[solved] Fritzbox 7590 und TR-064 > Connection refused Port 49443

IcedEarth · 05 Januar 2021, 17:53:33

Hallo zusammen,

ich wollte mich mal langsam wieder daran setzen, die verschiedenen Module zu "reparieren", die ich nutze, um Funktionen auf meiner Fritzbox auszuführen. Im Detail betrifft dies FB_CALLMONITOR und
FRITZBOX. In beiden Fällen ist eine Verbindung zur Fritzbox nicht möglich.
Will ich bspw. das GastWlan anschalten kommt im Log:

Code Auswählen

2021.01.05 17:11:11 4:  FRITZBOX Fritzbox: TR064_Cmd.4301 Perform TR-064 call - service='WLANConfiguration:3', control='wlanconfig3', action='SetEnable', parameter1='NewEnable' => '1'
2021.01.05 17:11:11 2:  FRITZBOX Fritzbox: TR064_Cmd.4311 TR064-Transport-Error: 500 Can't connect to 192.168.178.1:49443 (Connection refused)

Irgendwo hatte ich mal gesehen, dass man unter http://192.168.178.1:49443/l2tpv3.xml prüfen kann, ob der Zugriff funktioniert (der Port ist auch der, der von FHEM genutzt wird). Dort bekomme ich aber ebenfalls eine Connection refused.
boxUser ist gesetzt und das password ebenso. In der Fritzbox sind die erforderlichen Einstellungen im Heimnetz sowie beim Benutzer eingestellt (auch schon deaktiviert und wieder aktiviert). FHEM läuft bei mir seit neustem im Docker Container. Das Problem existierte aber schon vorher.

Das Komische ist, dass es irgendwann nicht mehr funktioniert hatte. Mir ist das aufgefallen, als ich mich irgendwann über die fehlende Anruferinfos gewundert hatte, obwohl ich wusste, dass diese Nummern im Telefonbuch abgespeichert waren.

Wo fange ich da am besten an? Hat jemand eine Idee?

Viele Grüße

KölnSolar · 05 Januar 2021, 19:32:39

Vielleicht nach einem firmware-update der Fritte ? $:-\$

ZitatEinstellungen im Heimnetz

Du meinst "Zugriff für Anwendungen zulassen" ?

Vielleicht probierst Du es erst einmal mit dem Callmonitor. Außer dem Fritzboxkennwort u. dem Einschalten der Callmonitorfunktion gibt es ja eigentlich keine Fehlermöglichkeiten.
(Bei Docker wundert mich immer nur als Ahnungsloser, dass man immer wieder von irgendwelchen Netzwerkproblemen liest)
Grüße Markus

Otto123 · 05 Januar 2021, 19:45:03

Hi,

zu tr064: Mit dem Aufruf muss man ein xml Dokument zurückbekommen.

Code Auswählen

http://192.168.178.1:49000/tr64desc.xml
mit https muss das (mit Nachfrage wegen zertifikat) auch funktionieren:

Code Auswählen

https://192.168.90.1:49443/tr64desc.xml

Dieser Zugriff hat NICHTS mit Passwort zu tun, der geht quasi immer - wenn nicht liegt es am Netzwerk

Callmonitor muss man mit dem Hörer einschalten!

Gruß Otto

IcedEarth · 05 Januar 2021, 21:04:50

Hallo Markus,

Genau die Einstellungen meine ich.
Bei dem Callmonitor habe ich das selbe Problem. Die Fritzbox scheint den Zugriff über Port 49443 nicht zuzulassen. 49000 geht das.

Hallo Otto,

Zugriff OHNE SSL (1) geht.
Zugriff über den zweiten Link (mit korrigierter IP

) und MIT SSL gibt connection refused.

Callmonitor ist natürlich aktiviert gewesen.
Da die connection abgelehnt wird, scheint es ja irgendwas auf der Fritzbox zu sein, das einen Verbindungsaufbau ablehnt. Wie erwähnt, gab es die Probleme auch schon vor dem Umzug in die Dockerumgebung...

Gibt es noch irgendwas in der Fritzbox, wo man mal nach den Ports schauen kann? Ich habe wie erwähnt die 7590 mit der aktuellen 7.21.

Hab gerade das Callmonitordevice mal gelöscht und neuangelegt.
Beim set password kam dann

Code Auswählen

unable to check password - could not identify remote phonebooks - unable to identify phonebooks via TR-064: error while requesting TR-064 URL /upnp/control/x_contact: <hidden>: Can't connect(1) to https://fritz.box:49443: IO::Socket::INET: connect: Connection refused

Otto123 · 05 Januar 2021, 21:50:27

Ja sorry war meine IP

Kannst Du auf dem System wo Du testest mal das FB Zertifikat installieren? Klingt ja so, als ob die SSL Verbindung wegen des unsicheren Zertifikates abgelehnt wird?
Oder hast Du in der FB ein eigenes SSL Zertifikat installiert?

Die Fehlermeldung deutet eigentlich auf einen Passwort Fehler hin.

Verwendest Du Benutzer auf der FB oder nur Passwort zur Anmeldung?

IcedEarth · 06 Januar 2021, 16:15:32

Hallo Otto,
das Fritzbox Zertifikat habe ich tatsächlich noch nie benutzt; auch auf der Fritzbox selber habe ich keins. Lediglich auf einem NAS habe ich eine Nextcloud Instanz mit letsencrypt Zertifikat laufen. Aber das sollte ja völlig irrelevant sein. Würde mich wundern, wenn man auf einmal ein Fritzbox Zertifikat braucht?

Ist das so, dass die Fehlermeldung auf einen Passwortfehler hinweist? Ich hätte jetzt eher gedacht, dass die FB die Verbindung auf diesem Port ablehnt, weil der auf der FB deaktiviert ist.
Auf der Fritzbox nutze ich einen Benutzer mit eigenem Passwort. Habe auch testweise einen neuen angelegt (mit den entsprechenden Rechten). da bekomme ich aber das selbe Problem.

Ich denke ich werde irgendwann mal die FB für 5 min vom Strom trennen. Vielleicht ist da irgendwas strubbelig, was durch einen normalen Neustart nicht behoben werden kann.
Gerade die Fritzbox vom Netz genommen und nach ein paar Minuten wieder angeschlossen. Hat leider auch nichts geändert.

Kann man irgendwo in der FB sehen, welche Ports aktuell offen sind/Benutzt werden?
Falls jemand das TR-064 nutzt und eine FB hat, könnte der/diejenige mal unter Diagnose-> Sicherheit-> Heimnetz-> FRITZ!Box-Dienste gucken, ob da der Port 49443 aufgeführt wird?

Otto123 · 06 Januar 2021, 17:52:13

Wird aufgeführt:

Code Auswählen

49000 TCP (IPv4/v6) UPnP 
49200 TCP (IPv4/v6) AVM Media Server
49443 TCP (IPv4/v6) UPnP (HTTPS)

ich meinte das mit dem Zertifikat anders: SSL braucht von Haus aus ein Zertifikat, die FB bringt eines mit, dies ist aber nicht durch eine Zertifikatsstelle verifizierbar. Dafür kann man ein eigenes nehmen. Wenn Du dies nie gemacht hast, war die Idee falsch.

KölnSolar · 06 Januar 2021, 18:25:22

ZitatWird aufgeführt:

Bei meiner 7390 sehe ich die nicht.

.

ZitatFalls jemand das TR-064 nutzt und eine FB hat, könnte der/diejenige mal unter Diagnose-> Sicherheit-> Heimnetz-> FRITZ!Box-Dienste gucken, ob da der Port 49443 aufgeführt wird?

wie gesagt, bei mir nicht.

ZitatKann man irgendwo in der FB sehen, welche Ports aktuell offen sind/Benutzt werden?

Mit nmap auf einem Linux-Rechner sehe ich den 49443 u. alle anderen offenen Ports.
Grüße Markus

IcedEarth · 06 Januar 2021, 18:54:00

Hi ihr beiden,

nmap scan auf 49443 gibt folgendes:

Code Auswählen

PORT      STATE  SERVICE
49443/tcp closed unknown

Ich habe nochmal folgendes getestet:
Deaktvierung und Reaktivierung von den myfritz Diensten. Da wird ja ein lets encrypt Zertifikat erstellt. Das springt auch auf grün um (Internet->MyFritz Konto). Wenn ich dann versuche über die myfritz Adresse auf die FB zuzugreifen (über https), bekomme ich ein ERR_CONNECTION_TIMED_OUT. Ohne https komme ich auf die Anmeldeseite....

Unter Internet->Freigaben steht unter Status: Die FRITZ!Box erstellt gerade ein Zertifikat.
Das Zertifikat ist also anscheinend noch nicht erstellt, obwohl es bei dem anderen Menüpunkt als grün angezeigt wird.

Was ich mich ebenfalls frage: Ich habe ja eine Nextcloud Instanz mit letsencrypt auf einem Gerät aktiv. Da wird Port 80 und 443 weitergeleitet. Für die LE-Challenge wird ja eigentlich Port 80 und 443 benötigt. Wie macht die Fritzbox das? Die Ports werden ja eigentlich an die Nextcloud Instanz weitergeleitet...

Liegt hier eventuell das Problem? Die Fritzbox kann das Zertifikat nicht vollständig erzeugen und öffnet deswegen die entsprechenden Ports (besonders 49443) nicht?

KölnSolar · 06 Januar 2021, 19:46:20

Wenigstens ein Schrittchen weiter. Deine Frage kann ich Dir aber leider nicht beantworten.

ZitatUnter Internet->Freigaben steht unter Status: Die FRITZ!Box erstellt gerade ein Zertifikat.

Scheint ja dann der Knackpunkt zu sein, dass bei Dir die TLS gesicherten Ports erst gar nicht geöffnet werden. Mal die Box ohne jegliche angebundenen sonstigen devices neu starten, ggfs. resetten oder ein backup einspielen ? $:-\$

IcedEarth · 06 Januar 2021, 20:26:15

Möglicherweise... Hab gerade nochmal die Portfreigaben deaktiviert. myfritz Zugang rausgelöscht. Neu gestartet und den myfritz Zugang dann wieder eingerichtet. Geht danach immer noch nicht...

Ich kontaktiere mal den Fritzbox Service. Vielleicht wissen die was da los ist...

Otto123 · 06 Januar 2021, 22:50:46

Da ich vor 4 Wochen Umstellung bei Vodafone von ISDN auf IP hatte musste ich zur Umstellung die Box auf Werkseinstellung zurück setzen. Danach die Sicherung wieder einspielen, ging irgendwie bis auf genau ein Details (die Anschlusskonfiguration) sehr gut. Ansonsten habe ich das schon gemacht von einem Boxtyp auf den anderen. Wäre ein Versuch wert.

Die Frage die mir jetzt noch kommt: Warum will Dein FHEM eigentlich unbedingt über SSL mit Deiner FB reden? Macht meine nicht:

Zitat2021.01.06 23:44:08 5: FRITZBOX FB7490: TR064_Get_ServiceList.4386 Getting action page http://192.168.90.1:49000/x_authSCPD.xml
2021.01.06 23:44:08 5: FRITZBOX FB7490: TR064_Get_ServiceList.4386 Getting action page http://192.168.90.1:49000/x_hostfilterSCPD.xml
2021.01.06 23:44:08 5: FRITZBOX FB7490: TR064_Get_ServiceList.4386 Getting action page http://192.168.90.1:49000/wlanconfigSCPD.xml
2021.01.06 23:44:08 5: FRITZBOX FB7490: TR064_Get_ServiceList.4386 Getting action page http://192.168.90.1:49000/wlanconfigSCPD.xml
2021.01.06 23:44:08 5: FRITZBOX FB7490: TR064_Get_ServiceList.4386 Getting action page http://192.168.90.1:49000/wlanconfigSCPD.xml
2021.01.06 23:44:09 5: FRITZBOX FB7490: TR064_Get_ServiceList.4386 Getting action page http://192.168.90.1:49000/hostsSCPD.xml

IcedEarth · 07 Januar 2021, 13:46:37

Hallo Otto,

das kann ich dir nicht beantworten.
Im global device ist ~~eine~~ das Attribut sslVersion gesetzt: SSLv23:!SSLv3:!SSLv2
Hat das was damit zu tun?

Viele Grüße

Otto123 · 07 Januar 2021, 14:35:00

Nein ich denke ja das Modul wird irgendwie dazu überredet, mit global hat das mW nichts zu tun.

Also irgendwer in der Kette (die Box selbst?) will SSL aber kann es wegen dem Zertifikatsfehler nicht.

IcedEarth · 07 Januar 2021, 14:40:03

Sehr seltsam. Hast du bei deiner Fritzbox den myFritz Zugang aktiv? und wenn ja, auch den Zugang über https?

Viele Grüße