest via 'Automatisches Update'. FW manual hochladen geht allerdings nicht, da die Box dann zu früh die Internetverbindung trennt.

Tschö, Jojo

 

[DDD]

Ok, also muss ich doch eigentlich nur sehen das ich ssh auf der Box zum laufen bekomme und den Port dafür wohl irgendwie da einrichte, ne?

Von zuhause gehe ich dann über Putty auf die Dyndns adresse (läuft schon)

Das mit den Updates ist nicht schlimm, kann ich zur not dann auch machen wenn ich mal zu Besuch bin mit dem Laptop.
Ausserdem würde das wohl eh dann bei OpenVPN dasselbe sein denke ich?!

 

[jojo-schmitz]

Ok, also muss ich doch eigentlich nur sehen das ich ssh auf der Box zum laufen bekomme und den Port dafür wohl irgendwie da einrichte, ne?

Ja, z.B. über the contruct

Das mit den Updates ist nicht schlimm, kann ich zur not dann auch machen wenn ich mal zu Besuch bin mit dem Laptop.
Ausserdem würde das wohl eh dann bei OpenVPN dasselbe sein denke ich?!

Stimmt, aber wie gesagt, das automatische Update klappt. Gerade gestern noch auf der 7050 meiner Eltern gemacht.

Tschö, Jojo

 

[ronnyp]

...

Hallo,

ich hatte ja was ähnliches vor. Gelöst habe ich es folgendermaßen:

1. für jede FritzBox eine Dyn-Adresse vergeben und die natürlich in die FritzBoxen eingetragen.
2. DS-mod auf den Boxen installieren (inkl.Dropbear)
3. Key generieren (z.B. mit Putty KeyGen)
4. Key auf den FritzBoxen eintragen (im DS-mod unter Dropbear)
5. Port 22 auf jeder Box freischalten (z.b. über telnet in der Datei /var/flash/ar7.cfg)
6. auf Linux Konsole wie folgt einen Tunnel graben :
ssh -l root -N -L 8888:localhost:80 XXXXXXX.dyndns.org
7. in deinem Browser folgendes eingeben: http://localhost:8888

Sohab ich das gelöst und es funktioniert wunderbar, um die Boxen auch ohne PC zu verwalten.
Der Key dient zur Authentifizierung zwischen deinem PC und der Box.
Der Key auf der Box muss also identisch zu dem auf deinem PC sein.
Dann hab ich noch den Password login deaktiviert.

Dies ist meiner Meinung nach das sicherste, da keiner den Key besitzt außer dir.
Ich weiß allerdings nicht, ob der 6. Schritt auch mit putty funktioniert, da ich linux verwende.

Viel Glück

 

[DDD]

Wie ist denn das ich muss doch bei Construct Dropbear und Virtuelle Netzwerkkarte auswählen oder?

Die MAC Adresse die die Webseite abfragt kann ich leer lassen? Und das Interface?

Passwort, das ist das Passwort um mich bei putty einzuloggen?!

Ist die SSH Verbindung dann schon gesichert? Oder läuft das unverschlüsselt ab?

Wenn es verschlüsselt ist, wofür dann noch die Keys wie bei ronnyp?

Wenn es unverschlüsselt ist, dann kann ja jeder mein Passwort im klartext lesen wenn er die Pakete mitschneidet?!

Dropbear nehme ich dann direkt von der Construct seite, lege es auf meinen webspace und trage entsprechend den pfad dazu bei der erstellung des Images ein? busybox brauche ich nicht oder?

 

[jojo-schmitz]

Wie ist denn das ich muss doch bei Construct Dropbear und Virtuelle Netzwerkkarte auswählen oder?

Ja

Die MAC Adresse die die Webseite abfragt kann ich leer lassen? Und das Interface?

Nur für WoL nötig.

Passwort, das ist das Passwort um mich bei putty einzuloggen?!

Ja

Ist die SSH Verbindung dann schon gesichert? Oder läuft das unverschlüsselt ab?

Ist verschlüsselt

Wenn es verschlüsselt ist, wofür dann noch die Keys wie bei ronnyp?

Für die hostkeys von dropbear

Dropbear nehme ich dann direkt von der Construct seite, lege es auf meinen webspace und trage entsprechend den pfad dazu bei der erstellung des Images ein?

genau

busybox brauche ich nicht oder?

Doch, für uuencode/uudecode (um die hostkeys auszupacken) und ggf. etherwake (WoL)

Tschö, Jojo

 

[DDD]

Danke erstmal für die Hilfe.

Ich wollte das eben mal kurz auf meiner 7170 probieren. Die hat noch die Firm 25, die hat ja dann wohl den alten Kernel noch, welche drobbear version brauch ich da denn? Und kann ich diese nehmen http://www.ip-phone-forum.de/showpost.php?p=681789&postcount=34

Sind ja die für den 2.6er Kernel, ist das dropbear in dem Bezug abwärtskompatibel?

 

[jojo-schmitz]

Ich wollte das eben mal kurz auf meiner 7170 probieren. Die hat noch die Firm 25, die hat ja dann wohl den alten Kernel noch, welche drobbear version brauch ich da denn? Und kann ich diese nehmen http://www.ip-phone-forum.de/showpost.php?p=681789&postcount=34

Sind ja die für den 2.6er Kernel, ist das dropbear in dem Bezug abwärtskompatibel?

Nein (glaube ich). Nimm den von the-construct.

Tschö, Jojo

 

[DDD]

So, habe es jetzt soweit alles geschafft, hab mich gestern per Putty auch erfolgreich aus dem LAN auf die Box verbunden.

Allerdings geht es von ausserhalb nicht. Habe beim Pseudo Image die virtuelle NWK erstellt.
Und folgendes steht im Image drin:

# make FBF accessable from the internet (192.168.178.253)
sleep 10
ifconfig eth0:1 192.168.178.253 netmask 255.255.255.0 broadcast 192.168.178.255 up

Kann es was damit zu tun haben das ich bei mir im LAN das 192.168.121.X netz verwende und die Box auf x.x.121.1 läuft?

Oder muss ich den SSH Port noch freigeben?!


Edit: Ich glaube mir fehlt der eintrag in der AR7.cfg hier, oder?
http://www.ip-phone-forum.de/showpost.php?p=418840&postcount=3

 

[jojo-schmitz]

Kann es was damit zu tun haben das ich bei mir im LAN das 192.168.121.X netz verwende und die Box auf x.x.121.1 läuft?

Denke schon, daher in der debug.cfg abändern auf

ifconfig eth0:1 192.168.121.253 netmask 255.255.255.0 broadcast 192.168.121.255 up

Oder muss ich den SSH Port noch freigeben?!

Ja, das auf jeden Fall, Weiterleitung des SSH ports (22/tcp) auf die 192.168.121.253.

Tschö, Jojo

 

[DDD]

Hast du mein Edit noch gelesen?

Also weiterleitung des Ports wie in der Anleitung, oder? Also AR7 direkt editieren.

Ich denke aber das müsste mit der 178 auch gehen, weil die IP hat die Box doch sicher auch noch?! Versuch ich heute abend einfach mal.

Danke.

 

[jojo-schmitz]

Wenn das virtuelle Interface funktioniert (und alleine wegen der netmask von 255.255.255.0 glaube ich nicht, dass das mit deiner derzeitigen IP funktioniert), brauchst die ar7.cfg nicht zu bearbeiten, sondern kannst die Weiterleitung über's Web Inferface einstellen.

Tschö, Jojo

 

[DDD]

wieso x.x.25.x? 225. ist doch das dritte oktett.

Und ich will ja vom Internet nicht auf das 121. netz, mir reichts ja wenn ich auf das 178 netz komme und da halt auf die Box?!

 

[jojo-schmitz]

Tippfehler meinerseits, jetzt korrigiert.

 

[DDD]

So, komme jetzt drauf. Danke erstmal allen hier, besonders dir jojo-schmitz!!! :groesste:

Weiterleitung auf die 178.253 hat übrigens doch funktioniert...

 

[macdet]

ich hatte ja was ähnliches vor. Gelöst habe ich es folgendermaßen:

Make my day! Wenn das hinhaut. :-Ö

[Edit Novize: unsinnigen Link gelöscht]

Einfach Wahnsinn hier. Eigentlich wollte ich heute was ganz anderes machen.
Nun ja, einwenig Fortbildung ist auch nett

[Edit wichard: Fullquote massiv gekürzt]

 

[a.roth]

Warum so kompliziert?

hallo forum,

ich habe eure lösungsvorschläge für den remoteadministrationszugang der fritzbox 7170 alle aufmerksam gelesen und kann es nicht ganz nachvollziehen warum diese vorschläge immer so kompliziert sein müssen. ich habe einen fritzbox 7170 mit firmware 290433-6899 in betrieb und habe den remoteadministration ganz easy über den webinterface eingerichtet ohne telnet oder zusätzliche virtuelle ip schnittstelle oder sonstige erweiterungen.

ich habe als erstes einen dyndns anbieter eingestellt dann mein webinterface mit zugangsdaten geschützt und dann einfach einen portweiterleitung auf den internen ip 169.254.1.1 dort auf port 80 eingeschaltet. als protokoll habe ich tcp eingestellt. mehr war dazu nicht notwendig.

meine lösung ist womöglich nicht so aufwendig wie eure vorschläge aber es funktioniert prima...

was meint ihr dazu ist diese lösungsweg für den remoteadministration so sehr unsicher oder kann man das so ohne bedenken nutzen??

testlink ---> http://avxxx.dnsalias.com:2xxxx

gruss
a.roth

 

[shadow000]

ich habe eure lösungsvorschläge für den remoteadministrationszugang der fritzbox 7170 alle aufmerksam gelesen und kann es nicht ganz nachvollziehen warum diese vorschläge immer so kompliziert sein müssen.

Dass kommt ganz auf das jeweilige Sicherheitsbedürfnis an.
An und für sich stellt es kein Problem dar, da momentan noch keine Exploits für das Webinterface der Fritz!Box bekannt sind.

ich habe als erstes einen dyndns anbieter eingestellt dann mein webinterface mit zugangsdaten geschützt und dann einfach einen portweiterleitung auf den internen ip 169.254.1.1 dort auf port 80 eingeschaltet. als protokoll habe ich tcp eingestellt. mehr war dazu nicht notwendig.

Sichererheitslöcher zu reissen ist fast nie besonders schwer ;-)

meine lösung ist womöglich nicht so aufwendig wie eure vorschläge aber es funktioniert prima...
was meint ihr dazu ist diese lösungsweg für den remoteadministration so sehr unsicher oder kann man das so ohne bedenken nutzen??

Dass du nicht Port 80 genommen hast ist schonmal gut. Ich habe beispielsweise Port 80 direkt durchgeleitet.
Du hast aber 2 Probleme die ich nicht habe:
Dein Webinterface hat den "Passwort vergessen" Link. Jeweils in den ersten 10 Minuten in denen deine Box neu gestartet ist, kann jeder der zufällig vorbeikommt deine Box komplett zurücksetzen. Also mach lieber ein Backup...
Bei mir ist die Funktionalität aus der Firmware rausgepatcht.

testlink ---> http://XXXXX.dnsalias.com:12345

DAS war eine klassische Scheissidee! ;-)

Während ich noch den Vorteil habe dass jeder der meine Fritzbox im Netz findet, rein zufällig dahinkommt (oder meine DynDNS URL über ENUM Auflösung bekommt), kennt jetzt jeder deine Adresse und kann dich ohne Probleme wiederfinden.
Wenn ich jetzt eine fiese Sau wäre, könnte ich ein Script basteln dass alle 9,x Minuten guckt ob deine Box neu gestartet wurde und dir damit spätestens beim nächsten Neustart die Box plätten.

Wenn du das hier also liest, editierst du am Besten dein Posting oben und nimmst die URL raus und richtest dir anschließend ein neues DNS Alias ein oder wechselst zumindest den Port ;-)

 

[jojo-schmitz]

ich habe als erstes einen dyndns anbieter eingestellt dann mein webinterface mit zugangsdaten geschützt und dann einfach einen portweiterleitung auf den internen ip 169.254.1.1 dort auf port 80 eingeschaltet. als protokoll habe ich tcp eingestellt. mehr war dazu nicht notwendig.

meine lösung ist womöglich nicht so aufwendig wie eure vorschläge aber es funktioniert prima...

Das funktioniert erst sei den neuesten FW Versionen, vorher gab es die 169.254.1.1 nicht und die Box verhinderte Portweiterleitungen auf die eigenen Adressen.

Tschö, Jojo