Matrixtunnel unter FB

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
C

Conax

Neuer User
Mitglied seit
5 Mrz 2009
Beiträge
29
Punkte für Reaktionen
0
Punkte
0
Momentan hab ich auf meiner FB folgende Firmware laufen:
FRITZ!Box Fon WLAN 7050, Firmware-Version 14.04.33ds26-15.2

Was brauch ich alles um auf der Box den Matrixtunnel zum laufen zu bringen?

Welche Vorteile hat das ganze und bringt das wirklich Sicherheit?
Läuft das unter meiner Box stabil oder geht das zu sehr an die Resourcen?
 
UUIII, die ist ja schon etwas her (ds26-15.2)
aber die FW-Version selber sagt nix aus, wenn du Matrixtunnel nutzten willst, dann musst du es im menuconfig auswählen, ober ausgewählt haben.

Vorteile bringt es, wenn du Webseiten nach außen freigibst, z.B. AVM oder Freetz-Interface, dann kannst du den Zugriff verschlüsseln, damit keiner deine PW's mitbekommt.

Die Last ist für die Box erträglich, wenn ich 1000'de auf die Box gleichzeitig zu greifen.
 
ja die Firmware ist schon etwas älter. Ich hab auch grad festgestellt das ich das PW vergessen habe um auf den DS-Mod zuzugreifen.:eek:

hab grad gelesen diese datei um das zurückzusetzen ist unter tools. Kann mir da jeman link geben wo ich das image runterladen kann?

War leider schon lange hier im Forum nicht mehr aktiv. (jetzt wo ich wieder auf Schule bin hab ich wieder ein bisschen mehr Zeit, zumindest wenn nicht gerade irgendwelche Prüfungen anstehen)
 
Wenn du Telnet oder SSH Zugang hast, dann kannst du auch das PW ersetzen.

Das uninstall.image gibt es hier
 
Also hab die uninstall eingespielt jetzt kann ich wieder auf den ds mod zugreifen.

Hab das grad schnell gefunden:

matrixtunnel

Die Idee für matrixtunnel hat der Autor nach eigenen Worten von stunnel geklaut. Es handelt sich hier um eine Möglichkeit, das Webinterface per https ansprechen zu können. Im Gegensatz zu stunnel basiert matrixtunnel jedoch auf der superkleinen matrixssl Bibliothek.

Eine gute Beschreibung, wie man einen MT einrichtet, findet sich im Artikel zur Rudi-Shell. Ein Stückchen weiter oben wird auch beschrieben, wie man Zertifikate erzeugen kann, die sowohl für OpenSSL als auch für MatrixSSL passend sind.

Übrigens: matrixtunnel kann man nicht nur für das Verschlüsseln von http, sondern auch für beliebige TCP Connections einsetzten.

/!\ Achtung: matrixtunnel wird nicht mehr gefplegt, der Autor hat aber einen Nachfolger xrelayd vorgestellt.

Was hat es mit xrelayd auf sich (gleiche Funktion oder kann das mehr)?
Sollte ich dann lieber auf xrelayd setzen?

Ich dachte ursprünglich eigentlich das der matrixtunnel alle ausgehenden Verbindungen SSL verschlüsselt aber da lieg ich wohl faltsch.
 
Hab ich irgendwas faltsches geschrieben?

Also ist matrixtunnel oder xrelayd die für meine Box die bessere Wahl?
Meine Box ist ja schon älteres Modell könnte mir vorstellen das xrelayd zu groß ist.
 
Wenn ich das richtig sehe ist xrelayd in Version 0.2.1pre2 in Freetz enthalten. Es ist von der Libary XySSL abhängig.

Das es der Nachfolger ist wusst ich erst durch dich :)

Da ich weder Matrixtunnel noch xrelayd verwende kann ich dir nicht sagen welches besser ist, deswegen habe ich nicht geantwortet.

Ich kenne ein Paar (z.b. hermann72pb), die matrixtunnel verwenden, aber mir würde niemand einfallen, der xrelayd einsetzt. Aber vielleicht meldet sich ja jemand.

Matrixtunnel müsste auf alle Fälle laufen.
 
Die Passage, die oben aus WIKI zitiert wurde stammt von mir, bzw. fasst meine Kenntnisse auf dieser Front zusammen. Es ist tatsächlich so, dass xrelayd die Nachfolgeversion von matrixtunnel ist und an matrixtunnel gar nicht mehr weiter gewerkelt wird. Ob matrixtunnel irgendwelche bugs oder Sicherheitslücken hat, kann auch keiner sagen. Allerdings ist die Wahrscheinlichkeit recht gering, dass jemand sich gezielt vornimmt Boxen mit matrixtunnel zu hacken: Die Verbreitung ist dafür zu gering.
Eingeführt und ein bisschen "promoted" wurde matrixtunnel bei FREETZ von kriegaex zu dem Zeitpunkt wo die "kleinen" Boxen wie 7050 noch recht verbreitet waren. Deswegen ist deine Tendenz schon richtig, matrixtunnel zu nutzen, um Platz zu sparen. Im Image verbraucht matrixtunnel inklusive matrixssl in etwa 40kB, also recht schlank und für dich eigentlich bestens geeignet.
Ich benutze matrixtunnel an einigen 7170. Und nicht platzentwegen, sondern eher wegen Probleme mit "gewöhnlichen" OpenSSL-basierten Paketen, wie z.B. stunnel. Es gibt einige Performance-Einbüsse im Vergleich zu z.B. AVM-https-Lösung. Aber wenn du mal von Außen auf die Box willst, würde es ausreichen.
Mit xrelayd habe ich keine Erfahrungen, es sollte aber vom Handling und vom Syntax her identisch mit matrixtunnel (und vermutlich sogar mit stunnel) sein. Nach meinem kenntnisstand ist xrelayd etwas mehr "ausgewachsen" gegenüber matrixtunnel und hat z.B. einen integrierten Schlüsselgenerator. Ich vermute, dass dadurch die Größe deutlich die ursprünglichen 40kB übersteigen wird.
Für deine 7050 würde ich also (wenn überhaupt), dann matrixtunnel empfehlen. Hier im Forum findest du wenigstens 2-3 Threads, wo wir in den letzten Paar Monaten matrixtunnel ausgiebig mit Beispielen diskutiert hatten. D.h. es wird recht unproblematisch sein es zum Laufen zu bekommen. In die Generierung der Zertifikate muss du dich allerdings einlesen. Dazu gibt es genug Infos im Netz und sogar ein howto entweder in FREETZ oder in IPPF Wiki, wie man die einfachsten Zertifikate erzeugen kann.
Ferner empfehle ich dir eine aktuelle FREETZ-Version zu nehmen. Am besten sogar die Entwicklerversion. Die Entwicklerversion enthält nämlich "external", falls du auf die Idee kommen solltest etwas auszulagern. Sonst sollte meineswissens möglich sein eine aktuelle FREETZ-Version mit 33-Firmware für 7050 zu kompilieren. Du kriegst evtl. Platzprobleme, weil die 33-Firmware hart an der Flash-Grenze ist. Deswegen führt dich keinen Weg an den Patches vorbei. Entferne ruhig die Kindersicherung, Hilfen, Assistenten, AVM-Webserver (bei 33-Firm war das doch noch möglich?), evtl. noch UPNP (wenn du es nicht brauchst und AVM-PC-Fax nicht nutzen willst). Dann schaffst du schon mal Platz.
Also, mach dich einfach ran und berichte uns hier über deine Probleme. Wir lotsen dich schon durch, keine Sorge.

MfG
 
Das nenn ich doch mal ne Auskunft;)

Also das mit den Platzproblemen hab ich mir schon gedacht dann läufts wohl auf matrixtunnel hinaus. Was die Sache mit der Firmware angeht da hatte ich damals schon vor nem Jahr Platz Probleme gehabt deswegen hab ich auch ne ältere drauf.

das ist der aktuelle Stand:
Hauptspeicher (RAM)

13332 von 30352 KB belegt (ohne Cache)

Flash-Speicher (TFFS) für Konfigurationsdaten

88 von 128 KB belegt

So jetzt mal kurz wieso wesshalb warum ich überhaupt auf die Idee mit dem Matrixtunnel kam. Momentan hab ich mir ein größeres Projekt vorgenommen und zwar das meine Daten nicht mehr für jedermann so einfach einsehbar sind außerdem möchte ich allgemein mein Wissen um das Thema Verschlüsselung und was damit zusammenhängt erweitern.

Ich hab jetzt vor kurzem bei meinem Mail Verkehr angefangen das GPG zu verschlüsseln und als nächstes dachte ich mir das ich meiner "alten" Box ein kleines update in der Richtung verpassen könnte. Nur damit ich das richtig verstehe der matrixtunnel sorgt nur dafür dass das gui der fritzbox also der Zugriff auf die Box von außen ssl verschlüsselt stattfindet. Weil ich dachte erst das der eingebaute Matrixtunnel sämtliche Daten die über die Fritzbox laufen sprich Upload etc. alles SSL verschlüsselt(dann könnte ich mir auch gut vorstellen das so etwas an die Resourcen der Box geht). Ich habe eine 16000er Verbindung und spitze erziele ich so eine Download Geschwindigkeit von 1,6mb/s und an Upload so um die 120 kB/s jetzt hies es oben das ich wohl mit Performance Einbusen rechnen müsste wie groß währen diese ungefähr?

Sorry das ich hier die ganze Zeit euch mit Fragen bombadiere aber bevor ich tiefgreifende Änderungen an meiner Firmware durchführe müsste ich die Vorteile gegenüber den Nachteilen erstmal abwiegen. Denn mehr Sicherheit schön und gut aber nicht zu jedem Preis.:)

Mich würde sowieso mal allgemein interessieren was man mit mod Firmware so an maximalen Sicherheitsfeatures herausholen kann. Also besonders würden mich halt so praktische Beispiele interessieren wie abhörsichere Telefonate über One-Time-Pad (falls so etwas möglich ist). So Spielzeug wie das "rote Telefon" in Filmen fand ich schon immer interessant und wieso soll das nur Präsidenten vorbehalten sein.:)

Ich benutze jetzt knapp ein Jahr lang Linux und es hatte vielleicht ein halbes Jahr gedauert und ich wollte es nicht mehr missen. Windows hab ich verbannt und gerade als Schüler in der Oberstufe hat man eh kein Geld für teure original Software. Ich hab frühzeitig in der Schule die kaufmännische Schiene eingeschlagen (ob das die richtige Wahl war sei mal dahingestellt ich wollte nur damals kein technisch Zeichnen) und kaufmännische Ausbildung absolviert deswegen fehlen mir da oft Hintergrundinformationen und leider wird in vielen "Fachzeitschriften" bei Berichte über Themen auch nur oft an der Oberfläche gekratzt (hatte mich z.B. damals sehr für das Thema Verschlüsselung bei pay TV Sendern interessiert und als Nagravision geknackt wurde und die ersten emus für raus kammen hatte ich weder in Foren noch in so Zeitschriften wie SAT+KABEL erfahren wie genau das abläuft bzw. aufgebaut ist und wo die Schwachstelle war was dann dazu geführt hatte das es geknackt wurde.)

Warum ich das schreibe hat den Grund wenn vielleicht für manchen meine Fragen dämlich klingen dann bitte ich zu berücksichtigen das nicht jeder Mensch entsprechende Vorkenntnisse (die er sich über Ausbildung/Beruf oder Privat angeeignet hat) mitbringt.
 
1. Themen wie "verschlüsselung knacken" und ähnlich sind in diesem Forum nicht erwünscht. Deswegen lass deine Erfahrungen bitte für dich. Fragen dazu werden in diesem Forum nicht beantwortet, damit spezialisieren sich andere Foren.
2. Deine Vorkenntnisse in Linux sind schon genug dafür, um anzufangen. Glaub mir hier gibt es Leute mit deutlich weniger Ahnung und die bauen auch ihre Images. Von daher werde ich dir emfehlen nicht länger zu diskutieren, sondern einfach anzufangen. Seit 15.2 hat sich eine Menge geändert. Lese dich einfach ein, installiere auf deinem Linux-System alle notwendigen Pakete und fange mal an. Verlieren wirst du auf keinen Fall. Wenigstens lernst was dazu. Und wenn du ein Image erstmal erforgreich gebaut hast, dann kannst du immer noch entscheiden, ob du es flashst oder nicht. Learning by doing, nennt sich sowas. Und das ist die produktivste Methode, glaub mir. Ich bin auch vom Beruf kein Informatiker und hab mir meine Kennen selbst eingeeignet. Bis zu einem gewissen Grad reicht es auch aus.
3. Zu Matrixtunnel selbst. Ja, es ist in erster Linie dafür da den eingehenden Verkehr auf einen bestimmten Port mit ssl zu verschlüsseln. Als eingehender Port kann z.B. ein Webinterface der Box dienen. Das ist die Hauptanwendung. Klar, kann man auch andere Konstruktionen sich ausdenken bis auf Verbindungen nach außen, das sind aber nur Sonderfälle, die ich an deiner Stelle zunächst mal nicht betrachten würde.
4. Zu deiner Sicherheitsparanoia (nimm es bitte nicht persönlich, es hört sich aber wirklich so an, als ob du dich in die Richtung bewegst, wie in WIKIPEDIA beschrieben): Du kannst dich überall absichern, eine 100% Garantie gibt dir aber keiner, egal, was du an Maßnahmen treibst. Deswegen sollte man es wirklich überlegen, bevor man alles absichert, ob es wirklich notwendig ist.
Und du verstehst das Problem generell falsch. Zu jeder Verbindung gehören immer wenigstens Zwei (ist ähnlich wie bei jeder Beziehung), deswegen ist die Absicherung nur dann möglich, wenn sie auf beiden Seiten verstanden wird und auch statt findet. Du kannst z.B. nicht eine http-Verbindung nach draußen absichern, wenn der Server, wo die Seite liegt nur http und kein https anbietet. Ähnlich ist es mit IP-Telefonie. Du wirst heutzutage kaum einen Anbieter finden, der abhörsichere VOIP-Dienste anbietet. Wenigstens nicht zu dem Preis der ganzen FlatRates (und zu der Generation gehörst du ja, wie du selbst zugibst). Du könntest wohl eine direkte VOIP-Verbindung z.B. mit einem vordefinierten Freund aufbauen. Aber dann musst du direkt bei ihm anrufen und nicht über SIP-Registrar deines Providers. Dafür sind auch Protokolländerungen an beiden Seiten notwendig. Sprich, dein Freund muss genau so gut aufgerüstet sein wie du. Und hier fängt das Problem der Fritz!Box, denn genau diese Teile der Firmware, wo die ganzen Protokolle liegen gehören zur "closed source" und werden von AVM nicht preis gegeben. Und ich weiß nicht, ob die Box aktuell abhörsichere Protokolle becherrscht. Dazu gibt es aber hier in IPPF spezielle Unterforen, die sich damit beschäftigen.

Ansonsten wie gesagt: Sich dran trauen, kompilieren und konkrete Fragen hier stellen. Am besten gleich mit .config in Anhang.

MfG
 
So bin grad am basteln der Firmware. Hab jetzt mal:

-Hilfe entfernt
-Assistent entfernt
-tr069 Zeug entfernt
-diese Anzeige das bla bla bla keine original firmware gepatcht
-upnp daemon entfernt
-usermand und userman (was man halt für Kindersicherung braucht) entfernt

unter der Paketauswahl hab ich jetzt:
-Knocked 0.5
-fstyp0.1 binary only (was auch immer das ist war aufjedenfall schon ausgewählt deswegen wirds wohl gebraucht)
-matrixtunnel 0.2 (binary only)

Jetzt wollte ich nur wissen ob ich bei Replace kernel auch nen Haken reinhauen soll?
 
Wenn du es nicht brauchst, dann nicht.
Wenn du nicht weißt wozu du es brauchst, dann brauchst du es nicht!
 
Ich würde zwar dropbear und dnsmasq noch hinzu nehmen, es ist aber Geschmacksache. Mit dropbear und dnsmasq kann es eng werden. Ohne die beiden sollte es eigentlich passen. Obwohl, ich weiß nicht wie groß knock ist. Brauchst du knock wirklich?
Mit dropbear würde ich es echt überlegen. Denn damit kannst du auch tunneln und hast mit putty+browser die gleiche Funktionalität, wie du mit https erreichst. Und wenn schon, dann nimm es bitte inklusive Client. Ohne Client gibt es einige Probleme und am Platz gewinnst du dadurch nicht viel.

MfG
 
STEP 1: UNPACK
unpacking firmware image
splitting kernel image
unpacking filesystem image
1227 inodes (1316 blocks) to write
/home/stefan/src/freetz-1.0.2/./tools/usr/bin/fakeroot: line 166: 3453 Abgebrochen FAKEROOTKEY=$FAKEROOTKEY LD_LIBRARY_PATH="$PATHS" LD_PRELOAD="$LIB" "$@"
ERROR: modunsqfs: Error in build/original/kernel/kernelsquashfs.raw
make: *** [firmware-nocompile] Fehler 1

was hat das zu bedeuten?
 
SChau mal ob dir der Thread weiterhilft.
MAxMuster hatte hier einen Patch angehängt, der das lösen soll.
 
Also ich hab den patch heruntergeladen und an dem angegebenen Ort gespeichert.

Ergebnis:
stefan@linux-zsoe:~/src/freetz-1.0.2/tools/make/patches> make squashfs3-dirclean; make
make: *** Keine Regel, um »squashfs3-dirclean« zu erstellen. Schluss.
make: *** Keine Targets angegeben und keine »make«-Steuerdatei gefunden. Schluss.

habs auch noch mal als root probiert aber selbes Ergebnis. Irgendwas hab ich wohl faltsch gemacht.
 
Wenn du da als root dranwarst, kannst du gleich neu auschecken...
 
Conax schrieb:
Code: 
stefan@linux-zsoe:~/src/freetz-1.0.2[B]/tools/make/patches[/B]> make squashfs3-dirclean; make
make: *** Keine Regel, um »squashfs3-dirclean« zu erstellen.  Schluss.
make: *** Keine Targets angegeben und keine »make«-Steuerdatei gefunden.  Schluss.
Zum Vergrößern anklicken....

Erstens gibt es für so etwas CODE-Tags.

Ansonsten schau mal, ob Dir da etwas auffällt.
 
Stimmt war im faltschen Verzeichnis drin.

So jetzt neuer Fehler:

STEP 3: PACK
Checking for left over Subversion directories
squashfs blocksize
root filesystem: 65536
packing var.tar
creating filesystem image
merging kernel image
kernel image size: 3915520 (max: 3866624, free: -48896)
ERROR: kernel image is 48896 bytes too big
make: *** [firmware-nocompile] Fehler 1

Irgendwie hatte ich mir das gedacht das die firmware wieder zu groß ist.

hatte knocked, matrixtunnel und dropbear mit client drin.
 
Ich vermute, es liegt an knockd, deswegen hatte ich ja gefragt, ob du es wirklich brauchst. Wähle den knockd ab, mache
Code: 
make config-clean-deps
und kompiliere nochmal. Es dürfte dann passen.

MfG
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 783 (Mitglieder: 43, Gäste: 740)

Neueste Beiträge

Statistik des Forums

Themen
246,296
Beiträge
2,249,641
Mitglieder
373,897
Neuestes Mitglied
gelbie
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück