[Gelöst] Dropbear sshd v0.48 und 7170 FW .57

[Joe_57]

Hallo zusammen,

seit dem Update auf die .57er Firmware kann ich leider mittels Putty über das Internet keinen Tunnel mehr zu meiner FritzBox aufbauen.
Mit der .49er Firmware lief alles noch einwandfrei.

Ich verwende den Dropbear sshd v0.48, den ich über die debug.cfg von einem USB-Stick nachlade:

# # # # # # # # # Installation SSH-Server
MyDir=/var/media/[B]MyStick[/B]
cp $MyDir/dropbear /var/tmp/dropbear
chmod +x /var/tmp/dropbear
ln -s /var/tmp/dropbear dropbearkey
/var/tmp/dropbearkey -t rsa -f /var/tmp/dropbear_rsa_hostkey -s 512
cp -p /var/tmp/shadow /var/tmp/tmp_shadow
# Hier den Hash des root-Passworts eintragen:
sed -e "/root:/s#^root:[^:]*:#root:[B]HASH[/B]:#" /var/tmp/tmp_shadow > /var/tmp/shadow
/var/tmp/dropbear -r /var/tmp/dropbear_rsa_hostkey
#
# # # # # # # # # ENDE SSH-Server

# # # # # # # # # SSH-Port oeffnen
ifconfig eth0:0 192.168.178.253 netmask 255.255.255.0 up
#
# # # # # # # # # ENDE SSH-Port oeffnen

Nach einem Verbindungsversuch öffnet sich die (leere) BlackBox von Putty, dann erscheint aber nach ein paar Sekunden nur die Meldung "Connection timed out!"
Nach Username/Passwort werde ich nicht gefragt.

[EDIT]
Durch einen manuellen Eintrag in der ar7.cfg funktioniert es wieder:

forwardrules = "tcp 0.0.0.0:21 0.0.0.0:21 0", 
               "udp 0.0.0.0:5060 0.0.0.0:5060", 
               [B][COLOR="Red"]"tcp 0.0.0.0:22 0.0.0.0:22 0 # SSH"[/COLOR];[/B]
shaper = "globalshaper";

Über die WEB-Menüs der Box lässt sich das leider nicht einstellen.
[/EDIT]

Joe

 

[jojo-schmitz]

Funktioniert bei mir genau wir in allen Vorgänger FWs nachdem im Web Interface eine Portweiterleitung auf 192.168.178.253:22 eingerichtet wurde.
Dabei erscheint im telnet/ssh zwar eine Fehlermeldung (irgendwas mit port forwar to internal host ignored), funktioniert aber trotzdem.
Dein Kommentar in der debug.cfg "SSH-Port oeffnen" ist Unfug. 'virtuelle IP einrichten' wäre richtig, Port öffenen geht dann über's Web Intercase oder halt direkt über die ar7.cfg (und dann ohne die virtuelle IP).
eth0:0 könnte anwerweitig benutzt sein, nimm besser eth0:1, wie's auch von The-Construct verwendet wird

 

[Joe_57]

Hallo jojo-schmitz,

den Eintrag habe ich auf "Virtuelle IP einrichten" geändert.
Auch habe ich es mit deinem Vorschlag "eth0:1" an Stelle von "eth0:0" probiert.

An meinem Problem ändert sich jedoch leider nichts:

- Getunnelter Zugriff auf die 7170 ist möglich!
Ich kann mich mit also per Putty mit Benutzername/Passwort problemlos einloggen.

- Zugriff auf das EB-Interface über den IE6 (http://localhost) wird aber auf der Box mit
"SECURITY VIOLATION -> just jump to index.html"
abgelehnt!

Wie gesagt, mit der .49er Firmware hatte ich da keine Probleme.

Joe

 

[jojo-schmitz]

Stimmt, aber getunnelter Zugriff auf http ist dank https ja auch nicht mehr wirklich nötig!

 

[Joe_57]

Na dann gib mir doch bitte mal einen Tipp (oder einen Wink mit dem Zaunpfahl).

Wie komme ich denn nun wieder per Tunnel auf die WEB-Oberfläche der Box?? :noidea:

Joe

 

[jojo-schmitz]

Ohne Tunnel, über https://deine.dyndns.org, nachdem es vorher im lokalen Webinterface freigeschaltet wurde.

 

[Joe_57]

Vielen Dank für den Tipp!

Manchmal sieht man halt den Wald vor lauter Bäumen nicht.
Ich habe die Fernwartung aktiviert und der Zugriff auf die WEB-Oberfläche klappt jetzt.

Joe

 

[shred]

Ich bekomme auch mit der neuesten Firmware die Fehlermeldung "SECURITY VIOLATION -> just jump to index.html" wenn ich Port 80 über ssh forwarde und dann mit dem Browser http://localhost erreichen möchte.

Ich kann das Fernwartungsfeature über https leider nicht nutzen! Wie könnte ich das wieder wie bei der früheren Firmware hinbekommen?

 

[shred]

Hat keiner eine Antwort darauf?

 

[jojo-schmitz]

Anscheinend nicht. Warum kannst du Fernwartung via https nicht verwenden?

 

[shred]

Ich komm im Moment nicht lokal an die FritzBox 7170 dran. Und ich wüsste nicht, wie ich ohne die Webgui die Fernwartung aktiviere.

Wenn jemand weiss, wie ich die Fernwartung direkt über ssh aktiviere, bin ich auch dankbar!

 

[jojo-schmitz]

Ah, also ein klassisches Henne-Ei-Problem...
Möglicherweise reicht es die /var/flash/ar7.cfg zu editieren (mit nvi, Abschnit "websrv") und anschließend die Box to booten (reboot). Ist aber nicht ungefährlich...

 

[shred]

Wie lautet der Eintrag in der /var/flash/ar7.cfg für aktivierte Fernwartung über HTTPS ?

 

[jojo-schmitz]

websrv {
        port = "80";
        https_port = "443";
        read_timeout = 15m;
        request_timeout = 30s;
        keepalive_timeout = 5m;
        nokeepalive = "*";
        errordir = "/usr/lib/websrv/errors";
        webdir = "/usr/www";
        cgidir = "cgi-bin";
        indexfn = "index.var", "index.htm", "index.html";
        users {
                username = "fritzbox";
                passwd = "$$$$passwordhash(z.B. kopieren von ddns einige Zeilen später)";
        }
        users_only_for_https = yes;
}

 

[shred]

Habe /var/flash/ar7.cfg manuell editiert und die fritz!box erfolgreich rebooten können. Ich kann jedoch nicht per Browser auf https://meinDyndnsName.dyndns.org zugreifen.
Was mache ich falsch? Muss evtl. noch ein port in der /var/flash/ar7.cfg geöffnet werden?

 

[Joe_57]

Hallo shred,

bei mir steht da noch folgender Eintrag:

 forwardrules = "tcp 0.0.0.0:443 0.0.0.0:443 0",

Joe

 

[shred]

Jetzt funktioniert's! Danke!