.titleBar { margin-bottom: 5px!important; }

Freetz auf die FritzBox 7490

Dieses Thema im Forum "Freetz" wurde erstellt von Mr. Brooks, 30 Sep. 2017.

  1. daice24

    daice24 Neuer User

    Registriert seit:
    11 Jan. 2015
    Beiträge:
    10
    Zustimmungen:
    0
    Punkte für Erfolge:
    1
    Hey,

    hab mir auch eine FritzBox 7490 geholt und würde da auch gern freetz drauf laufen lassen. Aktuell hat die Box FW 6.92. Wie bekomme ich aber das gebaute Freetzimage aufgespielt, da ja das nicht signierte Image nicht angenommen wird?
    Im wesentlichen geht es mir darum auf der Box nen OpenVPN Client laufen zu lassen. Mir würde auch ein Telnet Zugang reichen. Ist freetz da der einzige Weg oder gibts da noch ne andere Möglichkeit?
    Hab schon bissel rumprobiet, ein zurücksetzten mit dem AVM Recovery Toll hat auch nicht funktioniert (auf der unterseite der Box steht FritzBox 7490 o2, im Webinterface steht aber nix von O2 und die 6.92 FW von AVM wird problemlos angenommen)

    Gruß daice
     
  2. qwertz.asdfgh

    qwertz.asdfgh IPPF-Promi

    Registriert seit:
    18 Feb. 2011
    Beiträge:
    4,462
    Zustimmungen:
    60
    Punkte für Erfolge:
    48
    Über den Bootloader (EVA).

    Es gibt mehrere Möglichkeiten. Auch mit Freetz selbst gibt es 2 Varianten, einmal indem man mit fwmod die Firmware nur nach eigenen Wünschen anpasst oder ein Freetz-Image baut.

    Dann hast du dir keine Retail-Version der 7490 geholt sondern eine Provider-Version.

    Ja weil auch die Box von O2 mit der normalen Firmware von AVM läuft. Zusätzlich gibt es aber ein sog. Provider-Additive im TFFS was den Unterschied ausmacht.
     
    amaier-hohe gefällt das.
  3. daice24

    daice24 Neuer User

    Registriert seit:
    11 Jan. 2015
    Beiträge:
    10
    Zustimmungen:
    0
    Punkte für Erfolge:
    1
    Danke erstmal für die Antworten. Also ich denke ein eigenens Freetz Image macht für mich keinen richtigen Sinn, dafür das ich nur nen Telnet Zugang und OpenVPN will. Zu was würdet ihr raten?
    Noch was anderes. Ich hab schon versucht die Box im Adam2 anzuhalten, habs aber nicht hinbekommen, auch nicht mit dem RuKernelTool. Gibt es Boxen bei denen die FTP Zugang nicht möglich ist?
     
  4. stoney

    stoney Moderator
    Forum-Mitarbeiter

    Registriert seit:
    7 Okt. 2015
    Beiträge:
    3,705
    Zustimmungen:
    231
    Punkte für Erfolge:
    63
    Ort:
    Bayern
    bis dato nicht - meist sitzt das Problem (sorry ist aber so) vor dem Bildschirm

    Wie genau bist Du denn vorgegangen?
     
  5. daice24

    daice24 Neuer User

    Registriert seit:
    11 Jan. 2015
    Beiträge:
    10
    Zustimmungen:
    0
    Punkte für Erfolge:
    1
    Naja mit dem RuKernelTool so, wie es in der Anleitung steht. Dabei war nur eine Netzwerkverbindung aktiv im Windows 10 (64-Bit). Habs sowohl mit fester IP als auch mit DHCP probiert.
    Habs auch noch manuell über die Eingabeaufforderung probiert und immer Enter gedrückt wenn Windows eine Netzwerkverbindung erkannt hat und die Zeit immer etwas variiert.
    PC war mit Patchkabel an LAN1 der Box verbunden, Firewall war aus im Windows.
    Ich hatte immer den Eindruck, dass die LAN Verbindung viel zu spät aufgebaut wird und der FTP da schon wieder nicht mehr erreichbar ist.
     
  6. PeterPawn

    PeterPawn IPPF-Urgestein

    Registriert seit:
    10 Mai 2006
    Beiträge:
    11,195
    Zustimmungen:
    535
    Punkte für Erfolge:
    113
    Beruf:
    IT-Freelancer
    Ort:
    Berlin
    Dann solltest Du Dich nach alternativen Ideen (und ggf. nach Anleitungen dafür) umschauen ... ohne Bootloader geht jedenfalls weder Recovery, noch Downgrade oder Installation einer eigenen Firmware. Aber keiner der drei Fälle ist ohne einen der anderen nicht machbar ... das sind nur drei (gleichberechtigte) Anwendungen über den Bootloader und keine davon ist die Voraussetzung für eine der beiden anderen.
     
  7. daice24

    daice24 Neuer User

    Registriert seit:
    11 Jan. 2015
    Beiträge:
    10
    Zustimmungen:
    0
    Punkte für Erfolge:
    1
    Hey Peter, danke für deine Antwort. Allerdings hilft mir die nicht wirklich weiter. Fakt ist doch das ich die Box im Adam2 anhalten muss um irgend was an der Firmware änder zu können, oder?
    Ich werd mich heute Abend nochmal der Box witmen. Hab halt gehofft das jemand noch nen Tip hat, was ich grob falsch mache bzw. was ich noch besser machen könnte. Was mich halt stutzig gemacht hat ist, dass selbst das RecoveryTool von AVM die Box nicht gefunden hat!?!

    daice
     
  8. stoney

    stoney Moderator
    Forum-Mitarbeiter

    Registriert seit:
    7 Okt. 2015
    Beiträge:
    3,705
    Zustimmungen:
    231
    Punkte für Erfolge:
    63
    Ort:
    Bayern
  9. daice24

    daice24 Neuer User

    Registriert seit:
    11 Jan. 2015
    Beiträge:
    10
    Zustimmungen:
    0
    Punkte für Erfolge:
    1
    Danke für die Link. Ich werd nachher nochmal Testen und mich dann im Anschluss melden. Werd auch mal nen zusätzlichen Switch dazwischenhängen um ein (hoffentlich) schnelleres Starten der NIC zu erreichen.
     
  10. PeterPawn

    PeterPawn IPPF-Urgestein

    Registriert seit:
    10 Mai 2006
    Beiträge:
    11,195
    Zustimmungen:
    535
    Punkte für Erfolge:
    113
    Beruf:
    IT-Freelancer
    Ort:
    Berlin
    Habe ich doch genau so auch geschrieben ... ohne Bootloader geht nichts anderes.

    Aber welche Möglichkeiten es dafür gibt und was man dabei alles falsch machen kann, ist nun wirklich so oft durchgekaut worden, daß es unmöglich noch eine weitere Selbsthilfegruppe zu diesem Problem brauchen kann. Dann eher eine zum Thema: "Wie suche ich richtig - im IPPF und mit einer externen Suchmachine" ... noch mal: Es bringt keinesfalls "mehr Übersicht", wenn man dieselben Themen immer und immer wieder "bespricht" und dabei nicht wirklich auch neue Fakten eine Rolle spielen ... die gibt es aber an dieser Stelle eher nicht. Das heißt nicht, daß ich mich hier nicht irren kann ... aber vor die Vermutung, daß am Ende der Bootloader selbst schuld ist, würde ich immer wieder erst einmal die penible Überprüfung auf eigene Fehler setzen - rein unter dem Gesichtspunkt der Wahrscheinlichkeit.

    Klar, man kann auch mal der Erste sein, der eine Änderung durch AVM bemerkt ... je nachdem, wie intensiv man sich jetzt selbst mit der FRITZ!Box beschäftigt, sollte man aber auch eine (realistische!) Einschätzung treffen können, wie hoch die Wahrscheinlichkeit dafür tatsächlich ist. Wenn ich vier Wochen nach dem Erscheinen einer Hard- und Software-Version noch "neue Feststellungen" mache, sollte ich diese erst recht mehrfach überprüfen, bevor ich mir sicher sein kann, daß es nicht nur irgendwelche "Phantom-Schmerzen" sind.

    Das, was Dir @stoney in #24 geschrieben hat, ist halt die häufigste Feststellung ... selbst bei dem 6490-Problem in den letzten Tagen stellte sich das am Ende nur als heiße Luft heraus mit der Vermutung, daß AVM da den Bootloader irgendwie gänzlich blockiert hat (bzw. den Zugang zu diesem).

    ----------------------------------------------------------------------------------------------------------

    So etwas geht zwar tatsächlich ... aber eben nur mit einer umgekrempelten Architektur (z.B. einer kryptographisch gesicherten Verbindung zwischen Recovery-Programm und Bootloader) und das wäre für ein existierendes Modell wohl eher ein Support-Albtraum, wenn dann Recovery-Programm A nicht mehr mit Box B, sondern nur noch mit Box C funktioniert. Das ist AVM eine höhere Sicherheit bei Zugriffen über den Bootloader sicherlich nicht wert - was nicht heißen muß, daß man bei neuen Entwicklungen (für die Hardware) nicht auch da Aufwand treiben könnte.

    Die Frage wäre vermutlich, ob Veränderungen an dieser Stelle (nicht jede Änderung muß auch eine Verbesserung sein) so weitreichende Auswirkungen auf den Support-Aufwand hätten (was schon mal unterstellt, daß viele "Bastler" AVM am Ende mit ihren Problemen behelligen würden), daß sich der Mehraufwand (von Entwicklung über zusätzliche Hardware-Komponenten in Form von SoC bis zur Programmierung von Firmware, Bootloader und Recovery-Programm) am Ende auch auszahlt. Bei allen bekannt gewordenen Sicherheitsproblemen waren ja nicht die eigenen Modifikationen der Kunden die Ursache, sondern originäre Probleme in der AVM-Firmware. Die beseitigt man auch nicht dadurch, daß man den Kunden keine eigene Firmware mehr installieren läßt.

    Es würde ja schon reichen, wenn AVM den (nicht autorisierten) Zugriff auf den Bootloader erschwert (ob das bei den GRX5-Boxen nun Absicht oder ein Fehler ist, hat AVM ja auch noch nicht definitiv bestätigt oder habe ich da etwas verpaßt?) und damit die Angriffsfläche verringert ... das endgültige "Verriegeln" der Boxen würde wohl eher dazu führen, daß weitere Kunden (die bisher den etwas höheren Aufwand für eigene Änderungen in Kauf nehmen, weil das bei ihnen wirklich mehr als "nice to have" ist und sie am Ende mit einem Shell-Zugang auch etwas anfangen können - teilweise im Gegensatz zu anderen, die den einfach nur "aus Prinzip" wollen und der Meinung sind, sie hätten den ja bezahlt) der FRITZ!Box den Rücken kehren.

    Das wäre dann viel Aufwand in eine Funktion investiert, die den Multiplikatoren (und die Bastler sind ja i.d.R. auch in dieser Rolle) den Spaß an der Box erst so richtig vermiest und sie von der Box wegtreibt - also im Prinzip ein Schildbürgerstreich. Wer, wenn nicht die Leute mit "Ahnung", soll denn am Ende die künftigen Kunden davon überzeugen, daß der Mehrpreis einer FRITZ!Box sich - je nach Anwendungsfall - durchaus rechnen kann?

    Daher glaube ich auch gar nicht an solche finsteren Pläne (zumindest an keine ernsthaften - vielleicht mal als Machbarkeitsstudie mit einem TPM o.ä.,) bei AVM - vielleicht mit Ausnahme der DOCSIS-Boxen (ggf. noch LTE, wobei ich nicht weiß, wie weit das Modem da wirklich gekapselt und abgeschottet ist in der Art, wie die Baseband-Module bei Smartphones), weil da der Standard schon entsprechende Forderungen enthält.

    Ich habe bisher auch noch keinen Bootloader für die 7490 gesehen, bei dem tatsächlich ein FDT im Bootloader enthalten wäre (die GRX5-Boxen haben immerhin auch 1 MB für den Bootloader im NAND reserviert, die 7490 hat gerade mal 256 KB im SPI-Flash) - bisher hege ich ja die Vermutung, daß dieser die Ursache dafür wäre, wenn Änderungen von "firmware_version" im TFFS nicht mehr übernommen werden und immer eine Einstellung aus der Finalisierung aktiv ist.

    Die muß auch nicht stimmen (es gibt ja auch andere Einstellungen, die immer wieder beim Booten auf den Ausgangswert gesetzt werden und das könnte sich in neueren Bootloader-Versionen der 7490 ja auch auf "firmware_version" erstrecken), aber es ist halt auch schwer, bei solchen Meldungen dann zwischen Problemen des "Finders" beim Ändern und der wirklich unmöglichen Änderung zu unterscheiden - meine Skepsis orientiert sich dann immer an meiner Meinung, was AVM von so einer Änderung hätte bzw. ob die irgendwo die Kompatibilität mit alten/anderen Geräten so weit über den Haufen wirft, daß Aufwand und Ergebnis in keinem Verhältnis zueinander stehen.

    Man muß nur mal überlegen, welchen "Weg des geringsten Widerstands" AVM z.B. bei der 7412 und ihrem "Mißbrauch" als "DSL-Modem" gegangen ist ... das war ja nun in der Umsetzung eher "symbolisch" und irgendwie leuchtet mir nicht so richtig ein, was AVM jetzt für einen Vorteil davon hätte (oder auch, welcher OEM das von AVM gefordert haben könnte, das Gehäuse und die Farbe ändert sich mit "firmware_version" ja noch lange nicht), wenn man diese Variable nicht mehr auf "avm" oder "avme" setzen könnte.

    Echte Vorteile im Absatz würde ich dabei eher nicht sehen (solange die Hardware praktisch identisch ist und bleibt, fehlende TAE-Buchsen sind da mal außen vor) ... ganz im Gegenteil - ein Beispiel hatten wir doch gerade erst hier, wo jemand jetzt stinksauer auf AVM zu sein scheint. Das "Geschlecht" der FRITZ!Box bei ihrer Geburt war ja schon lange im Bootloader in den Finalisierungsdaten enthalten ... das ließ sich halt nur bisher überschreiben, was aber bei "maca" meist auch schon scheiterte.

    Sinn ergibt das ja eigentlich nur dann, wenn wirklich die deutsche und die internationale Version jetzt oder in Zukunft mal unterschiedliche Hardware enthalten und/oder der Einsatz der deutschen Firmware im Ausland generell unterbunden werden soll (z.B. wegen des WLAN). Wie das dann aber die Leute davon abhalten soll, sich eine internationale oder auch eine deutsche Firmware auf die Unterstützung von "avme" und "avm" parallel zu modifizieren (auch wenn es in Binärdateien noch einige Abfragen diesbezüglich geben mag, kann man ja jedem Binary gezielt das benötigte "$OEM" im Environment unterjubeln), sehe ich auch nicht ... damit liefe das eigentlich auch wieder ins Leere. Wenn es also nicht sehr einfach zu realisieren war - quasi fast als "Nebenprodukt", verstünde ich den Aufwand dafür nicht bzw. was man sich davon verspräche.
     
  11. daice24

    daice24 Neuer User

    Registriert seit:
    11 Jan. 2015
    Beiträge:
    10
    Zustimmungen:
    0
    Punkte für Erfolge:
    1
    So hier mal die Rückmeldung nach meinen gestrigen Versuchen.
    Nachdem ich einen zusätzlichen HUB zwischen Rechner und FritzBox7490 geschalten habe und so das NIC des Rechners dauerhaft an bleibt, konnte ich auch auf Adam2 zugreifen.
    Somit war es dann im Anschluss für mich auch möglich die Box von 6.92 auf 6.30 per AVM RecoveryTool downzugraden.
    Danach habe ich wieder auf 6.50 aktualisiert und ShellInABox nachinstalliert.
    Nach dem Reboot habe ich dann mit modfs die Firmware 6.92 bearbeitet und in den freien Bereich flashen lassen. Nach dem reboot ist auch tatsächlich wieder 6.92 mit den Modifikationen hochgefahren.
    Danach habe ich versucht Telnet über den Telefonbucheintrag und der Wählhilfe zu starten was leider nicht funktioniert hat. Geht das aktuell noch ohne Telefon, oder ist da zwingend eins nötig?
    Als letztes habe ich noch ne Frage zum OpenVPN. Wo bekomme ich eine kompatible Binary her um die FritzBox als OpenVPN-Client nutzen zu können?

    Vielen dank schonmal für die bisherigen Hinweise.
    daice
     
  12. prisrak1

    prisrak1 Neuer User

    Registriert seit:
    14 Mai 2017
    Beiträge:
    102
    Zustimmungen:
    9
    Punkte für Erfolge:
    18
    An sich wurden die Möglichkeiten dir zuvor bereits von den anderen Usern mitgeteilt. #26. Ich würde vorschlagen: deine Einstellungen jetzt zu sichern, dann entweder über: freetz, oder z.B. 06.30.recover-image.exe, ode ADAM2.
     
  13. PeterPawn

    PeterPawn IPPF-Urgestein

    Registriert seit:
    10 Mai 2006
    Beiträge:
    11,195
    Zustimmungen:
    535
    Punkte für Erfolge:
    113
    Beruf:
    IT-Freelancer
    Ort:
    Berlin
    Das weiß ich nicht ... auch nicht, ob die alte Methode mit der Änderung in der "fx_conf" noch funktioniert, aber vielleicht ist die eine Alternative (über Export) - wobei man ohnehin lieber SIAB nehmen und gleich mit in die eigene Firmware integrieren sollte. Das läuft dann zwar vielleicht immer mit (das "dirty flag" wird aber erst beim Login gesetzt), aber es ist eben deutlich sicherer als Telnet, wenn man nur die TLS-Version benutzt.

    Ansonsten sollte man auch Telnet mit "stunnel" o.ä. etwas weiter absichern. Ein Beispiel für SIAB gibt es ja und auch das passende Image für SIAB über "E99-custom" gibt es im YourFritz-Repo. Das einzige, was gegen SIAB spricht, ist das fehlende C&P - dann nimmt man eben einen SSH-Server (auch der "dropbear" ist - allerdings in einer "special edition" für die FRITZ!Box mit (auf das Erforderliche) beschränktem Crypto-Vorrat - im "binaries"-Branch des YourFritz-Repo enthalten) und ein passendes Terminalprogramm, z.B. PuTTY oder dessen verschiedene Ableger - W10 kriegt ja nun auch seine OpenSSH-Version in der Zukunft. Solange man nicht ständig in der Shell herumfummeln will (das braucht man m.E. nur dann, wenn man selbst irgendetwas auf der Box entwickelt), ist auch die Verzögerung durch den RSA-Handshake verkraftbar (wenn auch spürbar).

    Außerdem habe ich mal ein passendes "openvpn"-Binary (für die 7490) in das YourFritz-Repo (im "binaries"-Branch) eingecheckt ... erstellt mit der Toolchain aus meinem Freetz-Fork irgendwann Ende Sept. 2017.

    Allerdings ist das noch die 2.4.3 ... die Änderungen der 2.4.4 waren jetzt nicht so beeindruckend, daß ich da ein Update machen müßte oder wollte - vielleicht mit dem nächsten Synchronisieren mit dem "originalen" Freetz (das ist bei 2.4.4), wobei das zunehmend schwerer und aufwändiger wird, je größer die Differenzen sind.
     
  14. prisrak1

    prisrak1 Neuer User

    Registriert seit:
    14 Mai 2017
    Beiträge:
    102
    Zustimmungen:
    9
    Punkte für Erfolge:
    18
    #34 prisrak1, 3 Jan. 2018
    Zuletzt bearbeitet: 4 Jan. 2018
     
  15. amaier-hohe

    amaier-hohe Neuer User

    Registriert seit:
    22 Nov. 2010
    Beiträge:
    2
    Zustimmungen:
    0
    Punkte für Erfolge:
    1
    Hi sorry für späte Antwort aber andere hier mit genügend Erfahrung hatten ja auch schon gepostet. -)
    Ich hatte damals auch recovery image genommen 6.30 oder 6.23 glaube ich.
    Also weiter viel Spass.
    PS: meine 7490 läuft nach längerer Testerfahrung jetzt , sogar stabiler mit dem aktuellen Trunk als mit dem 6.30 den ich glaube ich locker über eine Jahr laufen hatte.