*****SPAM***** Re: Firmware & Router einrichten

[jorgo.ananiadis at piratenpartei.ch]

Hallo David

Herzlichen Dank für alle Infos, das hilft mir sehr!

Bezüglich Firmware-Downloadseite: Nach der (https) Selektion startet der
Firmware-Dowload noch unverschlüsselt, der Download-Link lautet dann
also beim erstmaligen Download z.B.
http://ftp.ff3l.net/gluon/stable/factory/gluon-ff3l-v2017.1.5+001-tp-link-tl-wr1043n-v5.bin
und es passiert ja noch keine Schlüssel-Überprüfung. Wäre da das
unterjubeln einer falschen Datei durch einen Provider nicht möglich, so
wie es im Heise-Artikel beschrieben ist?

Nur so am Rande: Ich finde eure Arbeit grossartig und freue mich, wenn
die Segmente und Routerkonfigurationen noch flexibler gestaltet werden.

Ich bin momentan ja in der Stadt Bern dran und brauche bald weitere
Geräte, möglichst einfach, zukunftssicher und günstig... Bisher
verwendete ich TP-Link TL-WR1043nd-v4 (CHF 33 im Einkauf) laufen
zuverlässig und schnell! Doch die Geräte gibt's so nicht mehr.
Gemäss https://wiki.freifunk.net/Freifunk_Firmware_Gluon/Hardware wird
der TL-WR1043n-v5 (CHF 36 im Einkauf, Lieferengpässe!) nicht
unterstützt, auf ff3l.net findet man aber eine Firmware. Wie ist hier
der Status, ist dennoch alles stable?
Der Archer C50 ist einiges teurer und ich sehe den Mehrwert nicht (den
WLAN-Schalter braucht man ja eh nicht).
Oder gibt es einen anderen Router im ähnlichen Preissegment der sehr
empfehlenswert ist?

Danke und liebe Grüsse,
Jorgo

Am 10.03.2018 um 10:49 schrieb David Lutz:
> Hi Jorgo,
> 
> Die Firmware-Downloadseite erreichst du nur über HTTPS.
> Ja, ich weiß, die Seite ist nicht der Weisheit letzter Schluss… Wenn
> allerdings alles glattgeht werden wir hoffentlich bald sowieso nur noch
> eine Firmware für alle Segmente haben, man kann dann bei der
> Routerkonfiguration das gewünschte Segment einfach auswählen. Dann wäre
> die Seite eh obsolet.
> 
> Auf dem FTP liegt (bzw. lag, hab sie gerade gelöscht) tatsächlich noch
> die 2017.1.4… Die 2017.1.5 allerdings auch! Da die Dateien alphabetisch
> gelistet werden, muss man ziemlich weit runterscrollen. Das rührte
> daher, dass ich die neue Firmware damals hochgeladen habe, allerdings
> noch nicht signiert habe. Damit sich nun Knoten mit noch älterer
> Firmware trotzdem zumindest schon auf die 2017.1.4 updaten konnten,
> musste die alte Firmware auch noch vorhanden sein. Als 2017.1.5 dann für
> stable freigegeben wurde, hatte ich schlicht vergessen, die 2017.1.4
> rauszulöschen.
> 
> Der Autoupdater funktioniert tatsächlich über unverschlüsseltes HTTP.
> Das liegt daran, dass das wget von busybox kein HTTPS unterstützt. Das
> ist aber kein Problem:
> Im Update-Repository liegt neben den Images jeweils noch ein
> Manifest-File, in dem die Hashes aller Images gelistet sind. Diese Datei
> ist mit meinem Schlüssel signiert, die stable.manifest sogar mit zwei
> Schlüsseln. Jeder Router lädt regelmäßig das Manifest herunter,
> überprüft ob es gültig signiert ist, überprüft ob darin eine neuere
> Version enthalten ist, wenn ja, lädt er das Firmware-Image herunter,
> überprüft ob die Prüfsumme mit der im Manifest übereinstimmt, und wenn
> alles in Ordnung ist flasht er das Image.
> Wenn jemand das Image manipulieren würde, würde die Prüfsumme nicht mehr
> stimmen, wenn jemand das Manifest ändern würde wäre meine Signatur
> ungültig. Der Public-Part der Signaturschlüssel ist in jedem Router
> hinterlegt, siehe in unseren site.conf https://github.com/ff3l/site-ff3l
> 
> Für die Erweiterte Konfiguration gibt es tatsächlich einen Workaround:
> Idealerweise beginnst du mit der erweiterten Konfiguration. Wenn du dort
> alles deinen Wünschen entsprechend eingestellt und gespeichert hast,
> klickst du oben rechts wieder in den basic mode, konfigurierst dort und
> kannst dann speichern und neu starten.
> Wenn du aber schon im Basic mode alles eingestellt hast, und dir dann
> noch einfällt, du solltest noch was im erweiterten modus machen: Mach
> nen Rechtsklick auf Erweiterten Modus und öffne den Link in einem neuen
> Tab. Dann kannst du dort alles konfigurieren, speichern und dann den Tab
> einfach wieder schließen. Im noch geöffneten Standardmodus dann einfach
> Speichern und Neustarten klicken, fertig.
> 
> Gruß
> David
> 
>> Am 10.03.2018 um 01:08 schrieb jorgo.ananiadis at piratenpartei.ch
>> <mailto:jorgo.ananiadis at piratenpartei.ch>:
>>
>> Noch eine weitere Frage:
>> Wäre es an der Zeit, die Firmware-Downloads nur ab verschlüsselter Seite
>> anzubieten? Siehe dazu
>> https://www.heise.de/security/meldung/Opera-VLC-WinRAR-7-Zip-Skype-Tuerkischer-Provider-ersetzt-Downloads-durch-Spyware-3990285.html
>> Liebe Grüsse, Jorgo
>>
>> Am 02.03.2018 um 16:56 schrieb jorgo.ananiadis at piratenpartei.ch:
>>> Hallo zusammen
>>>
>>> Bitte entschuldigt meine eventuell banausigen Probleme, aber ich hatte
>>> in den letzten Tagen einige kleinere Schwierigkeiten:
>>>
>>> Ich habe mehrere TL-WR1043ND-v4 konfiguriert. Bei der letzten
>>> Einrichtung habe ich via Firmware-Website (diese mit den Dropdowns)
>>> versehentlich die Firmware vom TL-WR1043N-v5 gedownloadet und geflashed.
>>> Da dies erstmal problemlos funktionierte hat, habe ich zuerst nichts
>>> bemerkt. Dumm gelaufen, die Fehler (falsche SSID etc) waren irritierend,
>>> mit erneuten manuellem Firmwareupdate konnte dies nun hoffentlich
>>> korrigiert werden.
>>>
>>> Nun dazu folgendes:
>>> * Die Firmware-Website ist mit kleinen Bildschirmen kaum bedienbar, da
>>> wegen viel Grafik, grosser Schrift und Dropdowns die Seite immer rauf
>>> und runter hüpft und (IMHO) unübersichtlich durch Modellbezeichnungen
>>> gescrollt werden muss. Ich persönlich fände es anwenderfreundlicher &
>>> übersichtlicher, wenn direkt auf die FTP-Seite verlinkt würde und die
>>> richtige Version mittels Browsersuche gesucht werden könnte. Oder
>>> zumindest beide Optionen einfach zu finden wären. Oder noch eleganter
>>> eine Wiki-Seite mit den Geräte-Details und Firmware-Versionen gepflegt
>>> würde.
>>> * Auf der Website steht "Version 2017.1.5 herunterladen", die gefundene
>>> (stable) Firmware war v2017.1.4+001. und nach der Installation hat sich
>>> das Gerät selbst upgedatet, trotz Branch: stable ... ist 1.5 jetzt
>>> experimental oder stable?
>>> * Beim Router/Gluon-Web-Interface: Beim Wizard wird jeweils neu
>>> gestartet ("Speichern & Neustarten"). Für die Erweiterten Einstellungen
>>> muss der Router im Anschluss nochmals neu in den Config-Modus gebracht
>>> werden. Gibt's einen Trick, um alles mittels Web-Config ohne
>>> zusätzlichen Restart einzurichten? Oder macht "man" alles nur via SSH?
>>>
>>> Vielen Dank für Feedback & Support und liebe Grüsse von einem der
>>> südlichsten Knoten im tiefen Schnee ;-)
>>>
>>
> 

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 473 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.ff3l.net/pipermail/ff3l/attachments/20180311/d0043dbe/attachment.sig>