<html><head><meta http-equiv="Content-Type" content="text/html charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">Hi Jorgo,<div class=""><br class=""></div><div class="">Die Firmware-Downloadseite erreichst du nur über HTTPS.</div><div class="">Ja, ich weiß, die Seite ist nicht der Weisheit letzter Schluss… Wenn allerdings alles glattgeht werden wir hoffentlich bald sowieso nur noch eine Firmware für alle Segmente haben, man kann dann bei der Routerkonfiguration das gewünschte Segment einfach auswählen. Dann wäre die Seite eh obsolet.</div><div class=""><br class=""></div><div class="">Auf dem FTP liegt (bzw. lag, hab sie gerade gelöscht) tatsächlich noch die 2017.1.4… Die 2017.1.5 allerdings auch! Da die Dateien alphabetisch gelistet werden, muss man ziemlich weit runterscrollen. Das rührte daher, dass ich die neue Firmware damals hochgeladen habe, allerdings noch nicht signiert habe. Damit sich nun Knoten mit noch älterer Firmware trotzdem zumindest schon auf die 2017.1.4 updaten konnten, musste die alte Firmware auch noch vorhanden sein. Als 2017.1.5 dann für stable freigegeben wurde, hatte ich schlicht vergessen, die 2017.1.4 rauszulöschen.</div><div class=""><br class=""></div><div class="">Der Autoupdater funktioniert tatsächlich über unverschlüsseltes HTTP. Das liegt daran, dass das wget von busybox kein HTTPS unterstützt. Das ist aber kein Problem:</div><div class="">Im Update-Repository liegt neben den Images jeweils noch ein Manifest-File, in dem die Hashes aller Images gelistet sind. Diese Datei ist mit meinem Schlüssel signiert, die stable.manifest sogar mit zwei Schlüsseln. Jeder Router lädt regelmäßig das Manifest herunter, überprüft ob es gültig signiert ist, überprüft ob darin eine neuere Version enthalten ist, wenn ja, lädt er das Firmware-Image herunter, überprüft ob die Prüfsumme mit der im Manifest übereinstimmt, und wenn alles in Ordnung ist flasht er das Image.</div><div class="">Wenn jemand das Image manipulieren würde, würde die Prüfsumme nicht mehr stimmen, wenn jemand das Manifest ändern würde wäre meine Signatur ungültig. Der Public-Part der Signaturschlüssel ist in jedem Router hinterlegt, siehe in unseren site.conf <a href="https://github.com/ff3l/site-ff3l" class="">https://github.com/ff3l/site-ff3l</a></div><div class=""><br class=""></div><div class="">Für die Erweiterte Konfiguration gibt es tatsächlich einen Workaround:</div><div class="">Idealerweise beginnst du mit der erweiterten Konfiguration. Wenn du dort alles deinen Wünschen entsprechend eingestellt und gespeichert hast, klickst du oben rechts wieder in den basic mode, konfigurierst dort und kannst dann speichern und neu starten.</div><div class="">Wenn du aber schon im Basic mode alles eingestellt hast, und dir dann noch einfällt, du solltest noch was im erweiterten modus machen: Mach nen Rechtsklick auf Erweiterten Modus und öffne den Link in einem neuen Tab. Dann kannst du dort alles konfigurieren, speichern und dann den Tab einfach wieder schließen. Im noch geöffneten Standardmodus dann einfach Speichern und Neustarten klicken, fertig.</div><div class=""><br class=""></div><div class="">Gruß</div><div class="">David</div><div class=""><br class=""><div><blockquote type="cite" class=""><div class="">Am 10.03.2018 um 01:08 schrieb <a href="mailto:jorgo.ananiadis@piratenpartei.ch" class="">jorgo.ananiadis@piratenpartei.ch</a>:</div><br class="Apple-interchange-newline"><div class=""><div class="">Noch eine weitere Frage:<br class="">Wäre es an der Zeit, die Firmware-Downloads nur ab verschlüsselter Seite<br class="">anzubieten? Siehe dazu<br class=""><a href="https://www.heise.de/security/meldung/Opera-VLC-WinRAR-7-Zip-Skype-Tuerkischer-Provider-ersetzt-Downloads-durch-Spyware-3990285.html" class="">https://www.heise.de/security/meldung/Opera-VLC-WinRAR-7-Zip-Skype-Tuerkischer-Provider-ersetzt-Downloads-durch-Spyware-3990285.html</a><br class="">Liebe Grüsse, Jorgo<br class=""><br class="">Am 02.03.2018 um 16:56 schrieb jorgo.ananiadis@piratenpartei.ch:<br class=""><blockquote type="cite" class="">Hallo zusammen<br class=""><br class="">Bitte entschuldigt meine eventuell banausigen Probleme, aber ich hatte<br class="">in den letzten Tagen einige kleinere Schwierigkeiten:<br class=""><br class="">Ich habe mehrere TL-WR1043ND-v4 konfiguriert. Bei der letzten<br class="">Einrichtung habe ich via Firmware-Website (diese mit den Dropdowns)<br class="">versehentlich die Firmware vom TL-WR1043N-v5 gedownloadet und geflashed.<br class="">Da dies erstmal problemlos funktionierte hat, habe ich zuerst nichts<br class="">bemerkt. Dumm gelaufen, die Fehler (falsche SSID etc) waren irritierend,<br class="">mit erneuten manuellem Firmwareupdate konnte dies nun hoffentlich<br class="">korrigiert werden.<br class=""><br class="">Nun dazu folgendes:<br class="">* Die Firmware-Website ist mit kleinen Bildschirmen kaum bedienbar, da<br class="">wegen viel Grafik, grosser Schrift und Dropdowns die Seite immer rauf<br class="">und runter hüpft und (IMHO) unübersichtlich durch Modellbezeichnungen<br class="">gescrollt werden muss. Ich persönlich fände es anwenderfreundlicher &<br class="">übersichtlicher, wenn direkt auf die FTP-Seite verlinkt würde und die<br class="">richtige Version mittels Browsersuche gesucht werden könnte. Oder<br class="">zumindest beide Optionen einfach zu finden wären. Oder noch eleganter<br class="">eine Wiki-Seite mit den Geräte-Details und Firmware-Versionen gepflegt<br class="">würde.<br class="">* Auf der Website steht "Version 2017.1.5 herunterladen", die gefundene<br class="">(stable) Firmware war v2017.1.4+001. und nach der Installation hat sich<br class="">das Gerät selbst upgedatet, trotz Branch: stable ... ist 1.5 jetzt<br class="">experimental oder stable?<br class="">* Beim Router/Gluon-Web-Interface: Beim Wizard wird jeweils neu<br class="">gestartet ("Speichern & Neustarten"). Für die Erweiterten Einstellungen<br class="">muss der Router im Anschluss nochmals neu in den Config-Modus gebracht<br class="">werden. Gibt's einen Trick, um alles mittels Web-Config ohne<br class="">zusätzlichen Restart einzurichten? Oder macht "man" alles nur via SSH?<br class=""><br class="">Vielen Dank für Feedback & Support und liebe Grüsse von einem der<br class="">südlichsten Knoten im tiefen Schnee ;-)<br class=""><br class=""></blockquote><br class=""></div></div></blockquote></div><br class=""></div></body></html>