ComputerBase Menü
Aktuelles

Freetz-NG signieren und installieren

F

FatManStanding

Lt. Junior Grade
Registriert
Aug. 2021
Beiträge
386
Hallo,

ich bin gerade dabei für meine alte FritzBox 7490 ein Freetz-NG-Image zu bauen. Seit einer Version 6.x des FritzOS können nur noch signierte Image installiert werden. Die ganzen Artikel bei freetz-ng.github.io wirkt irgendwie unaufgeräumt. Man hat den Eindruck manche Artikel sind uralt, manche Themen wurden neu geschrieben, die alten aber drin gelassen. Manche Themen - wie eben signieren - werden angerissen, aber nicht konkret geschrieben. Aus dem hier https://freetz-ng.github.io/freetz-ng/wiki/30_Expert/sign_image.html
  • Ein Downgrade (mittels Recovery) auf eine ältere Firmware-Version,die noch unsignierte Images akzeptiert hat. Aus dieser älterenFirmware-Version heraus muss dann eine jüngere Firmware-Versiongeflasht werden, die unseren öffentlichen Schlüssel enthält.
  • Hat man zufälligerweise einen Telnet-Zugang auf die Box, so kannmittels der “drüber mounten”-Methode (mount -o bind ... ...)eines der AVM-Schlüssel temporär durch den eigenen ersetzt werden.
  • Bei NOR-Boxen kann ein den öffentlichen Schlüssel enthaltendes Imagemittelspush_firmwareauf die Box gebracht werden.
  • Bei NAND-Boxen kann ein den öffentlichen Schlüssel enthaltendesImage mittels dereva-to-memory-Methodeauf die Box gebracht werden.
würde ich vermuten, dass ein Downgrade auf eine FritzOS-Version ohne Signatur-Zwang und dann flashen die einzige Möglichkeit für die 7490 ist? Telnet wurde schon länger abgeschalten, die letzten beiden sagen mir nichts.
 
Der einfachste ist die Downgrade Methode, ich kann aber nur vor Freetz-NG.

Von der Stabilität ist das noch nicht einmal mit Freetz-develop vergleichbar. (Um genau zu sein war Freetz-develop um WELTEN stabiler als Freetz-NG...)

Der Grund warum ich aufgehört hat meine Fritz!Boxen zu freetzen, obwohl ich es gerne würde.
Für den Produktiven Einsatz kann ich davon leider nur abraten.
 
jonderson schrieb:
Von der Stabilität ist das noch nicht einmal mit Freetz-develop vergleichbar. (Um genau zu sein war Freetz-develop um WELTEN stabiler als Freetz-NG...)
Zum Vergrößern anklicken....

Freetz-ng basiert doch auf dem alten freetz. Sollte das nicht zumindest grob ähnlich sein? Oder wurde da so viel geändert?
 
FatManStanding schrieb:
Freetz-ng basiert doch auf dem alten freetz. Sollte das nicht zumindest grob ähnlich sein? Oder wurde da so viel geändert?
Zum Vergrößern anklicken....
Es ist ein komplett anderer Entwickler der keinerlei Rücksicht auf Stabilität nimmt.
Freetz wurde ab einer bestimmten Freetz Version nicht mehr weiterentwickelt.
(Glaube 7.12)
Und genau danach kamen Änderungen raus, die gravierend waren.

Vielleicht mal um, etwas konkret zu werden.
Es werden als Workarround wichtige Dienste abgeschaltet und statt es als wirklich als Workaround zu verstehen, wird es eingebaut ohne das der Nutzer etwas davon mit bekommt:
https://www.ip-phone-forum.de/threads/avm-watchdog-kann-man-den-guten-gewissen-deaktivieren.308425/
Du siehst dort auch sehr gut wie der Hauptentwickler fda89 agiert.
User die versuchen zu helfen das Problem mit ihrer Box zu analysieren werden bezichtigt irgendein Addon zu verwenden, obwohl sie immer wieder sagen das es ein pures Image ist... Aber es ist natürlich einfacher ein Problem auf die User abzuschieben...
Dort werden Annahmen zum Quellcode von AVM gemacht, die hinten und vorne nicht stimmen,
AVM Watchdog unwichtig
vorher gab es wohl schon irgendwas mit ner Providerdatenbank, die einfach deaktiviert wurde.

Nen paar Zitate von einem der freetz Entwickler (Der Typ ist ziemlich schroff zu allen Usern trifft es aber meiner Meinung nach ziemlich auf dem Punkt...)
https://www.ip-phone-forum.de/threads/avm-watchdog-kann-man-den-guten-gewissen-deaktivieren.308425/post-2396842 schrieb:
Ich denke mal, daß Du den Kern meiner Kritik trotzdem schon verstanden hast ... es geht darum, daß Du viele ungetestete und in ihren Konsequenzen nicht zwangsweise zu Ende gedachte oder auch nur auf mögliche Seiteneffekte getestete Änderungen machst und nur mit den Schultern zuckst ("ist eben eine Developer-Version"), wenn das bei irgendjemandem zu Problemen führt. Auch hier gab es mit dem "httpsdl" für das "gettfepic.sh" doch gerade erst wieder ein Beispiel - selbst wenn das neu hinzugekommen ist als Abhängigkeit, hast Du das ganz offensichtlich eben NICHT geprüft, bevor Du Dich dazu aufgeschwungen hast, daß 07.2x jetzt auch "supported" wäre.

Da kriegt dann auch der Support für ein neu hinzugefügtes Modell mal auf die Schnelle den Stempel "Funktioniert doch!", wenn das nur ein Einzelner mal gebaut und irgendwie gestartet hat und dabei wird nicht einmal richtig "nachgehakt", was das für die Funktion generell wohl bedeuten könnte. Die Tatsache, daß ein Minimal-Image auf einer Box auch bootet, sagt ja nun absolut nichts darüber aus, wie sich das im weiteren Verlauf verhält und/oder welche Pakete dieser "Tester" da überhaupt verwendet hat. Ein schönes Beispiel waren da die 6890 und der DVB-C-Repeater ... die standen auch auf "supported", nur funktionierten eben die entscheidenden Teile der Firmware trotzdem nicht, weil beim Nachladen von LKMs ein Problem bestand, das aber das generelle Booten nicht verhinderte.

Denn auch wenn man mit dem originalen Freetz nicht immer zufrieden und mit den Machern dort nur selten einer Meinung war - eines muß man trotzdem attestieren: Es gab deutlich weniger "halbgare" Änderungen und dann kann man vielleicht sogar (auch wenn's alles andere als ideal und für die meisten Entwickler, die das beruflich machen, wohl auch ziemlich unprofessionell ist nach deren Ansicht) mit so einem einzelnen Branch für die "Öffentlichkeit" arbeiten.
Zum Vergrößern anklicken....
https://www.ip-phone-forum.de/threads/avm-watchdog-kann-man-den-guten-gewissen-deaktivieren.308425/post-2396518 schrieb:
Das meinte ich ja mit "lazy research" - wenn man immer so mit Problemen umgeht und die alle nur durch Workarounds versucht zu lösen (die besser nur temporär sein sollten), dann landet man irgendwann im Chaos. Das ist wie das Kleben eines Pflasters auf jeden neu aufgekratzten Mückenstich - werden das zu viele, helfen einzelne Pflaster nicht mehr (weil die dann schon übereinander kleben und die unteren so langsam zu schimmeln beginnen) und es muß ein deutlich größeres her.
Zum Vergrößern anklicken....
https://www.ip-phone-forum.de/threads/avm-watchdog-kann-man-den-guten-gewissen-deaktivieren.308425/post-2396673 schrieb:
Wobei "autorun" ja nun wirklich eine galoppierende Sicherheitslücke ist, die (wenn jemand tatsächlich so mutig/verschusselt ist, diese Funktion zu aktivieren) einfach nur ein Traum für jeden Angreifer ist, der für 15 Sekunden unbeobachtet in die Nähe der FRITZ!Box gelangt - das ist fast so schön, wie der USB-Stick mit dem Keylogger, den man nur hinten an den PC stecken muß. Wenn ich es nicht falsch lese, wird das auch wieder automatisch mit ausgewählt, wenn man sich für "UDEVMOUNT" oder "FREETZMOUNT" entscheidet und ich kann in der CGI-Seite beim besten Willen auch nichts finden, was den (unbedarften) Benutzer jetzt noch einmal nachdrücklich auf die Gefahren aufmerksam machen würde, die sich daraus ergeben. Hätte irgendein Hersteller so etwas in seiner Firmware, würde man ihn heutzutage dafür vermutlich kreuzigen.

Aber so etwas ist dann eben automatisch in Freetz enthalten (UDEVMOUNT ist ja auch als Standard "an") und wartet nur auf den (uninformierten) Klick durch den Benutzer - während die (im Vergleich dazu wieder deutlich schwerer für einen Angreifer zugängliche) "debug.cfg" entfernt wurde. Wenn sich dann jemand dazu entschließt, Aktionen aus der bisherigen "debug.cfg" in eine "autorun.sh" zu packen, weil die wenigstens beim Systemstart auch irgendwann mal ausgeführt wird, wenn das Volume gemountet wird, ist da die gesamte Box schneller wieder offen wie ein Scheunentor, als man es für möglich hält.

Aber laß Dir von meinen "Einwänden" auch nicht die Laune verderben ... immerhin gibt es mit Freetz-NG wenigstens ein Projekt, was überhaupt noch weiter betreut und angepaßt wird. Nur wirst Du (nach meiner Überzeugung) eben auch schnell Vertrauen potentieller Interessenten verspielen, wenn das alles so planlos und "spontan" wirkt.

Diejenigen, die eigentlich Freetz/Freetz-NG einsetzen wollen, um ihren Router besser abzusichern und ein Schutzniveau zu erzielen, welches über das der AVM-Firmware hinausgeht, die wollen sicherlich keine Firmware, bei der sie nie ganz sicher sein können, ob da nicht doch ein riesiges Loch in der Firmware klafft (nicht mal absichtlich als Backdoor, sondern einfach durch zu wenig durchdachte Aktionen und spontane Änderungen). Es macht jedenfalls nur sehr begrenzt Sinn, wenn man auf einer FRITZ!Box, die ansonsten in puncto "Security" eher eine Blackbox ist und wo man sich nicht sicher sein kann, wie gut die abgesichert ist, jetzt sein "tor"-Paket installiert und dann der Meinung ist, nun würde man sicherer/anonymer im Internet unterwegs sein können.
Zum Vergrößern anklicken....

https://www.ip-phone-forum.de/threads/avm-watchdog-kann-man-den-guten-gewissen-deaktivieren.308425/post-2396842 schrieb:
Da mußt Du Dir aber trotzdem die Frage gefallen lassen, ob Du das JEMALS getestet und richtig durchdacht hast - wenn Du das schon so kühn auf andere Modelle erweiterst, für die es (bei diesem Punkt) bisher (nach allem, was ich selbst dazu bisher gefunden/gelesen habe, aber Du kannst natürlich gerne entsprechende Quellen aufzeigen, die ein "alle VR9-Modelle" erforderlich machen) noch gar keine Beschwerden in dieser Richtung gab. Denn auch wenn bei einer 7412 mal kein "wlan" existiert (weil die nur ein einzelnes Band unterstützt und deshalb "ath0" auch gleichzeitig alles wäre, was da als "wlan" verfügbar ist), woher weißt Du (ohne entsprechende Prüfung), daß es bei anderen VR9-Modellen, die über mehr als ein WLAN-Interface verfügen, nicht auch ein "wlan"-Device gibt, das die beiden Bänder zusammenfaßt?

[...]

Eine Alternative wäre es dann, wenn man es zuvor durchdenkt und testet. Hast Du das getan? Auch hier vermute ich: Nein - wie solltest Du auch (zumindest den Teil mit dem "testen"), wenn Du die Technik dafür nicht hast. Bei Deiner 7490 kann das nämlich etwas vollkommen anderes sein, als bei einer 3390 - die hat auch VR9 und Dual-WLAN (damit "rate" ich mal, daß es auch ein "wlan" geben könnte - für Sicherheit müßte man das eben wieder prüfen) und nur die Tatsache, daß es von AVM (bisher?) da keine Version zwischen 06.9x und 07.1x gibt, "rettet" das hier.
Zum Vergrößern anklicken....

https://www.ip-phone-forum.de/threads/avm-watchdog-kann-man-den-guten-gewissen-deaktivieren.308425/post-2396673 schrieb:
Ist das nur Deine eigene Vorstellung davon, was andere mit Freetz anstellen sollen/dürfen und wenn die jemandem nicht paßt, hat er halt Pech gehabt? Oder soll das tatsächlich die Konkurrenz zum originalen "Freetz" sein und wenn das so ist, hast Du da schon sehr oft eine Begründung gesehen, die "brauche ich selbst nicht, also braucht es auch kein anderer" lautete?

Ich rede hier natürlich von "normalen Zeiten" und anderen Benutzern - daß Dir schon "Vorschläge" abgelehnt wurden (die Du aber auch gerne auf Deine eigene, unnachahmliche Art "eingereicht" hast - üblicherweise in der Art: "Die kann man sich ja von da und da zusammensuchen, wenn man sie haben will." und eher nicht als Teil des "normalen Workflow", der eben aus einem Branch und einem Pull-Request besteht), ist mir genauso bekannt wie der Umstand, daß auch einige meiner Vorschläge mit der Begründung abgebügelt wurden, daß man das alles auf irgendwelchen (manchmal auch reichlich obskuren) alternativen Wegen auch erreichen könnte und das niemand "leichter" brauchen sollte und wenn es nicht anders geht, dann braucht das auch niemand.

Ich verstehe halt die Philosophie hinter einem "Ich baue alles aus oder lasse alles weg, was ich selbst nicht brauche oder noch nie benutzt habe (egal, ob das schon da ist und von jemandem benutzt wird)." nicht so ganz - zumindest nicht, wenn man andere zur Benutzung des Forks animieren wollte. Wenn der tatsächlich nur zu Deinem privaten Vergnügen dienen soll und Dich ansonsten die Bedürfnisse der anderen Interessenten so vollkommen kalt lassen, warum gibt es dann immer noch so viele Pakete? Oder warum werden dann immer noch so viele Modelle unterstützt?

Die wirst Du ja sicherlich nicht alle selbst einsetzen - wo ziehst Du also die Grenze zwischen "Brauche ich nicht, also auch kein anderer." und "Wenn's das schon mal gibt, kann man es ja auch 'anbieten', falls es jemand benutzen will."? Das macht - zumindest auf mich - immer einen etwas unausgegorenen und eher sprunghaften Eindruck ... so als hättest Du gar keinen "Plan" und würdest das immer "frei Schnauze" und eher nach Lust und Laune entscheiden und wenn etwas nicht auf Anhieb mit einer neueren AVM-Firmware funktioniert, fliegt es auch schon mal komplett raus, anstatt daß Du dann hinterher wieder versuchst, das doch noch irgendwie (und sei es auf anderem Wege) zu realisieren.
Zum Vergrößern anklicken....

Willst du so eine Software bei so einem (Haupt)Entwickler auf eine Netzwerkzentrale spielen die dich sowohl vor dem Internet schützen soll, als auch das komplette eigene Netz versorgen soll?

Verstehe mich nicht falsch, mir schmerzt es sehr freetz nicht nutzen zu können, vermisse ich sehr z.B. beim DNS nicht freier sein zu können, aber bei so einem wichtigem Netzwerkgerät ist meine Schmerzgrenze erreicht...
 
Ich würde Freetz (egal welche Version) wie auf einem "Haupt"-Router und schon gar nicht auf einen einzigen Router installieren. Ich habe jetzt eine neue Fritzbox bekommen und wollte dann mal auf der alten 7490 herumprobieren. Mal sehen ob ich das noch mache.Danke für deine Infos.

Mal sehen ob ich mir das dennoch antue oder mal modfs versuche.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

O
Fehler nach Konfiguration Freetz in "Make Menuconfig" Fritzbox 7530
Antworten
16
Aufrufe
862
Photon
Photon
S
TPM auf dem Home Rechner funktioniert nicht
2 3
Antworten
45
Aufrufe
8.246
burkm
B
SFFox
Fritz!Box 7590 AX - WiFi 6 VR Streaming - Quest 2 & 3 / Pico 4
15 16 17
Antworten
336
Aufrufe
46.620
daniel.fassbend
D
ibm9001
Erfahrungsbericht: GPU Passthrough mit AMD Ryzen 5700G auf einem ITX Mainboard BIOSTAR B550T-Silver
Antworten
14
Aufrufe
8.624
ibm9001
ibm9001
XMG Support
[Sammelthread] Windows 11 auf XMG- und SCHENKER-Laptops
3 4 5
Antworten
88
Aufrufe
43.670
DonL_
D
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz