Warum eine Notfall-IP ? Warum der Zwang mit "fritz.box" ?

[koyaanisqatsi]

Guter Punkt: "...damit man nicht versehentlich alles resettet..."
Dafür hätt ich dann gerne sowas wie für die DECT/WLAN/WPS Tasten...

led-ctrl button_events_disable

...so spielt mir keiner einen Streich.

 

[Blaria]

na sowas haste doch in den FritzOS-Versionen die deine Signatur angibt (zumindest bei ner 6360 mit 6.03 und 6.04): System > Tasten und LEDs > Tastensperre (aktivieren)

 

[KunterBunter]

zur Notfall-IP muss man vielleicht noch so als technische Grundlage anmerken:
die Notfall-IP ist AUSSCHLIESSLICH erreichbar, wenn sich auch der PC von dem aus man zugreifen möchte im selben Subnetz befindet

Das steht hier zwar schon häufiger zu lesen, was es aber nicht unbedingt richtiger macht. Ich habe schon ein paar mal erwähnt, dass das bei meiner Fritzbox nicht der Fall ist.
Selbst AVM schreibt in ihrer Wissensdatenbank, dass das Subnetz des PC nur angepasst werden sollte, wenn die Benutzeroberfläche der FRITZ!Box nicht angezeigt wird: siehe letzter Absatz

 

[Blaria]

sicher, dass das bei deiner Fritzbox nicht der Fall ist ?
1. bei mir funzt das so ! nur erreichbar aus dem selben Subnetz
sicher, dass es bei dir nicht woanders dran liegt ?
da sehe ich z.B. die Möglichkeit, dass du der Netzwerkkarte, so nicht auf DHCP eingestellt, eventuell 2 IPs zugewiesen hast in den Einstellungen ? das wäre auf jedenfall ein Grund, warum es "trotzdem geht" und würde ansonsten auch nicht weiter stören im normalen Betrieb
ohne das jetzt testen zu wollen, sehe ich ebenfalls die Möglichkeit, dass du die IP 169.254.1.1 via hosts-Datei auf die Standardadresse 192.168.178.1 umleitest (ich meine die Datei geift auch bei IP-Adressen, wenn sich diese in einem anderen Subnetz befinden)

eventuell, aber da fällt mir nix direkt ein, gehts auch in der Fritzbox, wenn man an den IPv4-Routen etwas ändert, aber das wil ich nicht direkt behaupten, daher simpel die Frage: geht das immer noch nach einem Werksreset der Box (Einstellungen kann man ja vorher sichern und nach dem Test wiederherstellen)

 

[KunterBunter]

1. Die Netzwerkkarte steht auf "IP-Adresse automatisch beziehen".
2. Die hosts Datei ist unverändert.
3. Nach einem Werksreset der Fritzbox funktioniert es erst recht schnell.
4. Es sind keine statischen IPv4-Routen eingerichtet.

 

[Blaria]

und schon mal den AVM-Support kontaktiert ?
weil so oder anders: es ist und bleibt ein Problem deiner Box (oder von mir aus auch einigen anderen), die ein Fehlverhalten aufweist
was immer du da daran auch manipuliert haben kannst/warum auch immer die Box mit entsprechender Fehlkonfiguration vom Hersteller ausgegeben wurde, normal ist das Verhalten halt nicht. Von daher spielt es auch keine Rolle, ob du es schon ein paar mal erwähnt hast, es ist ein Problem deiner Box (oder von wenigen, zumindest seitens AVM offensichtlich auch nicht so gewollt).
Bei meinen Boxen, neben der standardmässig konfigurierten 6360-Kabelbox noch eine 7170 als Lan-IP-Client über Lan-1-Port mit fester IP und ausgeschaltetem DHCP-Server funzt es nicht, weder über Lan(egal welcher) oder Wlan.

Sicherheitstechnisch sehe ich deswegen trotzdem kein echtes Problem, selbst wenn ein Schadprogramm so blind über die Notfall-IP auf deine Box zugreifen könnte - das Verhalten ist nicht normal = wird wohl kaum von einem Virus genutzt. Und auch wenn man "aus Sicherheitsgründen" das Subnetz der Fritzbox vom stanardmässigen 192.168.178.xxx auf irgendwas anderes geändert hätte: das Auslesen des Gateways ist kein wirkliches Problem für entsprechende (Schad-)Programme. Also für einen Virus, der auf deine Fritzbox zugreifen möchte, dementsprechend schon eine gewisse "Intelligenz" mitbringen muss, wäre das sicherlich das kleinste Problem.

 

[sibsnonto]

Warum es jetzt manchmal funktioniert und manchmal nicht, kann ich auch nicht sagen wurde hier auch schon drüber diskutiert http://www.ip-phone-forum.de/showthread.php?t=268321&page=2&p=1995524&viewfull=1#post1995524

Was die Sicherheit angeht, ist es klar, wenn man einen Trojaner oder Virus auf dem Rechner hat ist sowieso alles zu spät...
Mir ging es jetzt eher um eine Sicherheitslücke, wie die aktuelle. Bei einen Angriff würden ja alle Möglichkeiten getestet um auf die FritzBox zu kommen.
Hat man diese Zugänge individualisiert, scheitert dieser Angriff erstmal.
Deshalb sollte AVM diese Möglichkeiten bieten, die leichteste ist wohl erstmal die Portänderung. Natürlich darf das nicht zum ersatz für Sicherheits-Updates werden...

 

[KunterBunter]

Jetzt schießt du etwas über das Ziel hinaus. Warum sollte ich wegen eines so gewünschten Verhaltens den AVM-Support kontaktieren?
Die Fritzbox hat diese IP-Adresse für sich eingetragen. Wenn ich jetzt also von meinem PC, der an die Fritzbox angeschlossen ist, ein Paket mit dieser IP-Adresse losschicke, kommt es bei der Fritzbox an und sie schaut im IP Header nach, wo sie das Paket hinschicken soll. Ganz wie Benjamin Blümchen merkt sie dann: 169.254.1.1? Ach, das bin ja ich! Und schon ist das Paket am Ziel angekommen.
Ein tracert liefert kosequenterweise genau eine Zeile:

C:\WINDOWS\system32>tracert 169.254.1.1

Routenverfolgung zu REPEATER [169.254.1.1]
über maximal 30 Hops:

  1     1 ms     1 ms     1 ms  REPEATER [169.254.1.1]

Ablaufverfolgung beendet.

 

[Blaria]

von mir aus musst du keinen AVM-Support kontaktieren - und wenn das alle mit dem Problem so sehen, dann auch nicht verwunderlich, warum sich nichts dran ändert *g* (aber dann eben auch nicht rumjammern, dass es so ist wie es sich bei dir verhält )
Als Repeater hab ich allerdings keine Fritte konfiguriert, vielleicht hängt es ja damit zusammen
bei mir sieht es folgendermassen aus

B:\Users\User>tracert 169.254.1.1
Tracing route to 169.254.1.1 over a maximum of 30 hops
  1  NewPC [192.168.178.32]  reports: Destination host unreachable.
Trace complete.
B:\Users\User>tracert 192.168.178.1
Tracing route to fritz.box [192.168.178.1]
over a maximum of 30 hops:
  1    <1 ms    <1 ms    <1 ms  fritz.box [192.168.178.1]
Trace complete.

wird die Box bei dir sogar "mit Name" erkannt (REPEATER) ? wirklich sicher, dass da nix entsprechendes in der hosts-Datei eingetragen ist ??

 

[KunterBunter]

REPEATER ist der FRITZ!Box-Name. Obwohl die Box im Moment als WLAN-Accesspoint mit Internetzugang über LAN 1 eingerichtet ist.


Btw Ich jammere übrigens nicht. Da hast du mich wohl verwechselt.

 

[Blaria]

das der Name "Repeater" daher kommt, habe ich mir schon gedacht (und daher auch erwartet, dass die die Kiste entsprechend nutzt)
ist bei mir halt nicht so (Boxname = My-Router) aber wie man sieht wird fritz.box angezeigt (was die 6360er Kabelbox ist)
und Netbios hab ich für die Netzwerkverbindung auch aktiv, den dafür notwendigen Dienst ebenfalls und auf dem Win7-PC auch keine Firewall oder so eingerichtet

 

[RalfFriedl]

die Notfall-IP ist AUSSCHLIESSLICH erreichbar, wenn sich auch der PC von dem aus man zugreifen möchte im selben Subnetz befindet (also PC-IP = 169.254.1.xxx. Praktischer Weise ist dies automatisch der Fall, wenn ein auf DHCP konfigurierter Windows-PC keine IP von einem DHCP-Server erhält.

Die Notfall-IP ist in der Box immer konfiguriert, schließlich weiß die Box ja nicht, ob man ihre normale IP Adresse vergessen hat.
Die Box reagiert somit immer, wenn sie Pakete bekommt, die für diese Adresse bestimmt sind. Wenn das bei Dir nicht der Fall ist, wird das entweder über die Routing Tabelle oder durch eine Firewall verhindert. Du kannst ja mal schauen, ob bei "route print" etwsa von 169.254 drin steht, und es ggf. mal ohne Firewall versuchen.
Mit anderen Worten, es liegt nicht an der Box, sondern am PC, ob die Box die Pakete bekommt oder nicht. Es hat also keinen Sinn, sich wegen dem einen oder anderen Verhalten an AVM zu wenden.

... auch ein Reset-Knopf braucht "zum Funktionieren" eine gewisse Grundkonfiguration (vergleichbar dem Bootloader) um überhaupt funktionieren zu können/einen Löschbefehl auszuführen. ...

Einige hier im Thread (nicht Du) verwechseln einen Reset Taster, wie man ihn von PC kennt, mit einem Taster für Rücksetzen der Konfiguration.
Ein Reset Taster funktioniert so, dass er den Reset Eingang eines Bauteils, normalerweise einer CPU, mit Masse verbindet. Als Folge davon läuft die CPU dort los, wo sie auch beim Einschalten losgelaufen wäre. Dies funktioniert immer, unabhängig vom Zustand der CPU, und es gibt auch nichts, womit man das durch Software verhindern könnte. (Beim Einschalten wird über eine Timer-Schaltung automatisch ein Reset Signal generiert, so dass die CPU beim Einschalten richtig startet, ohne dass man den Reset Taster drücken muss.)
Ein Taster für Rücksetzen der Konfiguration ist mit einem Eingabe-PIN der CPU oder eines anderen Bausteins verbunden. Das Drücken dieses Tasters und das damit verbundene Signal an diesem PIN ist für die CPU nur eine ganz normale Eingabe, worauf sie so reagiert, wie es von der Software definiert ist. In der Hardware gibt es keinen Unterschied zwischen Tastern für Werkseinstellungen oder für WLAN an/aus. Nur die Software reagiert unterschiedlich auf diese Signale.
Folglich hätte ein derartiger Taster auch nicht geholfen in den Fällen, wo man mit dem Kurzschuss weiter gekommen ist, weil die Box in den Fällen gar nicht soweit gestartet ist, dass ihre Software irgend etwas abgefragt hätte. Wenn die Box nämlich gestartet wäre, hätte sie auf das Recovery reagiert.

 

[Blaria]

Via print route taucht bei mir nix 169er mässiges an IP-Adressen auf
Ich kann das jetzt auch nicht fachlich/technisch widerlegen, mein Wissen ist eher meine Erfahrung und da halte ich das Verhalten für Router normal, dass nur Anfragen aus dem eigenen Subnetz akzeptiert werden. Schliesslich kann ich von meinem PC auf sämtliche IPs, auch dieses Forum hier zugreifen. Und IPs aus dem Lan-Adressbereich können eigentlich auch nicht automatisch gesperrt sein, sonst würde ja kein VPN via Router funzen können.
Dennoch muss ich nun sagen, dass ich die 169.254.1.1 zumindest von meinem Linux-basiertem Satreceiver problemlos anpingen kann (mangels Webbrowser auf der Kiste aber auch nicht mehr), was PC-seitig ja nicht funzt. Also das sehe ich nun zwar so im Ergbnis, erklären kann ich das Verhalten aber leider nicht

Dann hoffe ich zumindest weiterhin *g* dass andere Software/Viren zumindest unter Windows ebenfalls nicht in der Lage sein werden über meine Netzwerkkarte die Notfall-IP aufzurufen

 

[sibsnonto]

Wie schon gesagt, ist intelligente Schadsoftware auf dem PC, ist das völlig irrelevant, die fände so oder so einen weg zum Router. Aber darum ging es ja garnicht, sondern um das aktuell (von AVM behobene) Problem, bei dem schon eine preparierte Webseite ausreichte, um beliebige Shellbefehle an die Fritzbox zu schicken.

@RalfFriedl
Wenn ich es Fritzboxkonfigurationsrücksetztaste nennen würde wäre das ok ?
Es ging mir eigentlich nur um einen ersatz für die Notfall-IP.

@KunterBunter
Auf deinem Bild (http://www.ip-phone-forum.de/showthread.php?t=268346&page=3&p=1995974&viewfull=1#post1995974) sehe ich gerade das es da einen Punkt gibt um den Namen der FritzBox zu ändern. Hat das zur folge das die Box unter den Standard-Namen nicht mehr erreichbar ist (http://fritz.box , http://fritz.fonwlan.box ) ?

 

[RalfFriedl]

da halte ich das Verhalten für Router normal, dass nur Anfragen aus dem eigenen Subnetz akzeptiert werden. Schliesslich kann ich von meinem PC auf sämtliche IPs, auch dieses Forum hier zugreifen. Und IPs aus dem Lan-Adressbereich können eigentlich auch nicht automatisch gesperrt sein, sonst würde ja kein VPN via Router funzen können.

Das heißt was genau? Die Anfragen kommen ja aus dem eigenen Netz. Oder meinst Du für das eigene Netz? Das Gegenbeispiel bringst Du selbst, dann wäre kein Zugriff aufs Internet möglich. IPs aus dem Bereich 169.254.0.0/16 sind nicht der normale LAN Bereich, wenn man eine andere Adresse per DHCP bekommen hat. Von daher könnte ein Firewall diese Adresse blockieren, ohne dass die normale Funktionalität eingeschränkt wird. Auch per VPN erreichbare Netze verwenden nicht diese Adresse.

Dennoch muss ich nun sagen, dass ich die 169.254.1.1 zumindest von meinem Linux-basiertem Satreceiver problemlos anpingen kann

Auch das zeigt, dass es am Client liegt und nicht an der Box.

 

[Blaria]

@sibsnonto
eine "normale Reset-Taste" wie am PC macht auch keinen Sinn, dass Ziehen des Netzsteckers hat exakt den gleichen Effekt - am PC sollte man das simple stromlos-machen zum Neustarten allerdings vermeiden, schaltet ein simpler Stromverlust schliesslich auch die Festplatten aus, ohne die Leseköpfe korrekt zu parken, was schnell zu Schäden führen kann. Aber diese Gefahr besteht bei der Fritzbox ja nicht.
Grundsätzlich ist aber (wohl auch dem Ralf) klar, dass du eine Konfigurationsresettaste gewünscht hast *g*
Zumindest ist eine Notfall-IP kein Vergleich zur Resettaste, je nachdem wie man die Konfiguration der Box zerschossen hat, wird diese eventuell auch nicht erreichbar sein.
Du hast aber schon verstanden, dass ein Recovery-Image vielleicht aufwendiger ist, grundsätzlich aber ein adäquater Ersatz für einen Konfig-Resetknopf ? kann ein Recovery nicht mehr aufgespielt werden, weil der Bootloader defekt ist, dann würde ein Reset-Knopf an der Stelle wohl ebenso versagen *g*

@Ralf
natürlich macht es mir klar, dass das gegen meine Logik ist - daher habe ich es ja auch entsprechend erwähnt
eine Firewall habe ich am PC nicht, nicht mal die Windows-Firewall ist aktiv
bei mir siehts IPv4mässig halt so aus:

B:\Users\User>route print
===========================================================================
Interface List
 11...00 1f d0 5a 86 99 ......Realtek PCIe GBE Family Controller
  1...........................Software Loopback Interface 1
 14...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 10...00 00 00 00 00 00 00 e0 Microsoft Teredo Tunneling Adapter
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0    192.168.178.1   192.168.178.32    266
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
    192.168.178.0    255.255.255.0         On-link    192.168.178.32    266
   192.168.178.32  255.255.255.255         On-link    192.168.178.32    266
  192.168.178.255  255.255.255.255         On-link    192.168.178.32    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link    192.168.178.32    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link    192.168.178.32    266
===========================================================================
Persistent Routes:
  Network Address          Netmask  Gateway Address  Metric
          0.0.0.0          0.0.0.0    192.168.178.1  Default
===========================================================================

das macht mir halt deutlich, dass ALLES ( 0.0.0.0 ) an das Gateway ( 192.168.178.1 ) geht, ausser den erwähnten 127.0.0.1 (das mit der 224.0.0.0 kann ich auch nicht deuten, aber hat so direkt mit 169 auch nichts zu tun *g*)
ja und das Gateway (=die Fritzbox) entscheidet meines Wissens dann darüber, ob die IP-Anfrage vom PC dann ins Internet geroutet wird (wie z.B. bei der IP-Adresse [78.46.255.242] = dieses Forums), oder ob sie lokal im Lan liegt (also die Router-Funktion inaktiv bleibt, bzw an den passenden Lan-Port der Fritzbox gerichtet wird), oder ob es sich um eine IP aus einer bestehenden VPN-Verbindung handelt und dementsprechend dahin geroutet wird.
Warum die Fritzbox Pingbefehle eines Linux-Systems aber beantwortet, bei Windows-Systemen aber nicht (ich glaub schon, dass die Anfragen Windows-seitig rausgehen, es dauert auch immer ein paar Sekunden, bevor "das Windows-Ping" die Anfrage wiederholt, standardmässig sendet Windows ja immer 4 Ping-Anfragen - und ich sehe gerade, dass die sogesehen schon erfolgreich sind laut Statistik, man muss nur genau hinsehen:

B:\Users\User>ping 169.254.1.1

Pinging 169.254.1.1 with 32 bytes of data:
Reply from 192.168.178.32: Destination host unreachable.
Reply from 192.168.178.32: Destination host unreachable.
Reply from 192.168.178.32: Destination host unreachable.
Reply from 192.168.178.32: Destination host unreachable.
Ping statistics for 169.254.1.1:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

da wirds mir immer unverständlicher

 

[ktw2003]

Wie auch von KunterBunter mehrfach betont und hier im Forum belegt, ist in der Standardkonfiguration (DHCP über die Fritzbox) die Notfall-IP erreichbar, trotz anderem Subnetz (z.B. 192.168.178.0/24 vs 169.254.1.1). Kenne dies auch anderes und musste mich selbst hier eines besserem beleeren lassen, konnte es aber nachstellen und akzeptiere es so. Über meinen separaten DHCP-Router (Basis DNSMSAQ) ist die Notfall IP nicht erreichbar und auch fritz.box sperrbar, verwende ich die Fritzbox für DHCP ist diese nachstellbar erreichbar, unabhängig vom Client-OS.

Aber egal, wenn wir hier schon beim Thema "route print" sind, dann wäre doch ein sinnvoller Ansatz einfach eine persistente Route auf dem Client für das 169er Netz zu definieren, die auf local (127.0.0.1) zeigt. Wären dann nicht alle Spatzen gefangen?

 

[sibsnonto]

Da finde ich die Lösung der Portänderung in der FritzBox-Konfigurationsdatei besser, weil ansonsten müsstest du jeden neuen Client, der mal dazu kommt anpassen. Ob das bei Smart-TVs so einfach ist weiß ich zB nicht.

 

[ktw2003]

Da bin ich ja bei Dir, nur der normale Anwender hat vermutlich einen überschaubaren Gerätepark und kann diese Änderung ohne tiefere Kenntnis binnen Sekunden umsetzen. Alles andere ist halt doch immer mit tieferem Verständnis verbunden.

 

[koyaanisqatsi]

Denn wenn wir die Domänennamen ändern wollen, müssen wir auch ans Eingemachte.

deepbase # strings /sbin/multid | grep -E fritz.[a-z]{1,99}
fritz.box:guest
fritz.box:hotspot
fritz.box
fritz.powerline
fritz.repeater