.titleBar { margin-bottom: 5px!important; }

[Gelöst] 7330 SL cpmaccfg

Dieses Thema im Forum "Freetz" wurde erstellt von sharbich, 12 Dez. 2014.

  1. sharbich

    sharbich Neuer User

    Registriert seit:
    30 Aug. 2012
    Beiträge:
    137
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    #1 sharbich, 12 Dez. 2014
    Zuletzt bearbeitet: 1 März 2015
    Hallo Ihr Lieben,
    ich kann cpmaccfg unter menuconfig nicht auswaehlen. Wie kann ich LAN1 und LAN2 Port als getrennte Ports konfigurieren?
    Lieben Gruss von Stefan Harbich
     
  2. olistudent

    olistudent IPPF-Urgestein

    Registriert seit:
    19 Okt. 2004
    Beiträge:
    14,777
    Zustimmungen:
    10
    Punkte für Erfolge:
    38
    Beruf:
    Softwareentwickler
    Ort:
    Kaiserslautern
    Cpmaccfg funktioniert seit längerer Zeit nicht mehr. Vermutlich musst du die Änderung per Hand in der ar7.cfg eintragen. Such mal, ob sich da irgendwo was findet.

    Gruß Oliver
     
  3. sharbich

    sharbich Neuer User

    Registriert seit:
    30 Aug. 2012
    Beiträge:
    137
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Hallo Ihr Lieben,
    nun ich habe versucht die ar7.cfg in /var/flash zu bearbeiten (wahlweise über nvi oder mit cat ins tmp verschoben und wieder zurück geschrieben) aber die Änderungen werden noch einen reboot nicht übernommen. Als ich auf der Box nach der Datei "ar7.cfg" gesucht habe wurde ich noch auf folgendes Verzeichnis aufmerksam:
    Code:
    /etc/default.Fritz-Box-HW188/1und1/ar7.cfg
    /etc/default.Fritz-Box-HW188/avm/ar7.cfg
    In dieser Datei sind die Interfaces konfiguriert. Genau diese Einstellungen werden immer nach dem reboot übernommen. Leider kann ich die Datei nicht verändern, Read-Only Dateisystem.

    Was kann ich nun machen? Ggf. in den Sourcen suchen, dort ändern und neu kompilieren?

    Lieben Gruß von Stefan Harbich
     
  4. eisbaerin

    eisbaerin IPPF-Promi

    Registriert seit:
    29 Sep. 2009
    Beiträge:
    6,491
    Zustimmungen:
    145
    Punkte für Erfolge:
    63
    Beruf:
    Ursa maritimus
    Ort:
    Nordpol
    Was hast du denn genau in der ar7.cfg geändert?
    Wenn da eine Kleinigkeit nicht stimmt, dann verwirft die FB diese Datei und nimmt die Werkseinstellung aus den 2 anderen Dateien. Die würde ich auf keinen Fall ändern, sonst bootet sie die wo möglich nicht mehr, d.h. erst nach einem Recovery.
     
  5. sharbich

    sharbich Neuer User

    Registriert seit:
    30 Aug. 2012
    Beiträge:
    137
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    #5 sharbich, 15 Dez. 2014
    Zuletzt bearbeitet: 15 Dez. 2014
    Hallo,
    folgendes habe ich in der ar7.cfg geändert
    Code:
    ethmode = ethmode_router;
    ### gelöscht ###Anfang###
    brinterfaces {                                                                                                                                                                            
                    name = "lan";                                                                                                                                                                     
                    dhcp = no;                                                                                                                                                                        
                    ipaddr = 192.168.178.1;                                                                                                                                                           
                    netmask = 255.255.255.0;                                                                                                                                                          
                    dstipaddr = 0.0.0.0;                                                                                                                                                              
                    interfaces = "eth0", "eth1", "ath0", "wdsup1", "wdsdw1",                                                                                                                          
                                 "wdsdw2", "wdsdw3", "wdsdw4";                                                                                                                                        
                    dhcpenabled = yes;                                                                                                                                                                
                    dhcpstart = 0.0.0.0;                                                                                                                                                              
                    dhcpend = 0.0.0.0;                                                                                                                                                                
                    no_dnsd_static = no;                                                                                                                                                              
                    is_guest = no;                                                                                                                                                                    
                    is_hotspot = no;                                                                                                                                                                  
            } {                                                                                                                                                                                       
                    name = "lan:0";                                                                                                                                                                   
                    dhcp = no;                                                                                                                                                                        
                    ipaddr = 169.254.1.1;                                                                                                                                                             
                    netmask = 255.255.0.0;                                                                                                                                                            
                    dstipaddr = 0.0.0.0;                                                                                                                                                              
                    dhcpenabled = yes;                                                                                                                                                                
                    dhcpstart = 0.0.0.0;                                                                                                                                                              
                    dhcpend = 0.0.0.0;                                                                                                                                                                
                    no_dnsd_static = no;                                                                                                                                                              
                    is_guest = no;                                                                                                                                                                    
                    is_hotspot = no;                                                                                                                                                                  
            } {                                                                                                                                                                                       
                    name = "guest";                                                                                                                                                                   
                    dhcp = no;                                                                                                                                                                        
                    ipaddr = 192.168.179.1;                                                                                                                                                           
                    netmask = 255.255.255.0;                                                                                                                                                          
                    dstipaddr = 0.0.0.0;                                                                                                                                                              
                    interfaces = "guest?*", "wlan_guest", "guest_ct*",                                                                                                                                
                                 "guest_st*";                                                                                                                                                         
                    dhcpenabled = yes;                                                                                                                                                                
                    dhcpstart = 0.0.0.0;                                                                                                                                                              
                    dhcpend = 0.0.0.0;                                                                                                                                                                
                    no_dnsd_static = yes;                                                                                                                                                             
                    is_guest = yes;                                                                                                                                                                   
                    is_hotspot = no;                                                                                                                                                                  
            } {                                                                                                                                                                                       
                    name = "hotspot";                                                                                                                                                                 
                    dhcp = no;                                                                                                                                                                        
                    ipaddr = 0.0.0.0;                                                                                                                                                                 
                    netmask = 0.0.0.0;                                                                                                                                                                
                    dstipaddr = 0.0.0.0;                                                                                                                                                              
                    interfaces = "hotspot?*", "hspot_ct*", "hspot_st*";                                                                                                                               
                    dhcpenabled = no;                                                                                                                                                                 
                    dhcpstart = 0.0.0.0;                                                                                                                                                              
                    dhcpend = 0.0.0.0;                                                                                                                                                                
                    no_dnsd_static = yes;                                                                                                                                                             
                    is_guest = yes;                                                                                                                                                                   
                    is_hotspot = yes;                                                                                                                                                                 
            }
    ###gelöscht###Ende###
    Nach dem reboot wird die Option "ethmode = ethmode_router;" immer zurückgesetzt.
    Was mache ich nur falsch?
    Lieben Gruß von Stefan Harbich
     
  6. eisbaerin

    eisbaerin IPPF-Promi

    Registriert seit:
    29 Sep. 2009
    Beiträge:
    6,491
    Zustimmungen:
    145
    Punkte für Erfolge:
    63
    Beruf:
    Ursa maritimus
    Ort:
    Nordpol
    Na das kann dann auch nicht gehen. Da muß man wesentlich feinfühliger vorgehen.
    Da mußt du dich noch sehr intensiv mit der Materie beschäftigen.
     
  7. sharbich

    sharbich Neuer User

    Registriert seit:
    30 Aug. 2012
    Beiträge:
    137
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    #7 sharbich, 15 Dez. 2014
    Zuletzt bearbeitet: 15 Dez. 2014
    Okay, ich bin nach folgenden HowTo vorgegangen
    HTML:
    http://freetz.org/wiki/help/howtos/security/switch_config
    kommt vom Freetz Team. Aber ich glaube langsam das hier die Box nur im Router Modus läuft. Ich brauche ja eigentlich ein Zwitter oder?

    Hast Du noch ein Tipp für mich?

    Lieben Gruß von Stefan Harbich
     
  8. eisbaerin

    eisbaerin IPPF-Promi

    Registriert seit:
    29 Sep. 2009
    Beiträge:
    6,491
    Zustimmungen:
    145
    Punkte für Erfolge:
    63
    Beruf:
    Ursa maritimus
    Ort:
    Nordpol
    Wo steht in dem HowTo daß du alle brinterfaces löschen sollst?
    Das Wort wird noch nicht mal erwähnt.
     
  9. sharbich

    sharbich Neuer User

    Registriert seit:
    30 Aug. 2012
    Beiträge:
    137
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    #9 sharbich, 16 Dez. 2014
    Zuletzt bearbeitet: 16 Dez. 2014
    Okay, da hast Du recht. Selbst wenn ich das brinterface nicht lösche und die Einträge für den Abschnitt interfaces hinzufüge, werden die Interfaces "extern" & "intern" nicht als eigenständige Interfaces unter ifconfig auf der Box angezeigt. Ich Denke das ich noch was bei den brinterfaces verändern muss, oder?
     
  10. sharbich

    sharbich Neuer User

    Registriert seit:
    30 Aug. 2012
    Beiträge:
    137
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Hallo Eisbär,
    mir scheint es so als kennst Du Dich in der Materie besser aus? Nun gut, aber ich Denke Du willst Dein gewonnenes Wissen nicht preis geben, oder? Okay, was habe ich gemacht. Ich habe in der ar7.cfg folgende Änderungen vorgenommen, bzw. hinzugefügt:
    Code:
    ethmode = ethmode_router;
    
    ethinterfaces {
                    name = "extern";
                    dhcp = no;
                    ipaddr = 192.168.1.1;
                    netmask = 255.255.255.0;
                    dstipaddr = 0.0.0.0;
                    interfaces = "eth1";
                    dhcpenabled = no;
                    dhcpstart = 0.0.0.0;
                    dhcpend = 0.0.0.0;
            } {
                    name = "eth0:0";
                    dhcp = no;
                    ipaddr = 169.254.1.1;
                    netmask = 255.255.0.0;
                    dstipaddr = 0.0.0.0;
                    dhcpenabled = yes;
                    dhcpstart = 0.0.0.0;
                    dhcpend = 0.0.0.0;
            } {
                    name = "intern";
                    dhcp = no;
                    ipaddr = 192.168.0.1;
                    netmask = 255.255.255.0;
                    dstipaddr = 0.0.0.0;
                    interfaces = "eth0", "ath0", "wdsup1", "wdsdw1", "wdsdw2",
                                 "wdsdw3", "wdsdw4";
                    dhcpenabled = no;
                    dhcpstart = 192.168.0.20;
                    dhcpend = 192.168.0.200;
            }
    allerdings ohne ein Erfolg. Beim reboot hat die Box den Eintrag ]ethmode = ethmode_router; wieder auf ]ethmode = ethmode_bridge; geändert. Erst als ich im Abschnitt brinterfaces etwas rumgespielt habe hat sich was verändert, ergo muss ich dort entsprechende Änderungen vornehmen, richtig? Kannst Du mir auch sagen was genau?

    Lieben Gruß von Stefan Harbich
     
  11. eisbaerin

    eisbaerin IPPF-Promi

    Registriert seit:
    29 Sep. 2009
    Beiträge:
    6,491
    Zustimmungen:
    145
    Punkte für Erfolge:
    63
    Beruf:
    Ursa maritimus
    Ort:
    Nordpol
    #11 eisbaerin, 18 Dez. 2014
    Zuletzt bearbeitet: 18 Dez. 2014
    NEIN!!! DAS muß ich mir keinesfalls nach sagen lassen!!!

    Aber ich müßte jetzt hier im Forum genau so lange suchen, wie du!
     
  12. PeterPawn

    PeterPawn IPPF-Urgestein

    Registriert seit:
    10 Mai 2006
    Beiträge:
    11,622
    Zustimmungen:
    629
    Punkte für Erfolge:
    113
    Beruf:
    IT-Freelancer
    Ort:
    Berlin
    @sharbich:
    Lass doch einfach mal den ethmode-Parameter in Ruhe ... es bringt ja eher selten etwas, mit einem uralten HowTo auf modernere Firmware-Varianten "einzuprügeln" und wie Du selbst ja wohl schon festgestellt haben wirst, funktioniert die Umschaltung auf "ethmode_router" bei neuerem avm_cpmac offenbar nicht mehr wie früher.

    Passe Deine Einträge im Abschnitt brinterfaces entsprechend an, was da nun genau hinein muß, ist anhand der platten Angabe "[...] LAN1 und LAN2 Port als getrennte Ports konfigurieren" etwas schwer zu bestimmen.

    Jedenfalls kann man mit den Einträgen in der erwähnten Sektion anstelle der einzelnen "normalen" lan-Bridge, in der alle internen Interfaces versammelt sind, auch mehrere Bridges konfigurieren. Dann noch ein wenig Gehirnschmalz oder Recherche in die mögliche Bedeutung der verschiedenen DHCP-Parameter investiert und man hat am Ende (ich habe es allerdings nur für die 7490 getestet, das Prinzip sollte - theoretisch - aber auch bei Dir funktionieren) mehrere Bridges mit getrennten IP-Netzwerken, wobei der multid der 7490 auch die Verwaltung getrennter DHCP-Ranges beherrscht. Das läßt sich dann leider nicht mehr über das GUI der FRITZ!Box konfigurieren und hat auch - je nachdem, was man darunter versteht - nur bedingt mit "getrennten Ports" etwas zu tun ... aber es bringt Dich vielleicht einen Schritt weiter.

    Ich habe zwar keine Idee, was Du mit dem "extern"-Interface erreichen willst ... ich hoffe nur, Du kommst nicht auf die Idee, da wirklich eine weitere "externe" Verbindung (aka WAN) zu betreiben. Wenn Dir das fehlerfrei gelingen könnte, müßtest Du imho hier nicht fragen ... also nimm Dir die Warnung bitte zu Herzen.
     
  13. sharbich

    sharbich Neuer User

    Registriert seit:
    30 Aug. 2012
    Beiträge:
    137
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Hallo PeterPawn,
    ich versuche jetzt schon seit einiger Zeit die Anpassung im Abschnitt brinterfaces in der ar7.cfg Datei anzupassen, leider ohne Erfolg. Sobald ich aus der lan Bridge das eth0 oder eth1 Interface entferne und in der neu konfigurierten Bridge verwende, wird dieses beim Neustart wieder in der lan Bridge eingetragen.

    Seltsam ist, wenn ich nach der Anpassung in der ar7.cfg den Befehl ar7cfgchanged absetze und ein ifconfig absetze, ich beide Namen der Bridge sehen kann mit den entsprechenden eth0 bzw. eth1 Einträgen, unter beiden jedoch die gleiche MAC-Adresse auftaucht. Das dürfte doch nicht sein, weil eth0 und eth1 in unterschiedlichen Bridge Namen auftauchen (z.B. LAN und LAN1) und physikalisch getrennt sind?

    Ich werde die Auszüge etwas später nachliefern. Hast Du ggf. eine Beispiel config für mich? Das würde mich sehr freuen, Danke.

    Lieben Gruß von Stefan Harbich
     
  14. PeterPawn

    PeterPawn IPPF-Urgestein

    Registriert seit:
    10 Mai 2006
    Beiträge:
    11,622
    Zustimmungen:
    629
    Punkte für Erfolge:
    113
    Beruf:
    IT-Freelancer
    Ort:
    Berlin
    Was ist daran jetzt seltsam? Die MAC-Adresse dient auf Layer2 zur Adressierung von Paketen an einen bestimmten Teilnehmer. Da das ja getrennte Netzwerke sind, ist doch die eindeutige Adressierung gewahrt, oder? Wenn Du mal die MAC-Adresse der "guest"-Bridge und der "lan"-Bridge in einer Standard-Konfiguration vergleichst, sind die doch auch identisch, oder?

    Das ist die Grundvoraussetzung.

    Nein, habe ich nicht, sorry. Das scheitert ja schon daran, daß ich nur bedingt verstehe, was Du am Ende tatsächlich erreichen willst.

    Bisher finde ich in Deinen Erläuterungen nur "LAN1 und LAN2 trennen" und welche Wege Dich alle nicht zum Ziel geführt haben. Die eigentliche Frage, was Du nun tatsächlich erreichen willst, ist seit knapp 5 Wochen offen (Abs. 2 in #12).

    Eine ordentliche Problembeschreibung enthält zumindest noch die Angabe, welche Netzwerk-Segmente die getrennten Ports bilden sollen, was bisher im GUI für das gemeinsame Netz konfiguriert ist und ob - wenn ja welche - Adressen von der FRITZ!Box per DHCP ausgegeben werden sollen oder nicht. Auch die Information, welche Geräte jeweils in den getrennten Netzen versammelt sind und ob die miteinander kommunizieren dürfen oder nicht, ist unabdingbar. Auch die Aufteilung in zwei getrennte Netze führt ja noch nicht dazu, daß diese nicht über die FRITZ!Box als Router weiterhin direkt verbunden sind.

    Es ist auch nicht so, daß zu diesem Thema nicht schon Threads existieren ... in einem davon gibt es auch von mir eine Beispielkonfiguration für das Abtrennen des WLANs einer 7490 von der "lan"-Bridge und das Definieren einer getrennten Bridge "homewlan" (weil wlan als Interface-Name schon verwendet ist).
     
  15. sharbich

    sharbich Neuer User

    Registriert seit:
    30 Aug. 2012
    Beiträge:
    137
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    #15 sharbich, 21 Jan. 2015
    Zuletzt bearbeitet: 21 Jan. 2015
    Hallo PeterPawn,

    Du hast natürlich recht. Ohne genaure Informationen kannst Du mir nicht wirklich weiterhelfen. Versuchen wir es mal anders. Als erstes füge ich Dir mal meine Netzplanung bei.
    Das trennen der einzelnen Bridges würde ich über iptables realisieren. Prüfen müsste ich noch wie die Clients im LAN & WLAN Netz ihre IP-Adressen bekommen. Ich hoffe das ich das via DHCP-Server und einem DHCP Relay hinbekommen? Das würde bedeuten das ich in der ar7.cfg, die Anfang /-und Ende IP-Adressen weglassen könnte, falls das geht. Ich hoffe das ich Dir heute Abend einige Beispiel Konfigurationen hochladen kann.

    Vorweg erstmal ein herzliches Dankeschön für Deine Geduld und weitere Hilfestellung.

    Lieben Gruß von Stefan Harbich
     
  16. PeterPawn

    PeterPawn IPPF-Urgestein

    Registriert seit:
    10 Mai 2006
    Beiträge:
    11,622
    Zustimmungen:
    629
    Punkte für Erfolge:
    113
    Beruf:
    IT-Freelancer
    Ort:
    Berlin
    Inwieweit unterschieden sich nach Deinem Plan denn die DMZ und das LAN/WLAN?

    Was stellst Du Dir unter einer DMZ vor, wenn am Ende doch wieder ein einzelner Linux-Server mit beiden Netzen verbunden ist?

    Normalerweise stellt man in eine DMZ ja genau die Rechner, die von extern (und ggf. von intern) erreichbar sein sollen. Ziel ist es ja, das interne Netz vor direktem Zugriff von außen zu schützen und damit auch für den Fall Vorsorge zu treffen, daß auf einem Rechner in der DMZ doch mal ein Problem auftaucht und ein Angreifer damit diesen Rechner übernehmen kann. Steht der Rechner in der DMZ, sind alle Dienste in der DMZ damit kompromittiert oder zumindest angreifbar (weil sie erreichbar sind). Steht dieser Rechner hingegen im LAN, sind alle Computer im LAN potentiell angreifbar.

    Daher widerspricht es also (neben der Konfiguration identischer Subnetze) dem Grundgedanken einer DMZ, wenn man einen Computer gleichzeitig mit der DMZ und dem LAN vernetzt. Die einzige Verbindung zwischen diesen Netzen sollte(n) der/die Router mit einem passenden Regelpaket sein, das den Zugriff aus dem Internet in die DMZ, den Zugriff aus dem LAN in die DMZ und den Zugriff aus dem LAN in das Internet gestattet/limitiert und ansonsten alles andere verbietet, besonders den Zugriff aus dem Internet oder der DMZ in das LAN. Ansonsten braucht es auch keine DMZ, dann kann man die Dienste auch gleich im LAN freigeben und darauf hoffen, daß schon niemand etwas anderes auf dem Zielrechner ausführen kann.
     
  17. sharbich

    sharbich Neuer User

    Registriert seit:
    30 Aug. 2012
    Beiträge:
    137
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Hallo PeterPawn,

    stimmt! Siehe angepasster Netzplan. Was meinst Du wäre das konfigurierbar auf der 7330SL? 2015_01_21-Netzwerk.jpg
     
  18. PeterPawn

    PeterPawn IPPF-Urgestein

    Registriert seit:
    10 Mai 2006
    Beiträge:
    11,622
    Zustimmungen:
    629
    Punkte für Erfolge:
    113
    Beruf:
    IT-Freelancer
    Ort:
    Berlin
    Vermutlich ja, aber unnötig aufwendig.

    Bei aller Multifunktionalität ist eine FRITZ!Box nach meiner Meinung da netzwerkseitig nicht einfach genug zu konfigurieren, da der Netzwerk-Teil eben Closed-Source ist. Erstens werden so alle Versuche immer nur auf Interpretationen der Wirkungsweise von Einstellungen anstatt auf echter Analyse anhand von Quelltexten basieren, womit das Übersehen von Seiteneffekten wesentlich wahrscheinlicher wird. Zweitens ist man auf Gedeih und Verderb dem Hersteller ausgeliefert, der mit einer einzigen (sinnvollen!) Änderung wie z.B. der nunmehr verbotenen Portfreigabe in das Gastnetz, jederzeit die ganze Konstruktion ins Wanken bringen kann oder man kann dann - wenn man solche Änderungen nicht übernehmen will - nur auf das Aktualisieren der Firmware verzichten. Das bringt mich dann auch schon zu Deiner Signatur und der Hoffnung, daß die dort abgebildete Situation nur Deiner "Faulheit" geschuldet ist und nicht der Realität entspricht. Denn auch ein Freetz-Image auf der Basis einer so alten Firmware-Version wäre genauso angreifbar, wie die pure AVM-Version.

    Wenn man also so etwas realisieren will wie Du das offenbar machen willst, dann greift man zu einem Router hinter der FRITZ!Box und läßt diesen ordentlich die Netze trennen ... und zwar mit Open-Source-Software. Wenn man auch blind einem Hersteller vertrauen will, kann man ja solche Sachen wie die Sophos UTM Home Version auf einem dedizierten Gerät laufen lassen. Ansonsten nimmt man etwas wie IPCop oder macht es gleich selbst, wenn an auf Oberflächen zur Konfiguration verzichten kann, damit gewinnt man die Möglichkeit, wirklich jeden Aspekt kontrollieren zu können. Wenn man dann auf die Sicherheit von Hypervisoren und die strikte Trennung von virtuellen Maschinen vertraut (es gibt unterschiedliche Standpunkte) und Hardware sparen will, verlegt man die Firewall/den Router in eine VM auf demselben Host wie die DMZ-Dienste.

    Wenn man ohnehin schon ein so umfangreiches Netz mit ständig erreichbarem Server betreibt, spielt ein weiteres Gerät als Router auch keine Rolle mehr bzw. mit einiger Wahrscheinlichkeit ist die Trennung der VMs besser als die sichere Trennung der Netze im Router (solange das die FRITZ!Box ist) zu gewährleisten. Da dann auf undokumentierte Funktionen der FRITZ!Box zu setzen, deren Implikationen man nicht überblicken kann, ist Unsinn.
     
  19. sharbich

    sharbich Neuer User

    Registriert seit:
    30 Aug. 2012
    Beiträge:
    137
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Hallo PeterPawn,

    generell gebe ich Dir Recht.
    Zur Signatur die 7390 ist die Box die Online ist. Die 84.04.91 Firmware ist die einzige mit der ich die iptabels Module laden und konfigurieren kann. Auf dem alten Debian im chroot laufen keine Dienste mehr (Performance / Durchsatz) war zu schlecht. Dies werde ich in der Signatur anpassen. Neuere Firmware Version für die 7390 finktionieren mit den iptables Modulen nicht. Hierzu gibt es im Board einige Informationen.

    Auf der 7330 SL habe ich mit dem aktuellen Trunk die iptables Module zum laufen bekommen. Deshalb möchte ich die Boxen jetzt tauschen. Jedoch nur wenn ich die Bridge Konfiguration hinbekommen. Änderungen am Source Code der Netzwerschnitstellen durch AVM würden sich m.E.n. nicht auf Portfreigaben auswirken, weil ich ein zweistufiges Firewall Konzept habe. AVM-Firewall Einstellungen in der ar7.cfg Datei und das Regelwerk der iptables. Spätestens hier werden die Verbindungen geprüft. Das was passieren kann ist, dass Kommunikationsbeziehungen nicht mehr funktionieren. Okay generell auch schlecht.

    Da ich aber nur auf meinen Debian Server zur Zeit Teste und Teste und Teste, brauch ich (noch) keine Hochverfügbarkeit.

    Diese benötige ich erst wenn ich auf meinen Debian Server folgendes am laufen habe:

    - Konfiguration der Dienste (DHCP, DNS, SSH, OpenLDAP, Dovecot/Exim, MySQL,Apache2)
    - Verwaltung der Dienste (DNS, DHCP und OpenLDAP) im LDAP
    - Verwaltung von Benutzerrechten (Benutzerzertifikate / SSH Zugriffe / eMail) im LDAP
    - Einrichtung und Konfiguration des Apache2 für OpenCA, OwnCloud, LDAP-Account-Manager, phpMyAdmin, Plex Media Server via verschlüsselte Zertifikate
    - Einrichtung eines zweiten Server mit entsprechenden Replikationen

    Dann werde ich einen zweiten ISP Zugang beantragen und beide Anbindungen koppeln (geht leider erst ab 2020, da bis dahin zur Telekom der lokale Stromanbieter bis ins Haus Glasfaser legt. Dann kommt die Zeit auf Cisco zu schwenken (Router und Layer drei Switch), die Firewall werde ich dann ggf. redundant auf beiden Debian Server'n einrichten.

    Vorher möchte ich mein Wissen noch etwas erweitern und mich auf der 7330 SL austoben.

    Ziel:
    - Claud im privaten Haus
    - Verschlüsseltes Telefonieren
    - Verschlüsselte Mailkommunikation über die Sendezentrale im privaten Haus

    Bevor Fragen kommen, ja ich habe nicht viel Freizeit.

    Lieben Gruß von Stefan Harbich
     
  20. PeterPawn

    PeterPawn IPPF-Urgestein

    Registriert seit:
    10 Mai 2006
    Beiträge:
    11,622
    Zustimmungen:
    629
    Punkte für Erfolge:
    113
    Beruf:
    IT-Freelancer
    Ort:
    Berlin
    #20 PeterPawn, 21 Jan. 2015
    Zuletzt bearbeitet: 21 Jan. 2015
    @sharbich:
    Die Argumentation zur 7390 ist einerseits fahrlässig (jeder, der sich auch nur im Ansatz mit einer FRITZ!Box beschäftigt hat, sollte von der webcm-SetLanguage-Lücke gehört haben) - wenn die Box tatsächlich wie in der Signatur angegeben am ADSL-Anschluß hängt, während sie auch aus dem internen Netz erreichbar ist - und andererseits die beste Bestätigung meiner These, daß eine Box mit teilweise "closed source"-Software für solche sicherheitskritischen Stellen schlicht ungeeignet ist.

    Wenn Du die 04.91 wegen fehlender iptables-Möglichkeiten nicht durch eine fehlerbereinigte Version ersetzen kannst, weil dann Deine derzeitige Konfiguration nicht mehr funktioniert, dann bist Du schon in der Abhängigkeit vom Hersteller der CS-Software und merkst es bloß selbst nicht. Neben dieser klaffenden Schutzlücke sehen dann die Versuche, mit einer FRITZ!Box unbedingt eine DMZ realisieren zu wollen, in meinen Augen etwas lächerlich aus - ich muß es so drastisch formulieren.

    Ich habe extra noch einmal recherchiert, bevor ich solche Formulierungen verwende ... die 04.91 ist keine "nachgeschobene" Version, in der AVM die webcm-Lücke geschlossen hat, sie ist tatsächlich bereits im Jahr 2011 erschienen. Wer diese Version (egal ob mit Freetz verändert oder nicht) immer noch an einer Stelle betreibt, wo die FRITZ!Box von einem internen PC erreicht werden kann, der kann die FRITZ!Box auch gleich mit der LAN-Seite und ohne Kennwort ins Internet hängen. Um die Box anzugreifen, reicht auch ein Tablet/Smartphone/was auch immer/ - Hauptsache ist, es läuft darauf ein Browser, der einen HTTP-Request an eine Adresse 169.254.1.1 absetzen kann, z.B. im Rahmen des Nachladens eines eingebetteten Bilds oder etwas ähnlichem wie CSS-Definitionen usw.

    Wenn die Box dann noch in irgendeiner Weise auf das Internet zugreifen kann (und sei es über einen vorgeschalteten Router, falls sie selbst nur als IP-Client oder LAN1-Router läuft), dann ist die Übertragung sämtlicher Credentials aus dieser FRITZ!Box auf einen Webserver nur eine Fingerübung. Das kann auch eine eingeblendete Werbung auf einer Webseite o.ä. erledigen, dafür ist kein XSS/XSRF erforderlich. Das Nachladen von Bildern ist ein vollkommen normaler Vorgang für einen Browser, der in den seltensten Fällen von irgendwelchen Policies unterbunden wird (es muß auch keine Werbung sein, somit schützt auch ein Werbeblocker nicht).

    Auch die schon gehörte Argumentation "Bei mir darf aber niemand auf die 169.254.1.1 zugreifen bzw. diese Adresse lösche ich in meiner FRITZ!Box aber." berücksichtigt nicht, daß damit die Lücke noch lange nicht verschwunden ist und jeder andere Zugriffsweg genauso benutzt werden kann. Das Problem an der Lücke ist weniger die Schwierigkeit, die Box zu finden und zu identifizieren (das verzögert die Sache nur etwas) ... das Problem ist die Möglichkeit, auf der Box Kommandos auszuführen, ohne sich dazu authentifizieren zu müssen. Und wer glaubt, diesem Problem mit "Verstecken" der FRITZ!Box aus dem Weg gehen zu können, der reitet praktisch auf der Rasierklinge.