Zugriff auf fritz.box-Benutzeroberfläche aus dem Internet

[joergINTERNET]

Hallo,

ich habe bei meinen Eltern eine Fritz Box Fon WLAN 7050. Da meine Eltern ausschließlich Nutzer sind und bereits Maus sowie Tastatur den Krieg erklärt haben, muss ich des öfteren "Support" leisten. Per VNC komme ich auf den APC. Damit ich aber ggf,. die gesamte Kommunikationsstruktur untersuchen bzw. kofigurieren kann, möchte ich die Fritz.box-Oberfläche auf der FB 7050 zu Hause von der Ferne über das Internet aufrufen, um sozusagen per Fernwartung Konfigurationen der FB 7050 vorzunehmen.

AVM hat mir daz mitgeteilt:

"Der Zugriff auf die Benutzeroberfläche der FRITZ!Box ist aus Sicherheitsgründen ausschließlich aus dem lokalen Netzwerk, nicht jedoch aus dem Internet heraus möglich. Dadurch wird z. B. verhindert, dass ein Angreifer aus dem Internet Zugriff auf Sicherheitseinstellungen (wie z. B.
die Portfreigaben) der FRITZ!Box erhalten könnte."

Jetzt werden mich manche bestimmt Töten wollen aber ich möchte dennoch von der Ferne aus auf die frtizbox zugreifen können. Natürlich möglichst sicher, wenn das geht (IP-Filter, Kennwort, was weiß ich )

Gibt es da Möglichkeiten?

Vielen Dank

Gruß Jörg

Konfiguration:
FritzBox Fon WLAN 7050 (Eltern)
GMX-DSL (Eltern)
D-LINK 624+ (ich)
Alice-DSL (ich)
Auf den APC jeweils Win XP Home, SP 2

 

[staubsauger-nono]

Wenn es sicher sein soll, dann suche mal hier nach ssh, ds-mod, dropbear.
Da findest du genug Infos um dich sicher auf die Box deiner Eltern zu schalten.

 

[PsychoMantis]

Und wenn es nicht so sicher aber dafür schnell gehen soll, dann the-construct.com und von dort eine virtuelle IP erstellen und die Portfreigabe dorthin einrichten.

Davor noch dyn-dns bei der FritzBox einrichten. Und schon kommt man über http://dyn-dns-adress.de:8080 in die FB rein.

 

[joergINTERNET]

also das mit ssh, etc. ist mir zu komplex. hab mir jetzt einen thread mit 11 seiten duchrgelesen. das ist mir zu riskant, dass ich da was falsche mache.

the-construct.com ist nicht schlecht.

meinst du damit, dass ich bei the-construct ein pseudo-image mit telnet erstellen soll? ist es das, was du meinst?

 

[PsychoMantis]

nein, ein pseudoimage mit einer zusätzlichen virtuellen netzwerkkarte


und dann kannst du einfach in der fritzbox zum beispiel den port 8080 auf den port 80 der ip-adresse 192.168.178.253 angeben

und schon kannst du über http://xx.xx.xx.xx:8080 auf die FB zugreifen

xx.xx.xx.xx ist die IP deiner FritzBox (findest du in der Übersicht)


Das mit ssh war mir auch zu kompliziert
deshalb habe ich es auch so gelöst

 

[joergINTERNET]

und wie sicher/unsicher ist das?
ich erreiche dann wohl direkt die benutzeroberfläche, also den passwort-dialog, oder sind dann noch zwischenschritte erforderlich?

 

[AndreR]

Das ist sehr unsicher, da der Passwortschutz keine wirkliche Sicherung darstellt. Jemand mit Kenntnis des dyndns Namens und/oder der IP kann quasi auf der Fritzbox ein und ausgehen.

Besser wäre es wirklich mit dropbear. Dann kannst du mittels einer gespeicherten Putty Session einen SSH Tunnel auf die Box machen.

Du kannst Dropbear auch mittels des PseudoImages in die Fritzbox integrieren

 

[joergINTERNET]

Kann mir mal jemand sagen, wo all die Möglichkeiten von the-construct.com erläutert sind? Ich finde auf der Homepage nichts. Bei meiner Firmware bietet er folgende Tools an und ich würde vorher gerne wissen, was die können.

Telnet aktivieren
Enum im Webinterface freischalten (ändert das Branding auf AVM)
Branding ändern
Port 1011 öffnen
SIP-Port ändern
Callmessage
WakeOnCall (benötigt Dropbear!)
Audiocodec-Reihenfolge ändern
OpenVPN
Dropbear (SSH-Server)
Virtuelle Netzwerkkarte einrichten
Automatischer Firmwarecheck
eigenen Code am Anfang der 'debug.cfg' einfügen
eigenen Code am Ende der 'debug.cfg' einfügen

 

[PsychoMantis]

Ja. Und da einfach die virtuelle Netzwerkkarte einrichten und mehr nicht.
Dann kommt man über http://xx.xx.xx.xx:8080 direkt zum Passwortdialog der FritzBox.
Ein Hacker der die IP-Adresse deiner FritzBox kennt wird auch nur diesen Passwort dialog sehen. Theoretisch kann dieses Passwort auch gecknackt werden.

Wie wahrscheinlich diese Dinge sind (dass jemand die IP kennt, ausgerechnet an deiner FB interessiert ist, Passwort knacken will, Passwort knacken kann) musst du wohl selbst beurteilen.

Natürlich ist die Sache mit SSH um einiges schwerer (fast unmöglich) zu knacken.

 

[AndreR]

Telnet aktivieren --> aktiviert den Telnet Daemon, für dich unwichtig

Enum im Webinterface freischalten (ändert das Branding auf AVM) --> kannst du machen, ist für dein Vorhaben allerdings unwichtig. Damit werden vor dem Aufbau eines VoIP Telefonates eine ENUM Abfrage auf die Telefonnummer ausgeführt. Damit kann man z.B. www.test.de anrufen

Branding ändern --> Im AVM Branding werden mehr Einstellmöglichkeiten angezeigt

Port 1011 öffnen --> Gute Frage, wofür war das gleich gut?
SIP-Port ändern --> Notwendig, wenn z.B. ein Asterisk hinter der FBF läuft

Callmessage --> wird für manche Anrufmonitore benötigt
WakeOnCall (benötigt Dropbear!) Rufst du eine festgelegte auf der FBF eingerichtete Nummer an, so fährt ein vorher definierter PC hoch

Audiocodec-Reihenfolge ändern --> Wies da steht, die Aushandlung der Audiocodecs bekommt eine andere Prioritätenreihenfolge

OpenVPN -->richtet einen OpenVPN Server oder Client auf der Box ein. Damit könntest du dein Vorhaben auch erreichen und hättest den Vorteil, dass du zugleich an alle Dienste auf eventuellen PCs hinter der Fritzbox deiner Eltern kommst. Einrichtungsaufwand ist allerdings ohne Kenntnisse recht hoch

Dropbear (SSH-Server) --> Erstellt einen SSH Server auf der Box, ist wie Telnet, nur verschlüsselt und damit von außen nutzbar ohne Sicherheitsbedenken

Virtuelle Netzwerkkarte einrichten --> gibt der Fritzbox eine weitere IP, auf die Portfreigaben auf die Fritzbox selber über die Weboberfläche gemacht werden können. Sehr angenehm für die Einrichtung von SSH und/oder OpenVPN

Automatischer Firmwarecheck --> Gute Frage, den Punkt kenn ich noch garnicht

eigenen Code am Anfang der 'debug.cfg' einfügen --> hast du Schon Mods über die debug.cfg, so steht der neue Mod des PseudoImages HINTER deinen Einrichtungen

eigenen Code am Ende der 'debug.cfg' einfügen --> hast du Schon Mods über die debug.cfg, so steht der neue Mod des PseudoImages VOR deinen Einrichtungen

 

[gonzzo]

...oder richte dir ganz einfach mit logmein.com einen fernzugriff auf deinen pc hinter der fritzbox ein. dann melde dich bei dem pc aus der ferne ein und starte da den webbrowser zur fritzbox.
vorteil: keine änderung an der fritzbox und erst noch gratis zugang zu deinem pc zuhause...

 

[joergINTERNET]

Also jetzt hab ich mit über the-construct ein Pseudo-Image mit "Virtuelle Netzwerkkarte einrichten" erstellt und dieses in die FB 7050 (Firmware 14.04.31) geladen.

Unter welchem Menüpunkt finde ich nun die virtuellen Netzwerkkarte und kann die einrichten?

Danke, Gruß Jörg

 

[AndreR]

Garnicht. Die virtuelle netzwerkkarte ist "nur" eine weitere IP für die Fritzbox. Das heißt, die Box reagiert nicht nur auf 192.168.178.1 sondern auch auf die von dir gewählte IP für die Virtuelle netzwerkkarte. Und auf eben diese IP kannst du nun auch Port-weiterleitungen machen - was sonst nicht geht (Fritz-Weiterleitung auf sich selbst)

 

[Humfri]

Und wie wäre es, mittels der LABOR-Firmware (http://www.avm.de/labor) für VPN? Dazu brauchen Deine Eltern gar nichts machen, dafür musst Du nur den Fritz!Fernzugang installieren und schon geht's. Wenn es auch anscheinend etwas komplizierter ist, auf Freigaben des Rechners zuzugreifen, so ist es bei mir kein Problem, von zu Hause aus, die Einstellungen der Fritz Box (über IP-Adresse im Browser) zu ändern.
Weitere Hilfe hier im Forum bei der neuesten Version der Labor Firmware.

 

[hossbachj]

Guten Morgen und hallo zusammen,

aller Sicherheitbedenken zum Trotz möchte ich auch gerne meine Fritz!Box remote über das Internet managen.

Ich habe eine Fritz!Box 7170 mit der aktuellen Firmware (nicht Labor), in meinem LAN hat die BOX die IP 192.168.10.3 .

Ich habe über "The Construct" eine virtuelle Netzwerkkarte hinzugefügt.

Unter Portfreigabe habe ich den TCP-Port 5050 auf die virtuelle Adresse Port 80 weitergeleitet.

Das müsste es doch eigentlich gewesen sein, oder?

Wenn ich jetzt über "http://www.meine-adresse.de:5050" gehe wird die Seite mal angezeigt, mal auch nicht. Im Header wird zwar immmer schon Fritz!Box angezeigt, aber die Seite bleibt in 95% aller Fälle leer...., auf die TSB-Seite komme ich immer.

Jemand eine Idee, woran das liegen könnte?

Danke & Gruß
Hossi

 

[PsychoMantis]

Ich möchte das Problem auch gerne gelöst kriegen. Alles was ich weiß, ist, dass es etwas mit der neuen Firmware zu tun hat und dass man die Fritzbox aus dem Internet dennoch über Firefox irgendwie erreichen kann.

EDIT: http://www.ip-phone-forum.de/showpost.php?p=883057&postcount=354

 

[Humfri]

Ja, geht auch siehe mein Post oben. Und viele Posts in dem Thread zur Labor-Firmware. Geht ganz einfach!

 

[PsychoMantis]

@ humfri

Das Problem ist, dass ich nur eine 7050er habe. Also nix mit Laborfirmware :-(

 

[hossbachj]

... und ich habe leider das Problem, dass ich aus unserem Firmennetzwerk keine VPN-Verbindung machen kann.

Jemand eine Idee??

Guß
Hossi

 

[richiesamborra]

...und bekommt man wieder Zugriff auf die Seiten der Fritzbox, wenn man die neueste Firmware 29.04.37 und die virtuelle Netzwerkkarte von the-construct eingerichtet hat? Ging bei mir nämlich nicht mehr... Habt ihr schon Erfahrungen mit der neuesten?