Funktioniert das Terminal von shellinabox in OpenWebif aktuell bei irgendwem?

pickwick · 23. Juni 2018, 15:08

Hallo,

ich habe seit ein paar Wochen eine neue Vu+ Uno4kse und war mir ziemlich sicher, dass ich dessen Terminal in OpenWebif im Browser mal aufrufen konnte. Aktuell geht das wegen TLS-Fehlern aber nicht, der Client-Handshake funktioniert laut Wireshark schon nicht. Ich habe das mal mit einer anderen Solo4k auf dem gleichen aktuellen Versionsstand geprüft und da ist das gleiche Bild. Es gibt auch einen alten Thread mit ähnlicher Problembeschreibung. Im IE 11 habe ich auch mal auf SSLv3 zurück geschaltet, das hat aber auch nicht geändert, in Wireshark konnte man aber sehen, dass SSLv3 zusätzlich zu sonst nur TLS probiert wurde. In der Prozessansicht der Box kann man auch sehen, dass shellinaboxd läuft und wenn man ohne https aufruft, ist die Fehlermeldung im Browser auch anders, denn dann kommt erst gar keine Verbindung zu stande.

Das Problem dürfte also mit Algorithmen und TLS zu tun haben, ich habe aber keine Einstellungen in diese Richtung im Menü oder OpenWebif gefunden. Funktioniert das also bei irgendwem und falls ja, mit welchem Browser und welchen Einstellungen? Falls es bei niemandem funktioniert, ist das ein bekanntes Problem und wird daran gearbeitet oder benutzt das Terminal kaum jemand und man muss das irgendwo hin melden?

Danke!

Truster · 23. Juni 2018, 15:23

Hallo,

Hast du selbst Zertifikate für dein WebIf erstellt? Bei mir klappt es, jedoch verwende ich kein VTi

Gesendet von meinem ONEPLUS A5010 mit Tapatalk

pickwick · 23. Juni 2018, 15:35

Nö, ich habe keine Zertifikate erzeugt, nur Standardinstallation gemacht. Ausgehend von meinen Beobachtungen mit Wireshark würde ich sogar tippen,d ass das Problem noch vor den Zertifikaten wirklich bei den Algorithmen für den Aufbau des verschlüsselten Tunnels liegt. Zertifikatsprüfungen etc. müssten eigentlich danach kommen, aber in meinem Fall ist schon direkt nach dem "Client Hello" Schluss.

Meine Firmware ist übrigens VTI 13.0.9 mit Updates vom 03.05.2018 und alles Standard, keine zusätzlichen Plugins, Picons und nichts.

Sellerie0815 · 23. Juni 2018, 15:49

Habe hier "Iron Version 66.0.3450.0 (Offizieller Build) (32-Bit)" von PortableApps.com am Laufen und damit komme ich auch ans Terminal, nachdem ich das unsichere Zertifikat übergangen habe. Zum einen wurde das Zertifikat von "vuplus.box" für "vuplus.box" ausgestellt, AVMs jahrelange Fremdverwendung der TLD "box" für seine Produkte könnte sich hier bemerkbar machen, und zum anderen war das Zertifikat nur gültig im Zeitraum 02.05.2017 - 01.06.2017.

Truster · 23. Juni 2018, 17:16

@pickwick: aber du rufst das WebIf via https auf, oder? Ansonsten würde ja alles unverschlüsselt übertragen.

Gesendet von meinem ONEPLUS A5010 mit Tapatalk

Sellerie0815 · 23. Juni 2018, 17:28

@Truster
Das spielt keine Rolle, ob man das OpenWebif per https aufruft oder nicht. Gehst du im OpenWebif über "Extras" auf "Terminal" wirst du zu https://<ip-oder-dns-name-deiner-box>:4200/ umgeleitet.

Truster · 23. Juni 2018, 17:39

Also bei mir läuft es eingebettet. Bei mir ist ausschließlich Port 10884 per portforwarding published und kann das Terminal auf meinem Handy mit Chrome aufrufen

Gesendet von meinem ONEPLUS A5010 mit Tapatalk

pickwick · 23. Juni 2018, 17:45

Genau, das OpenWebif funktioniert per HTTP und HTTPS gleichermaßen, nur das Terminal nicht. Ich habe auch diesen IronPortable in der genannten Version probiert und der bringt ebenfalls SSL-Fehler: ERR_SSL_VERSION_OR_CIPHER_MISMATCH Da ist nichts mit Zertifikat übergehen, da werden anscheinend irgendwelche mittlerweile "verbotenen" Algorithmen genutzt. Ein aktueller Opera, IE 11, Edge, dieses IronPortable-Ding, überall das gleiche Ergebnis und letzteres habe ich auch noch unter Windows 7 und 8.1 getestet.

Truster · 23. Juni 2018, 18:01

Wenn dem so wäre, dann dürfte bei mir das Terminal gar nicht funktionieren...

Klingt nach Zertifikat mit altem algorithm (sha1). Erstelle einfach mal ein eigenes Zertifikat z. B. mit xca.

Gesendet von meinem ONEPLUS A5010 mit Tapatalk

Truster · 23. Juni 2018, 18:08

Edit by hgdo: Bitte keine Bilder von externen Hostern. Bilder werden über die Boardfunktion "Dateianhänge" hochgeladen. Das geht auch mit Tapatalk.

Gesendet von meinem ONEPLUS A5010 mit Tapatalk

Sellerie0815 · 23. Juni 2018, 18:13

Truster schrieb:

Also bei mir läuft es eingebettet. Bei mir ist ausschließlich Port 10884 per portforwarding published und kann das Terminal auf meinem Handy mit Chrome aufrufen

Gesendet von meinem ONEPLUS A5010 mit Tapatalk

Das du nur Port 10884 forwardest, ändert ja nichts am internen Port für das Terminal. Ich habe da nix verändert und bei mir liegt das Terminal auf Port 4200. Einfach mal einen Port zu forwarden, selbst wenn du ein "schweres" Passwort für die VU-Box verwendest, finde ich sicherheitstechnisch bedenklich. Das dürfte später oder früher zu ungebetenen Gästen auf deiner Box führen, aber das ist dein persönliches Problem... Jede halbwegs versierte Nutzer macht sowas über VPN, weil man damit nur 1 Port für viele Dinge öffnen muß und sich das VPN über Zertifikate um die Sicherheit kümmert.

pickwick schrieb:

Genau, das OpenWebif funktioniert per HTTP und HTTPS gleichermaßen, nur das Terminal nicht. Ich habe auch diesen IronPortable in der genannten Version probiert und der bringt ebenfalls SSL-Fehler: ERR_SSL_VERSION_OR_CIPHER_MISMATCH Da ist nichts mit Zertifikat übergehen, da werden anscheinend irgendwelche mittlerweile "verbotenen" Algorithmen genutzt. Ein aktueller Opera, IE 11, Edge, dieses IronPortable-Ding, überall das gleiche Ergebnis und letzteres habe ich auch noch unter Windows 7 und 8.1 getestet.

Ich habe Iron seit längerem immer nur aktualisiert. Gut möglich, daß da noch einige ältere Einstellungen verbleiben sind. Ich bin gerade dabei mit 100KB/s diese Iron-Version nochmals zu laden und zu installieren.

Alles klar, gehe ich über den DNS-Namen rein, zeigt auch mir der Iron deine SSL-Meldung

Spoiler anzeigen

Da ich jedoch eigentlich immer per IP reingehe, bekomme ich weitere Möglichkeiten angezeigt.

Spoiler anzeigen

Truster · 23. Juni 2018, 18:35

@sellerie: und wie willst du das interne Port 4200 erreichen, wenn es öffentlich nicht erreichbar ist?

Zu deiner Sorge: ich denke, sie ist soweit ganz gut abgesichert, wer auch immer es schafft, in die Box einzudringen kann max nur diese Lahmlegen. Backup vom Stick und sie ist in Minuten wieder einsatzfähig. Also juckt mich das herzlich wenig.

Gesendet von meinem ONEPLUS A5010 mit Tapatalk

Nachtrag: Wenn ich es schaffe, dein vpn zu knacken, entblößt sich sofort dein gesamtes Netzwerk. Wenn du den Webserver knackst, _kann_ der Schaden deutlich geringer sein.

Gesendet von meinem ONEPLUS A5010 mit Tapatalk

Sellerie0815 · 23. Juni 2018, 20:44

Darum ging es dem TO überhaupt nicht. Er bemängelte nur, daß er im OpenWebif das Terminal nicht mehr öffnen konnte. Ob er das von "aussen" probierte, kann ich seinen bisherigen Postings nicht entnehmen. Ich habe den Port 4200 nur erwähnt, weil ich dahin umgeleitet wurde. Da ich dahingehend nichts verändert habe bzw mir keiner wissentlichen Änderung bewußt bin, gehe ich davon aus, daß das der Standardport sein würde. Natürlich kann man das Terminal lokal auch direkt über die Box plus Portnummer erreichen. Das interessiert den TO aber auch nicht.

Das man damit nur deine Box lahmlegen kann, ist deutlich zu kurz gedacht. Das VTi kommt immer ohne Root-Passwort daher und die Box ist im Grunde ein Linux-Rechner mit all dessen Möglichkeiten. Verschärfend kommt hinzu, daß alle Programme mit root-Rechten laufen und selbst mit manuell gesetztem root-Passwort sehe ich kein Hindernis, weshalb man die Box nicht mit ausreichend Zeit für "alle" öffnen können sollte. Hier im Forum wird nicht umsonst immer davor gewarnt, die Box per Portforwarding ins Netz zu stellen. Auf der Box gibt es einfach keine Sicherheitsmechanismen, weil sie dafür nicht gebaut ist und nicht jeder sichert die Box extra ab. Geh davon aus, daß sobald jemand auf der Box drauf ist, ist dieser im Netzwerk drin und hat dank der root-Rechte über die dadurch frei einsehbare Box-Config auch weitreichenden Zugriff auf das restliche Netzwerk. Nimmt man nur lokal auf, trifft es vielleicht nur diese Aufnahmen und hat man ein NAS als Aufnahmeziel eingebunden, ist auch das ganz schnell mal leer, falls das nicht auch irgendwelche leichter ausnutzbaren Bugs hat. Da sind nicht nur in letzter Zeit einige Schwachstellen bekannt geworden. Es kauft sich hoffentlich niemand eine Enigma-Box, wenn er damit nicht auch deren Möglichkeiten nutzen will und für 0815-Nutzer sind die üblichen Baumarkt-Geräte die pflegeleichtere Wahl...
Mir ist aber auch bekannt, daß hier einige Benutzer für ihre Familienangehörigen die Box komplett eingerichtet übergeben haben und diese seitdem seit Jahren ihren Dienst wie ein Baumarkt-Gerät verrichtet. Das dürfte immer dann der Fall sein, wenn diese Benutzer entweder ebenfalls VU-Boxen oder sich zumindest mit Enigma näher beschäftigt haben.

Truster schrieb:

Nachtrag: Wenn ich es schaffe, dein vpn zu knacken, entblößt sich sofort dein gesamtes Netzwerk. Wenn du den Webserver knackst, _kann_ der Schaden deutlich geringer sein.

Gesendet von meinem ONEPLUS A5010 mit Tapatalk

Wenn du das VPN knackst sicher, aber soviel sei gesagt, mit Benutzername und Passwort wird das schon mal nix...

So und nun genug Offtopic.

Truster · 23. Juni 2018, 21:25

Keine Sorge, die Box läuft in einem eigenen Netz

Zurück zum Thema. Bei mir ist das Terminal direkt ins WebIf integriert, da wird kein separater Port genutzt. Wäre ja auch etwas Sinnfrei, weil man ja gleich via ssh connecten könnte.

Gesendet von meinem ONEPLUS A5010 mit Tapatalk

pickwick · 24. Juni 2018, 12:47

IP vs. Hostname ist bei mir auch das Problem, mit der IP funktioniert es und ich kriege nur eine Zertifikatswarnung, mit dem Hostnamen eben nicht. Wahrscheinlich habe ich beim letzten Versuch auch nur die IP verwendet und das einfach vergessen. Da shellinabox eigener Aussage nach keine Konfigurationsdateien verwendet, in denen man selbst nachschauen kann, habe ich mal beim Projekt nachgefragt, woher der Unterschied kommen könnte:

TLS error IP vs. host name. · Issue #437 · shellinabox/shellinabox · GitHub

Sellerie0815 · 24. Juni 2018, 15:48

@Truster
Du schreibst die ganze Zeit immer von Webif und wir von OpenWebif. Das sind 2 verschiedene Paar Schuhe...
Ich hab mal nen Screenshot gemacht und die Maus auf Terminal stehenlassen. Unten links sieht man dann, auf welchen Port das Terminal bei uns liegt.
OpenWebif-Port4200.jpg

Truster · 24. Juni 2018, 15:58

Natürlich ist damit openwebif gemeint, siehe meine Screenshots.

Bei mir ist der Link eine Javascript Funktion. Was sich dahinter verbirgt kann ich im Moment nicht sagen. Kann erst am Abend zum PC

Gesendet von meinem ONEPLUS A5010 mit Tapatalk

@hdgo:

Wenn hier schon Tapatalk angeboten wird, so sollte auch deren Image Funktion verwendet werden dürfen. Alternativ können ihr einfach Tapatalk deaktivieren

Gesendet von meinem ONEPLUS A5010 mit Tapatalk

shadowrider · 24. Juni 2018, 17:06

alternativ bleibt es so, wie es ist ;_)

Truster · 24. Juni 2018, 21:39

openwebif schrieb:

<a href="javascript:void(0);" data-close="true" onclick="load_maincontent('ajax/terminal'); return false;" class=" waves-effect waves-block">Terminal</a>

Also ein Ajax Element. Macht auch mehr Sinn meiner Meinung nach.

n020222 · 25. Juni 2018, 22:31

Also ich habe mir das mal angesehen.

Zuerst hatte ich nur die Werkskonfigaration ausprobiert.
Damit war ich auch nicht zufrieden. So geht scheinbar wirklich nicht alles ...

Ich habe mir dann ein eigenes Heimnetzt-Root-Zertifikat und ein Serverzertifikat, welches alle meine Geräte abdeckt, erstellt.
Nachdem das Heimnetzt-Root-Zertifikat im Browser und das Serverzertifikat auf den Boxen installiert war, ist nun alles GRÜN.

Und zwar sowohl bei Eingabe der IPs als auch bei Nutzung der vusolo*.fritz.box-Domains.

Nach etwas basteln kann ich sagen ... das Terminal von shellinabox in OpenWebif funktioniert voll und ganz.