[Info] FRITZ!Box 7490 Labor-Firmware Version 113.06.25-30593 vom 08.06.2015

[PeterPawn]

Das würde jetzt wenn ich alles richtig verstanden habe nicht mehr gehen?

Das hast Du falsch verstanden, die Telefoncodes haben mit dem Telnet-Daemon nur peripher zu tun. Wenn die anderen Voraussetzungen stimmen, funktioniert sogar der Start des Telnet-Daemons über den passenden Telefoncode (#96*7*) noch in dieser Laborversion.

 

[Pikachu]

"Wenn Sie bei "Eigene MSN" eine Internetrufnummer eingetragen haben, aktivieren Sie bei "ISDN-Controller" die Einstellung "FRITZ!Box Internet". Falls diese Einstellung ausgegraut ist und nicht aktiviert werden kann, aktivieren Sie CAPIoverTCP in der
FRITZ!Box." .....

"CAPIoverTCP in FRITZ!Box aktivieren - Wählen Sie am Telefon #96*3* und drücken Sie die Gesprächstaste (Hörer abheben)."

Normalerweise soll die Funktion immer automatisch bei der Installation von Fritz!fax an der Box aktiviert werden, das kann aber ab und an nicht funktionieren (vermutlich Firewall). Jedenfalls muss man dann zu #96*3* zurückgreifen. Das würde jetzt wenn ich alles richtig verstanden habe nicht mehr gehen?

Wenn es per Telefon nicht gehen sollte dann verwende das hier:

Mit FBeditor 0.6.9.7 Konfiguration einlesen und nach capi suchen (strg+f).
Der Eintrag muss folgendermaßen aussehen:

capiovertcp {
enabled = yes;
maxctrl = 99;
port = 5031;
}

Bei mir war das Problem das Capi zwar an war aber die maxctrl auf 1 statt auf 99 stand!!!

Eintrag anpassen und Konfiguration zurückspielen.

dann sollte es mit viel Glück wieder gehen.

Denn das Aktivieren über Fritzfax geht schon seid der Firmware Version ab xxx.05.50 nicht mehr.

Und meine Tools gehen jetzt leider auch nicht mehr ab der Firmware Version ab xxx.06.25, Sorry.

Und da es keine Lösung dazu gibt ist die weiter Entwicklung aller Tools von mir ab jetzt Eingestellt.

Beschweren könnt ihr euch bei AVM die das schon seid ein paar Jahren verbockt haben.

Gruß Erwin

 

[AndreasD]

Hallo,

danke euch für die Info. Das ist schon irgendwie schade das schon die eigenen Funktionen nicht mehr hundertprozentig unterstützt werden.

Gruß

Andreas

 

[andiling]

Bei mir geht das toggeln des CapioverTCP mit dem Telefon nach wie vor. Und telnet gehört nicht zum beworbenen Leistungsumfang der Box.

 

[KiRKman]

Vielleicht können wir auf Gewohnheitsrecht pochen

"Ich nutze seit nunmehr elf Jahren Telnet auf der FRITZ!Box, wenngleich dieses nie zum beworbenen Funktionsumfang der Box gehörte, Herr vorsitzender Richter. Daher ist Telnet sowohl als Tradition als auch als volkstümlicher Brauch zu verstehen... Des Weiteren ist meine Nutzung von Telnet durch AVM stets geduldet worden! Darf man das nun einfach so abschalten und verbieten?"

 

[OD1001]

@KiRKman: Schau Dir 'mal folgende Seite an: http://www.ip-phone-forum.de/showthread.php?t=279455&page=2
Das müsste doch auch mit der 7490 funktionieren...

 

[KiRKman]

Aber was soll ich jetzt Firmware entpacken und den telnetd nachrüsten, wenn er gar nicht weg ist? Es fehlt ja bisher nur der Symlink. Und wir hatten schon verschiedene Wege erörtert, um den wieder zu erzeugen.

Nur für Telnet muss ich auch nicht unbedingt ganz auf Freetz umsteigen.

Wenn es nur ums Ändern von Einstellungen geht, so kann ich das notfalls auch über den FBEditor erledigen, oder? Ich möchte aber trotzdem nach Möglichkeit weiter Telnet mit der original AVM-Firmware nutzen! Abseits des simplen Änderns von Einstellungen hat mir Telnet immer sehr viel gebracht - vor allen Dingen bei der Fehlersuche und dem Kreieren von Workarounds, was eigentlich Aufgabe von AVM gewesen wäre

 

[koyaanisqatsi]

Moins

Das geht mit einem Pseudofirmwareflash, solange in der AVM busybox der telnetd enthalten ist.
Dazu müsste die /var/install so aussehen...

#!/bin/sh
# start ctlmgr if stopped
$(ps |  grep -v grep | grep -q ctlmgr) ||  ctlmgr 

/bin/busybox telnetd -l /bin/ash -p 223

# kill firmwarecfg or box will reboot after about one minute 
killall firmwarecfg
update_led_off
exit 0

Gibt eine SHELL ohne Login auf Port 223.
Noch nicht getestet, soll ich mal?

 

[PeterPawn]

Das geht mit einem Pseudofirmwareflash, solange in der AVM busybox der telnetd enthalten ist.

Geht es wirklich, aber nicht so wie von Dir beschrieben. Wenn Du die AVM-Busybox verwenden willst, brauchst Du auch den Symlink in /usr/sbin/telnetd. Wohin der zeigt, ist egal ... entscheidend ist, daß er existiert, denn AVM ändert da die Quellen.

Ich zitiere mich mal selbst aus einer PM an eisbaerin:

/bin/busybox telnetd -l /sbin/ar7login
und dann geht es auch ohne Symlink.
Wo liegt mein Fehler?

Das Problem liegt in einem Patch des Telnet-Daemons in der AVM-Busybox, der folgendermaßen aussieht:

--- busybox-1.16.1/networking/telnetd.c.org 2010-11-08 16:05:22.000000000 +0100
+++ busybox-1.16.1/networking/telnetd.c 2010-11-08 16:05:28.000000000 +0100
@@ -23,9 +23,13 @@

 #define DEBUG 0

+#include <sys/types.h>
+#include <sys/stat.h>
+#include <unistd.h>
 #include "libbb.h"
 #include <syslog.h>

+
 #if DEBUG
 #define TELCMDS
 #define TELOPTS
@@ -450,6 +454,13 @@
        master_fd = -1,
    };
 #endif
+    struct stat stat_buf;
+   [COLOR="#FF0000"] if(lstat("/usr/sbin/telnetd", &stat_buf)[/COLOR]) {
+        return -1;
+    }
+    [COLOR="#FF0000"]if(!S_ISLNK(stat_buf.st_mode))[/COLOR] {
+        return -1;
+    }
    INIT_G();

    /* -w NUM, and implies -F. -w and -i don't mix */

Damit wird beim Start des Telnet-Daemons geprüft, ob der Link existiert ... wohin er am Ende zeigt, ist sogar vollkommen egal. Der erste Test prüft die Existenz der Datei, der zweite, ob es ein Symlink ist.

Dieser Test ist natürlich in einer eigenen Busybox nicht enthalten und da funktioniert das Starten des Telnet-Daemons dann auch tatsächlich in der Form mit dem vorangestellten "busybox" ... was ggf. auch nicht unbedingt erforderlich ist, es gibt beim Übersetzen der Busybox eine Option, mit der man die Suchreihenfolge nach unbekannten Kommandos abändern kann und dann wird ggf. einem Busybox-Applet sogar der Vorzug vor einer irgendwo anders vorhandenen Datei gegeben.

Man muß also in einem Pseudo-Image wieder diesen Link erzeugen, wenn man die AVM-BB verwendet. Wie das aussehen kann (/usr/sbin ist ja r/o), habe ich bei der 6360-Telnet-Geschichte (da wird das von AVM ja genauso "abgeschafft", exakt durch das Löschen des Symlinks) oder letztens irgendwo im Zusammenhang mit der 3490 geschrieben.

 

[koyaanisqatsi]

Danke für die klare Information.
Das spart graue Haare. Wenns soweit ist.

Meine busybox ist eh die Beste, pöh.

 

[PeterPawn]

Das müsste doch auch mit der 7490 funktionieren...

Ich versuche hier glatt noch einmal für modfs die Trommel zu rühren, Du hast ja nach der Signatur auch eine 7490 ... damit geht das Reakivieren des Telnet-Daemons sogar dann, wenn man außer der FRITZ!Box gar kein weiteres Linux-System hat - jedenfalls auf den unterstützten Modellen, die ich gerne erweitere (kann aber auch jeder selbst machen), wenn es jemand testen will auf den anderen potentiellen Kandidaten (NAND-Flash für das System und "dual-boot"-fähig (oder "hot flashable", was auf dasselbe hinausläuft)).

Man muß halt nur noch auf der Version mit einem Telnet-Zugang das Update auf eine AVM-Laborversion über das Skript ausführen lassen, dabei kann dann gleich die debug.cfg und auch der Telnet-Daemon wieder eingebaut werden und der Arbeitsaufwand zwischen einem Update per AVM-GUI und einem per modfs ist in etwa derselbe, nur das Packen dauert auf einer 7490 eben schon mal 5 Minuten, das geht auf dem PC halt schneller.

Hat man schon ein AVM-Image ohne Telnet-Daemon geflasht, muß man eben mit einem Pseudo-Image erst mal den (temporären) Telnet-Zugang wieder einrichten, damit man modfs überhaupt anwenden kann. Aber wenn man anschließend immer gleich beim Update die Modifikationen auch ausführen läßt, ist das ja nur ein einmaliges Problem für den ersten Telnet-Zugriff. Solange man wirklich nichts anderes machen will (es gibt noch ein paar weitere Modifikationen, die sind aber optional und man muß sie ja nicht nehmen), ist das jedenfalls wesentlich weniger Aufwand als das Einrichten einer Freetz-Linux-VM. Will man weitere Sachen ändern (und Binärdateien hinzufügen), muß man sich eben zwischen "nahe beim AVM-Original" und "Freetz" entscheiden.

 

[full2000]

Ist es denn auch möglich, den telnet-link direkt in die rc.tail.sh mit einzubauen? Dafür muss man halt die Firmware mittel freetz entpacken, aber in der rc.tail.sh "fusche" ich ja sowieso schon wegen der debuig.cfg rum. Wäre also im Prinzip ein Abwasch....

 

[PeterPawn]

Ist es denn auch möglich, den telnet-link direkt in die rc.tail.sh mit einzubauen?

Den Link kann man natürlich auch wieder anlegen, wenn man die Firmware ohnehin neu packen läßt und zwar egal auf welchem Weg das erfolgt ... wenn /usr/sbin geändert werden kann, kann man den anlegen. Was das mit der rc.tail.sh zu tun haben soll, verstehe ich nicht.

 

[full2000]

Das mit rc.tail.sh ist natürlich quatsch, stimmt. Also du meinst, den Link einfach im entpackten Firmware-Image manuell anlegen und gut ist?

 

[PeterPawn]

@full2000:
Exakt so ... anschließend einpacken, flashen, glücklich sein.

Bei 30593 funktioniert das jedenfalls problemlos und - an anderen Stellen mehrfach von mir erwähnt - sogar die Steuerung über die Telefon-Tastencodes funktioniert dann wieder für den Telnet-Daemon. Wie das in künftigen Versionen aussieht, weiß ich natürlich auch nicht ... aber ich gehe nicht davon aus, daß das hier in einen Wettlauf mit AVM ausartet. Wenn man die Aussagen von Urban Bastert akzeptiert, dann ist das Ziel ja eine Verbesserung der Sicherheit für den Großteil der Kunden und nicht das Verärgern der Bastler:

Wie AVM-Sprecher Urban Bastert gegenüber heise Netze erklärte, "war und ist Telnet kein Leistungsmerkmal der Fritzbox". Allerdings führte das versehentliche Aktivieren dieses Dienstes bei den Nutzern immer wieder zu Irritationen, denn ein einmal laufendes Telnet lässt sich nur durch ein Recovery der Firmware abschalten. Unabhängig davon verhindere das nicht, dass der Nutzer selbst erstellte Firmware auf einer Fritzbox installieren könne, wenn er es tatsächlich möchte. Solche Eigenentwicklungen und Beteiligungen unterstütze AVM außerdem durch sein Fritzbox-Labor, die ausführlichen Schnittstellenbeschreibungen und die Veröffentlichungen der GPL-Pakete des jeweiligen Firmware-Releases, erklärt Bastert abschließend.

Auch wenn die Aussage, daß sich Telnet nicht abschalten ließ/läßt, natürlich Bullshit ist, gehe ich einfach mal davon aus, er meinte die "modifizierte Firmware"-Anzeige in TFFS-Node 87 und wurde da von heise.de nur falsch interpretiert/zitiert. Und solange dieser Weg beim "normalen Kunden" das "versehentliche Aktivieren dieses Dienstes" (das passiert mir heute noch, daß ich einfach auf den Tasten eines Telefons herumdrücke, dabei #96*7* eingebe und damit dann versehentlich den Telnet-Daemon aktiviere*) verhindert, sollte es ja keinen Grund geben, weitere Änderungen an dieser Stelle vorzunehmen.

Das läßt dann auch darauf hoffen/vertrauen, daß die Bemühungen wirklich der Erhöhung der Sicherheit dienen und nicht in den erwähnten Wettlauf ausarten. Wie so etwas in der Regel ausgeht, kann man auch anhand anderer "Wettkämpfe" sehen ... was das iOS-Update auf 8.4 noch in der verbleibenden Zeit bis zur Veröffentlichung wieder schließen kann angesichts des Jailbreaks für 8.3, ist zwar spannend, aber das kostet Apple garantiert auch entsprechende Nerven und Anstrengungen und die Programmierabteilung dort dürfte um einiges größer sein als bei AVM. Damit wäre ja dann auch die Idee eines verriegelten Bootloaders oder das Blockieren unsignierter Firmware beim Update vom Tisch, zumindest für die bisher verfügbaren Modelle, wenn man die Glaubwürdigkeit nicht komplett verspielen will. Das Ansehen hat aufgrund nicht so glücklicher Aktionen in letzter Zeit ja ohnehin etwas gelitten, wie man auch hier immer wieder mal lesen kann ... wenn jetzt anstelle immer wieder neuer Funktionen auch mal eine Qualitätsoffensive gestartet wird, kann das ja für den Kunden und das Image des Herstellers nur gut sein.

Ich kann es mir aber wieder nicht verkneifen darauf hinzuweisen, daß Telnet wirklich nicht die erste Wahl sein sollte, wenn man auf der anderen Seite eine sichere(re) FRITZ!Box haben möchte. Die Telnet-Kommunikation ist komplett im Klartext, da geht also nicht nur bei der Authentifizierung das Kennwort 1:1 über die Leitung, auch jede weitere Ein- und Ausgabe ist (zumindest mit einer Kabelverbindung für den Lauscher) problemlos mitzuschneiden.

Wer ohnehin modifiziert und neu packen muß, kann auch gleich eine bessere Lösung in Betracht ziehen und z.B. ShellInABox mit TLS-Verbindung verwenden. Das ermöglicht die Benutzung der Shell auch direkt im Browser - aber eben verschlüsselt und für einen Lauscher damit wertlos - und mit ein paar weiteren Fingerübungen kann man sich sogar einen passenden Link in die AVM-Oberfläche integrieren, am besten am unteren Rand des Fensters. Wenn man auf den Permalink zum Newsletter-Bestellen verzichten kann und auch die AVM-Seite ohne Nachhilfe im Internet finden würde, ist am rechten Rand noch genug Platz für einen entsprechenden Link (da hat die CSU den rechten Rand entgegen dem Veto eines ehemaligen Vorsitzenden dann doch aus den Augen verloren und das ist jetzt tatsächlich eine nicht hierher gehörende Einlassung).

Dafür braucht es nur ein passend übersetztes ShellInABox-Paket und einige wenige zusätzliche Änderungen an Start-Skripten (wenn man nicht die debug.cfg ohnehin reaktiviert, dann kann man das auch dort starten) und ein oder zwei AVM-GUI-Files. Das kann man problemlos in einen Patch integrieren, den man dann einfach zwischen dem Aus- und Wiedereinpacken des AVM-Images ausführen läßt und dann kann man sogar auf die Installation eines PuTTY o.ä. verzichten, wenn man ohnehin einen Browser zur Verfügung hat (und nur Kommandos ausführen will).

Wer unbedingt von Linux aus per Kommandozeile zugreifen will (also ohne Browser, dafür taugt SIAB nicht), der installiert dann eben einen SSH-Server (die 7490 ist potent genug und wer sich ein wenig mit OpenSSH auskennt, verwendet dann ohnehin "connection sharing" und nimmt dem SSH-Server damit ständige Anmeldungen ab) und hat damit noch ganz andere Möglichkeiten, z.B. autofs mit sshfs für den Datenaustausch oder auch SSH-Tunnel zu irgendwelchen weiteren Diensten auf der Box, die sonst auch nur im Klartext kommunizieren würden bzw. wo der erfolgreiche Aufbau des Tunnel gleichzeitig als Authentifizierung/Autorisierung dient. Das geht natürlich mit PuTTY/KiTTY und Windows ebenfalls, es ist nur eine Frage der persönlichen Vorlieben.

Der entscheidende Punkt ist und bleibt die sichere Kommunikation zwischen der FRITZ!Box und deren "Manager" ... wer da wirklich Telnet verwendet und sich ansonsten aber Gedanken um die Sicherheit seines LANs macht, der übersieht diese generelle Schwachstelle genauso, wie die "Gefahr" der Benutzung des AVM-GUI ohne TLS - es geht ja auch mit, man muß nur die Disziplin dazu aufbringen.

Das sind jedenfalls alles Eingriffe, die weit unterhalb der "Schwelle" eines kompletten Freetz-Images möglich sind und die ursprüngliche Arbeitsweise und die korrekte Funktion des FRITZ!OS nur dann beeinträchtigen, wenn man dabei Fehler macht. Selbst das Nachrüsten einer LED-Anzeige für bestimmte Zustände (ich wünsche mir schon lange, daß man die INFO-LED auch für die Anzeige einer bestehenden VPN-Verbindung nutzen könnte) ist noch kein "wirklicher Eingriff".

Wer seine debug.cfg (oder wie auch immer er sie nennt) etwas ausgefeilter implementiert, der regelt einfach durch die An- oder Abwesenheit eines USB-Sticks oder irgendeine andere Semaphore (selbst die Abfrage, ob LAN-Kabel gesteckt sind oder ein bestimmter Client (per ARP) verfügbar ist (z.B. das eigene NAS), sind ja denkbare "Schalter" für den Notfall), ob die eigenen Modifikationen überhaupt gestartet werden sollen.

Wenn man die dann nicht startet und auch sonst keine Änderungen vornimmt, die sich in den Support-Daten niederschlagen, kann man mit so einer FRITZ!Box sogar die Support-Daten erzeugen und an AVM senden, ohne daß man dort etwas davon bemerkt - wobei man diese Möglichkeit natürlich in erster Linie dann verwenden sollte (also das "Stilllegen" der eigenen Modifikationen), wenn man ergründen will, ob ein Problem mit der originalen Firmware auch auftritt oder ob es doch auf eigene Änderungen zurückzuführen ist. Wobei dieser Test (auf NAND-Modellen mit "dual boot") natürlich auch mit einem eigenen und einem originalen System im Flash möglich ist ... aber eine Art "Not-Aus" ist nie falsch und merkwürdigerweise immer dann nicht vorhanden, wenn man es brauchen könnte - dann nimmt man sich in der Regel vor, das als nächstes umzusetzen und wundert sich beim nächsten Problem dann doch wieder, warum das noch niemand implementiert hat.

* Wenn mal wieder jemand versehentlich den Telnet-Daemon über die erwähnte Tastenkombination aktiviert hat, hilft es auch gegen die berühmt-berüchtigte "nicht autorisierte Änderungen"-Meldung, wenn man sich einfach nicht über den Telnet-Daemon in der Box anmeldet und ihn wieder über #96*6* deaktiviert. Das Flag wird ja erst bei einem Login gesetzt (und zwar bei jedem, wenn man ar7login verwendet, wie es die AVM-Version nun mal macht, denn das ist im telefon-Daemon fest hinterlegt) ... die Möglichkeit, dieses Flag auch wieder zurückzusetzen, ist ja auch kein wirkliches Geheimnis, wenn man die zwei notwendigen Schritte zum Setzen des Flags (es geht hier nur um Telnet, nicht um die anderen Anzeigen in TFFS-Node 87) mal wieder versehentlich hintereinander in der richtigen Reihenfolge ausgeführt hat und nun so irritiert ist, daß man Recovery in Erwägung zieht, nur um diese unschöne Meldung wieder loszuwerden.

 

[koyaanisqatsi]

Das wäre wirklich nach meinem Geschmack...

Wer seine debug.cfg (oder wie auch immer er sie nennt) etwas ausgefeilter implementiert, der regelt einfach durch die An- oder Abwesenheit eines USB-Sticks oder irgendeine andere Semaphore (selbst die Abfrage, ob LAN-Kabel gesteckt sind oder ein bestimmter Client (per ARP) verfügbar ist (z.B. das eigene NAS), sind ja denkbare "Schalter" für den Notfall), ob die eigenen Modifikationen überhaupt gestartet werden sollen.

...weil ich eh der Meinung bin, dass ein individualisiertes System wesentlich sicherer/unangreifbarer ist als ein "genormtes".

Vor Urzeiten hatte ich einen Amiga 600 HD, der sich nur bei eingesteckter PCMCIA Karte starten liess.
...jetzt nennt man sowas: E-Token :mrgreen:

 

[full2000]

Also ich finde, das ein aktiviertes Telnet für die meiseten User kein Sicherheitsrisiko ist. Schliesslich ist eine Telnet-Sitzung nur abhörbar, wenn man sich ins LAN einklingt (oder wenn die WLAN-Verbindung unverschlüsselt ist, aber das sollte heute ja nicht mehr die Regel sein). Eine Telnet-Sitzung über's WLAN ist genauso sicher (oder unsicher...) wie z.B. ein Abfragen seines Kontostandes im heimischen WLAN.

Und dass sich einer ins LAN einklingt, ist bei den meisten privaten User im eigenen Haus bzw. in der eigenen Wohnung doch relativ unwahrscheinlich...

Für Firmen sieht das ganze dann natürlich ganz anders aus. Dort ist Telnet wirklich ein Sicherheitsrisiko.

 

[SF1975]

Hallo,

Und dass sich einer ins LAN einklingt, ist bei den meisten privaten User im eigenen Haus bzw. in der eigenen Wohnung doch relativ unwahrscheinlich...

Meinst Du wirklich, dass sich niemand übers LAN einklinken kann, wenn der User sich etwas einfängt und/oder ein unsicheres Pwd hat?

 

[koyaanisqatsi]

PeterPawn ist Schuld.
Er hat hier im Forum gewettert als sie nc (netcat) ausgebaut haben,
dass diverse Hacks mit telnetd genauso easy wären wie mit nc.
...das müssen die (AVM) gelesen, und die Bräune aus den Gesichtern vertrieben haben.

Achso...

Das Flag wird ja erst bei einem Login gesetzt (und zwar bei jedem, wenn man ar7login verwendet, wie es die AVM-Version nun mal macht

...ich hab beobachtet: Wenn telnetd auf Port 23 läuft
Ob mit ar7login? oder nicht, auf einen anderen Port störts AVM nicht.

 

[qwertz.asdfgh]

Und solange dieser Weg beim "normalen Kunden" das "versehentliche Aktivieren dieses Dienstes" (das passiert mir heute noch, daß ich einfach auf den Tasten eines Telefons herumdrücke, dabei #96*7* eingebe und damit dann versehentlich den Telnet-Daemon aktiviere*) verhindert, sollte es ja keinen Grund geben, weitere Änderungen an dieser Stelle vorzunehmen.

Ich muss gestehen das ich das noch nie probiert habe aber funktioniert #96*7* (Telnet aktivieren) eigentlich bei Freetz-Images überhaupt (also existiert bei Freetz überhaupt der telnetd-Symlink)? Bin gerade zu faul zum nachschauen/überprüfen... Wenn die Antwort ja lautet wäre ich persönlich dafür dass das geändert wird, keine Aktivierung von telnetd per Telefoncode bei Freetz (bzw. wenn dann nur optional), also so wie bei den zukünftigen AVM Firmwareversionen.
Wenn man bei einem Freetz-Image wirklich mal Telnet benötigt kann man das über das Freetz-WebIf (AVM-Dienste) aktivieren (ich glaube das habe ich bis jetzt nur mal genutzt damit ich mal mit dem ruKernelTool herumspielen konnte).