[gelöst]Fernwartung bringt 29.04.67freetz zum abstürzen

[scheich]

Hallo!

Habe gestern die "neue" 29.04.67 inkl. freetz auf meine 7170 draufgemacht.
Läuft auch alles gut, jedoch habe ich wieder ein Problem, welches ich auch mit der älteren Version hatte.
Der Zugriff via Fernzugriff(https) bringt die Box zum abstürzen.
Mit der alten Firmware konnte ich das Problem beheben, indem ich unter "Crypto & SSL" "Replace libavmhmac" eingestellt habe.
Jedoch wenn ich das mit der 29.04.67 probiere, dann komm ich gar nicht mehr auf das Fritz.Box Interface drauf und die Box bootet neu nach kurzer Zeit. Quasi in einer Endlosschleife. Gott sei Dank gibt es ja "push_firmware" um die Box wieder benutzbar zu machen.

Hat jmd. vlt. ein Tip, was ich machen muss, damit die Fernwartung wieder funktioniert?

Vielen Dank fürs Lesen.

Grüße, scheich

 

[sf3978]

Habe gestern die "neue" 29.04.67 inkl. freetz auf meine 7170 draufgemacht.

Welches freetz und mit welchen Paketen? Hast Du OpenSSH und OpenSSL in deinem freetz-Image? Wenn ja, welche OpenSSL-Version?

 

[scheich]

29.04.67freetz-devel-3015

freetz-stable-1.1 habe ich auch ausprobiert, funzt jedoch auch nicht.

Ich habe den dropbear drauf. Openssh, bzw. openssl habe ich nicht ausgewählt.
Oder ist openssl automatisch dabei, sofern ich dropbear installiere?

 

[hermann72pb]

poste bitte deine .config, sonst muss man raten.

Anstatt AVM-https würde ich dir httpd+matrixtunnel empfehlen. Du musst zwar ein Paar Zeilen in rc.custom einfügen:

httpd -p 83 -c /mod/etc/httpd-wol.conf -h /var/html/
matrixtunnel -A /var/media/ftp/uStor01/certs/server.crt -p /var/media/ftp/uStor01/certs/server.key -d 443 -r 83

Port 443 evtl. frei geben und davor natürlich Zertifikate erzeugen. Dafür hast du aber wenigstens was Vernünftiges.

MfG

 

[scheich]

Ok, das wäre auch eine Möglichkeit.
Dann muss ich mir auch erstmal mein eigenes Zertifikat erstellen, oder?
Meinst du /etc/default.mod/rc_custom.def?

Würde das Interface auch lieber auf einen anderen Port(450) laufen lassen. Weil ich den 443 für WOL benötige.

 

[hermann72pb]

rc.custom findest du in FREETZ-WebIF unter Einstellungen.
Wenn du es noch mit WOL machst, sehe es dann so aus:

httpd -p 83 -c /mod/etc/httpd-wol.conf -h /var/html/
matrixtunnel -A /var/media/ftp/uStor01/certs/server.crt -p /var/media/ftp/uStor01/certs/server.key -d 443 -r 82
matrixtunnel -A /var/media/ftp/uStor01/certs/server.crt -p /var/media/ftp/uStor01/certs/server.key -d 450 -r 83

WOL wäre dann mit dem gleichen Zertifikat und mit den gleichen Benutzer/Passwort-Einstellungen versehen wie dein WEBIF von AVM.

Zertifikate musst du selbst erstellen. Meistens geht es aus der Build-Umgebung aus (Stinky oder was du da auch immer verwendest). Im Netz gibt es viele Anleitungen dazu. Suche bitte nach "fremd unterzeichneten" Zertifikaten und nicht nach selbst unterzeichneten. Das ist der häufigste Fehler (leider auch von AVM).
Beim fremdunterzeichneten Zertifikaten erstellst du erstmal Zertifikat für Zertifizierungsstelle. Mit diesem Zertifikat werden dann die eigentlichen Zertifikate unterzeichnet. Zertifikat der Zertifizierungsstelle kann man irgendwo im Webspace ablegen: http://meinedomain.de/CARoot. Später kannst du egal wo auf der Welt diese Adresse mit deinem beliebigen Browser aufrufen. Normalerweise erkennt der Browser sofort diese datei als Zertifikat und fragt dich, ob du sie zu deinen Vertrauten Zertifikaten hinfügen willst. Beantwortest du es mit "ja", ist schon mal Zertifizierungsstelle "sicher". Wenn du danach deine Box mit "https://meine.box.dyndns.org" aufrufst, wirst du höchstens noch einmal wegen Zertifikate gefragt. Danach ist die Ruhe im Karton. Denn Zertifikate sind nicht selbst unterschrieben, werden nicht bei jedem Reboot neu erzeugt, wie AVM es gerne macht und haben auch ein vernünftiges Ausstellungsdatum.

Edit:

Zu deiner .config:

# FREETZ_PACKAGE_TINYPROXY is not set
FREETZ_PACKAGE_TRANSMISSION=y
FREETZ_PACKAGE_TRANSMISSION_CLIENT=y
FREETZ_PACKAGE_TRANSMISSION_DAEMON=y
FREETZ_PACKAGE_TRANSMISSION_REMOTE=y
[COLOR="Red"][B]# FREETZ_PACKAGE_TRANSMISSION_STATIC is not set[/B][/COLOR]
FREETZ_PACKAGE_TRANSMISSION_WEBINTERFACE=y
# FREETZ_PACKAGE_TREE is not set
# FREETZ_PACKAGE_USBIP is not set
# FREETZ_PACKAGE_USBROOT is not set
# FREETZ_PACKAGE_VIM is not set
FREETZ_PACKAGE_WGET=y
[COLOR="Red"][B]FREETZ_WGET_WITH_SSL=y[/B][/COLOR]
# FREETZ_PACKAGE_WOL is not set

daraus folgt...

#
# SSL ------------------------------------
#
# FREETZ_LIB_libcyassl is not set
# FREETZ_LIB_libmatrixssl is not set
# FREETZ_LIB_libxyssl is not set
[COLOR="Red"][B]FREETZ_LIB_libcrypto=y
FREETZ_LIB_libssl=y[/B][/COLOR]
# FREETZ_LIB_libavmhmac is not set

#
# Data compression
#
# FREETZ_LIB_liblzo2 is not set
[COLOR="Red"][B]FREETZ_LIB_libz=y[/B][/COLOR]

Also, du hast definitiv SSL-spezifische Probleme. Schau bitte in /var/flash/tr069.cfg nach "enabled". Es sollte auf "no" stehen, wenn du schon tr069 rauspatchst.

MfG

 

[scheich]

Vielen Dank für die Analyse meiner .config hermann72pb!

Habs jetzt doch auf den "einfacheren" Weg gelöst, indem ich den ssl support von wget entfernt habe.