Fritzbox Konfiguration


© 2019, letzte Änderung am 31.10.20

Ausgehend von der Beschreibung für welche Dienste die einzelnen Ports benötig werden
und ein paar Beispielen welche Scripte auf z.B. Bank-Seiten aufgerufen werden,
folgt hier nun eine mögliche Konfiguration der FritzBox - FB.

Firmware-Update

Siehe: System > Update > Auto-Update
Sicherheits-Updates sollten stehts so früh wie möglich, also automatisch, installiert werden.
Entsprechend stelle ich Stufe 2 oder Stufe 3 ein.

import

Zum Anfang

Fritzbox Port-Konfiguration

Grob kann man sagen alle externen Anfragen an die Fritzbox - FB
nicht an die angeschlossenen Geräte weiter gereicht werden.
Sollte jedoch ein Gerät von innen heraus eine Anfrage ins Internet stellen,
wird dafür der entsprechende Port in beide Richtungen geöffnet.
In der Standard Einstellung der FB kann man alle Ports von innen öffnen.
Um zu vermeiden, dass vielleicht der Drucker, DVD-Player, TV, Receiver, etc. zum "(ro-)bot" wird,
kann man z.B. das nach Hause telefonieren unterbinden oder auf gewisse Ports einschränken.

Um alle Einstellungen vornehmen zu können, ist die erweiterte Ansicht nötig.

import

Zunächst die Übersicht Menü: Internet > Filter > Blatt Kindersicherung

Der Drucker HL-3040CN darf nicht ins Internet... (hat das Zugangsprofil Gesperrt)
Grundsätzlich sollten alle Geräte, welche nicht unbedingt ins Internet müssen gesperrt werden.
z.B. TV, DVD-Player, Verstärker, etc.
Der Rechner gj2 hat unbeschränkten Zugriff ins Internet (Zugangsprofil Unbeschränkt)
Alles was neu aufgenommen wird, wird, wird dem Profil 'Standard' zugeordnet.
Es sei denn, dass wird händisch geändert.

import


Die Zugangsprofile lassen sich editieren. Siehe unter   Internet > Filter > Zugangsprofile
Hier sind noch die Standard-Einstellungen zu sehen mit den 4 Profilen:

Gast, Gesperrt, Standard und Unbeschränkt.

import

Klickt man beim Profil 'Standard' rechts den Edit-Profil Knopf an, bekommt man folgendes Menü.
Hier habe ich mich entschieden Seiten via Blacklist zu filtern und
habe die Anwendung 'Sufen und Mailen' ausgewählt.

Die Blacklist selber möglichst später an anderer Stelle editieren.

import

So sieht es aus wenn das Profil Standard bereits verändert ist, sodass nur noch die Anwendungen
Surfen & Mailen möglich sind.

import

Menü Internet > Filter Blatt Listen
Hier kann man die jeweilige Anwendung anpassen oder ergänzen.
Und hier kann man auch eine Blacklist eintragen.

Beispiel einer möglichen Blacklist

google-analytics.com
google.com
google.de
googleadservices.com
googlecommerce.com
googleoptimize.com
googlesyndication.com
googletagmanager.com
googletagservices.com
googleusercontent.com
googlevideo.com
gstatic.com
googleapis.com
hcaptcha.com
youtube-nocookie.com
optimizely.com
facebook.net
adobedtm.com
msecnd.net
etracker.com
addsearch.com
twitter.com
smartredirect.de
ip4.io
Cdntrf.de
ru

maximal 500 Einträge...
Siehe auch: shizoworld.de Blockierliste der Fritzbox nutzen.

Bzw. so sieht das Blacklist Beispiel nach Eingabe aus:

import

Und so sieht dann eine Fehlermeldung aus,
wenn man eine Seite aufruft, welche sich in der Blacklist befindet.

import

Nun gucken wir welche Netzanwendungen es gibt.
Wenn man auf die jeweiligen Stiftsymbole klickt bekommt man die Details,
welche unten in der Tabelle abgebildet sind.

import

Zum Anfang

voreingestellte Anwendungen & die entsprechend gesperrten Ports

Anwendung Protokoll Quellport Zielport was noch erlaubt ist
HTTP-Server TCP 80 beliebig
FTP-Server TCP 20-21 beliebig
eMule TCP beliebig 4662
eMule UDP beliebig 4672
BitTorrent TCP beliebig 6881-6999
MS Remote Desktop TCP 3389 beliebig
SSH TCP beliebig 22
Telnet TCP beliebig 23
nicht (Surfen und Mailen) TCP beliebig 1-24
26-79
81-109
111-142
144-442
444-464
466-586
588-992
994-994
996-8079
8081-65535
25 SMTP
80 HTTP
110 POP3
143 IMAP
443 HTTPs
465 SMTPS
587 SMTP
993 IMAPs
995 POP3s
8080 HTTP
nicht (Surfen und Mailen) UDP beliebig beliebig alles offen

Zum Anfang

neue erstellte Anwendung & deren gesperrte Ports

Beispielsweise möchte ich einen Filter bauen, welcher nur die tatsächlich in Thunderbird (für e-mail) verwendeten Port öffnet,
Surfen ermöglicht (http & https) und verschlüsselten FTP-Zugriff auf einen Web-Server erlaubt.

Anwendung Protokoll Quellport Zielport was noch erlaubt ist
Mail, Web, FTP, Rest blockiert TCP beliebig 1 - 79
81 - 442
444 - 464
466 - 988
991 - 992
994 - 65535
80 HTTP
443 HTTPS
465 SMTPs
989, 990 FTP over TLS
993 IMAPs
UDP beliebig beliebig alles offen

Gemäß obiger Tabelle habe ich eine neue Netzanwendung Mail_Web_FTP kreiert.

import

Internet > Filter > Zugangsprofil
Habe das Ergebnis nach Einstellung der Anwendung Mail_Web_FTP als Standard Profil eingetragen.

import

Zum Anfang

Fritzbox WLAN-Konfiguration

Siehe im Menü: WLAN > Funknetz
Der Name des Funknetzes (SSID) sollte nicht auf den Benutzer oder
das Gerät (mit spezifischen Schwächen) rückschließen lassen.
Evtl. wenn alle Geräte sich angemeldet haben, kann man die Sichtbarkeit ausschalten.

Alle Passworte (Router-Passwort, WLAN-Passwort, ftp-Passwort, etc.)
sollten neu vergeben werden und nicht den berechenbaren
z.B. auf der Rückseite abgedruckten entsprechen.

import

Einstellung:   WLAN > Sicherheit > Verschlüsselung
WPA2 sollte nur zugelassen sein. WPA ist rel. schnell knackbar und sollte de-aktiviert bleiben.
Der WLAN-Schlüssel sollte keinen aussprechbaren Namen enthalten und möglichst exotische Zeichen enthalten.
Wenn WLAN-Geräte ausschließlich ins Internet und keine Intranet-Geräte, wie z.B. Drucker nutzen,
kann das untereinander kommunizieren der WLAN-Geräte unterbunden werden.

import

Einstellung:   WLAN > Sicherheit > Verschlüsselung
Die Option nur bekannte WLAN-Geräte zuzulassen ist nur bedingt hilfreich,
da prinzipiell jede MAC-Adresse einstellbar ist.

import

Siehe:   WLAN > Sicherheit > WPS-Schnellverbindung
Auf WPS sollte man auf jeden Fall verzichten!
Es ist zwar bequem und in fast jeden Router pre Default aktiv,
aber dann ist auch kein WPA mehr nötig... Siehe z.B. grundlagen-computer.de WPS-Lücke

import

Siehe:   WLAN > Gastzugang
Ist sinnvoll, wenn ein Zugriff aufs Intranet (Drucker, NAS, etc.) unterbunden werden soll.

Siehe:   WLAN > Funknetz > Edit Button
Und: Heimnetz > Netzwerk > Netzerkverbindungen > Edit Button
Alle Geräte im LAN oder WLAN sollten eine feste IP-Adresse bekommen.
Ist sinnvoll wenn man am Debugging ist oder den jetzigen Stand mit einen alten vergleicht.

import

Details des WLAN-Gerätes:
Die per DHCP von der FB festgelegten Adresse für alle Zukunft festlegen.

import

Zum Anfang

Firewall, UPnP, NTP & externer DNS

Siehe:   Heimnetz > Netzwerk > Netzwerkeinstellungen
Ob die FB der Router wird, welcher z.B. über DSL mit den Internet verbunden ist,
per DHCP IP-Adressen vergibt, DNS-Dienste zur Verfügung stellt, etc. (Router)
oder eher ein interner Switch oder Accesspoint ohne Firewall darstellt, entscheidet sich hier (Client).

import

Siehe:   Heimnetz > Netzwerk > Netzwerkeinstellungen > weiter runter gescrollt
Umkonfiguration der FB sollte tunlichst nicht über externe Anwendungen passieren.
Oder zumindest nur kurz für die Einrichtung um es dann danach wieder dauerhaft zu de-aktivieren.
siehe z.B. pc-magazin.de Fernwartungs-Leck

Die IP-Adresse wo sich die FB im lokalen Netz finden lässt, wird hier eingestellt.
Standard für die FB ist 192.168.178.1.

Die FB sollte sich die Zeit von einen sog. ntp-Server z.B. 0.pool.ntp.org holen,
sodaß alle and die FB angeschlossenen Geräte sich die Uhrzeit von der FB holen können
(und nicht nach draußen Telefonieren müssen).
Also aus Zeile entfernen z.B.   ntp0.voip.telefonica.de; ntp1.voip.telefonica.de
Setzten zu z.B.: ptbtime1.ptb.de; 0.pool.ntp.org

import

Da es leider gängige Praxis der ISP - Internet Service Provider ist, via DNS mit zu schneiden,
was die Kunden interessiert, bzw. es kommt dann ab und zu unfreiwillig die Telekom-Seite zum Vorschein,
obwohl man sie gar nicht eingegeben hat,
macht es Sinn die vorgegebenen Standard DNS-Server aus zu tauschen, gegen freie DNS-Server.

Siehe: Internet > Zugangsdaten > DNS-Server

Also statt z.B. 217.237.150.205 & 217.237.149.142

80.241.218.68   ist der Nameserver von dismail.de
Bzw. 46.182.19.48   gehört zu digitalcourage.de

Interessante Artikel zu diesem Thema sind beispielsweise folgende:

ungefiltert-surfen.de Liste an freien DNS
privacy-handbuch.de div. Tips rund um Sicherheit

import

Zum Anfang

Fritzbox Troubleshooting

Manchmal ist es nötig einen Paketmitschnitt zu machen,
um zu wissen was genau für Ports erforderlich sind
oder noch geschlossen werden müssen. Dies geschieht über folgende URL...

https://fritz.box/html/capture.html

Unter   Internet > Routing-Schnittstelle   kann man den Mitschnitt starten.

import

Erst wenn die ersten Bytes angetroffen sind, wird man im Browser gebeten eine Datei zu sichern.

import

Wichtig ist zum Ende des Mitschnittes auf Stop zu drücken und zu warten bis der Mitschnitt abgeschlossen ist.
Andernfalls verliert man unter Umständen den ganzen Mitschnitt.
Das Ergenis kann man sich dann mit den Netzwerk-Analyse-Tool Wireshark angucken.

Weitere Diagnose-Möglichkeiten der Fritzbox findet man unter folgender URL: https://fritz.box/support.lua

import

Die Seite ist noch länger ...

Sollte es nötig sein die FB neu zu initialisieren,
kann man das im Falle das es eine Box mit Telefonanschluss ist,
über das Telefon machen

FB-Reset #991*15901590*

Wenn man mehrere FB im gleichen Netz hat,
so macht es Sinn vor der Slave-Einstellung (als IP-Client) jeder Box eine andere Adresse zu geben.
Siehe   Heimnetz > Netzwerk > Netzwerkeinstellungen > IP-Adressen
Die Standard Einstellung ist 192.168.178.1
Hier könnte man beispielsweise 192.168.178.2 für die 2. FB einstellen.
Spätestens wenn man diese 2. FB auf IP-Client stellt,
wird von der 1. FB, via DHCP, eine andere Adresse, als 192.168.178.2 zugewiesen.

Sollte nun die 1. FB nicht mehr erreichbar sein,
wird man auch nicht mehr die 2. FB erreichen können,
da der DHCP Dienst der 1. FB fehlt.
Hier hilft dann nur noch im PC eine statische Adresse (ohne DHCP)
einzutragen welche im Adress-Raum der Notfall IP ist.
z.B. 169.254.1.x für x<>1
Den Browser bereitet man vor indem man die FB Notfall-IP Adresse 169.254.1.1 in die Kopfzeile des Browswers eingibt.
Nun bootet man die 2. FB neu und bestätigt im Browser die zuvor eingegebene Adresse.

Falls man wissen möchte ob der eigene Router alternative IP Adressen anbietet,
kann man folgendes eingeben - hier, mit der Antwort der Fritz.box...:

ip route show
default via 192.168.178.1 dev enp37s0 
default via 192.168.178.1 dev enp37s0 proto dhcp metric 100 
169.254.0.0/16 dev enp37s0 scope link metric 1000 
192.168.178.0/24 dev enp37s0 proto kernel scope link src 192.168.178.35 metric 100

Zum Anfang

2 Fritzboxen jeweils mit DECT

Möchte man im Haus mehrer DECT-Telefone benutzen,
so sind leicht Reichweiten-Probleme festzustellen.
Für den ursprünglichen Telekom-Router Speedport Smart
habe ich keinen passenden DECT-Repeater gefunden,
wo ich sicher sein konnte dass er auch funktioniert.

Ein Lösungsansatz wäre ein DECT-Repeater z.B. AVM FRITZDECT 100 für ca. 80,-
und ein WLAN-Repeater z.B. FRITZ WLAN 1750E für 75,- zu kaufen.

Viel einfacher ist es sich zwei identische FB's zu kaufen z.B. 2x 7530 je 109,-
Die 1. FB kann man dann mit der Erdgeschoss-Telefonnummer belegen
und die 2. FB z.B. mit den Telefonnummern für die Kinder.
Optimal verbindet man noch die beiden FB's per LAN.
Es geht aber auch mit einer WLAN-Verbindung...

P.S. ich arbeite nicht bei AVM und beziehe kein Geld von denen und
die wissen noch nicht einmal von Ihren Glück, daß ich sie bewerbe ;-)

Zum Anfang

Fritzbox Tasten

Der Telnet Dämon der fritz.box 7360 wird beispielsweise über #96*7* aktiviert
und bleibt bis zum nächsten re-boot aktiv. Telnet fritz.box ist unverschlüsselt und benutzt Port 23!.

Zum Anfang

Fritzbox Mitschnitt

Einen Telefon-Mitschnitt erzeugen, kann man auf verschiedene Arten realisieren.
Das wichtigste dabei ist es, gemäß DSGVO Art. 4 Nr. 1 um Einverständnis zu bitten.

Das Einfachste Weg ist wahrscheinlich über eine Konferenzschaltung.
Hier verbindet man sich dann mit einer Telefonnummer,
hinter der sofort ein Anrufbeantworter abnimmt und mitschneidet.

Dafür habe ich erst einmal eine zweite Nummer angelegt,
von den Dreien, welch mir ein Provider normalerweise zur Verfügung stellt.
Siehe   Telefonie > Eigene Rufnummern > Neue Rufnummer

Zunächst ist der Anbieter zu wählen.

import

Je nach Anbieter sind verschiedene Parameter nötig.
Beispiel Telekom.

import

Beispiel Sipgate.

import

Die Einstellung wird dann noch einmal überprüft.
Beispiel Telekom

import

Als Ergebnis sind nun 2 Nummern eingerichtet.
Mit 7 beginnt die ursprüngliche Telefonnummer, angezeigt unter *121#.
mit 6 beginnt die Nummer wo direkt der AB sofort anspringt *122#.

import

Über das Menü   Telefonie > Anrufbeantworter
richte ich mir einen 2. Anrufbeantworter AB00 ein mit folgenden Eigenschaften.

import

Dann wird der Anrufbeantworter noch einer Nummer zugeordnet.

import

Man kann nun die vorgenommenen Einstellungen für den
Anrufbeantworter AB00 nochmals überprüfen.

import

Wie man sieht, sind nun 2 Anrufbeantworter konfiguriert.
AB60 ist der übliche Anrufbeantworter (bei mir mit 60 sec. Verzögerung) und
AB00 ist der, welcher sofort ran geht und zum Mitschnitt genutzt werden soll.

import

Konferenz schalten

Die Konferenzschaltung kann man wärend des Telefonates aktivieren,
indem man wärend des Telefonates die R-Taste drückt.
Danach wird entweder eine externe Nummer gewählt oder
** gefolgt von einer internen Nummer.
**122 um den internen AB zu erreichen klappt bei mir nicht.
Nach Annahme des zweiten Teilnehmers wird die Dreierkonferenz mit R 3 hergestellt.

Der Haken
Es werden maximal 10 min aufgezeichnet, was meiner Meinung die Sache wertlos macht.

mit Wireshark

Den Datenverkehr kann man mitschneiden via   https://fritz.box/html/capture.html
oder   http://192.168.178.1/html/capture.html
Hier wählt man   1. Internetverbindung
Den Begriff „Schnittstelle 1 (‚voip‘)“ gibt es nicht mehr.
Nach dem Stoppen und Sichern der Datei, öffnet man Wireshark.
Hier ruft man "Telephony/VoIP Calls" auf.

Ein Call-Monitor wird mit #96*5* aktiviert und ist dann via TCP-Port 1012 erreichbar.
Abgeschaltet wird der Call-Monitor mit #96*4*.

Zum Anfang

Zum Anfang

Quellen

bitblokes.de   FRITZ!Box VPN (Router) installieren, einrichten, nutzen – so funktioniert es
pcwelt.de   Fritzbox-Hacks: Versteckte Funktionen freischalten
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/1205_FRITZ-Box-fur-Internetzugang-uber-Android-Smartphone-einrichten-USB-Tethering/

Zum Anfang