*****SPAM***** Re: Firmware & Router einrichten

David Lutz kpanic at ff3l.net
Sa Mär 10 10:49:16 CET 2018


Hi Jorgo,

Die Firmware-Downloadseite erreichst du nur über HTTPS.
Ja, ich weiß, die Seite ist nicht der Weisheit letzter Schluss… Wenn allerdings alles glattgeht werden wir hoffentlich bald sowieso nur noch eine Firmware für alle Segmente haben, man kann dann bei der Routerkonfiguration das gewünschte Segment einfach auswählen. Dann wäre die Seite eh obsolet.

Auf dem FTP liegt (bzw. lag, hab sie gerade gelöscht) tatsächlich noch die 2017.1.4… Die 2017.1.5 allerdings auch! Da die Dateien alphabetisch gelistet werden, muss man ziemlich weit runterscrollen. Das rührte daher, dass ich die neue Firmware damals hochgeladen habe, allerdings noch nicht signiert habe. Damit sich nun Knoten mit noch älterer Firmware trotzdem zumindest schon auf die 2017.1.4 updaten konnten, musste die alte Firmware auch noch vorhanden sein. Als 2017.1.5 dann für stable freigegeben wurde, hatte ich schlicht vergessen, die 2017.1.4 rauszulöschen.

Der Autoupdater funktioniert tatsächlich über unverschlüsseltes HTTP. Das liegt daran, dass das wget von busybox kein HTTPS unterstützt. Das ist aber kein Problem:
Im Update-Repository liegt neben den Images jeweils noch ein Manifest-File, in dem die Hashes aller Images gelistet sind. Diese Datei ist mit meinem Schlüssel signiert, die stable.manifest sogar mit zwei Schlüsseln. Jeder Router lädt regelmäßig das Manifest herunter, überprüft ob es gültig signiert ist, überprüft ob darin eine neuere Version enthalten ist, wenn ja, lädt er das Firmware-Image herunter, überprüft ob die Prüfsumme mit der im Manifest übereinstimmt, und wenn alles in Ordnung ist flasht er das Image.
Wenn jemand das Image manipulieren würde, würde die Prüfsumme nicht mehr stimmen, wenn jemand das Manifest ändern würde wäre meine Signatur ungültig. Der Public-Part der Signaturschlüssel ist in jedem Router hinterlegt, siehe in unseren site.conf https://github.com/ff3l/site-ff3l <https://github.com/ff3l/site-ff3l>

Für die Erweiterte Konfiguration gibt es tatsächlich einen Workaround:
Idealerweise beginnst du mit der erweiterten Konfiguration. Wenn du dort alles deinen Wünschen entsprechend eingestellt und gespeichert hast, klickst du oben rechts wieder in den basic mode, konfigurierst dort und kannst dann speichern und neu starten.
Wenn du aber schon im Basic mode alles eingestellt hast, und dir dann noch einfällt, du solltest noch was im erweiterten modus machen: Mach nen Rechtsklick auf Erweiterten Modus und öffne den Link in einem neuen Tab. Dann kannst du dort alles konfigurieren, speichern und dann den Tab einfach wieder schließen. Im noch geöffneten Standardmodus dann einfach Speichern und Neustarten klicken, fertig.

Gruß
David

> Am 10.03.2018 um 01:08 schrieb jorgo.ananiadis at piratenpartei.ch:
> 
> Noch eine weitere Frage:
> Wäre es an der Zeit, die Firmware-Downloads nur ab verschlüsselter Seite
> anzubieten? Siehe dazu
> https://www.heise.de/security/meldung/Opera-VLC-WinRAR-7-Zip-Skype-Tuerkischer-Provider-ersetzt-Downloads-durch-Spyware-3990285.html
> Liebe Grüsse, Jorgo
> 
> Am 02.03.2018 um 16:56 schrieb jorgo.ananiadis at piratenpartei.ch:
>> Hallo zusammen
>> 
>> Bitte entschuldigt meine eventuell banausigen Probleme, aber ich hatte
>> in den letzten Tagen einige kleinere Schwierigkeiten:
>> 
>> Ich habe mehrere TL-WR1043ND-v4 konfiguriert. Bei der letzten
>> Einrichtung habe ich via Firmware-Website (diese mit den Dropdowns)
>> versehentlich die Firmware vom TL-WR1043N-v5 gedownloadet und geflashed.
>> Da dies erstmal problemlos funktionierte hat, habe ich zuerst nichts
>> bemerkt. Dumm gelaufen, die Fehler (falsche SSID etc) waren irritierend,
>> mit erneuten manuellem Firmwareupdate konnte dies nun hoffentlich
>> korrigiert werden.
>> 
>> Nun dazu folgendes:
>> * Die Firmware-Website ist mit kleinen Bildschirmen kaum bedienbar, da
>> wegen viel Grafik, grosser Schrift und Dropdowns die Seite immer rauf
>> und runter hüpft und (IMHO) unübersichtlich durch Modellbezeichnungen
>> gescrollt werden muss. Ich persönlich fände es anwenderfreundlicher &
>> übersichtlicher, wenn direkt auf die FTP-Seite verlinkt würde und die
>> richtige Version mittels Browsersuche gesucht werden könnte. Oder
>> zumindest beide Optionen einfach zu finden wären. Oder noch eleganter
>> eine Wiki-Seite mit den Geräte-Details und Firmware-Versionen gepflegt
>> würde.
>> * Auf der Website steht "Version 2017.1.5 herunterladen", die gefundene
>> (stable) Firmware war v2017.1.4+001. und nach der Installation hat sich
>> das Gerät selbst upgedatet, trotz Branch: stable ... ist 1.5 jetzt
>> experimental oder stable?
>> * Beim Router/Gluon-Web-Interface: Beim Wizard wird jeweils neu
>> gestartet ("Speichern & Neustarten"). Für die Erweiterten Einstellungen
>> muss der Router im Anschluss nochmals neu in den Config-Modus gebracht
>> werden. Gibt's einen Trick, um alles mittels Web-Config ohne
>> zusätzlichen Restart einzurichten? Oder macht "man" alles nur via SSH?
>> 
>> Vielen Dank für Feedback & Support und liebe Grüsse von einem der
>> südlichsten Knoten im tiefen Schnee ;-)
>> 
> 

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.ff3l.net/pipermail/ff3l/attachments/20180310/bbae38e2/attachment.html>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 833 bytes
Beschreibung: Message signed with OpenPGP using GPGMail
URL         : <http://lists.ff3l.net/pipermail/ff3l/attachments/20180310/bbae38e2/attachment.sig>


Mehr Informationen über die Mailingliste ff3l