[Problem] Regel, um Drucker via VPN zu erreichen

[stoney]

Ein Doppelpost sind zwei aufeinanderfolgende Pots innerhalb 24h, falls sonst niemand etwas inzwischen gepostet hat.

Für den Fall der Ergänzung, editiert man den vorherigen Post und fügt eine Trennung, welche dies erkenntlich macht.

Oder man kopiert den Inhalt, fügt diesen in einen neuen Post ein, packt dann mit Trennung die Ergänzung dazu und postet diesen zunächst als "Doppelpost", löscht aber direkt danach den vorherigen, wo ein Teil fehlt - somit erreichst Du, dass die von den Usern eingestellten Notifications auch zugestellt werden und somit ein Nachtrag problemlos und je nach Userwunscht auch proaktiv Kund getan wird.

PS: Es gibt noch immer einen Unterschied zwischen Cold/Hard-Reboot (PoR) und einem Soft/Warm-Reboot.

Nachdem ja bereits IPsec eingerichtet ist, ist die Einrichtung von WG doch auch im Handumdrehen erledigt, da MyFRITZ und unterschiedliche Subnetze bereits konfiguriert sind.

 

[Dirk11]

Ja. Durchaus auch ausgeschaltet und neu gestartet. Zu Deiner Erklärung zu Doppel- und Sonstwas-posts: sorry, aber das ist mir zu umständlich, nur um ein paar Bytes zu sparen. Dann löscht den thread halt, wenn ihr Platzmangel habt. Außer von Dir kam ja sowieso nichts Sinnvolles.
Falls es Dir mehr um das Thema Übersichtlichkeit geht: mein Startposting war bis auf einige Formulierungs-Unschärfen eindeutig, da gab es nichts zu "deuten", und die Screenshots haben auch keine wirklich neuen Erkenntnisse hervorgebracht. Mehr Platz wäre gespart, wenn Menschen nicht darauf herumreiten würden...

 

[stoney]

Es geht nicht um Speichermangel - es geht wirklich ganz banal darum den Lesefluss zu fördern - geschlossen werden hier Threads nur in Ausnahmefällen sowie auch gelöscht.

Deine Reaktion jetzt auf den Hinweis bezüglich des Doppelposts kann ich jedoch leider nicht ganz nachvollziehen.
Gerne verlinke ich Dir, dass was ich beim moderatorischen Eingriff als Hinweis sende:

Doppelpost sind unerwünscht | mehrere Posts innerhalb 24h | siehe Boardregeln https://www.ip-phone-forum.de/threads/ip-phone-forum-regeln.297224/ - by stoney

Die Post der anderen Beteiligten sind imo nicht OT - auch wenn diese Dir bisher nicht beim Problem weiterhelfen konnten.

Das Verhalten ist so wie geschildert/aufgezeigt nicht normal, daher hast Du Dich ja hier gemeldet und ich/wir versuchen/wollen mit Dir gemeinsam herausfinden an was es liegt - sonst hättest Du ja sicherlich direkt auf den ersten Schuss direkt die passende Lösung/Erklärung erhalten.

Ich und auch Andere, welche es doch auch genauer wissen/nachvollziehen wollen, stellen dann auch eigene Tests und gewissen Szenarien nach - geschieht meist eher im VoIP-Bereich, da man dort sehr auf Paketmitschnitte angewiesen ist um ganz genau nachvollziehen zu können, an welchem Punkt der kompletten Kommunikation es zu Problemen kommt - das geht hier natürlich auch - jedoch muss natürlich klar sein, auf welcher Grundlage dann getestet wird und somit sind umfangreiche Informationen zum Setup und den einzelnen Einstellungen (Screenshots sagen halt doch meist mehr als tausend Worte) unabdingbar - wie sonst sollte ein Debugging funktionieren, wenn man selbst nicht vor Ort ist und auch kein Zugriff besteht und es darauf auch nicht ankommt, da das Problem ja "Deines" ist.

Mit vernünftigen Infos zur Konfiguration der jeweils beteiligten Kompontenten und Diensten kann man helfen, ohne ist es halt ein Raten bzw. Stochern im Nebel.

 

[Dirk11]

Ok. In Teilen nachvollziehbare Erklärung. Aus genau dem Grund editierte ich auch gerne, ich mag es ebensowenig, wenn jemand fünf postings hintereinander erstellt und z.B. jeden seiner Antworter einzeln zitiert. Wenn ich merke, dass Leute "am Ball" sind und mitlesen, packe ich dann auch mal eine Info in ein neues posting, damit sie sehen, dass ich auch aktiv bin und mich nicht tagelang nicht melde. Dann ein posting doppelt zu erstellen um dann das alte zu löschen - sorry, aber ich bleibe dabei, das ist mir a) zu umständlich und b) geht das nur bei euch, in den meisten anderen Foren ist - aus ebenso nachvollziehbaren Gründen - ein Edit oder Löschen nach XX Minuten nicht mehr möglich.

Vielleicht habe ich ja irgendwann mal die Zeit übrig, um mich in Wireguard einzulesen. Bis dahin mache ich das, was ich bis dato gemacht habe: für die bisher wenige Fälle, wo ich auf den Drucker zugreifen musste, eine VNC-Verbindung auf den Rechner vor Ort.
Ich hatte halt vor kurzem die Idee, auch entfernt drucken zu können, aber das wird dann erstmal nix.

Eine Fritzbox zurücksetzen kommt übrigens nicht in Frage, weil die %/"$/ von AVM die Möglichkeit abgeschafft haben, die Sicherheitsabfrage vor Ort (z.B. über Tastendruck oder Code auf einem DECT) zu deaktivieren. Wer sowas macht, weiß in der Regel, was er da tut, dass sie das abgeschafft haben, finde ich mehr als dämlich.

 

[Grisu_]

Die 2FA ist jetzt aber nur ein Ausrede von dir (hab sie bei mir bewußt auch deaktiviert).
Erstens kannst sie recht einfach mit einem Einzeiler im PowerShell (Anleitung dazu gibts hier im Forum von @PeterPawn) wieder deaktivieren und andererseit hast du ja auch die Möglichkeit eine Sicherung einzuspielen, in der sie deaktiviert ist.
Bzw. auch ein Recovery auf eine ältere FW wo es das noch nicht gab (einstellbar war) und dann mit Updates auf die gewünschte Version gehen, damit bleibt die vorherige Einstellung auch erhalten.
Noch sind zumindest beide Möglichkeiten offen (wie das bei nachfolgenden FWs sein wird ist natürlich nicht gewiss).

Daher würde ich dir empfehlen beide Boxen neu manuell minimal aufzusetzen, ja das ist mit etwas Arbeit verbunden, um die Funktion dann erneut zu testen.
Sowohl mit IPSec und dann auch mit WG.
Wenn es hilft, weißt du wie du weiter vorgehen mußt (fertigkonfigurieren), andernfalls die Sicherungen einspielen und es ist nichts geschehen.

 

[Dirk11]

Die 2FA ist jetzt aber nur ein Ausrede von dir (hab sie bei mir bewußt auch deaktiviert).
Erstens kannst sie recht einfach mit einem Einzeiler im PowerShell (Anleitung dazu gibts hier im Forum von @PeterPawn) wieder deaktivieren

Kannst Du die bitte mal verlinken? Wird ja wohl auch in der cmd bei Debian funktionieren, hoffe ich. Ich musste nämlich schon eine defekte Fritzbox austauschen, an der habe ich jetzt schon das Problem.

Daher würde ich dir empfehlen beide Boxen neu manuell minimal aufzusetzen, ja das ist mit etwas Arbeit verbunden, um die Funktion dann erneut zu testen.

Das ist nicht mit "Arbeit" verbunden, sondern mit viel Zeit. Alle angeschlossenen Geräte müssen wieder ihre feste IP bekommen, alle WLAN-Geräte müssen einmal neu angemeldet werden, Mesh muss wieder eingerichtet werden (an beiden Standorten), an meinem müssen fünf VPN wieder eingerichtet werden. Nein danke. Reine Kosten-Nutzen-Abwägung. Ich habe auch noch ein Leben neben diesem Kram, zwei Haupt-Fritzboxen "neu aufsetzen", dabei muss ich beide Male vor Ort sein, nur deshalb -> nein, da verzichte ich lieber. Zumal das der "Windows-Weg" ist: denn weiß ich nicht weiter, dann installier' ich halt neu.
Gibt es kein Log, wo man was sehen kann?

 

[Grisu_]

Um den Drucker zu testen brauchst fast gar nichts einrichten!
Und nur darum gehts dabei, um zu sehen ob irgendwo der Wurm drin ist und ein Neubeginnn Abhilfe schaffen würde.
Dann kannst dir immer noch überlegen zurückzukehren oder doch den Aufwand nehmen.

Kannst auch selbst danach suchen, warum soll ich mir die Arbeit machen damit du dich zurücklehnst?

[Frage] Beitrag im Thema 'FB7590 (und andere Boxen ab OS:7.50) Bestätigungen deaktivieren ?'

11 Aug 2023

Ich habe inzwischen feststellen können (nachdem mit der 07.56 nun die finalen Versionen des Entwicklungszweigs erschienen sind, schaue ich da auch wieder etwas genauer hin), daß sich AVM bei der Deaktivierung der 2FA noch eine Hintertür offengelassen hat.

Damit funktioniert das Deaktivieren auch ohne Editieren und (Re-)Import einer Sicherungsdatei - man braucht nur eine Session-ID für eine Sitzung, in der die 2FA bereits erfolgreich ausgeführt wurde (ohne 2FA funktioniert das nach meinen Tests GLÜCKLICHERWEISE nicht, denn das wäre wieder ein riesiges Security-Problem).

Dann muß man nur...

• PeterPawn

• 

 

[Dirk11]

Ok. Ich habe Neuigkeiten. Es gibt zwei Drucker, einmal den Drucker, den ich nicht erreichen kann, wenn ich ihm den Internet-Zugang sperre, unter 192.168.49.39 und einmal einen Drucker in meinem eigenen Heimnetz unter 192.168.7.30. Jetzt bin ich gerade vor Ort im .49-Netz. Wenn ich hier meinen zuletzt genannten Drucker anpinge, dann funktioniert das, ebenso wie der Zugriff auf dessen Webserver, obwohl diesem Drucker auch der Zugriff auf's Internet gesperrt ist.

Man muss jetzt aber Folgendes hinzufügen:
In meinem Netz hängt der Drucker über einen Switch direkt an der Fritzbox.
Im .49-Netz hängt der nicht erreichbare Drucker an einer 7590, die als LAN-Mesh-Gerät dazwischen hängt.

Was mich wundert: ein traceroute aus dem .49-Netz auf meinen Drucker hört direkt nach dem Drucker auf, das sieht dann so aus:

$ traceroute 192.168.7.30
traceroute to 192.168.7.30 (192.168.7.30), 30 hops max, 60 byte packets
 1  7490.fritz.box (192.168.49.1)  2.475 ms  0.441 ms  0.524 ms
 2  x544dw.fritz.box (192.168.7.30)  14.478 ms  16.585 ms  18.427 ms
 3  x544dw.fritz.box (192.168.7.30)  20.962 ms  22.875 ms  23.443 ms

Der traceroute aus meinem Netz auf den nicht erreichbaren Drucker "verläuft" sich irgendwie

~$ traceroute 192.168.49.39
traceroute to 192.168.49.39 (192.168.49.39), 30 hops max, 60 byte packets
 1  7590.fritz.box (192.168.7.1)  0.810 ms  1.282 ms  1.429 ms
 2  brother.fritz.box (192.168.49.39)  16.881 ms  17.317 ms  17.682 ms
 3  * * *
 4  * * *
 5  * * *
 6  * * *
[...]

 

[Erforderlich]

Da AVM noch immer beim VPN unterscheidet, dass es beim Login an der Master-Box kein Internet ist und an den Mesh-Repeater-Boxen sehr wohl, habe ich mal einfach im Haus den Drucker im Kellerbüro eingeschaltet.
Trotzdem er sich hinter 5590 - 7590 - 7530 befindet, wirkt sich "Gerät gesperrt" bzw. "Gerätesperre aktiv" nicht auf die Kommunikation aus, die Einrichtung und die erste Testseite liefen fehlerfrei, ebenso die die GUI des Laserjet P3015, für den ich allerdings Netscape benutzen musste, weil der Drucker aus "Sicherheitsgründen" SSL erzwingt, aber aktuelle Browser kein so altes SSL benutzen wollen.

 

[Grisu_]

Versteh dich nicht.
Wie du schreibst, dürfte es dann ja nur mit dem Drucker direkt an der Master über VPN funktionieren und nicht hinter deiner Kaskade.

 

[Erforderlich]

Ich wollte nur das für mich verifizieren, was Dirk11 da bei sich gefunden hat.
Das erzwungene Mesh-Repeaterbox-Login per VPN mit einem User mit "Zugang aus dem Internet" war nur eine Ahnung, die sich für die Gerätesperre in meinen Meshs nicht bewahrheitet hat. Darüber war ich aber auch erfreut, denn "zweierlei Maß" auch noch bei der Gerätesperre wäre unerträglich geworden.

 

[Dirk11]

Also, nochmal zur Verdeutlichung: bei Dir funktioniert es an einer Mesh-Box hängend, die nicht für's Internet freigeschaltet ist?
Ich würde es nicht anders erwarten, denn ein Gerät, am LAN einer per Mesh eingebundenen Box hängend, sollte wie ein "normaler" Switch behandelt werden.
Ich kann das Gerät leider nicht direkt an die Haupt-7490 hängen, um die Mesh-Box auszuschließen, da liegen zwei Stockwerke zwischen. Und nein, den >30Kg-Drucker schleppe ich dafür nicht runter und wieder hoch Grmpf.

 

[Erforderlich]

Wie kommst du auf "Mesh-Box, die nicht für's Internet freigeschaltet ist", Mesh-Boxen sind immer auch IP-Clients und (bei mir) nie für's Internet gesperrt. Jetzt geht es langsam in Richtung Dr. Seltsam.

 

[Dirk11]

Wieso ich? Ich habe nur einen Zustandsbericht abgegeben. Das "seltsame" kam dann von Dir, kann man hier oben nachlesen. Und selbstverständlich ist die Anmeldung an einer Mesh-Client-Box auf der Oberfläche anders als an der Haupt-Box, denn an der Haupt-Box reicht das Passwort, an der Client-Box brauche ich, wenn ich darauf via VPN zugreife, auch einen Benutzer-Name.

 

[Grisu_]

Das heißt doch nur, daß du die User unterschiedlich konfiguriert hast auf deinen Boxen.

 

[Dirk11]

Ich habe überhaupt nichts an den Usern konfiguriert. Die Fritzboxen wurden beim Kauf eingerichtet, das bedeutet, es wurde ein Anmelde-Passwort erstellt und fertig. Dann natürlich noch Dinge wie Netzwerkeinstellungen und Telefonieeinstellungen, aber an irgendwelche Usereinstellungen bin ich mangels Notwendigkeit nie gegangen. Ich weiß auch nicht, was das mit meinem ursprünglichen Problem zu tun hat, ich habe das hier nur als Beobachtung angemerkt. Es hat dann ja offensichtlich jemand selbst nachgestellt und festgestellt, dass es daran nicht liegen kann, also kann man diese Möglichkeit wohl auch abhaken.

 

[Bastler1]

Welche Firmware ist auf den Boxen?

 

[Dirk11]

Immer noch die Aktuellste.

 

[KunterBunter]

Diese hier: https://www.ip-phone-forum.de/threads/fritz-box-7590ax-labor-inhaus-8-1x.321684/post-2595360

 

[Dirk11]

Nope. Das ist nicht die aktuellste. Die aktuellste ist immer noch die Stable-Firmware.