Firefox, die Fritz!Box & der SEC_ERROR_INADEQUATE_KEY_USAGE Fehler – Teil 2

Heute geht es um die Fortsetzung von Firefox, die Fritz!Box & der SEC_ERROR_INADEQUATE_KEY_USAGE Fehler. Kurzfassung: AVM ist ratlos, aber es gibt Hilfe.

Wie man das Zert der Box erneuert

Von AVM gibt es da leider keine Hilfe, also müssen wir selbst ran. Da ich das ganze Wochenende über mit dem Support gemailt habe, bestätigt sich mal wieder: Am besten man macht es komplett selbst 🙁

Kennt zufällig jemand einen Jail-Break für die Fritz!Box? Nein, dann bauen wir uns jetzt mal ein neues Zert:

Wie vom AVM Support zu hören war, gibt es neuerdings noch andere Domainnamen, daher wäre folgendes ratsam:

Ihr könnt entweder im Browser nachsehen, welche zusätzlichen Domainnamen das Zert enthält, oder Ihr ladet es aus der Box auf Euren PC -> „Zertifikat herunterladen“. Man erhält eine Datei namens „boxcert.cer“. Diese kann man nun mit OpenSSL aufschlüsseln lassen:

openssl x509 -text < boxcert.cer | grep -E „(CN |DNS)“

Beispiel:

Issuer: CN = fritz.box, O = PRIVAT, C = DE, ST = unkown, L = unkown
Subject: CN = fritz.box, O = PRIVAT, C = DE, ST = unkown, L = unkown
DNS:www.fritz.box, DNS:fritz.box, DNS:www.myfritz.box, DNS:myfritz.box, DNS:www.fritz.nas, DNS:fritz.nas

DISCLAIMER:

Das ist für RED HAT basierte Distributionen, bei Debian & Co sieht der Pfad zur openssl.cnf anders aus, falls Eure Distri überhaupt OpenSSL einsetzt. Ferner kann eure Box eine andere IP im LAN haben, als hier angegeben.  Bitte erst herausfinden oder einfach weglassen: (Achtung: Einzeiler!)

openssl req -x509 -nodes -sha256 -newkey rsa:4096 -keyout fritz.box.key -out fritz.box.crt -days 3650 -subj „/CN=fritz.box/O=PRIVAT/C=DE/ST=unkown/L=unkown/“ -reqexts SAN -extensions SAN -reqexts SAN -extensions SAN -config <(cat /etc/pki/tls/openssl.cnf <(printf „\n[SAN]\nsubjectAltName=DNS:www.fritz.box,DNS:fritz.box,DNS:www.myfritz.box,DNS:myfritz.box,DNS:www.fritz.nas,DNS:fritz.nas,IP:192.178.1.1„))

Hinweis: WordPress ist der Meinung doppelte Anführungszeichen in Zitatzeichen umzuwandeln, also nicht 1:1 in die Shell kopieren, das klappt nicht.

Nun haben wir ein Zwischenergebnis mit Key und Cert, brauchen aber noch die PEM für die Box, denn nur das Cert hochladen reicht natürlich nicht 😉

cat fritz.box.key > box.pem
cat fritz.box.crt >> box.pem

Jetzt kann man die „box.pem“ Datei über die oben sichtbare Uploadfunktion in die Box laden, diese verarbeitet es kurz und dann hat man schon sein Problem mit dem doppelten Schlüssel behoben.

Da es keine „Regenerieren“ Funktion gibt, bleibt einem da leider nicht viel anderes übrig. Featurerequest wurde übermittelt 😉

Firefox 70 weiterhin ohne sicheres Fritz!box Interface

Letzte Nacht noch mit Hoffnung auf ein besseres LAN Erlebnis ins Bett gegangen, aber Firefox 70 enttäuscht dann auch heute morgen noch mit dem „SEC_ERROR_INADEQUATE_KEY_USAGE“-Fehler 🙁

Fritz!Box Webinterface weiterhin ohne SSL

Auch mit der Installation von Firefox 70 haben sich alle Hoffnungen auf eine Lösung des SSL Problems vorerst in Luft aufgelöst. Die bei Mozilla für diese Komponente zuständige Entwicklerin Dana Keeler hatte da wohl auch eher das Prinzip Hoffnung in Einsatz. Da ich mittlerweile vom AVM Support eine „Wir schauen mal nach“ Meldung bekommen habe, bin ich insofern beruhigt, als daß sich alle Parteien um eine Lösung bemühen.

Klar, man kann mit dem FF ohne SSL ins Interface, aber das ist natürlich nur eine Notlösung. Chrome benutzen geht zwar auch, aber auch das ist eher unschön.

Wer trotzdem dringend einen Firefox 70 braucht

findet hier die FF70 Downloadlinks:

https://kojipkgs.fedoraproject.org//packages/firefox/70.0/1.fc29/x86_64/firefox-70.0-1.fc29.x86_64.rpm

https://kojipkgs.fedoraproject.org//packages/firefox/70.0/1.fc30/x86_64/firefox-70.0-1.fc30.x86_64.rpm

https://kojipkgs.fedoraproject.org//packages/firefox/70.0/1.fc31/x86_64/firefox-70.0-1.fc31.x86_64.rpm

https://kojipkgs.fedoraproject.org//packages/firefox/70.0/1.fc32/x86_64/firefox-70.0-1.fc32.x86_64.rpm

Firefox, die Fritz!box & der SEC_ERROR_INADEQUATE_KEY_USAGE Fehler

Was hatten wir schon lange nicht mehr? Das der Firefox seltsame Fehlermeldungen ausspuckt. Seit es Firefox 69 gibt, kann man statt der Adminoberfläche seiner Fritz!box nur noch einen mysteriösen, bis Dato unbekannten, „SEC_ERROR_INADEQUATE_KEY_USAGE“ Fehler sehen:

Fehler: Gesicherte Verbindung fehlgeschlagen

Beim Verbinden mit fritz.box trat ein Fehler auf. Eine Verwendung des Zertifikatschlüssels ist für den versuchten Arbeitsschritt unpassend. Fehlercode: SEC_ERROR_INADEQUATE_KEY_USAGE

Die Website kann nicht angezeigt werden, da die Authentizität der erhaltenen Daten nicht verifiziert werden konnte.
Kontaktieren Sie bitte den Inhaber der Website, um ihn über dieses Problem zu informieren.

Wer ist da der Schuldige?

Ihr kennt den Fehler auch nicht? Da seid Ihr in guter Gesellschaft. Ein so unbekannter Fehler ist es dann allerdings auch nicht, wie meine Nachforschungen ergeben haben. Leider nutzt dies alles nichts, da man den Bug nicht selbst beheben kann. Das Ihr eine Fritzbox, einen Firefox und Linux habt, ist übrigens keine Garantie auch eine Fehlermeldung zu bekommen.

Der Fehler wird von Firefox seit 69 für die Fritzboxen gezeigt, d.b. Firefox hat offensichtlich einen Check verändert, der vorher durchgelaufen ist.
Moniert wird, daß der Key gar nicht für ein Cert zugelassen wäre: „A certificate has a key usage extension that does not assert a required usage“

Wenn man sich das Cert mit openssl x509 -text -purpose ansieht, kommt das raus:

Certificate purposes:
SSL client : Yes
SSL client CA : Yes
SSL server : Yes
SSL server CA : Yes
Netscape SSL server : Yes
Netscape SSL server CA : Yes
S/MIME signing : Yes
S/MIME signing CA : Yes
S/MIME encryption : Yes
S/MIME encryption CA : Yes
CRL signing : Yes
CRL signing CA : Yes
Any Purpose : Yes
Any Purpose CA : Yes
OCSP helper : Yes
OCSP helper CA : Yes
Time Stamp signing : No
Time Stamp signing CA : Yes

Also alles korrekt? Mitnichten!

Die Zwecke für die das Zert eingesetzt werden darf, sind ok. Was aber ins Auge fällt ist:

X509v3 Subject Alternative Name: critical
DNS:benderirc.de, DNS:fritz.box, DNS:www.fritz.box, DNS:myfritz.box, DNS:www.myfritz.box, DNS:fritz.nas, DNS:www.fritz.nas

Ihr seht richtig. In dem Cert der Fritzbox taucht ein Domainname auf, der da gar nichts zu suchen hat und von dem Firefox bereits ein gültiges Zertifikat kennt.

Issuer: CN = benderirc.de
Validity
Not Before: Dec 24 15:25:01 2017 GMT
Not After : Jan 15 15:25:01 2038 GMT

Schauen wir weiter nach der Gültigkeit, finden wir raus, daß es bereits im Jahr 2017 erzeugt wurde, so also schon seit Jahren dem Firefox vorliegt und der das bislang noch nie moniert hat.

AVM gegen Mozilla

Die Frage zu klären wird sicher spannend und nervig werden. Primär würde ich jetzt erstmal AVM beschuldigen, weil der Domainname hat da nun so gar nichts zu suchen. Was geht bitte meine Fritzbox eine meiner Domains an? Auf der anderen Seite, ist das kein neuer Zustand, also wieso meckert FireFox jetzt da drüber?

Ich werde also beide anmailen müssen, damit jeder seinen Teil an dem Desaster behebt. Im Bugzilla von Mozilla ist zu dem Fehler bereits vor 6 Jahren mal ein Patch geschrieben worden, ich wette da hat bei Version 68->69 einer dran rumgespielt.

 

Android – Jitsi Probleme mit der Fritz!Box beheben

Im Chaos um die VOIP Probleme der einzelnen Linuxclienten, kommt hier nun der Fix für das Passwort-vergessen-Problem von Jitsi für Android.

Das Problem

Jitsi für Android, was ja nur eine jahrealte Alphaversion ist, hat offensichtlich Probleme die Verbindung zur Fritz!Box zu halten. Normalerweise gibt es dafür den KEEP ALIVE oder die REGISTER Funktion, aber hier macht Jitsi wohl soviel falsch, daß es der Fritz!box auf den Keks geht und es Jitsi rauswirft. Da sich Jitsi jetzt nicht mehr anmelden kann, kommt es zu einer Rückfrage bei der Jitsi das eingegebene Passwort, das zu allem Überfluss auch nicht gespeichert war, vergißt. Als Folge ist man laufend auf der Fritz!Box gesperrt, und muß dauernd das Passwort eingeben.

Da mich das an die Probleme mit SIPGate errinnert hat, habe ich da den gleichen Fix versucht: die Connection auf TCP umstellen. Nur dazu braucht man einen Proxyserver :)Also fragen wir bei AVM nach, was dort eingetragen werden muß und ob das überhaupt klappen wird.

Der AVM Support

Hier die erste Anfrage :

Detaillierte Beschreibung:
Guten Tag,die Frage ist allgemeiner Natur, da die Jitsi Androidversion immer wieder die Anbindung zum Server verliert und nach dem Passwort fragt.Da ich ähnliche Probleme mit Sipgate hatte und dort der Wechsel auf TCP via Proxyservereinstellung die Probleme behoben hat, wollte ich gern wissen, ob das mit einer FritzBox ähnlich gehen würde. Auch wenn das in einem lokalen Netz eher komisch klingt 😀mit freundlichen Grüßen,
….

Die von AVM kommende Antwort war schon etwas merkwürdig, aber fairerweise muß man ihm zugestehen, daß nicht jeder Jitsi kennen muß, nur weil er bei AVM arbeitet:

….
vielen Dank für Ihre Anfrage an den AVM Support.Leider muss ich gestehen, dass ich Ihr Anliegen anhand Ihrer Informationen noch nicht vollumfänglich verstanden habe. Für die weitere Analyse benötigen wir umfangreichere Informationen.Bitte beantworten Sie mir folgende Fragen:
An was für einem Internetanschluss von welchem Anbieter setzen Sie die FRITZ!Box ein (z.B. Telekom DSL 16 Mbit/s)?

  • Welche Geräte (z.B. Computer, NAS-System, Hub/Switch) verwenden Sie? Geben Sie Hersteller und Modellnamen an.
  • Wie ist das Android-Gerät mit der FRITZ!Box verbunden?
  • Was für ein „Server“ wird verwendet?
  • Welche Protokolle werden verwendet?
  • Was soll das „lokale Netz“ leisten?
  • Wie sieht Ihr Wunschszenario aus?
  • Wie äußert sich das Fehlerbild in Ihrer bisherigen Konfiguration?

    Senden Sie mir bitte anschließend die Fehlerbeschreibung und das ZIP-Archiv mit den Support-Daten zu.

Wir werden die Support-Daten nach Erhalt detailliert analysieren und Ihnen anschließend eine Rückantwort zukommen lassen.

Bitte beachten Sie, dass dieser Prozess eine gewisse Dauer in Anspruch nimmt.
Ich wünsche Ihnen schon jetzt einen guten Start ins Wochenende.

Freundliche Grüße aus Berlin
….

Ich mußte dem Mitarbeiter Recht geben, er hatte es nicht verstanden, also beschrieb ich es etwas sehr eindeutig :

Fritzbox -> wlan -> android handy -> Software: jitsi android per SIP > fritzbox

Ich möchte eigentlich nur wissen, ob es für die SIP Anbindung zur Fritzbox eine TCP Option auf der Box gibt und wenn ja, was man(wenn überhaupt) als Proxyserver eingeben muß.

Sehr Ihr da irgendwo die Erwähnung der FritzPhone-App ? Der Mitarbeiter wohl schon :

vielen Dank für Ihre Geduld.
Die Anmeldung der App an der FRITZ!Box ist technisch möglich. Hierzu muss eine IP-Nebenstelle innerhalb der FRITZ!Box angelegt werden.
Die Eintragung eines Proxys ist möglich, aber nicht erforderlich.

Wenn der Support ratlos ist

Wir halten fest: Problem nicht verstanden und Anfrage nicht richtig gelesen und damit bei der Antwort Thema verfehlt. Spätestens bei dem Stichwort SIP hätte es klingeln müssen.

In dem Fall hilft also nur ausprobieren und genau das tat ich 🙂

Lösung

Jitsi starten, dann ins Menü und die ACCOUNT SETTINGS aufmachen. Dann den Fritzboxeintrag auswählen und dessen Settings öffnen. Und kommt nach einigen Scrollen ein Schiebeschalter unter, der bei der automatischen Proxykonfiguration steht. Den abschalten und dann das „Proxy“ aka. die Fritzbox selbst angeben:

Da es die heimische Fritz!box ist, können wir hier natürlich die IP der Box eingeben und den Port 5060 benutzen. Als bevorzugten Transport dann wieder TCP auswählen und das Problem ist scheinbar erledigt. Denn, wenn Ihr diesen Beitrag lest, gab es eine Woche lang keine Probleme mehr und damit auch keinen Grund, den Beitrag zu löschen 😉 Telefonieren geht mit den Einstellungen auch noch, also scheint das so zu laufen.

Fritz!Box vs. Blitz … und wieder rauchts

Und wieder zog dunkler Rauch durch die Wohnung, diesmal allerdings nur kurz und fast unbemerkt, dafür mit extrem viel Kawumm und greller Blendung begleitet, zumindest für die, die es sehen konnten. Wir, die wir in der Wohnung vor dem Rechner sasen, gabs nur einen lauten Knall als der Blitz ins Haus einschlug,  dann wars Internet weg. Genau, das Gewitter gestern hat unsere Fritz!Box gegrillt.

Drei Dinge sind jetzt wichtig..

  1. Den Zugang zum Netz wieder herstellen,
  2. der Versicherung den Schaden melden
  3. und natürlich für Ersatz zu sorgen

2. + 3. kriegt Ihr auch ohne Hilfe wieder hin 🙂 Konzentrieren wir uns mal auf das Aufbauen eines Notfallnetzes und dem Zugang für alle Rechner zum neuen Internetrouter.

In der Regel wird man sein Netz so aufgebaut haben, daß der DSL-Router das Gateway für alle am Netz angeschlossenen Rechner ist. Der Punkt ist tod. Und jetzt ?

Wir brauchen einen neuen Zugangspunkt zum Netz

Also Handy anwerfen, Mobile Daten aktivieren und den Mobilen Hotspot anschmeissen. Wie die meisten Handies hat meins keinen LAN Anschluß, so daß ich den Desktoprechner nicht an den Hotspot anmelden kann, aber mein Laptop hat das, nennt sich WiFi 🙂 .

Gut, wie man sich an einem WiFI Netz anmeldet, brauche ich glaube ich nicht erklären. Hier könnte die Story natürlich zuende sein, weil das Laptop ist ja auch ein Rechner und für ein paar Stunden wird man damit Arbeiten können. Joar, kann man so stehen lassen, oder man hat keinen Bock auf den PC zu verzichten, dann braucht man eine LAN -> WIFI Brücke.

Praktisch, so ein Laptop hat eine LAN Buchse, oder auch zwei. Da geht bestimmt was 🙂 Na klar geht das:

Hinweis: Die hier benutzten IP Angaben und Interfacenamen  müssen von Euch angepaßt werden. Alle Anpassungen müssen von ROOT vorgenommen werden.

Einloggen ins Wifi
Netzwerkkarte im Networkmanager abschalten und Netzwerkkarte selbst mit einer IP versehen:

iptables enp2s0f1 192.168.1.123 netmask 255.255.255.0 up

Jetzt hat man auch einen Routingeintrag, aber noch keine Bridge. Das Paketforwarding aktivieren:

echo 1 > /proc/sys/net/ipv4/ip_forward;

jetzt noch das NAT aktivieren:

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE;

und die Firewall abschalten ( vorläufig ) :

systemctl stop firewalld

Ihr fragt Euch warum ? Der Firewalldaemon setzt eigene Regeln in Kraft, womit er das Forwarding jederzeit unterbinden oder abschalten kann. Das ist beim Testen echt lästig.  Außerdem verhindern diverse Firewallregeln das Paketforwarding, weil wir ja auch Pakete deren State wir nicht kennen, forwarden wollen und zwar immer und zu jederzeit in jede Richtung. Da sind so Abfragen, ob es sich um eine TCP Session handelt, eher hinderlich. Aber das könnt Ihr natürlich selbst entscheiden.

Danach sollte Eurer Notfallrouter funktionieren. Jetzt muß man die 192.168.1.123 nur noch als GATEWAY im Desktoprechner eintragen:

route del default gw 192.168.178.1   ( wenn man eine Fritzbox ungeändert hat stehen lassen )
route add default gw 192.168.1.123

Das setzt natürlich voraus, daß Ihr auch eine IP und Netzmaske auf dem Desktop habt, welche die 1.123 erreichen kann. Das ist, sofern das DHCP von der Fritzbox kam, nicht der Fall. Ihr könnt natürlich auch einfach eine IP aus dem bisherigen Netzbereich als RouterIP nehmen, dann müßt Ihr nicht darauf achten.

Also hatten wir ein paar MInuten nach dem Ausfall der Fritz!box wieder  Internet, aber dank EDGE 🙁 nur 25 KB/s , was echt zu nervigen Reaktionen von Thunderbird geführt hat, daß Geisterbefehle ohne Ende gelaggt hat 😀

Da ich bereits wieder unter Volllast im Internet bin, kann ich Euch sagen, daß man das Problem in wenigen Stunden komplett aus der Welt schaffen kann. Morges eine neue Fritz!Box gekauft, kurz mit Laptop durchkonfiguriert und Rechner hochgefahren. Dann mit der Versicherung gesprochen, wegen Kostenübernahme per Hausratversicherung. Nach nur 5 Minuten hatte ich die Zusage, daß es ohne weitere Prüfungen bezahlt wird, weil a) bekannt war, daß der Blitz eingeschlagen hat und b) ich das Gutachten zum Überspannungsschaden hätte selbst schreiben können, was dann wohl als überflüssig angesehen wurde. Also liebe Kinder, eine solide Ausbildung im IT und Elektronikbereich hilft auch im Alltag 😉

Strategisch ist das auch von der Versicherung ok, weil für die läppischen 170 € für die neue Box, auch noch ein Gutachten über 50 € einholen, wäre wirtschaftlicher Blödsinn. Bei Waschmaschine oder Kühlschrank wäre das was anderes gewesen.

„Öffentliche Sachversicherung“  gut gemacht 😀

Jetzt noch eine Checkliste die Euch helfen könnte. Die setzt vorraus, daß alle Prüfungen negativ sind:

  1. Fritz!Box  vom Netz trennen und nach 30 Sekunden wieder anstöpseln
  2. Netzteil der Box auf die angegebenen 12 V prüfen
  3. Per Handy mit dem DSL Anbieter reden und eine Prüfung der Leitung vornehmen lassen, damit man nicht umsonst eine teure Box im laden kauft, wo man die auch billiger bei Amazon bekommen könnte, denn wenn auch der Schaltkasten geraucht hat, braucht man üblicherweise auch sofort keine neue Box mehr 🙂
  4. Handynotfallnetz aufbauen oder mit Freunden ausgehen um die Zeit tod zu schlagen 😀
  5. Neue Box kaufen und anschliessen.
  6. Mit der Versicherung reden.

Zum Schluß noch Zitate, wenn man mit AVM und 1und1 spricht :

Ich: „Kann ich ohne weiteres den damaligen Konfigurationscode von 1und1 benutzen, wenn ich eine neue Box anschliesse, oder war die alte 7412 Box von 1und1 gebrandet worden ?“

AVM: „vielen Dank für Ihre Anfrage an den AVM Support. Gerne sende ich Ihnen Informationen über die Einrichtung der FRITZ!Box 7412 zu.“

Ich: „Haben Sie die Frage eigentlich gelesen und verstanden ?“
AVM: „Ich habe Ihre Frage so verstanden, dass Sie eine neue FRITZ!Box 7412 an ihrem Anschluss einsetzen müssen. “
Der Rest der Antworten war dann wieder ok 😉

Ich: „bei mir ist der Blitz eingeschlagen. Meine Box ist tod, aber das Netzteil ist ok, habs durchgemessen. Können Sie bitte die Leitung checken, damit da nicht noch mehr defekt ist, was mir dann morgen im Weg ist.“
1und1: „Haben Sie die Box schon mal von  Netz getrennt?“
Ich: „Ich sag doch da ist der Blitz eingeschlagen, die ist komplett tod, außerdem sprechen Sie mit einem gelernten Elektroniker.“
1und1: „Tut mir leid, aber ich muß mich ans Programm halten.“
Ich: „Ja.“

Was lernen wir daraus ?

Morgens als Firstlevel Supporter keine Textblöcke rausmailen, wenn man noch keinen Kaffee hatte und warum Fachkräften glauben, wenn man ein Programm hat  ? 😀

Hier nochmals für alle „JA! Die Box ist tod. Die hat noch 20 Minuten nach dem Blitzeinschlag Fieber gehabt, so warm war die durch die 1.8 GIGA WATT eines Blitzes!“