[Info] FRITZ!Box 7490 Labor-Firmware FRITZ!OS 06.69-42246 (25.11.2016)

Status
Für weitere Antworten geschlossen.
Hatte gestern einen komischenEintrag in der Log:

[FONT=&quot]29.11.16 19:41:59 [/FONT]
[FONT=&quot]Fehler beim Lesen der Einstellungen. FRITZ!Box wurde auf Werkseinstellungen zurück gesetzt. (ar7) nicht vorhanden [/FONT]
Onlinehilfe gibt zu demThema auch nichts her, jemand ne Idee??

Gruß Gert
 
@mj084
Mal die vorherige "Vorherige DSL-Version verwenden" ausprobiert. Ist im Reiter Störsicherheit zu finden.
Sind Powerline Geräte im Umfeld der Fritzbox in Betrieb. Das kann ggf. auch VDSL100 stören.
 
@profanta:
Das kam eigentlich schon recht lange nicht mehr als Thema vor ... am Beginn der Umstellung auf den 3.10-Kernel (in der 06.35-Laborreihe) gab es ab und an offenbar ein Problem mit den (geänderten) TFFS3-Treiber, wo dann die Einstellungen komplett verloren gingen.

Das kann (bei ungünstiger Konstellation) sogar dazu führen, daß beim nächsten Mal eine andere Firmware-Version startet - wenn "linux_fs_start" ebenfalls betroffen war/ist und das System gerade mit "linux_fs_start = 1" arbeitet. Dann wird beim Standardwert von "linux_fs_start = 0" ggf. eben das andere (ältere) System gestartet ... was einige dann als "Downgrade" der Firmware mißinterpretiert haben.

Aber das hatte AVM m.W. gefixt ... vielleicht gibt es noch sehr rare Fälle, wo dann doch noch ein solcher Fehler auftritt. Wobei schon die Frage interessant wäre, ob diese Nachricht unmittelbar bei einem Neustart auftrat oder im "laufenden Betrieb". Für eine komplett gelöschte TFFS-Partition kann es nach einem Neustart noch (nachvollziehbare) Gründe geben ... tritt so etwas mitten im Betrieb auf, werden plausible Erklärungen deutlich schwieriger.
 
@mj084
Mal die vorherige "Vorherige DSL-Version verwenden" ausprobiert. Ist im Reiter Störsicherheit zu finden.
Sind Powerline Geräte im Umfeld der Fritzbox in Betrieb. Das kann ggf. auch VDSL100 stören.

Müsste ja dann imo die von der Finalversion sein, mit der ich richtig Probleme hatte...
Nein kein Powerlinekram hier in Benutzung, hatte ich vor 2 Jahren mal getestet aber bei der alten Stromleitung brachte das hier gar nix:/

Aktuell sieht es gerade wieder so aus (DSL aktiv seit: 13 Stunden und 36 Minuten - VDSL2 17a G.Vector (ITU G.993.5)
Sind die CRC-Fehler denn im Rahmen? Gar keine wäre natürlich klasse aber wo ist die Obergrenze oder der Richtwert?
2016-11-30 12_59_36-FRITZ!Box 7490.png
 
Zuletzt bearbeitet:
@PeterPawn:
Danke für die schnelle/kompetente Antwort (wie von diesem Absender nicht anders zu erwarten). Die Meldung trat im laufenden Betrieb auf, wobei aber Gott sei Dank das "DownGrade" Syndrom nach dem erfordelichem Neustart der FB -ich kam zwar auf die FB, aber nicht ins Internet- nicht aufgetreten ist. Wobei "laufender Betrieb" allerdings sich "nur" darauf bezieht, dass die FB gelaufen ist, jedoch waren keine Aktivitäten (Telefon, Internet,..) zu verzeichnen. Sehen wir es mal als "Ausrutscher" und hoffen, dass es nicht mehr vorkommt.

Gruß Gert
 
Danke für die Antwort:)

Telekomtechniker meinte aber die Leitung sei in Ordnung, hatte sein komisches Multimessteil da dran:p

Also kann ich praktisch die 7490 und ein generelles Problem mit VDSL 100 ausschließen?

Zum Test könnte ich ja eine 7412 mal anhängen und schauen wie es da aussieht...
 
Also kann ich praktisch die 7490 und ein generelles Problem mit VDSL 100 ausschließen?
Hast du bei Störsicherheit den Impulsstörschutz regler auf max stabilität?

Aber glaube selbst dann wäre 27 viel zu hoch, meistens sind das fallback werte aber da wäre reintheoretisch ja die leitung auch nicht bei ~100mbit sync. Kenn mich da auch net so genau aus, mir kommt das nur sehr spanisch vor, antwortet sicher noch jemand der da mehr hintergrundwissen hat. :)
 
Nein, steht alles auf Performance - hatte 2 Jahre auch keinen Grund gehabt da rumzudrehen^^

Mit der vorherigen DSL-Version (1.100.133.44) sieht es so aus:

2016-11-30 16_52_27-FRITZ!Box 7490.png
 
@mj084: Ich habe bei meiner Leitung bei INP in Empfangsrichtung auch eine 28 stehen. Kenne mich aber da auch nicht weiter aus.
Die Angaben bei den Fehlern der Vemittlugsstelle sehen aber nicht wirklich plausibel aus.
 
Und was sagen die CRC-Fehler bei dir?

EDIT: mit der DSL-Version 1.100.135.11 sieht es nun so aus:gruebel:

2016-11-30 19_11_45-FRITZ!Box 7490.png

Am DSL-Kabel kann es ja nicht liegen oder?

Edit2: So und eben den ersten Resync *nerv*
 
Zuletzt bearbeitet:
Kann sich eigentlich irgendjemand etwas unter einem "Security Report" und einem "sicherheitsrelevanten Ereignis" vorstellen, in dessen Zuge AVM jetzt (standardmäßig aktiviert) irgendwelche Daten erhält, wenn man es nicht deaktiviert?

Vorstellen kann ich mir schon etwas - und sogar wünschen, dass meine Vorstellung damit verbunden ist.
Ich hatte im August das Problem, dass ich gehackt wurde und Leute anfingen, internationale Gespräche über meine Box abzuwickeln.
Die Box hat das Dank der Labor-FW erkannt und hat dann selbstständig eine Sperrung von Auslandstelefonaten eingerichtet.
 
@aberhallo4:
Das ist aber schon länger implementiert und meines Wissens auch irgendwo dokumentiert. Mir geht es um diese neue Funktion, den (noch unvollständigen) Hilfetext dazu habe ich im Screenshot gezeigt.

Für eine Sperre von ausgehenden Auslandstelefonaten (wenn ich mich richtig erinnere, gibt es dafür sogar eine Message im "boxnotifyd" - das sind die Meldungen, die schon beim Login in Rot auftauchen) braucht es auch keine Übertragung von irgendwelchen Daten zu AVM und wenn es sich um reine Zählung handelt, sollte das ja problemlos zu klären sein. So ein FRITZ!Box-Netzwerk kann man ja gerne auch als Sensoren verwenden, man muß es nur konkret ansagen und dem Besitzer die Wahl lassen.
 
Mal was ganz anderes ... das Thema "Speedports", "TR-069" und "EasySupport" ist ja nun gerade in aller Munde und auch AVM hat ja seit knapp 2 Monaten in diesem Laborzweig eine Möglichkeit eingebaut, an einem Telekom-Anschluß die FRITZ!Box mit TR-069 einrichten zu lassen; das ist vermutlich bisher etwas "unter die Räder" gekommen.

Hat das schon mal jemand in der Praxis angeboten bekommen oder gar schon mal benutzt?

Bei meinen T-DSL-Business-Anschluß klappt es nicht ... ich bin mir halt nicht sicher, bei welcher Art von Vertrag das überhaupt funktionieren soll. Aus dem Inhalt der "providermap.txt" in der "providers-049.tar" wird man auch nicht automatisch schlau:
Code:
[COLOR="#008000"]NAME=Telekom$EMPFOHLEN: Automatische Einrichtung des Internetzugangs, der Telefonie und weiterer EasySupport Dienste der Telekom Deutschland GmbH (weitere Infos unter www.telekom.de/easysupport)[/COLOR]
{
ID=[COLOR="#FF0000"]telekom_tr069[/COLOR];BOX=7490;
}

NAME=Telekom$Einrichtung mit manueller Eingabe von Zugangsdaten
{
ID=tonline_ata;MEDIUM=ATA_EXCL;LISTLEVEL=1;
ID=tonline;
}

NAME=Telekom$Einrichtung für Zuhause Start Tarife
{
ID=telekom_zs;
}
Vermutlich wird die Auswahl nur beim Assi für die Ersteinrichtung überhaupt angeboten (darauf habe ich bei der 7490 gerade keinen Bock) - aber viel spannender finde ich eben an dieser Stelle den Inhalt der tr069.cfg:
Code:
tr069cfg {
        enabled = yes;
        igd {
           DeviceInfo {
              ProvisioningCode = "000.000.000.000";
           }
           managementserver {
              url = "https://acs.t-online.de/acs-v2/";
              username = "";
              password = "";
              URLAlreadyContacted = no;
              SessionTerminationWithEmptyPost = yes;
              ConnectionRequestUsername = "acs.t-online.de";
              ConnectionRequestPassword = "0f5bc0a4bb5a85990872214f29e15bb1";
           }
        }
        FirmwareDownload {
           enabled = yes;
           enabled_converted = yes;
           upload_enabled = no;
        }
        ACS_SSL {
           [COLOR="#FF0000"]own_cert_file = "/etc/default/avm/tr069-default-iad-fritzchen.telekom.de.pem";[/COLOR]
           verify_server = yes;
           trusted_ca_file = "/etc/default/avm/root_ca.pem";
        }
        Download_SSL {
           own_cert_file = "/etc/default/avm/tr069-default-iad-fritzchen.telekom.de.pem";
           verify_server = yes;
           trusted_ca_file = "/etc/default/avm/root_ca.pem";
        }
}
Das CPE soll sich hier also mit einem eigenen Zertifikat (das aber in der Firmware im SquashFS liegt und damit für alle Geräte mit derselben Firmware auch dasselbe Zertifikat ist) ggü. dem ACS ausweisen - meines Wissens die erste Konfiguration überhaupt, wo die schon länger existierende Option "own_cert_file" genutzt wird.

Jedenfalls liegt dann auf dem Filesystem auch diese Datei und dort ist logischerweise - wenn sich das CPE damit authentifizieren soll - auch der zugehörige private Schlüssel vorhanden ... in "encrypted"-Form direkt mit in der erwähnten PEM-Datei (das ist mal wirklich das übliche PEM-Format).

Jetzt würde mich halt mal interessieren, wie das bei der Telekom dann genau ablaufen soll ... die entscheidende Frage für mich ist es, ob dieses Zertifikat jetzt gegen eine ähnliche Lücke, wie sie bei o2 existierte, schützen soll oder was man ansonsten damit bezweckt. Bei o2 war es ja möglich (ob das immer noch der Fall ist, weiß ich nicht, es sollte eigentlich Geschichte sein), auch mit einem (böswilligen) Client im LAN die VoIP-Credentials vom ACS des Providers zu erhalten. Wenn das (gerade bei BNG) nur noch "an der Leitung" hängen sollte und die Übermittlung der Daten für die "voip.cfg" der FRITZ!Box nur daran hängen sollte, daß die Gegenstelle sich mit dem richtigen Zertifikat ausweist, dann sehe ich schon wieder etwas schwarz in puncto "Security".

Das Filtern von TR-069-Verkehr ist nicht so ohne weiteres machbar ... das ist per se ja erst einmal ganz normales HTTP (ob nun ohne oder mit TLS, bei letzterem "sieht" der Router gar nichts vom Inhalt) mit einem SOAP-Request und um den irgendwie zu filtern (der Telekom-ACS verwendet ja ganz normal den Port 443 lt. ACS-URL oben), muß man erstens in den Inhalt hineinsehen können und dann schon "XDPI" (eXtremly Deep Packet Inspection :)) betreiben. Die Alternative wäre das Filtern anhand der IP-Adresse - die müßte man auch erst einmal aus dem Namen "acs.t-online.de" bilden.

Ansonsten bliebe vielleicht noch das Blockieren von SIP-Traffic zu t-online.de aus dem LAN, um den Mißbrauch von Credentials zu verhindern ... die Zutaten gibt es ja bereits, inkl. einer eigenen "QoS classification" für SIP-Traffic bei der Telekom. Dann wären nur noch die Kunden "gefährdet" (immer unter der Voraussetzung, daß man auch als "Nicht-FRITZ!Box" die Daten "abgreifen" könnte, was bisher spekulativ ist), die z.B. SIP-Telefone direkt beim Provider registrieren und daher die "VoIP-Sperre" in der DPI nicht generell einschalten können.

Da bin ich also mal gespannt wie der berühmte "Flitzebogen", was das am Ende werden soll ... vielleicht hat es ja schon jemand ausprobiert?
 
Zuletzt bearbeitet:
Hallo PeterPawn nun darf ich zum ersten mal nach unserem "unvorteilhaften" Gespräch neulich auch mal ne Frage beantworten, das freut mich.
Ich hab laut Telekom gelesen, dass grundsätzlich an den Fritten kein EasySupport geht wenn es sich um einen DSL Zuhause Starter Tarif handelt, sowie auch bei einem Businesstarif. Es müssen die aktuellen Magenta Tarife sein für PRivatkunden. Um ebenso das ganze aktivieren zu können, muss man auch die Fritte einmalig auf WErkseinstellung setzen. Aus dem aktuell eingerichteten Zustand, lässt sich das ganze nicht nutzen. Schau mal hier, das sagt die Telekom direkt dazu.

Was ist Easy Support bei der FRITZ!Box 7490?
EasySupport umfasst für Telekom Kunden mit Internetanschluss (außer Zuhause Start und DSL Business) das Einrichten und Warten der FRITZ!Box 7490.

Grundsätzlich wird die FRITZ!Box 7490 für den Internetzugang und ggf. für die Telefonie (am IP-basierten Anschluss) automatisch eingerichtet.
Informationen zur Unterstützung über die Hotline


Datenschutz bei EasySupport

Weitere Informationen zum Datenschutz und zur Nutzung
Bei der Nutzung von EasySupport werden gerätespezifische Daten übermittelt und in den Systemen der Telekom gespeichert. Dazu gehören Hersteller des Geräts, Hardware-Typ und –Version, Mac-Adresse und Firmware-Version.
Diese werden in unseren hochgesicherten Rechenzentren gespeichert.

Voraussetzungen für die Nutzung mit der FRITZ!Box:

  1. Sie sind Festnetzkunde der Telekom und Sie haben keinen Zuhause Start-Tarif oder DSL-Business Anschluss.
  2. Sie haben die FRITZ!Box 7490 und nutzen FRITZ!OS 6.62 oder höher
  3. Bei der Erstinstallation wurde EasySupport eingeschaltet
Gut zu wissen: Wenn Sie einen Internetzugang mit Zeit- und Volumentarif nutzen - Durch die regelmäßige und automatische Verbindung wird geringfügig Datenvolumen verbraucht.


EasySupport bei der FRITZ!Box 7490 einschalten:

Der Service kann nur bei der Erstinbetriebnahme und bei Nutzung FRITZ!OS 6.62 oder höher aktiviert werden.
Nach Auswahl des Internetanbieters "Telekom" ist EasySupport bereits vorbelegt.
Möchten Sie den Service nachträglich nutzen, müssen Sie die FRITZ!Box auf die Werkseinstellungen zurücksetzen.

EasySupport deaktivieren:
Möchten Sie EasySupport nicht mehr nutzen, können Sie im Einrichtungsprogramm Ihrer FRITZ!Box 7490 auf die manuelle Eingabe der Zugangsdaten wechseln. Hiermit wird EasySupport deaktiviert.

Q: https://www.telekom.de/hilfe/geraete-zubehoer/router/easysupport/easysupport-mit-fritzbox-7490
 
@Scary674:
1. Ich "zähle" nicht, bin nicht wirklich nachtragend und kann mich an solche Konversationen meist nach einer Woche schon nicht mehr erinnern - da müßte es schon "richtig spannend" oder neu gewesen sein.

2. Ich hatte es vielleicht nicht deutlich genug geschrieben ... die Aussagen der Telekom waren mir schon bekannt (daher ja auch meine Feststellung, daß es am T-DSL-Business ohnehin nicht funktionieren würde). Meine "Unsicherheit" bzgl. des Tarifes bezog sich eher darauf, ob das nun unbedingt einen "Magenta irgendwas"-Tarif für Privatkunden braucht oder ob auch ein (aktueller) Geschäftskunden-Tarif (DeutschlandLAN IP) damit konfiguriert werden kann.

Aber nichtsdestotrotz ... danke für die Antwort. Jetzt braucht es nur noch jemanden, der das auch in der Praxis schon einmal verwendet hat oder es vielleicht bei der Inbetriebnahme seines neuen Telekom-Anschlusses mal ausprobiert. Ich gehe mal davon aus, daß die Kernfrage dahinter (kriegt man vom Telekom-ACS die Konfigurationsdaten, wenn man sich für das CPE ausgibt) nur an einem Anschluß abschließend zu klären ist, an dem die Box selbst entsprechend konfiguriert wurde.

Es wäre ja auch denkbar, daß der Telekom-ACS bei jeder Konfiguration neue Kennwörter erzeugt ... dann gingen bei einem Konfigurationsversuch aus dem LAN die in der FRITZ!Box eingerichteten Konten nicht mehr und es würde früher oder später auffallen ... aber bis dahin könnten dann (wenn es denn funktioniert) die erbeuteten Credentials wieder aus dem LAN heraus mißbraucht werden (z.B. von einem infizierten Android-Gerät aus).
 
Also wie du ja weißt mit deinen Knowhow an Fachbegriffen kann ich ja nicht mithalten, aber um die Frage zu beantworten: ich hab es an meinem Anschluss in der Tat bereits getestet. Man muss dann nur seine Zugangsnummer eingeben und das Passwort. Eingerichtet wird dann eben der Zugang zum Internet und die Rufnummern vom Anschluss werden eingetragen. Zuletzt soll man lediglich noch eine aktuelle Vorwahl zur Ortskennung angeben und dann wars das. Danach kommt das reguläre manuelle einrichten wie an welcher Buchse oder welchem Telefon soll welche Nummer halt zugeordnet sein. Prinzipiell tut es also nicht mehr als auch an den Speedportroutern. Wenn denn die Verbindung klappt zu den Telekomservern. Fehlt ja eigentlich so nur noch WlanTo Go in der Fritte um den Speedport gänzlich abzulösen. Aber soweit ich weiß, soll das technisch nicht möglich sein und ist sowieso nen anderes Thema.
 
@Scary674:
Dann werde ich mal nicht versuchen, Dich zu einem Test mit einem "CPE im LAN" zu überreden ... ich müßte ohnehin erst das Kennwort für den privaten Schlüssel im CPE-Zertifikat ermitteln. Wobei das eigentlich nicht so kompliziert zu finden sein kann ... das Kennwort wird sicherlich (theoretisch zumindest, denn er existiert eben schon länger - mind. seit 06.05) für alle derartigen Zertifikate dasselbe sein, denn es gibt ja keinen entsprechenden Parameter - zumindest ist keiner zu sehen. Aber auch mit entschlüsseltem "private key" braucht es noch entsprechende SOAP-Requests (das ist dann tatsächlich eine Parallele zum Update-Check), damit der ACS event. mit einer VoIP-Konfiguration antwortet.
 
Bei mir bis jetzt alles ok mit guten Syncwerten (Infineon / DSL 16.000).
 
Status
Für weitere Antworten geschlossen.
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.