[Problem] [7590] AVM-Gui https Freigabe, Freetz-Portfreigaben, SSLH funktionieren nicht

mortimar

Neuer User
Mitglied seit
26 Jan 2006
Beiträge
65
Punkte für Reaktionen
1
Punkte
8
Hallo Zusammen,

neue Box, viele Fragen ;-)
Ich habe die 7590 mit dem trunk (14604) gebaut unter anderem auch mit 'dnsmasq'.
Für eine bessere Übersicht habe ich die config angehangen.

Ich habe verstanden, dass Freetz für diese Box noch experimentell ist, trotzdem möchte ich meine Probleme schildern.

PROBLEME
AVM Gui https Freigabe für Erreichbarkeit von aussen funktioniert nicht
Die Aktivierung im AVM Gui hat auch nach Neustart keinerlei effekt.
Ein scheinbar verantwortlicher Wert 'wanaccess' in der ar7.cfg wird aber gesetzt:
Code:
websrv {
        port = "80";
        https_port = "443";
        wanaccess = 1;
Ein Portforwarding konnte ich leider nicht finden, was mich zu meinem nächsten Problem führt.

Freetz / AVM-Forwarding ohne Funktion
Auch nach der Aktivierung der https Freigabe in der AVM Gui ist unter 'Freetz/AVM-Forwarding' keine Regel zu sehen und auch nicht erstellbar.
Ich hatte verstanden, dass ein existierendes Forwarding die Voraussetzung ist, dass ich unter 'Freetz/AVM-Forwarding' forwardings sehen und bearbeiten kann.

SSLH startet nicht
Der normale Start von SSLH wird in der Freetz Gui mit dem Fehler "Starting SSLH ... failed." quittiert.
in syslog sehe ich nichts dazu.

Wähle ich hingegen den Starttyp 'Inetd' aus, bekomme ich die Bestätigug
"sslh is updating inetd ... active."
und der SSLH Status sagt "running (inetd)".

Allerdings bekomme ich in syslog dann folgendes:
Code:
Mar 10 09:23:40 fritz daemon.err inetd[2975]: 443/tcp: bind: Address already in use



Schon einmal vielen dank vorweg für Eure Hilfe.

bye morT
 

Anhänge

  • config.txt
    21.4 KB · Aufrufe: 2
Zuletzt bearbeitet:
yep, sorry.
Wenn ich https Zugriff via AVM Gui aktiviere steht die Variable wanaccess auf 1 aber es funktioniert dennoch nicht. Hatte das falsch kopiert. Edit mach ich gleich in Post #1.

Danke Dir

### Zusammenführung by stoney ###

Bitte mal Befehl
Code:
netstat -natlp|grep ":443"
absetzen und posten.

Code:
tcp        0      0 :::443                  :::*                    LISTEN      2190/ctlmgr

Aktuell ist die https Freigabe in der AVM Gui nicht aktiviert.
 
Zuletzt bearbeitet von einem Moderator:
Bitte stoppe mal den ctlmgr Prozess;
Code:
ctlmgr -s
und teste dann;
ggf. ist dann das WebIF weg
anschließend cmtmgr wieder starten
Code:
ctlmgr
und dann nochmals testen.
 
SSLH Start hat nach Beendigung des ctlmgr funktioniert.
fritz auth.info sslh[29297]: sslh-fork v1.18 started
Das Freetz WebIF blieb aktiv.
Danach ctlmgr wieder gestartet.

netstat -natlp|grep ":443" sagt jetzt
"tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN 6042/sslh"

SSH konnte ich danach von draussen erreichen
nicht aber SSL
. Browser meldete "Secure connection failed"

Mir ist aufgefallen, dass in der Standardconfig von SSLH bei ssh der Service 'ssh' angegeben ist, bei den anderen fehlt aber diese Angabe.
Ist hier noch etwas nachzutragen?
Code:
{ name: "ssh"; service: "ssh"; host: "localhost"; port: "22"; },
{ name: "openvpn"; host: "localhost"; port: "1194"; },
{ name: "xmpp"; host: "localhost"; port: "5222"; },
{ name: "http"; host: "localhost"; port: "80"; },
{ name: "ssl"; host: "localhost"; port: "443"; },
{ name: "timeout"; service: "daytime"; host: "localhost"; port: "daytime"; }
 
Solange der "ctlmgr" für das (interne) TLS-gesicherte GUI den Port 443 verwendet (was er immer dann macht, wenn er extern nicht konfiguriert ist), kann der "sslh" den Port natürlich nicht parallel nutzen.

Das Problem mit der nichtfunktionierenden Freigabe im AVM-GUI ist m.E. neu ... die Versionsnummer der AVM-Firmware wäre natürlich noch eine nützliche Information und ob es sich tatsächlich um ein Problem von Freetz handelt, testet man am besten dadurch, daß man diese Freigabe erst einmal mit einer originalen AVM-Firmware (die kann man sich ja parallel installieren zum Freetz-Image) erstellt. Wenn es dort funktioniert, hat man (a) die Einstellungen vermutlich auch im Freetz-Image (es gibt ja für beide Systeme nur einen Satz an Einstellungen) und (b) ein Indiz dafür, daß es tatsächlich an Modifikationen durch Freetz liegt.

Ich habe jetzt nicht in die ".config" geschaut (dafür ist noch zu vieles unklar), aber ich will noch einmal den Hinweis loswerden, daß man sich jeden (und damit meine ich wirklich jeden) "remove patch" tunlichst verkneifen sollte - die sind keinesweg dafür geeignet, bei diesen Modellen (genauer bei dieser neuen Firmware) reibungslos zu funktionieren ... klappt das für einen dennoch, ist das mehr Zufall und Glück, als alles andere. Beim Paket "AVM-Forwarding" gibt es sehr widersprüchliche Meldungen ... bei dem einen funktioniert der Eintrag unter "internet_forwardrules" gar nicht mehr richtig bzw. es werden zusätzliche Einträge bei jedem Neustart wieder gelöscht und beim anderen soll es auch über "internet_forwardrules" weiterhin problemlos funktionieren.

Für jede Firmware jenseits der 06.8x (ich weiß gar nicht mehr genau, wann auf PCP umgestellt wurde, es könnte auch schon in der 06.6x oder sogar in der 06.5x gewesen sein) würde ich diesem Paket noch den Status "experimental" zugestehen, aber keinesfalls mehr ein "stable".

Die AVM-Firmware wird auch ohne einen "ctlmgr" nicht dauerhaft funktionieren (das taugt max. für einen schnellen Test) ... immerhin wollen die anderen Komponenten über den "ctlmgr" auf die ganzen Einstellungen zugreifen. Man kann den internen Port des "ctlmgr" jedoch (in neueren Versionen) auch ändern, ohne gleich den externen Zugriff freigeben zu müssen - allerdings eben nur bei funktionierender Seite "FRITZ!Box-Dienste".
 
zu SSLH
Läuft jetzt (standard nicht inetd) und konfigurierte Dienste sind von aussen erreichbar, nachdem ich den https Port in der AVM Gui auf einen anderen Port gesetzt habe aber

AVM-Forwarding funktioniert leider weiterhin nicht. Daher habe ich aktuell eine Freigabe via forward rules in der VoIP Konfiguration fest in die ar7.cfg eingebaut.

Die https Freigabe in der AVM Gui für die Erreichbarkeit von aussen kann ich voraussichtlich erst am Wochenende mit der recover-ten Box (6.92) testen, wie von @PeterPawn vorgeschlagen.

Die verwendete Firmware ist in meiner Signatur zu sehen.
Ich habe auch noch einmal ein neues Image gebaut und keine Patches ausgewählt, sprich nur die, die per default aktiviert waren und/oder durch Package-Auswahl noch dazu gekommen sind, habe ich gelassen.
@PeterPawn : Meinst Du, dass diese durch freetz selbst ausgewählten Patches alle zu deaktivieren wären?
 
Ich habe keine Ahnung, was Freetz da selbst auswählt (ich benutze halt keine fertigen Images) ... aber alles, was über die Einbindung des DNS- und NTP-Servers hinausgeht (ich habe da irgendwo einen Patch in Erinnerung, der dafür sorgt, daß Ports für den "multid" als bereits belegt erscheinen), würde ich tatsächlich deaktivieren - inkl. FREETZMOUNT-Patch, dessen Vorteile ich (seit der Einführung von Volume-Labels auch bei AVM) nicht mehr richtig sehen kann (zumindest solange man keine zu exotischen Dateisysteme verwenden will).

Für konkrete Einschätzung müßtest Du also angeben, welche Patches bei Dir automatisch aktiviert wurden - dann kann man mal nachsehen in den Quellen, was die eigentlich genau machen und sich überlegen, welche Auswirkungen sie auf modernere AVM-Versionen haben dürften und ob das (potentiell) gefährlich ist für die Stabilität oder nicht.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.