AVM FRITZ!Box 7530

[DjTony]

Ωραία, ξεμπέρδεψες με το VDSL..

Ανανέωσε και το προφίλ σου!

Έτοιμο και το προφίλ.

[alexandros]

Καλησπέρα προσπαθώ να γυρίσω το 7530 σε 7.29 γιατί η 7.56 με έχει τρελάνει τελευταία.
Όμως προσπαθώντας να βάλω το παλιό firmware παίρνω μήνυμα ότι η έκδοση του firmware είναι παλαιότερη.

[K1m0n]

προσπαθώ να γυρίσω το 7530 σε 7.29 γιατί η 7.56 με έχει τρελάνει τελευταία.

Ατυχές μεν (το περί τρέλας),
αλλά είναι κακή ιδέα καθότι ότι <7.57 έχει αμπάλωτη μια τρύπα ΝΑ (με το συμπάθειο...).
Θα ήθελες να τρέχεις την 7.57.
Αν δεν παίζει καλά, ατυχές μεν, συμβαίνει δε, θα το φτιάξουν στην 7.80 (ή και όχι...).

Όμως προσπαθώντας να βάλω το παλιό firmware παίρνω μήνυμα ότι η έκδοση του firmware είναι παλαιότερη.

Αν παρόλα αυτά θες να βάλεις την 7.29,
δεν θα την δεχτεί απ'το gui (και καλώς δεν θα το κάνει).
Downgrade είναι, όχι update.
Θα πρέπει να τρέξεις το recovery της 7.29, θα κάνει wipe/reinstall,
και μετά είτε α) θα φορτώσεις ένα backup <= της 7.29,
είτε β) θα το στήσεις απ'την αρχή.

[DiM]

Δοκίμασε αυτό και ακόλουθα τις οδηγίες που αναγραφει ... μπορεί να πάρει μερικές φορες βάλε βγάλε το καλώδιο τροφοδοσίας μέχρι να το δει και να ξεκινήσει την διαδικασία.

https://file.io/bPiVrhDxcKK9

[DjTony]

Έχω συνδέσει το 7530 και παίζει με την οπτική ινα του ΟΤΕ. Αν πάω στο ίντερνετ στο online monitor βλέπω IPv4 address: 100.85.82.22 ( τυχαία τα νούμερα.) είμαι πίσω από ΝΑΤ? Δείχνει τη σωστή ΙΡ εκεί; δε μπορώ να δουλέψω απομακρυσμένα τα κλιματιστικά από όταν μπήκα σε οπτική ινα. Αυτό να φταίει; αλλάζει σε public η ip άραγε;

[K1m0n]

Αν πάω στο ίντερνετ στο online monitor βλέπω IPv4 address: 100.85.82.22

Εκεί βλέπεις την ip που έχει αναθέσει ο isp στην wan του router σου.
Από αυτό και μόνο δεν ξέρεις αν είσαι πίσω απο cg-nat (εκτός αν ξέρεις τα nat pools που χρησιμοποιεί ο isp).

είμαι πίσω από ΝΑΤ?

Καλή ερώτηση.
Θα επισκεφτείς ένα site που θα σου πεί την ip που "βλέπει" αυτό απο "έξω"
όταν το επισκέπτεσαι.
Πχ -> https://www.whatismyip.com/

Αν η ipv4 που λέει το site^ είναι η ίδια με αυτήν που λέει το fritz στο gui του,
το fritz έχει public/routable ip στην wan του.
Αν είναι διαφορετικές είσαι πίσω απο cg-nat.

δε μπορώ να δουλέψω απομακρυσμένα τα κλιματιστικά από όταν μπήκα σε οπτική ινα

Τα κλιματιστικά, τυπικά, θα παίζουν με το app και το cloud του vendor,
οπότε δεν νομίζω να χρειάζονται εισερχόμενη κίνηση απο "έξω".
Αλλά δεν ξέρω τα κλιματιστικά σου...

αλλάζει σε public η ip άραγε;

Τυπικά, στην cosmote, ακόμα, αν ζητήσεις να σε βγάλουν σε βγάζουν (και αυτό θα αλλάξει...),
αλλά μπορεί να ξαναμπείς ανα πάσα στιγμή.

Αν θες να είσαι σίγουρος ότι θα έχεις μια public ipv4 πληρώνεις για static
(και αυτό μόνο για όσο θα έχει dual-stack η πλέμπα).

Μεσοπρόθεσμα, φροντίζεις να μην χρειάζεσαι ipv4 γιατί βαίνει προς κατάργησιν.

[Iris07]

Ναι, μάλλον είσαι σε CG-NAT.

Πάρτους τηλ και πέστους να σε βάλουν σε Public γιατί έχεις κάμερες στο σπίτι, και Smart Home.

- - - Updated - - -

Καλή ερώτηση.
Θα επισκεφτείς ένα site που θα σου πεί την ip που "βλέπει" αυτό απο "έξω"
όταν το επισκέπτεσαι.
Πχ -> https://www.whatismyip.com/

Αν η ipv4 που λέει το site^ είναι η ίδια με αυτήν που λέει το fritz στο gui του,
το fritz έχει public/routable ip στην wan του.
Αν είναι διαφορετικές είσαι πίσω απο cg-nat.

Και μένα το Fritz τώρα μου λέει.. 100.80.*.*
Και το site .. 94.71.*.*

Άρα είμαι σε CG-NAT όπως πίστευα..
Το κακό με μένα είναι ότι κάνω πολλά Update/Restart στο OS, και μερικές φορές πολλά Reconnect από το Fritz..

- - - Updated - - -

Και ένα ενδιαφέρον Help για το θέμα που έχει η AVM..

Checking accessibility of the FRITZ!Box in the internet

If either no IPv4 address is shown or an IPv4 address from one of the following ranges is displayed,
the FRITZ!Box cannot be reached via IPv4 in the internet.

10.0.0.0 - 10.255.255.255
100.64.0.0 - 100.127.255.255 (carrier-grade NAT)
172.16.0.0 - 172.31.255.255
192.0.0.0 - 192.0.0.7 (DS-Lite tunnel, Dual-Stack Lite)
192.168.0.0 - 192.168.255.255

If an IPv4 address from a different range is displayed, the FRITZ!Box has a public IPv4 address and can be reached via IPv4 in the internet.

https://en.avm.de/service/knowledge-...-the-internet/

[K1m0n]

Και μένα το Fritz τώρα μου λέει.. 100.80.*.*
Και το site .. 94.71.*.*

Άρα είμαι σε CG-NAT όπως πίστευα..

Εφόσον διαφέρουν, ναι.

100.80.*.* είναι απ'το pool που μοιράζει ο isp στα cpe.
Από αυτό το pool αναθέτει μια ip ο isp στο cpe (fritz), αυτήν σου λέει στο gui του.
Η 94.71.*.* είναι μία απο τις public ip που εξυπηρετούν αυτό το cg-nat pool
(τυπικά το pool έχει πολλές public).

[fritz 100.80.*.*]---->[isp router / nat to 94.71.*.*]--->[internet]

Για την τυπική χρήση (FB/youtube/browsing/etc) δεν θα έχεις πρόβλημα,
αν κάτι θέλει εισερχόμενη κίνηση μάλλον θα έχεις.

- - - Updated - - -

Και ένα ενδιαφέρον Help για το θέμα που έχει η AVM..

Ισχύει όσο ακολουθούν το rfc 6598 περί cg-nat,
αλλά ένας isp ή ένας wisp μπορεί να έχει χρησιμοποιήσει άλλο range,
πέραν των recomendations.
δυνητικά θα μπορούσε κάποιος να χρησιμοποιήσει το όποιο non-routable subnet.
Οπότε, αν αμφιβάλουμε = συγκρίνουμε την ip του cpe με αυτή που φαίνεται απο "έξω".

[DjTony]

Ήμουν τελικά πίσω από cgnat, όλα οκ τώρα. Τα 2 κλιματιστικά που είναι inventor θέλουν public ip δυστυχώς. Το Morris τρέχει κανονικά και χωρίς. Οι xiaomi κάμερες επίσης τρέχουν κανονικά και χωρίς Public. Τώρα αν καταργηθεί το ipv4 και έχω θέμα με τα συγκεκριμένα κλιματιστικά δυστυχώς δε ξέρω τι θα κάνω. Θα φροντίσω να έχω ορίσει από πριν schedules για το τι ώρα θέλω να ανάψουν αν λείπω.

[dimitri_ns]

Ήμουν τελικά πίσω από cgnat, όλα οκ τώρα. Τα 2 κλιματιστικά που είναι inventor θέλουν public ip δυστυχώς. Το Morris τρέχει κανονικά και χωρίς. Οι xiaomi κάμερες επίσης τρέχουν κανονικά και χωρίς Public. Τώρα αν καταργηθεί το ipv4 και έχω θέμα με τα συγκεκριμένα κλιματιστικά δυστυχώς δε ξέρω τι θα κάνω. Θα φροντίσω να έχω ορίσει από πριν schedules για το τι ώρα θέλω να ανάψουν αν λείπω.

Χρόνια τα δούλευα έτσι.
Ξεκινούσανε 1 ώρα πριν ξυπνήσουν τα παιδιά για το σχολείο, ξυπνούσανε σε σχετικά ζεστό δωμάτιο.
Κατά καιρούς κοιτούσα το ρολόι μην ξεσυγχρονιστεί από τις διακοπές.

Και το μεσημέρι για το νυχτερινό, ήμουνα δεν ήμουνα σπίτι.

[DjTony]

Χρόνια τα δούλευα έτσι.
Ξεκινούσανε 1 ώρα πριν ξυπνήσουν τα παιδιά για το σχολείο, ξυπνούσανε σε σχετικά ζεστό δωμάτιο.
Κατά καιρούς κοιτούσα το ρολόι μην ξεσυγχρονιστεί από τις διακοπές.

Και το μεσημέρι για το νυχτερινό, ήμουνα δεν ήμουνα σπίτι.

Απλά εγώ αυτά τα φτιάχνω και απομακρυσμένα αν το ξεχάσω, έτσι το έχω και εγώ. Κάθε πρωί, μεσημέρι κλπ.

[alexandros]

Ατυχές μεν (το περί τρέλας),
αλλά είναι κακή ιδέα καθότι ότι <7.57 έχει αμπάλωτη μια τρύπα ΝΑ (με το συμπάθειο...).
Θα ήθελες να τρέχεις την 7.57.
Αν δεν παίζει καλά, ατυχές μεν, συμβαίνει δε, θα το φτιάξουν στην 7.80 (ή και όχι...).



Αν παρόλα αυτά θες να βάλεις την 7.29,
δεν θα την δεχτεί απ'το gui (και καλώς δεν θα το κάνει).
Downgrade είναι, όχι update.
Θα πρέπει να τρέξεις το recovery της 7.29, θα κάνει wipe/reinstall,
και μετά είτε α) θα φορτώσεις ένα backup <= της 7.29,
είτε β) θα το στήσεις απ'την αρχή.

Ευχαριστώ για τις πληροφορίες. Δεν γνώριζα για την "τρύπα" που λες. ίσως είναι καλύτερα να βάλω πάνω το speedport της voda και να αφήσω το fritzbox στην άκρη αλλά δεν μου πάει η καρδιά :-)

- - - Updated - - -

Δοκίμασε αυτό και ακόλουθα τις οδηγίες που αναγραφει ... μπορεί να πάρει μερικές φορες βάλε βγάλε το καλώδιο τροφοδοσίας μέχρι να το δει και να ξεκινήσει την διαδικασία.

https://file.io/bPiVrhDxcKK9

Ευχαριστώ, θα το δοκιμάσω. Υπάρχει repo που με αυτά τα αρχεία; Στην AVM είδα έχουν μόνο τα τελευταία.

[K1m0n]

Υπάρχει repo που με αυτά τα αρχεία; Στην AVM είδα έχουν μόνο τα τελευταία.

Παλαιότερα τα είχε η Avm στον ftp της αν άλλαζες αναλόγως το url,
τα κατεβάσανε μόλις ανακάλυψαν την τρύπα (που λέγεται ότι ήταν υπό ενεργή εκμετάλλευση...)
και σπρώξαν εσπευσμένα την 7.57 για να την μπαλώσουν.

Αξιοσημείωτον το ότι ενώ η avm έχει παραδεχτεί ότι όντως υπήρξε πρόβλημα
(see -> https://en.avm.de/service/security-i...about-updates/ ),
και "Details will be published at a later date" κλπ,
cve με λεπτομέρειες δεν υπήρξε (ή δεν το βρήκα τελευταία φορά που έψαξα).

Οπότε, εφόσον δεν είναι γνωστές λεπτομέρειες, δεν ξέρουμε και το ενδεχόμενο mitigation...
Πχ, είναι safe να βάλουμε fritzos <7.57 αν έχουμε το gui προσβάσιμο μόνο απο lan?
Είναι μόνο στο auth. του web server η τρύπα, ή είναι κάποιο xss, ή είναι κάτι βαθύτερο?
Είναι τρύπα/bug, ή ανακάλυψαν οι haxors το backdoor που είναι για την avm ή κάποιον isp?
Ποιός ξέρει...?
Μόνο η Avm και οι haxors ξέρουν.
Η Avm τηρεί σιγήν ιχθύος (και αυτό *είναι* πρόβλημα...),
στα fora της hacking scene φαντάζομαι θα βρει κάποιος τα σχετικά άν έχει όρεξη.

Απ'ότι διάβαζα (φήμες) στα Γερμανικά fora,
κάτι γινόταν με το gui και αν ήταν ανοιχτό έξω @443 (ή/και αν ήταν ενεργό το tr-069?)
μπορούσε κάποιος να προσπεράσει το authentication και να τρέξει εντολές στο σύστημα.
Και, επίσης απ'ότι λέγανε, ήταν 0-day και το χρησιμοποιούσαν ενεργά οι haxors.

Κάποια σχετικά εδώ πχ -> https://borncity.com/win/2023/09/05/...cherheitslcke/
και θα βρεις και άλλα σχετικά με λίγο ψάξιμο.

Το παραπάνω είναι ακόμα ένα παράδειγμα γιατί δεν ανοίγουμε το gui του cpe στην wan
(και ας βολεύει, και ας είναι ssl, και ας έχει fail-2-ban).
Όποιος θέλει να συνδέεται απο "έξω", καλά θα κάνει να στήσει vpn.
Ειδικά την σημερινή εποχή που το cpe έχει και την τηλεφωνία πάνω και αυτό το καθιστά στόχο αξίας.

Αν θες να βρείς το παλαιότερο firmware, είτε σε εξυπηρετεί κάποιος χρήστης εδώ,
είτε ψάχνεις το wayback machine, είτε ρωτάς τον γούγλη? IDK...

Αλλά εγώ θα σε συμβούλευα να κάτσεις στην τελευταία έκδοση.

Πολλά έγραψα πάλι...

[tarantules9]

Στο παραπάνω link που παρέθεσες έχει επίσης ένα link από το ip-phone-forum.de όπου έχει τη λίστα με τις συσκευές και τα αντίστοιχα FritzOS versions.
To 7530 δεν το αναφέρει στην έκδοση 7.2x/7.3x που είναι η 7.29

[K1m0n]

To 7530 δεν το αναφέρει στην έκδοση 7.2x/7.3x που είναι η 7.29

Δεν σε καταλαβαίνω.

Σε ότι αφορά τις τρέχουσες (non-eol) συσκευές, το πρόβλημα υφίσταται σε όποιο fritzos <7.57.
Οι eol-ed συσκευές πήραν και αυτές update (οι περισσότερες τουλάχιστον),
αλλά σε προηγούμενο branch (όπου είχε μείνει η κάθε μία τους),
και αναλόγως με διαφορετικά fritzos version#.
το 7362sl (πχ) που είναι eol και παίρνει μόνο emergency fixes πήρε την 7.14 (βγήκε τον Σεπτέμβρη ακριβώς για να μπαλώσει την τρύπα).

Η avm (κακώς) δεν έχει δώσει λεπτομέρειες τι είδους τρύπα ήταν,
αλλά το γεγονός ότι τον Σεπτέμβριο έβγαλε updates για cpe που ήταν eol χρόνια
και είχαν μείνει στο fritzos 6.x σημαίνει ότι ήταν κάτι που πήγαινε *πολύ* πίσω.

Σε ότι αφορά το 7530, η 7.29 είναι προγενέστερη της 7.57 = vulnerable.
Το πρόβλημα διορθώθηκε (σε ότι αφορά το 7530) στην 7.57.