.titleBar { margin-bottom: 5px!important; }

Zugriff auf dropbear und Weboberfläche von aussen

Dieses Thema im Forum "FRITZ!Box Fon: Modifikationen" wurde erstellt von full2000, 19 Nov. 2008.

  1. full2000

    full2000 Neuer User

    Registriert seit:
    8 Okt. 2008
    Beiträge:
    148
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Hallo,

    ich versuche seit Tagen meine Fritz!Box 7270 gleichzeitig (!) von aussen mittels SSH (dropbear) und mittel Weboberfläche anzusprechen. Leider geht bei mir immer nur eins der beiden.

    Die Weboberfläche erreiche ich über dyndns über Port 443. Den dropbear habe ich auch auf Port 443 eingestellt (wegen Firmen-Firewall), und das wird wahrscheinlich auch das Problem sein...

    In der ar7.cfg habe ich folgenden eingetragen:

    tcp 0.0.0.0:443 0.0.0.0:443 # HTTPS
    tcp 0.0.0.0:443 192.168.178.250:22 # SSH

    Die IP-Adresse 192.168.178.250 ist schon eine neu angelegte IP-Adresse für die Fritz!Box. Mit der obigen Einstellung kann ich mit Putty auf die Box zugreifen (von aussen). Die Weboberfläche ist dann aber nicht mehr erreichbar. Kommentiere ich die zweite Zeile aus, ist es umgekehrt (SSH läuft nicht, Weboberfläche läuft).

    Hat einer eine Idee, wie man das machen kann? Offene Ports sind nur 80 und 443.
     
  2. Bejobe

    Bejobe Neuer User

    Registriert seit:
    19 Mai 2005
    Beiträge:
    163
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #2 Bejobe, 19 Nov. 2008
    Zuletzt bearbeitet: 19 Nov. 2008
    Versuch es doch einmal mit Folgendem:

    Bei der Einstellung der Box, bei der du "mit Putty auf die Box zugreifen (von aussen)" kannst, starte auf deinem
    Rechner folgendes Programm aus dem Putty-Paket [1]:

    plink.exe -ssh -2 -v -L 127.0.0.2:80:192.168.178.1:80 -l USERNAME -pw PASSWORT DDDD.dyndns.org

    Danach verbindest du dich mit der Weboberfläche deiner Box mit folgender Zeile in deinem Browser [2]:

    127.0.0.2

    Bejobe

    [1] nennt sich IIRC "SSH-Tunneln".
    [2] wg des zugrundeliegenden SSHs ist deine Verbindung zur Fritzbox genauso abgesichert wie bei der Verbindung per HTTPS
     
  3. full2000

    full2000 Neuer User

    Registriert seit:
    8 Okt. 2008
    Beiträge:
    148
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Jetzt kommt beim Aufruf von plink.exe folgende Fehlermeldung:

    Code:
    Looking up host "xxx.dyndns.org"
    Connecting to xxx.xxx.xxx.xxx (<-- korrekte IP-Adresse!) port 22
    Failed to connect to xxx.xxx.xxx.xxx: Network error: Connection timed out
    Network error: Connection timed out
    FATAL ERROR: Network error: Connection timed out
    Kann es sein, dass trotzdem noch versucht wird, über Port 22 rauszugehen? Klappt ja nicht, da Firewall....
     
  4. Bejobe

    Bejobe Neuer User

    Registriert seit:
    19 Mai 2005
    Beiträge:
    163
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    "-P 443" einfügen in die Parameterzeile (Achtung: case sensitiv)

    Bejobe
     
  5. Darkyputz

    Darkyputz Aktives Mitglied

    Registriert seit:
    27 Juli 2005
    Beiträge:
    2,320
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ort:
    Newton, New Jersey
    lass doch drobear einfach auf nem anderen port lauschen...muss ja nicht 443 sein...3000 wäre doch genausogut...dann kommt ihr euch nicht ins gehe...
     
  6. full2000

    full2000 Neuer User

    Registriert seit:
    8 Okt. 2008
    Beiträge:
    148
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Ok, also dropbear z.B. auf Port 12345 lauschen lassen (geht ja - glaube ich - mit der Option "dropbearport="12345" in der debug.cfg, oder?!). Dann würde ich eine Portfreigabe von Port 443 auf Port 12345 einrichten, was aber leider nicht funktioniert (--> Regel kollidiert mit einer internen Regel), da in der ar7.cfg ja schon eine Portfreigabe für Port 443 eingetragen ist (für die Weboberfläche).
     
  7. Darkyputz

    Darkyputz Aktives Mitglied

    Registriert seit:
    27 Juli 2005
    Beiträge:
    2,320
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ort:
    Newton, New Jersey
    was willst du denn immer mit dem port 443??
    wenn dropbear auf 12345 lauscht, kannst du doch auch von draussen auf 12345 connecten...iss doch dann trotzdem veschlüsselt...
     
  8. full2000

    full2000 Neuer User

    Registriert seit:
    8 Okt. 2008
    Beiträge:
    148
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Um von aussen auf den Port 12345 zuzugreifen, muss ich ja auch über den Port 12345 rausgehen. Und das funktioniert wegen der Firewall leider nicht. Hier ist nur Port 80 und Port 443 möglich.

    Also muss ich über den Port 443 raus (laut Netzwerksniffer antwortet die Fritz!Box dann auch mit einem ACK). Die Fritz!Box muss dann das Paket auf den internen Port 12345 weiterleiten, damit dropbear sich angesprochen fühlt. Wenn ich aber alle Pakete, die auf Port 443 reinkommen auf den Port 12345 umleite, funktioniert die Weboberfläche leider nicht mehr, denn die will ja auch den Port 443 (HTTPS).

    Ganz schön kompliziert, aber irgendwie muss es doch klappen....
     
  9. Bejobe

    Bejobe Neuer User

    Registriert seit:
    19 Mai 2005
    Beiträge:
    163
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hatte er nicht geschrieben, dass er wg Firmen-Firewall nur die Wahl zwischen Port 80 und 443 hat? Spricht etwas dagegen, dropbear auf Port 80 zu legen? (Vorausgesetzt, es soll nicht ein Webserver im lokalen Netz von aussen erreichbar sein.)

    Stümmt (auch bei Port 80).

    Bejobe
     
  10. full2000

    full2000 Neuer User

    Registriert seit:
    8 Okt. 2008
    Beiträge:
    148
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Keine Ahnung. Habe ich bisher noch nicht ausprobiert. Müsste man dann noch eine entprechende Freigabe einbauen (z.B. in der ar7.cfg --> tcp 0.0.0.0:80 0.0.0.0:80)?
     
  11. Darkyputz

    Darkyputz Aktives Mitglied

    Registriert seit:
    27 Juli 2005
    Beiträge:
    2,320
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ort:
    Newton, New Jersey
    nunja..intern wirst du so auf nen regelüberschnitt laufen da die box selber schon auf 80 lauscht...aber tcp 0.0.0.0:80 0.0.0.0:12345 sollte dann zu einem dropbear der auf 12345 lauscht fürhen...
    von aussen wäre das ganze dann unter 80 verschlüsselt zu erreichen udn 443 wäre weiterhin dein ssh port...

    ansosnten wie wäre s hiermit??
    ein port raus alle draussen verfügbar...
    http://www.xobztirf.de/selfsite.php?aktion=Putty