.titleBar { margin-bottom: 5px!important; }

[Problem] [7590] AVM-Gui https Freigabe, Freetz-Portfreigaben, SSLH funktionieren nicht

Dieses Thema im Forum "Freetz" wurde erstellt von mortimar, 10 März 2018.

  1. mortimar

    mortimar Neuer User

    Registriert seit:
    26 Jan. 2006
    Beiträge:
    64
    Zustimmungen:
    1
    Punkte für Erfolge:
    8
    #1 mortimar, 10 März 2018
    Zuletzt bearbeitet: 10 März 2018
    Hallo Zusammen,

    neue Box, viele Fragen ;-)
    Ich habe die 7590 mit dem trunk (14604) gebaut unter anderem auch mit 'dnsmasq'.
    Für eine bessere Übersicht habe ich die config angehangen.

    Ich habe verstanden, dass Freetz für diese Box noch experimentell ist, trotzdem möchte ich meine Probleme schildern.

    PROBLEME
    AVM Gui https Freigabe für Erreichbarkeit von aussen funktioniert nicht
    Die Aktivierung im AVM Gui hat auch nach Neustart keinerlei effekt.
    Ein scheinbar verantwortlicher Wert 'wanaccess' in der ar7.cfg wird aber gesetzt:
    Code:
    websrv {
            port = "80";
            https_port = "443";
            wanaccess = 1;
    Ein Portforwarding konnte ich leider nicht finden, was mich zu meinem nächsten Problem führt.

    Freetz / AVM-Forwarding ohne Funktion
    Auch nach der Aktivierung der https Freigabe in der AVM Gui ist unter 'Freetz/AVM-Forwarding' keine Regel zu sehen und auch nicht erstellbar.
    Ich hatte verstanden, dass ein existierendes Forwarding die Voraussetzung ist, dass ich unter 'Freetz/AVM-Forwarding' forwardings sehen und bearbeiten kann.

    SSLH startet nicht
    Der normale Start von SSLH wird in der Freetz Gui mit dem Fehler "Starting SSLH ... failed." quittiert.
    in syslog sehe ich nichts dazu.

    Wähle ich hingegen den Starttyp 'Inetd' aus, bekomme ich die Bestätigug
    "sslh is updating inetd ... active."
    und der SSLH Status sagt "running (inetd)".

    Allerdings bekomme ich in syslog dann folgendes:
    Code:
    Mar 10 09:23:40 fritz daemon.err inetd[2975]: 443/tcp: bind: Address already in use
    


    Schon einmal vielen dank vorweg für Eure Hilfe.

    bye morT
     

    Anhänge:

  2. Shirocco88

    Shirocco88 Mitglied

    Registriert seit:
    4 Jan. 2016
    Beiträge:
    729
    Zustimmungen:
    48
    Punkte für Erfolge:
    28
    Bitte mal Befehl
    Code:
    netstat -natlp|grep ":443"
    absetzen und posten.
     
  3. mortimar

    mortimar Neuer User

    Registriert seit:
    26 Jan. 2006
    Beiträge:
    64
    Zustimmungen:
    1
    Punkte für Erfolge:
    8
    #3 mortimar, 10 März 2018
    Zuletzt von einem Moderator bearbeitet: 10 März 2018
    yep, sorry.
    Wenn ich https Zugriff via AVM Gui aktiviere steht die Variable wanaccess auf 1 aber es funktioniert dennoch nicht. Hatte das falsch kopiert. Edit mach ich gleich in Post #1.

    Danke Dir

    ### Zusammenführung by stoney ###

    Code:
    tcp        0      0 :::443                  :::*                    LISTEN      2190/ctlmgr
    Aktuell ist die https Freigabe in der AVM Gui nicht aktiviert.
     
  4. Shirocco88

    Shirocco88 Mitglied

    Registriert seit:
    4 Jan. 2016
    Beiträge:
    729
    Zustimmungen:
    48
    Punkte für Erfolge:
    28
    Bitte stoppe mal den ctlmgr Prozess;
    Code:
    ctlmgr -s
    und teste dann;
    ggf. ist dann das WebIF weg
    anschließend cmtmgr wieder starten
    Code:
    ctlmgr
    und dann nochmals testen.
     
  5. mortimar

    mortimar Neuer User

    Registriert seit:
    26 Jan. 2006
    Beiträge:
    64
    Zustimmungen:
    1
    Punkte für Erfolge:
    8
    SSLH Start hat nach Beendigung des ctlmgr funktioniert.
    fritz auth.info sslh[29297]: sslh-fork v1.18 started
    Das Freetz WebIF blieb aktiv.
    Danach ctlmgr wieder gestartet.

    netstat -natlp|grep ":443" sagt jetzt
    "tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN 6042/sslh"

    SSH konnte ich danach von draussen erreichen
    nicht aber SSL
    . Browser meldete "Secure connection failed"

    Mir ist aufgefallen, dass in der Standardconfig von SSLH bei ssh der Service 'ssh' angegeben ist, bei den anderen fehlt aber diese Angabe.
    Ist hier noch etwas nachzutragen?
    Code:
    { name: "ssh"; service: "ssh"; host: "localhost"; port: "22"; },
    { name: "openvpn"; host: "localhost"; port: "1194"; },
    { name: "xmpp"; host: "localhost"; port: "5222"; },
    { name: "http"; host: "localhost"; port: "80"; },
    { name: "ssl"; host: "localhost"; port: "443"; },
    { name: "timeout"; service: "daytime"; host: "localhost"; port: "daytime"; }
     
  6. PeterPawn

    PeterPawn IPPF-Urgestein

    Registriert seit:
    10 Mai 2006
    Beiträge:
    11,348
    Zustimmungen:
    571
    Punkte für Erfolge:
    113
    Beruf:
    IT-Freelancer
    Ort:
    Berlin
    Solange der "ctlmgr" für das (interne) TLS-gesicherte GUI den Port 443 verwendet (was er immer dann macht, wenn er extern nicht konfiguriert ist), kann der "sslh" den Port natürlich nicht parallel nutzen.

    Das Problem mit der nichtfunktionierenden Freigabe im AVM-GUI ist m.E. neu ... die Versionsnummer der AVM-Firmware wäre natürlich noch eine nützliche Information und ob es sich tatsächlich um ein Problem von Freetz handelt, testet man am besten dadurch, daß man diese Freigabe erst einmal mit einer originalen AVM-Firmware (die kann man sich ja parallel installieren zum Freetz-Image) erstellt. Wenn es dort funktioniert, hat man (a) die Einstellungen vermutlich auch im Freetz-Image (es gibt ja für beide Systeme nur einen Satz an Einstellungen) und (b) ein Indiz dafür, daß es tatsächlich an Modifikationen durch Freetz liegt.

    Ich habe jetzt nicht in die ".config" geschaut (dafür ist noch zu vieles unklar), aber ich will noch einmal den Hinweis loswerden, daß man sich jeden (und damit meine ich wirklich jeden) "remove patch" tunlichst verkneifen sollte - die sind keinesweg dafür geeignet, bei diesen Modellen (genauer bei dieser neuen Firmware) reibungslos zu funktionieren ... klappt das für einen dennoch, ist das mehr Zufall und Glück, als alles andere. Beim Paket "AVM-Forwarding" gibt es sehr widersprüchliche Meldungen ... bei dem einen funktioniert der Eintrag unter "internet_forwardrules" gar nicht mehr richtig bzw. es werden zusätzliche Einträge bei jedem Neustart wieder gelöscht und beim anderen soll es auch über "internet_forwardrules" weiterhin problemlos funktionieren.

    Für jede Firmware jenseits der 06.8x (ich weiß gar nicht mehr genau, wann auf PCP umgestellt wurde, es könnte auch schon in der 06.6x oder sogar in der 06.5x gewesen sein) würde ich diesem Paket noch den Status "experimental" zugestehen, aber keinesfalls mehr ein "stable".

    Die AVM-Firmware wird auch ohne einen "ctlmgr" nicht dauerhaft funktionieren (das taugt max. für einen schnellen Test) ... immerhin wollen die anderen Komponenten über den "ctlmgr" auf die ganzen Einstellungen zugreifen. Man kann den internen Port des "ctlmgr" jedoch (in neueren Versionen) auch ändern, ohne gleich den externen Zugriff freigeben zu müssen - allerdings eben nur bei funktionierender Seite "FRITZ!Box-Dienste".
     
  7. mortimar

    mortimar Neuer User

    Registriert seit:
    26 Jan. 2006
    Beiträge:
    64
    Zustimmungen:
    1
    Punkte für Erfolge:
    8
    zu SSLH
    Läuft jetzt (standard nicht inetd) und konfigurierte Dienste sind von aussen erreichbar, nachdem ich den https Port in der AVM Gui auf einen anderen Port gesetzt habe aber

    AVM-Forwarding funktioniert leider weiterhin nicht. Daher habe ich aktuell eine Freigabe via forward rules in der VoIP Konfiguration fest in die ar7.cfg eingebaut.

    Die https Freigabe in der AVM Gui für die Erreichbarkeit von aussen kann ich voraussichtlich erst am Wochenende mit der recover-ten Box (6.92) testen, wie von @PeterPawn vorgeschlagen.

    Die verwendete Firmware ist in meiner Signatur zu sehen.
    Ich habe auch noch einmal ein neues Image gebaut und keine Patches ausgewählt, sprich nur die, die per default aktiviert waren und/oder durch Package-Auswahl noch dazu gekommen sind, habe ich gelassen.
    @PeterPawn : Meinst Du, dass diese durch freetz selbst ausgewählten Patches alle zu deaktivieren wären?
     
  8. PeterPawn

    PeterPawn IPPF-Urgestein

    Registriert seit:
    10 Mai 2006
    Beiträge:
    11,348
    Zustimmungen:
    571
    Punkte für Erfolge:
    113
    Beruf:
    IT-Freelancer
    Ort:
    Berlin
    Ich habe keine Ahnung, was Freetz da selbst auswählt (ich benutze halt keine fertigen Images) ... aber alles, was über die Einbindung des DNS- und NTP-Servers hinausgeht (ich habe da irgendwo einen Patch in Erinnerung, der dafür sorgt, daß Ports für den "multid" als bereits belegt erscheinen), würde ich tatsächlich deaktivieren - inkl. FREETZMOUNT-Patch, dessen Vorteile ich (seit der Einführung von Volume-Labels auch bei AVM) nicht mehr richtig sehen kann (zumindest solange man keine zu exotischen Dateisysteme verwenden will).

    Für konkrete Einschätzung müßtest Du also angeben, welche Patches bei Dir automatisch aktiviert wurden - dann kann man mal nachsehen in den Quellen, was die eigentlich genau machen und sich überlegen, welche Auswirkungen sie auf modernere AVM-Versionen haben dürften und ob das (potentiell) gefährlich ist für die Stabilität oder nicht.