[Problem] Porforwarding von 443 auf 22 funktioniert nicht mehr nach dem Sicherheitsupdate

[valinet]

Hallo,

ich habe, um auch durch Firewalls zu kommen bislang den Port 443 auf den Port 22 über die ar7.cfg umgeleitet.
Heute morgen habe ich auf meiner 7320 das Update auf Version 6.03 gemacht. Seitdem funktioniert es nicht mehr, obwohl es laut Freetz Webinterface aktiv ist.

Wurde zur Sicherheit die Möglichkeit blockiert?

 

[olistudent]

Ich meine irgendwo gelesen zu haben, dass der Zugriff auf Port 443 in den neuen AVM Images nicht mehr funktionieren würde.

Gruß
Oliver

 

[valinet]

Das wäre gar nicht gut. Ich bin jetzt wieder zurück auf die 6.01 da ich unbedingt über Port 443 auf SSH zugreifen muss.

 

[sf3978]

... da ich unbedingt über Port 443 auf SSH zugreifen muss.

Hattest Du auf deiner Box mit 6.03, den Fernzugang aktiviert? Hast Du auf deiner FritzBox einen sshd-Server (oder gleichwertig), der auf Port 22 lauscht? Wenn ja, kannst Du diesen nicht so konfigurieren, dass dieser nicht auf Port 22 lauschen muss?

 

[er13]

Ich meine irgendwo gelesen zu haben, dass der Zugriff auf Port 443 in den neuen AVM Images nicht mehr funktionieren würde.

Wie ist das zu verstehen? Gar nicht? Oder nur, wenn Fernzugriff deaktiviert ist? Irgendwie muss man sich doch verbinden können, wenn Fernzugriff aktiviert ist.

 

[Schwinni]

Ist das echt so? Würde ich die neue Firmware einspielen und Fernzugriff deaktiviert lassen (so etwas ist bei mir grundsätzlich nicht aktiv), dann könnte ich Port 443 nicht mehr zu meinem Webserver weiterleiten?
Das wäre ja katastrophal. Ich wollte eben schon anfagen Freetz/TRUNK auszuchecken um FW 6.03 einspielen zu können...

 

[sf3978]

..., dann könnte ich Port 443 nicht mehr zu meinem Webserver weiterleiten?
...

Wo befindet sich dein Webserver? Auf der FritzBox oder im LAN der FritzBox?

 

[Xerolux]

Habe die 6.04 beta drauf und kann den Port Von 443 noch weiterleiten, habe auch einen Server dahinter, also kein Thema

 

[Schwinni]

Wo befindet sich dein Webserver? Auf der FritzBox oder im LAN der FritzBox?

Habe die 6.04 beta drauf und kann den Port Von 443 noch weiterleiten, habe auch einen Server dahinter, also kein Thema

Der Server ist natürlich nicht auf der FritzBox, sondern dahinter - sowas hat auf einem Router nix verloren.
Aber der Bericht von Xerolux macht ja Mut. Xerolux, hast du Fernwartung aktiviert oder deaktiviert?

 

[Xerolux]

Habe Fernwartung deaktiviert seit dem Tag X.

 

[sf3978]

Der Server ist natürlich nicht auf der FritzBox, sondern dahinter - sowas hat auf einem Router nix verloren.

Das sehe ich auch so, aber Du hast im Freetz-Unterforum gepostet und mit Freetz werden auch Webserver für die Box angeboten. Deshalb meine Frage. ;-)

 

[Schwinni]

Das sehe ich auch so, aber Du hast im Freetz-Unterforum gepostet und mit Freetz werden auch Webserver für die Box angeboten. Deshalb meine Frage. ;-)

Ehrlicherweise muss ich gestehen, dass ich diesen Thread einfach mal gekapert habe, als ich "Portforwarding von 443 geht nicht mehr" und "neue Firmware von AVM" gelesen habe.
Interessant wäre jetzt wirklich die Informtation, ob der TE Port 443 auf Port 22 auf der FB oder auf Port 22 eines anderen Rechners geleitet hat.

 

[sf3978]

... die Informtation, ob der TE Port 443 auf Port 22 auf der FB ...

Ja, denn sonst hätte er nicht die ar7.cfg benutzen müssen und auch nicht im Freetz-Unterforum fragen müssen.

 

[Schwinni]

Jetzt bin ich endgültig beruhight. Baue gerade 6.03 mit freetz/TRUNK.
Ich bin halt immer sehr skeptisch wenn es darum geht irgendwelche Geräte zu flashen. Ich hatte zuvor fli4l genutzt. Da bootet man von einem Standardmedium (in meinem Fall CF-Card) und kann in keine Situation kommen, in der ein Gerät nicht mehr bootet weil irgendein Mist im Flash-Speicher ist.

 

[valinet]

Zur Aufklärung, ich habe wie sf3978 es erkannt hat intern den 443 auf den 22 weitergeleitet.
Es war egal ob die Fernwartung (mit anderem Port) aktiviert war oder nicht. Was mir noch aufgefallen ist, nach einem Neustart mit der neuen Version war die Fernwartung wieder deaktiviert.
Eventuell ist es auch ein Bug?
Wie auch immer, ich bin wieder zurück auf die 6.01, dort funktioniert die Weiterleitung und die Fernwartung ist deaktiviert so dass sie kein Sicherheitsrisiko darstellt, hoffe ich.

 

[sf3978]

... intern den 443 auf den 22 weitergeleitet.

Evtl. könntest Du mit der neuen Firmware und mit dem trunk aus Freetz, sslh benutzen

sslh accepts HTTPS, SSH and OpenVPN connections on the same port.
This makes it possible to connect to an SSH server or an OpenVPN
on port 443 (e.g. from inside a corporate firewall, which almost
never block port 443) while still serving HTTPS on that port.

Dann sollte m. E. eine interne Umleitung von Port 443 auf Port 22, auf der FritzBox nicht erforderlich sein.

EDIT:

BTW: Es wäre doch auch möglich, den sshd-Server auf der Box mit der neuesten Firmware, gleich auf Port 443 (und nicht auf Port 22) lauschen zu lassen.

 

[valinet]

Danke für den Tipp, sslh klingt interessant, werde ich bei Gelegenheit mal ausprobieren.

 

[valinet]

ENTWARNUNG!
Ich habe vorhin die 6.03 mit dem SSLH Paket erstellt und das Update gemacht.
Ohne irgendwas zu machen funktioniert die Weiterleitung 443 auf 22 jetzt. Da war wohl beim ersten Update irgendwas durcheinander geraten

PS: Dropbear auf 443 lauschen zu lassen funktioniert zwar intern, aber von außen leider nicht, hatte ich vor dem Update mal probiert.