[HowTo] Fritzbox 7590 Port 443 bereits belegt vom ctlmgr. Eigene Dienste (SSLH/SSH) auf Port 443 auf der 7590 erreichbar machen.

R0cket

Mitglied
Mitglied seit
20 Sep 2009
Beiträge
342
Punkte für Reaktionen
1
Punkte
18
EDIT: Lösung siehe weiter unten!

Hallo,

ich habe neuerdings von einer 7390 auf eine 7590 geupdated und einige Dienste laufen nicht wie gewohnt.

Mir war aufgefallen, dass SSLH auf der 7590 nicht startet. Der Grund ist, dass ich SSLH oder zumindest SSH u.a. auf Port 443 laufen lassen MUSS. Auf der 7390 habe ich dafür den Port für den SSL Zugriff auf die WebUI auf einen anderen Port gestellt, so dass Port 443 frei war und dann SSLH auf Port 443 laufen lassen und alles war OK. SSLH hat dan alles weitere gemacht.

Auf der 7590 bleibt der Port 443 von der Fritzbox belegt, auch wenn man den WebuI SSL Port ändert. Laut Netstat ist der Port 443 von ctlmgr belegt.

Hier wird in etwa das Problem Beschrieben:




AVM hat wohl als "feature" eingeführt, dass die WEBUI intern auch immer über SSL erreicht wird, ob man das will oder nicht. Der riesen Nachteil ist, dass der oftmals einzige offene Port 443 dauerhaft belegt ist. Was das für ein monumentales Problem ist, wenn man hinter einer Firewall sitzt, die nur Port 443 offen hat, will ich hier nicht weiter erläutern.

In den post oben wurde geraten den ctlmgr über:

ctlmgr -s

zu stoppen.

bei mir macht die Box aber den Port 443 trotzdem nicht frei. Auch ist es nicht ideal den ctlmgr abzuschlaten.

Ich kann in der Fritzbox Portforwards von Port 443 auf Geräte hinter der Fritzbox leiten lassen, was gegenwärtig meine Ausweichlösung ist, aber nicht Dauerzustand sein soll, da dazu ein weiteres Gerät dauerhaft laufen muss, wass ich vermeiden will. Auf der 7590 soll ein ssh server laufen, der auf Port 443 hört. SSLH habe ich im Einsatz, da ich nur Port 443 nutzen kann, und daher den port 443 für mehr als nur SSH verwenden will.

Wie mache ich dass nun auf der 7590, wenn die Box nun den Port 443 nun selber dauerhaft belegt?

Das Paket AVM-Forwarding ist nicht auswählbar, wenn man freetz fpr die 7590 builden will. Wie mache ich nun Port forwards of die Box selber?

Es ist ein riesen Nachteil, wenn man keine eigene Anwendungen mehr auf der Box auf Port 443 laufen lassen kann.

Gibt es dazu bereits eine Lösung?


Lösung:

Hinweis: Die Befehle am besten mit ; zusammenfassen, damit die Dämonen nicht alles wider überschreiben:

ctlmgr -s; voipd -s; cp /var/tmp/ar7.cfg /var/flash/ar7.cfg; reboot

Also ingesamt:

cat /var/flash/ar7.cfg > /var/tmp/ar7.cfg
vi /var/tmp/ar7.cfg
unter:
voip_forwardrules

Neue Zeile einfügen mit: o

"tcp 0.0.0.0:443 0.0.0.0:943";

ctlmgr -s; voipd -s; cp /var/tmp/ar7.cfg /var/flash/ar7.cfg; reboot

ESC und :wq
 
Zuletzt bearbeitet:

PeterPawn

IPPF-Urgestein
Mitglied seit
10 Mai 2006
Beiträge
12,526
Punkte für Reaktionen
852
Punkte
113
Hast Du denn bereits versucht, den Service intern an einen anderen Port zu binden (das muß er nun mal können, sonst sollte man sich einen anderen Service dafür suchen) und dann per "voip_forwardrules" in der "ar7.cfg" eine Weiterleitung von extern 443 auf diesen anderen Port einzurichten? Dazu muß zwar IP-Telefonie ebenfalls aktiviert sein (weil sonst die Einstellungen von dort gar nicht berücksichtigt werden), aber wenn das am Ende als "Ausschlußkriterium" herhalten muß/soll: "Einen Tod muß man eben sterben." und dafür reicht auch irgendeine x-beliebige SIP-Registrierung, notfalls auch eine per VPN irgendwohin.

Ansonsten sollten (afaik) die Freigaben über diesen Parameter in der "ar7.cfg" auch in den Versionen bis 07.12 immer noch funktionieren ... die früher verfügbare Alternative, das über die "vpn.cfg" freizugeben, funktioniert ab 07.08 (wenn ich mich richtig erinnere (kann auch schon davor gewesen sein), das habe ich damals jedenfalls irgendwo bei den Unterschieden zu Vorgängerversionen festgehalten, wenn man es genau nachlesen wollte - so man den Beitrag findet, was mittels einer Suche nach den "forwardrules"-Parametern mit überschaubarem Aufwand machbar sein sollte) wohl nicht mehr richtig und am VPN ändert AVM für die/in der 07.19 ja auch wieder gerade heftig herum, so daß ich mich für künftige Versionen auch nicht erneut darauf verlassen würde.

Theoretisch läßt sich auch "internet_forwardrules" weiterhin verwenden, aber - zumindest nach meinen eigenen Erfahrungen - da überschreibt die Box dann auch mal vorhandene Einstellungen, wenn man an den "Internetzugangsdaten" etwas ändert. Das ist - wieder mir zumindest, aber ich habe auch nichts von anderen dazu gelesen, wenn sie die Bearbeitung der Dateien sauber ausgeführt hatten - bei den "voip_forwardrules" noch nicht passiert.

Bei
bei mir macht die Box aber den Port 443 trotzdem nicht frei.
kannst Du Dich eigentlich nur geirrt haben ... denn wenn der Prozess des "ctlmgr" gar nicht läuft, kann er auch den Port nicht belegen (dann taucht der auch im "netstat" nicht mehr auf). Wenn Du mit "macht nicht frei" aber wieder meinst, daß auch dann per GUI keine externe IPv4-Freigabe für Port 443 eingerichtet werden kann, dann paßt das gar nicht erst zusammen, da der "ctlmgr" ja unbedingt laufen muß, damit das GUI überhaupt funktioniert - schließlich ist er auch dafür zuständig.
 

R0cket

Mitglied
Mitglied seit
20 Sep 2009
Beiträge
342
Punkte für Reaktionen
1
Punkte
18
EDIT: Um meine eigene Frage zu beantworten: Nein es gibt keinen Konflikt. Port Forward und Port Listening sind unabhängig voneinander. "ctlmgr" wartet weiterhin auf Port 443 und blockiert damit den Port 443 als Listening Port. Somit mus man als Listening Port sich einen anderen ausdenken.

Port Forward kann man aber 443 forwarden wohin man will, also bspw. auf den sich ausgedachten. Dann muss man SSLH oder was auch immer auf diesen ausgedachten port hören lassen.


Gibt es dann nicht einen Konflikt? Das Problem ist doch, dass der "ctlmgr" auf Port 443 höhren will. Muss ich nicht zu erst dafür sorgen, dass der "ctlmgr" das nicht mehr macht, wie ich das in der Vergangenheit mit dem ssl webui gemacht habe, damit der Port frei ist für andere Dienste? Oder ist das "Port Forwarden" unabhängig vom "Port Listening"?

Wenn ich port 443 auf bspw. Port 444 umleite und dann SSLH darauf hören lasse sollte das klappen? Und das Listening vom "ctlmgr" auf Port 443? Was passiert damit? Geht das ins leere? So habe ich das eigentlich nie gesehen, aber werde ich mal testen.

-- Zusammenführung Doppelpost by stoney

Juhuu das hat geklappt!

PeterPawn du bist ein wandelndes Lexikon. Vielen Dank für die Hilfe.

Hinweis: Die Befehle am besten mit ; zusammenfassen, damit die Dämonen nicht alles wider überschreiben:

ctlmgr -s; voipd -s; cp /var/tmp/ar7.cfg /var/flash/ar7.cfg; reboot

Also ingesamt:

cat /var/flash/ar7.cfg > /var/tmp/ar7.cfg
vi /var/tmp/ar7.cfg
unter:
voip_forwardrules

Neue Zeile einfügen mit: o

"tcp 0.0.0.0:443 0.0.0.0:943";

ctlmgr -s; voipd -s; cp /var/tmp/ar7.cfg /var/flash/ar7.cfg; reboot

ESC und :wq
 
Zuletzt bearbeitet von einem Moderator:

3CX PBX - GRATIS
Linux / Win / Cloud

Neueste Beiträge

Statistik des Forums

Themen
234,033
Beiträge
2,041,867
Mitglieder
353,347
Neuestes Mitglied
menten-gmbh