.titleBar { margin-bottom: 5px!important; }

Matrixtunnel unter FB

Dieses Thema im Forum "Freetz" wurde erstellt von Conax, 5 März 2009.

  1. Conax

    Conax Neuer User

    Registriert seit:
    5 März 2009
    Beiträge:
    29
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Momentan hab ich auf meiner FB folgende Firmware laufen:
    FRITZ!Box Fon WLAN 7050, Firmware-Version 14.04.33ds26-15.2

    Was brauch ich alles um auf der Box den Matrixtunnel zum laufen zu bringen?

    Welche Vorteile hat das ganze und bringt das wirklich Sicherheit?
    Läuft das unter meiner Box stabil oder geht das zu sehr an die Resourcen?
     
  2. matze1985

    matze1985 Aktives Mitglied

    Registriert seit:
    17 Feb. 2007
    Beiträge:
    1,537
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    UUIII, die ist ja schon etwas her (ds26-15.2)
    aber die FW-Version selber sagt nix aus, wenn du Matrixtunnel nutzten willst, dann musst du es im menuconfig auswählen, ober ausgewählt haben.

    Vorteile bringt es, wenn du Webseiten nach außen freigibst, z.B. AVM oder Freetz-Interface, dann kannst du den Zugriff verschlüsseln, damit keiner deine PW's mitbekommt.

    Die Last ist für die Box erträglich, wenn ich 1000'de auf die Box gleichzeitig zu greifen.
     
  3. Conax

    Conax Neuer User

    Registriert seit:
    5 März 2009
    Beiträge:
    29
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    ja die Firmware ist schon etwas älter. Ich hab auch grad festgestellt das ich das PW vergessen habe um auf den DS-Mod zuzugreifen.:eek:

    hab grad gelesen diese datei um das zurückzusetzen ist unter tools. Kann mir da jeman link geben wo ich das image runterladen kann?

    War leider schon lange hier im Forum nicht mehr aktiv. (jetzt wo ich wieder auf Schule bin hab ich wieder ein bisschen mehr Zeit, zumindest wenn nicht gerade irgendwelche Prüfungen anstehen)
     
  4. matze1985

    matze1985 Aktives Mitglied

    Registriert seit:
    17 Feb. 2007
    Beiträge:
    1,537
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Wenn du Telnet oder SSH Zugang hast, dann kannst du auch das PW ersetzen.

    Das uninstall.image gibt es hier
     
  5. Conax

    Conax Neuer User

    Registriert seit:
    5 März 2009
    Beiträge:
    29
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Also hab die uninstall eingespielt jetzt kann ich wieder auf den ds mod zugreifen.

    Hab das grad schnell gefunden:

    matrixtunnel

    Die Idee für matrixtunnel hat der Autor nach eigenen Worten von stunnel geklaut. Es handelt sich hier um eine Möglichkeit, das Webinterface per https ansprechen zu können. Im Gegensatz zu stunnel basiert matrixtunnel jedoch auf der superkleinen matrixssl Bibliothek.

    Eine gute Beschreibung, wie man einen MT einrichtet, findet sich im Artikel zur Rudi-Shell. Ein Stückchen weiter oben wird auch beschrieben, wie man Zertifikate erzeugen kann, die sowohl für OpenSSL als auch für MatrixSSL passend sind.

    Übrigens: matrixtunnel kann man nicht nur für das Verschlüsseln von http, sondern auch für beliebige TCP Connections einsetzten.

    /!\ Achtung: matrixtunnel wird nicht mehr gefplegt, der Autor hat aber einen Nachfolger xrelayd vorgestellt.

    Was hat es mit xrelayd auf sich (gleiche Funktion oder kann das mehr)?
    Sollte ich dann lieber auf xrelayd setzen?

    Ich dachte ursprünglich eigentlich das der matrixtunnel alle ausgehenden Verbindungen SSL verschlüsselt aber da lieg ich wohl faltsch.
     
  6. Conax

    Conax Neuer User

    Registriert seit:
    5 März 2009
    Beiträge:
    29
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hab ich irgendwas faltsches geschrieben?

    Also ist matrixtunnel oder xrelayd die für meine Box die bessere Wahl?
    Meine Box ist ja schon älteres Modell könnte mir vorstellen das xrelayd zu groß ist.
     
  7. matze1985

    matze1985 Aktives Mitglied

    Registriert seit:
    17 Feb. 2007
    Beiträge:
    1,537
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Wenn ich das richtig sehe ist xrelayd in Version 0.2.1pre2 in Freetz enthalten. Es ist von der Libary XySSL abhängig.

    Das es der Nachfolger ist wusst ich erst durch dich :)

    Da ich weder Matrixtunnel noch xrelayd verwende kann ich dir nicht sagen welches besser ist, deswegen habe ich nicht geantwortet.

    Ich kenne ein Paar (z.b. hermann72pb), die matrixtunnel verwenden, aber mir würde niemand einfallen, der xrelayd einsetzt. Aber vielleicht meldet sich ja jemand.

    Matrixtunnel müsste auf alle Fälle laufen.
     
  8. hermann72pb

    hermann72pb IPPF-Promi

    Registriert seit:
    6 Nov. 2005
    Beiträge:
    3,564
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Die Passage, die oben aus WIKI zitiert wurde stammt von mir, bzw. fasst meine Kenntnisse auf dieser Front zusammen. Es ist tatsächlich so, dass xrelayd die Nachfolgeversion von matrixtunnel ist und an matrixtunnel gar nicht mehr weiter gewerkelt wird. Ob matrixtunnel irgendwelche bugs oder Sicherheitslücken hat, kann auch keiner sagen. Allerdings ist die Wahrscheinlichkeit recht gering, dass jemand sich gezielt vornimmt Boxen mit matrixtunnel zu hacken: Die Verbreitung ist dafür zu gering.
    Eingeführt und ein bisschen "promoted" wurde matrixtunnel bei FREETZ von kriegaex zu dem Zeitpunkt wo die "kleinen" Boxen wie 7050 noch recht verbreitet waren. Deswegen ist deine Tendenz schon richtig, matrixtunnel zu nutzen, um Platz zu sparen. Im Image verbraucht matrixtunnel inklusive matrixssl in etwa 40kB, also recht schlank und für dich eigentlich bestens geeignet.
    Ich benutze matrixtunnel an einigen 7170. Und nicht platzentwegen, sondern eher wegen Probleme mit "gewöhnlichen" OpenSSL-basierten Paketen, wie z.B. stunnel. Es gibt einige Performance-Einbüsse im Vergleich zu z.B. AVM-https-Lösung. Aber wenn du mal von Außen auf die Box willst, würde es ausreichen.
    Mit xrelayd habe ich keine Erfahrungen, es sollte aber vom Handling und vom Syntax her identisch mit matrixtunnel (und vermutlich sogar mit stunnel) sein. Nach meinem kenntnisstand ist xrelayd etwas mehr "ausgewachsen" gegenüber matrixtunnel und hat z.B. einen integrierten Schlüsselgenerator. Ich vermute, dass dadurch die Größe deutlich die ursprünglichen 40kB übersteigen wird.
    Für deine 7050 würde ich also (wenn überhaupt), dann matrixtunnel empfehlen. Hier im Forum findest du wenigstens 2-3 Threads, wo wir in den letzten Paar Monaten matrixtunnel ausgiebig mit Beispielen diskutiert hatten. D.h. es wird recht unproblematisch sein es zum Laufen zu bekommen. In die Generierung der Zertifikate muss du dich allerdings einlesen. Dazu gibt es genug Infos im Netz und sogar ein howto entweder in FREETZ oder in IPPF Wiki, wie man die einfachsten Zertifikate erzeugen kann.
    Ferner empfehle ich dir eine aktuelle FREETZ-Version zu nehmen. Am besten sogar die Entwicklerversion. Die Entwicklerversion enthält nämlich "external", falls du auf die Idee kommen solltest etwas auszulagern. Sonst sollte meineswissens möglich sein eine aktuelle FREETZ-Version mit 33-Firmware für 7050 zu kompilieren. Du kriegst evtl. Platzprobleme, weil die 33-Firmware hart an der Flash-Grenze ist. Deswegen führt dich keinen Weg an den Patches vorbei. Entferne ruhig die Kindersicherung, Hilfen, Assistenten, AVM-Webserver (bei 33-Firm war das doch noch möglich?), evtl. noch UPNP (wenn du es nicht brauchst und AVM-PC-Fax nicht nutzen willst). Dann schaffst du schon mal Platz.
    Also, mach dich einfach ran und berichte uns hier über deine Probleme. Wir lotsen dich schon durch, keine Sorge.

    MfG
     
  9. Conax

    Conax Neuer User

    Registriert seit:
    5 März 2009
    Beiträge:
    29
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Das nenn ich doch mal ne Auskunft;)

    Also das mit den Platzproblemen hab ich mir schon gedacht dann läufts wohl auf matrixtunnel hinaus. Was die Sache mit der Firmware angeht da hatte ich damals schon vor nem Jahr Platz Probleme gehabt deswegen hab ich auch ne ältere drauf.

    das ist der aktuelle Stand:
    Hauptspeicher (RAM)

    13332 von 30352 KB belegt (ohne Cache)

    Flash-Speicher (TFFS) für Konfigurationsdaten

    88 von 128 KB belegt

    So jetzt mal kurz wieso wesshalb warum ich überhaupt auf die Idee mit dem Matrixtunnel kam. Momentan hab ich mir ein größeres Projekt vorgenommen und zwar das meine Daten nicht mehr für jedermann so einfach einsehbar sind außerdem möchte ich allgemein mein Wissen um das Thema Verschlüsselung und was damit zusammenhängt erweitern.

    Ich hab jetzt vor kurzem bei meinem Mail Verkehr angefangen das GPG zu verschlüsseln und als nächstes dachte ich mir das ich meiner "alten" Box ein kleines update in der Richtung verpassen könnte. Nur damit ich das richtig verstehe der matrixtunnel sorgt nur dafür dass das gui der fritzbox also der Zugriff auf die Box von außen ssl verschlüsselt stattfindet. Weil ich dachte erst das der eingebaute Matrixtunnel sämtliche Daten die über die Fritzbox laufen sprich Upload etc. alles SSL verschlüsselt(dann könnte ich mir auch gut vorstellen das so etwas an die Resourcen der Box geht). Ich habe eine 16000er Verbindung und spitze erziele ich so eine Download Geschwindigkeit von 1,6mb/s und an Upload so um die 120 kB/s jetzt hies es oben das ich wohl mit Performance Einbusen rechnen müsste wie groß währen diese ungefähr?

    Sorry das ich hier die ganze Zeit euch mit Fragen bombadiere aber bevor ich tiefgreifende Änderungen an meiner Firmware durchführe müsste ich die Vorteile gegenüber den Nachteilen erstmal abwiegen. Denn mehr Sicherheit schön und gut aber nicht zu jedem Preis.:)

    Mich würde sowieso mal allgemein interessieren was man mit mod Firmware so an maximalen Sicherheitsfeatures herausholen kann. Also besonders würden mich halt so praktische Beispiele interessieren wie abhörsichere Telefonate über One-Time-Pad (falls so etwas möglich ist). So Spielzeug wie das "rote Telefon" in Filmen fand ich schon immer interessant und wieso soll das nur Präsidenten vorbehalten sein.:)

    Ich benutze jetzt knapp ein Jahr lang Linux und es hatte vielleicht ein halbes Jahr gedauert und ich wollte es nicht mehr missen. Windows hab ich verbannt und gerade als Schüler in der Oberstufe hat man eh kein Geld für teure original Software. Ich hab frühzeitig in der Schule die kaufmännische Schiene eingeschlagen (ob das die richtige Wahl war sei mal dahingestellt ich wollte nur damals kein technisch Zeichnen) und kaufmännische Ausbildung absolviert deswegen fehlen mir da oft Hintergrundinformationen und leider wird in vielen "Fachzeitschriften" bei Berichte über Themen auch nur oft an der Oberfläche gekratzt (hatte mich z.B. damals sehr für das Thema Verschlüsselung bei pay TV Sendern interessiert und als Nagravision geknackt wurde und die ersten emus für raus kammen hatte ich weder in Foren noch in so Zeitschriften wie SAT+KABEL erfahren wie genau das abläuft bzw. aufgebaut ist und wo die Schwachstelle war was dann dazu geführt hatte das es geknackt wurde.)

    Warum ich das schreibe hat den Grund wenn vielleicht für manchen meine Fragen dämlich klingen dann bitte ich zu berücksichtigen das nicht jeder Mensch entsprechende Vorkenntnisse (die er sich über Ausbildung/Beruf oder Privat angeeignet hat) mitbringt.
     
  10. hermann72pb

    hermann72pb IPPF-Promi

    Registriert seit:
    6 Nov. 2005
    Beiträge:
    3,564
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    1. Themen wie "verschlüsselung knacken" und ähnlich sind in diesem Forum nicht erwünscht. Deswegen lass deine Erfahrungen bitte für dich. Fragen dazu werden in diesem Forum nicht beantwortet, damit spezialisieren sich andere Foren.
    2. Deine Vorkenntnisse in Linux sind schon genug dafür, um anzufangen. Glaub mir hier gibt es Leute mit deutlich weniger Ahnung und die bauen auch ihre Images. Von daher werde ich dir emfehlen nicht länger zu diskutieren, sondern einfach anzufangen. Seit 15.2 hat sich eine Menge geändert. Lese dich einfach ein, installiere auf deinem Linux-System alle notwendigen Pakete und fange mal an. Verlieren wirst du auf keinen Fall. Wenigstens lernst was dazu. Und wenn du ein Image erstmal erforgreich gebaut hast, dann kannst du immer noch entscheiden, ob du es flashst oder nicht. Learning by doing, nennt sich sowas. Und das ist die produktivste Methode, glaub mir. Ich bin auch vom Beruf kein Informatiker und hab mir meine Kennen selbst eingeeignet. Bis zu einem gewissen Grad reicht es auch aus.
    3. Zu Matrixtunnel selbst. Ja, es ist in erster Linie dafür da den eingehenden Verkehr auf einen bestimmten Port mit ssl zu verschlüsseln. Als eingehender Port kann z.B. ein Webinterface der Box dienen. Das ist die Hauptanwendung. Klar, kann man auch andere Konstruktionen sich ausdenken bis auf Verbindungen nach außen, das sind aber nur Sonderfälle, die ich an deiner Stelle zunächst mal nicht betrachten würde.
    4. Zu deiner Sicherheitsparanoia (nimm es bitte nicht persönlich, es hört sich aber wirklich so an, als ob du dich in die Richtung bewegst, wie in WIKIPEDIA beschrieben): Du kannst dich überall absichern, eine 100% Garantie gibt dir aber keiner, egal, was du an Maßnahmen treibst. Deswegen sollte man es wirklich überlegen, bevor man alles absichert, ob es wirklich notwendig ist.
    Und du verstehst das Problem generell falsch. Zu jeder Verbindung gehören immer wenigstens Zwei (ist ähnlich wie bei jeder Beziehung), deswegen ist die Absicherung nur dann möglich, wenn sie auf beiden Seiten verstanden wird und auch statt findet. Du kannst z.B. nicht eine http-Verbindung nach draußen absichern, wenn der Server, wo die Seite liegt nur http und kein https anbietet. Ähnlich ist es mit IP-Telefonie. Du wirst heutzutage kaum einen Anbieter finden, der abhörsichere VOIP-Dienste anbietet. Wenigstens nicht zu dem Preis der ganzen FlatRates (und zu der Generation gehörst du ja, wie du selbst zugibst). Du könntest wohl eine direkte VOIP-Verbindung z.B. mit einem vordefinierten Freund aufbauen. Aber dann musst du direkt bei ihm anrufen und nicht über SIP-Registrar deines Providers. Dafür sind auch Protokolländerungen an beiden Seiten notwendig. Sprich, dein Freund muss genau so gut aufgerüstet sein wie du. Und hier fängt das Problem der Fritz!Box, denn genau diese Teile der Firmware, wo die ganzen Protokolle liegen gehören zur "closed source" und werden von AVM nicht preis gegeben. Und ich weiß nicht, ob die Box aktuell abhörsichere Protokolle becherrscht. Dazu gibt es aber hier in IPPF spezielle Unterforen, die sich damit beschäftigen.

    Ansonsten wie gesagt: Sich dran trauen, kompilieren und konkrete Fragen hier stellen. Am besten gleich mit .config in Anhang.

    MfG
     
  11. Conax

    Conax Neuer User

    Registriert seit:
    5 März 2009
    Beiträge:
    29
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    So bin grad am basteln der Firmware. Hab jetzt mal:

    -Hilfe entfernt
    -Assistent entfernt
    -tr069 Zeug entfernt
    -diese Anzeige das bla bla bla keine original firmware gepatcht
    -upnp daemon entfernt
    -usermand und userman (was man halt für Kindersicherung braucht) entfernt

    unter der Paketauswahl hab ich jetzt:
    -Knocked 0.5
    -fstyp0.1 binary only (was auch immer das ist war aufjedenfall schon ausgewählt deswegen wirds wohl gebraucht)
    -matrixtunnel 0.2 (binary only)

    Jetzt wollte ich nur wissen ob ich bei Replace kernel auch nen Haken reinhauen soll?
     
  12. matze1985

    matze1985 Aktives Mitglied

    Registriert seit:
    17 Feb. 2007
    Beiträge:
    1,537
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Wenn du es nicht brauchst, dann nicht.
    Wenn du nicht weißt wozu du es brauchst, dann brauchst du es nicht!
     
  13. hermann72pb

    hermann72pb IPPF-Promi

    Registriert seit:
    6 Nov. 2005
    Beiträge:
    3,564
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ich würde zwar dropbear und dnsmasq noch hinzu nehmen, es ist aber Geschmacksache. Mit dropbear und dnsmasq kann es eng werden. Ohne die beiden sollte es eigentlich passen. Obwohl, ich weiß nicht wie groß knock ist. Brauchst du knock wirklich?
    Mit dropbear würde ich es echt überlegen. Denn damit kannst du auch tunneln und hast mit putty+browser die gleiche Funktionalität, wie du mit https erreichst. Und wenn schon, dann nimm es bitte inklusive Client. Ohne Client gibt es einige Probleme und am Platz gewinnst du dadurch nicht viel.

    MfG
     
  14. Conax

    Conax Neuer User

    Registriert seit:
    5 März 2009
    Beiträge:
    29
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    STEP 1: UNPACK
    unpacking firmware image
    splitting kernel image
    unpacking filesystem image
    1227 inodes (1316 blocks) to write
    /home/stefan/src/freetz-1.0.2/./tools/usr/bin/fakeroot: line 166: 3453 Abgebrochen FAKEROOTKEY=$FAKEROOTKEY LD_LIBRARY_PATH="$PATHS" LD_PRELOAD="$LIB" "$@"
    ERROR: modunsqfs: Error in build/original/kernel/kernelsquashfs.raw
    make: *** [firmware-nocompile] Fehler 1

    was hat das zu bedeuten?
     
  15. matze1985

    matze1985 Aktives Mitglied

    Registriert seit:
    17 Feb. 2007
    Beiträge:
    1,537
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    SChau mal ob dir der Thread weiterhilft.
    MAxMuster hatte hier einen Patch angehängt, der das lösen soll.
     
  16. Conax

    Conax Neuer User

    Registriert seit:
    5 März 2009
    Beiträge:
    29
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Also ich hab den patch heruntergeladen und an dem angegebenen Ort gespeichert.

    Ergebnis:
    stefan@linux-zsoe:~/src/freetz-1.0.2/tools/make/patches> make squashfs3-dirclean; make
    make: *** Keine Regel, um »squashfs3-dirclean« zu erstellen. Schluss.
    make: *** Keine Targets angegeben und keine »make«-Steuerdatei gefunden. Schluss.

    habs auch noch mal als root probiert aber selbes Ergebnis. Irgendwas hab ich wohl faltsch gemacht.
     
  17. Silent-Tears

    Silent-Tears IPPF-Promi

    Registriert seit:
    3 Aug. 2007
    Beiträge:
    7,456
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    BI
    Wenn du da als root dranwarst, kannst du gleich neu auschecken...
     
  18. RalfFriedl

    RalfFriedl IPPF-Urgestein

    Registriert seit:
    22 Apr. 2007
    Beiträge:
    12,343
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Erstens gibt es für so etwas CODE-Tags.

    Ansonsten schau mal, ob Dir da etwas auffällt.
     
  19. Conax

    Conax Neuer User

    Registriert seit:
    5 März 2009
    Beiträge:
    29
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Stimmt war im faltschen Verzeichnis drin.

    So jetzt neuer Fehler:

    STEP 3: PACK
    Checking for left over Subversion directories
    squashfs blocksize
    root filesystem: 65536
    packing var.tar
    creating filesystem image
    merging kernel image
    kernel image size: 3915520 (max: 3866624, free: -48896)
    ERROR: kernel image is 48896 bytes too big
    make: *** [firmware-nocompile] Fehler 1

    Irgendwie hatte ich mir das gedacht das die firmware wieder zu groß ist.

    hatte knocked, matrixtunnel und dropbear mit client drin.
     
  20. hermann72pb

    hermann72pb IPPF-Promi

    Registriert seit:
    6 Nov. 2005
    Beiträge:
    3,564
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ich vermute, es liegt an knockd, deswegen hatte ich ja gefragt, ob du es wirklich brauchst. Wähle den knockd ab, mache
    Code:
    make config-clean-deps
    und kompiliere nochmal. Es dürfte dann passen.

    MfG