[RICERCA] TIM HUB+ Technicolor DGA4331 (VCNT-3)

  • 129 Risposte
  • 14930 Visite

0 Utenti e 1 Visitatore stanno visualizzando questo topic.

Offline Cr4z33

  • Membro Giovane
  • **
  • 67
  • Sesso: Maschio
Re:[RICERCA] TIM HUB+ Technicolor DGA4331 (VCNT-3)
« Risposta #120 il: 15 Settembre 2021, 18:14 »
già c'è la procedura completa, ma è un po' complessa
Boh se ci fosse un video che registra il tutto farei anche un tentativo. :D
Vodafone FTTC 200 Mega + TIM Hub DGA4132

Offline dragonx

  • Membro Anziano
  • ***
  • 359
Re:[RICERCA] TIM HUB+ Technicolor DGA4331 (VCNT-3)
« Risposta #121 il: 08 Ottobre 2021, 15:36 »
@lorenzocanalelc non sei riuscito a trovare un altro da sbloccare e fare gli screenshot ?

Offline uomoukko

  • Membro Giovane
  • **
  • 56
    • github.com/uomoukko
Re:[RICERCA] TIM HUB+ Technicolor DGA4331 (VCNT-3)
« Risposta #122 il: 14 Ottobre 2021, 02:41 »
Sono deciso a trovare altre strade per sbloccare questo modem.
Attualmente ho un Transceiver SFP RJ45 1000Mb, (marca 10Gtek modello ASF-GE-T)
che posso inserire nella porta fibra per fare i test.
Ho anche un altro Transceiver 10/100/1000 (modello ASF-GE2-T)
vengono riconosciuti entrambi, ma l'altro con connessione fissa è più stabile.

Con mia sorpresa ho notato che nelle opzioni del router l'ostacolo più grande, il VPI/VCI
si può disabilitare e l'ho disabilitato togliendomi parecchi casini.
DOMANDA: E' così semplice togliersi i problemi del VPI/VCI oppure facendo così il modem non
esegue il provisioning?

Comunque ho notato che inserire un cavo di rete nella porta LAN/WAN oppure nel
connettore RJ45 collegato alla porta fibra SFP porta a risultati identici
 - sempre se non mi è sfuggito nulla.

Ho collegato un cavo di rete così
PORTA_WAN(DGA4331) --> LAN_PC
oppure questa configurazione:
PORTA_FIBRA(DGA4331)-SFP-RJ45 --> LAN PC

Mi sono costruito un mini server DHCP in C su Windows per vedere i pacchetti che
passano sulla porta 67/68 UDP e osservare la classica procedura che avviene tra

client-dhcp (la scheda di rete del pc sconfigurata) e il programma server-dhcp montato sul pc
client-dhcp (porta del DGA4331 sconfigurata) e il programma server-dhcp montato sul pc

La procedura è questa:
client:DISCOVER - > server:OFFER
client:REQUEST -> server:ACK
Lo scambio di pacchetti e la configurazione avviene sia per la scheda di rete del pc,
sia per il DGA4331 che ricevono ognuno i due IP stabiliti dal mio programma.

Ho avuto un po' di casini perché Windows mi bloccava i pacchetti UDP e dopo essere
impazzito l'ho scoperto e ho disabilitato il firewall di Windows,
ma effettivamente adesso il sistema funziona.
Ora mi chiedo, come avviene il magico trucchetto? viene passato tramite DHCP
un parametro di inizializzazione? con la famigerata opzione  parametro $35/53 ?
Ho notato che ci sono una marea di codici per questo parametro, e anche
alcuni usati esclusivamente dai Windows
ma quelli che vengono effettivamente usati in fase di scambio sono pochi.
tipo il $1-NETMASK, il $3-ROUTER, il $6-DNS, il $33-LEASE, il $36-CLIENT_IP

Ecco, potreste dirmi se sono sulla buona strada o se sto perdendo tempo
perché tralascio qualcosa di fondamentale?

Grazie.

Offline LuKePicci

  • Global Moderator
  • VIP
  • *****
  • 2668
Re:[RICERCA] TIM HUB+ Technicolor DGA4331 (VCNT-3)
« Risposta #123 il: 14 Ottobre 2021, 10:00 »
Citazione
DOMANDA: E' così semplice togliersi i problemi del VPI/VCI oppure facendo così il modem non
esegue il provisioning?

Dipende, per poterlo cambiare hai dovuto mettere il router in modalità configurazione avanzata (aka sblocco ufficiale)? se sì allora ti ha probabilmente disabilitato cwmp.

Non credo che il VLAN ID sia considerabile un ostacolo, basta avere una scheda di rete realtek (anche usb) per farcela comodamente da Windows come se il VLAN ID non ci fosse, oppure un qualsiasi PC con linux, o un altro switch gestito anche integrato in un router.

Citazione
Comunque ho notato che inserire un cavo di rete nella porta LAN/WAN oppure nel
connettore RJ45 collegato alla porta fibra SFP porta a risultati identici

Certo, sono due porte della stessa interfaccia.

Citazione
Ora mi chiedo, come avviene il magico trucchetto? viene passato tramite DHCP
un parametro di inizializzazione?

Sì se leggi la specifica di CWMP ti spiega come implementare l'ACS discovery tramite DHCP. In pratica tu mandi via DHCP l'url dell'ACS da contattare e se gli metti un tuo ACS puoi mandargli lo script con i comandi di sblocco.

Tuttavia questa non è la parte "magica" per quanto riguarda il metodo di root per questo 4331 (che funziona su tutti i tch TIm da una certa versione firmware in poi) sta nell'usare come server ACS uno che dispone di certificati TLS validi compresi nella "whitelist" del technicolor. Trovi tutto spiegato molto meglio nelle prime pagine di questo thread.

Offline uomoukko

  • Membro Giovane
  • **
  • 56
    • github.com/uomoukko
Re:[RICERCA] TIM HUB+ Technicolor DGA4331 (VCNT-3)
« Risposta #124 il: 16 Ottobre 2021, 16:32 »
Uhm.. leggendo la documentazione dell'URL ACS del CWMP
fonte: https://www.qacafe.com/resources/acs-discovery/
leggo che il modem richiede l'URL nel parametro 124 e 60
e  gli viene inviata da TIM nel parametro 125 e 43
Ora, questo è un pezzo del log del mio finto dhcp server
Codice: [Seleziona]
<< LISTENING TO PORT 67 >>
PACKET RECEIVED FROM 0.0.0.0:68 [siz=300]
XXXX PACKET START XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX [siz=300] 01=BOOT-REQUEST
HW=01, HWLEN=06, HOPS=00 SESSION=C3-15-68-B9
CLI_TIME=00-04 FLAGS=00 00 -----> UNICAST
CLIADDRESS=00.00.00.00 (0.0.0.0)
CLIADD-SRV=00.00.00.00 (0.0.0.0)
SRVADD-SRV=00.00.00.00 (0.0.0.0)
   GATEWAY=00.00.00.00 (0.0.0.0)
 CLIENT-HW= (DGA4331)
SRV-HOSTN=
BOOT FNAM=
----------- PACKET IS DHCP -----------
                   [$35/53=COMMAND] L=01 [01] DISCOVER
         {$91/145=FORCERENEW CAPAB} L=01 [01]
          [$39/57=MAXLEN DHCP MSGs] L=02 [05][dc] 1500 bytes
             [$37/55=PARAM REQUEST] L=11 [01][03][06][0f][21][2a][33][79][f9][d4][0c]
.............Parameter...List...................................
[$01/1=SUBNET MASK]                ,[$03/3=ROUTER(S)]                  ,
[$06/6=DNS(S)]                     ,[$0f/15=DOMAIN NAME]               ,
[$21/33=STATIC ROUT TABLE]         ,[$2a/42=ADDR NTP SERVER(s)]        ,
[$33/51=LEASE]                     ,{$79/121=CLASSLESS STATIC ROUTE}   ,
{$f9/249=M$ CLASSLESS STAT ROUTE}  ,{$d4/212=OPTION 6RD}               ,
[$0c/12=HOSTNAME]
.............Parameter...List...................................
                  [$0c/12=HOSTNAME] L=08 [6d][6f][64][65][6d][74][69][6d] modemtim
              [$ff/255=OPTIONS END] L=00
XXXX PACKET END XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Per la cronaca, io poi invio un DHCP-OFFER con IP,MASK,ROUTER,DNS,
il modem risponde con DHCP-REQUEST con l'IP da me offerto
 e mi richiede gli stessi 11 parametri della DHCP-DISCOVER,
io rispondo con DHCP-ACK inserendo solo IP,MASK,ROUTER,DNS
e a questo punto il led POWER da rosso diventa verde
e mi si accendono in verde anche LINEA e WEB

Come potete vedere dal log del DHCP DISCOVER, il modem non richiede affatto
i parametri 124 e 60, 125 e 43 ma altri parametri.... alcuni strani come 121,212,249

Stavo pensando come esperimento di "forzargli" la stringa ACS
nel pacchetto DHCP-OFFER che gli invio e magari pure nel DHCP-ACK
per vedere se la prende lo stesso, o anche inserirla in un nuovo DHCP-INFORM
ma prima devo capire in quale parametro metterla
E poi mi chiedo che stringa gli metto? una cosa tipo 192.168.1.4/script
(installando un server http nel computer 192.168.1.4) potrebbe andare?

P.S. So bene che il modem potrebbe non richiedere la stringa ACS semplicemente perché
  vede il VPI/VCI disabilitato. Ma non richiederla significa anche non accettarla?
  Oppure potrebbe rifiutare tutte le stringhe offerte diverse da quella richiesta,
  o rifiutare quelle non-HTTPS, però non si sa mai, magari c'è qualche falla nei controlli sul
 protocollo DHCP

@LuKePicci per togliermi dalle scatole il Vpi/Vci vanno bene tutte le schede (usb/non-usb) realtek?
perché stavo pensando di prenderne una per approfondire i miei test.
Sai mica indicarmi un modello di un'ottima scheda realtek con vpi/vci,
magari usb così la metto e tolgo facilmente?
Poi il VPI/VCI si setta da Proprietà della scheda di rete/Avanzate?
perché io sul pc ho una Intel I211 e l'unica proprietà che ci si avvicina è "Priorità pacchetti e VLAN"
« Ultima modifica: 16 Ottobre 2021, 16:52 da MisterFTTH »

Offline LuKePicci

  • Global Moderator
  • VIP
  • *****
  • 2668
Re:[RICERCA] TIM HUB+ Technicolor DGA4331 (VCNT-3)
« Risposta #125 il: 17 Ottobre 2021, 10:03 »
Puoi provare a forzarlo mandandogli comunque il messaggio ma se hanno fatto le cose per bene lo ignorerà.

Quando metti il router in modalità sbloccata (anche mantenendo il VLAN ID originale di TIM), lui disabilità la telegestione perchè fuori da rete TIM sarebbe una falla di accesso remoto.

Si le realtek (non solo le USB, e non solo le realtek ma quasi tutte le USB sono realtek e vanno bene) hanno l'opzione per il VLAN ID. Non stiamo parlando di VPI/VCI, quello c'era nelle reti ATM, quindi ADSL. Se la prova la fai dalla porta WAN ethernet SFP o RJ45 devi usare VLAN ID. L'adattatore ethernet di realtek infatti di fa impostare VLAN ID, non VPI/VCI.

Ci tengo a ripeterti che il TIM HUB si rifiuterà di connettersi alll'ACS URL che gli darai a meno che tale ACS non giri su https ed abbia un certificato TLS che lui riconosce come valido. Per questo avevamo suggerito di metterlo su qualche cloud come azure.

Offline uomoukko

  • Membro Giovane
  • **
  • 56
    • github.com/uomoukko
Re:[RICERCA] TIM HUB+ Technicolor DGA4331 (VCNT-3)
« Risposta #126 il: 21 Ottobre 2021, 11:37 »
Prima di tutto vorrei ringraziarvi per l'aiuto che mi state offrendo,
soprattutto grazie alla pazienza di LukePicci.
Io sono un po' lento a capire questi meccanismi e non sono 24h/24 sul problema,
ma ovviamente è mio interesse riuscire a far qualcosa, e comunque
penso che le spiegazioni possano essere utili a chiunque altro si voglia
cimentare nell'impresa

La scheda USB che ho ordinato offre la compatibilità IEEE 802.1Q
che sembrerebbe essere quello che cerco.
Leggendo le specifiche vedo che la nuova scheda ha un hardware che
semplicemente legge i 4 bytes del VLAN TAG e, se corrisponde al numero
di TAG scelto, fa passare il pacchetto, privo dei 4 bytes, altrimenti niente.

[il tag prevede 2 bytes fissi a 0x8100 e altri 2 bytes dei quali 12 bit
contengono il VLAN ID che arriva fino a  2^12=4096, ma 0 e 4095 sono riservate]

Allora avrei due domande:
- che numero di VLAN ID usa TIM?
- capisco che non ci debbano essere falle di sicurezza, però mi sembra strano
amministrativamente parlando, che quando ho il TIM HUB sbloccato,
(che è una cosa permessa), non posso né avere il provisioning
né ricevere aggiornamenti remoti.
cmq adesso come faccio? il reset del modem rimette le cose come stavano, no?

e adesso curiosità mie relative al sito TCH:
- nel sito vedo che è stato usato il coffee script: c'è un motivo preciso
di questa scelta, visto che - per questo tipo di applicazione - io trovo
il linguaggio C puro molto più semplice?
- come mai il programma TCH richiede IP statico 58.162.0.1 per la scheda di rete PC
e assegna l'IP soltanto al modem, quando si sarebbe potuto usare
lo stesso mini-server DHCP contenuto nel TCH per inizializzare
sia l'indirizzo della scheda di rete PC che quello della porta
WAN del modem, lasciando la scheda PC con IP dinamico di default
(come faccio io nel mio programma) e quindi semplificando la procedura?

Offline LuKePicci

  • Global Moderator
  • VIP
  • *****
  • 2668
Re:[RICERCA] TIM HUB+ Technicolor DGA4331 (VCNT-3)
« Risposta #127 il: 21 Ottobre 2021, 13:22 »
Esatto, in pratica tu imposti il VID (VLAN ID) che usa TIM nella scheda USB e ti ritrovi sul PC col traffico pulito senza tag. Il VID lo trovi nelle settings del firmware, i firmware spacchettati li trovi su github. Mi pare che lo avevamo comunque detto qui nei primi post.

Non è semplice trasformare un dispositivo/firmware progettato per vivere al sicuro su una sola rete di un determinato ISP in qualcosa che funzioni in sicurezza al di fuori di essa. Dato che in principio l'ACS di TIM non era nemmeno raggiungibile al di fuori della sua rete l'idea di disabilitarlo viene comoda, anche perchè nessun altro ACS dispone degli aggiornamenti firmware compatibili per questo dispositivo. Il reset riporta il dispositivo alle impostazioni di default, quindi con CWMP attivo e configurazione non sbloccata, quindi sì, va fatto.

L'IP del PC può pure essere dinamico ma allora devi dinamicizzare l'IP che proponi come ACS e webserver al router. Per altri dettagli su tch-exploit chiedi direttamente a BoLaMN, che ha scelto coffee semplicemente perchè gli veniva comodo. E' comunque inutilizzabile con questo dispositivo (a parte le funzionalità extra come TFTP), qui ti serve solo un server DHCP.


Offline lorenzocanalelc

  • Esperto
  • ****
  • 563
  • Sesso: Maschio
Re:[RICERCA] TIM HUB+ Technicolor DGA4331 (VCNT-3)
« Risposta #128 il: Ieri alle 16:37 »
Nuovo Firmware Beta AGTHF_1.1.2_001_CLOSED

Offline uomoukko

  • Membro Giovane
  • **
  • 56
    • github.com/uomoukko
Re:[RICERCA] TIM HUB+ Technicolor DGA4331 (VCNT-3)
« Risposta #129 il: Oggi alle 02:13 »
Allora Oggi mi è arrivata la scheda Realtek usb e ho subito provato il VLAN ID
che poi era banalmente 835 come scritto sulla pagina "Banda Larga" del modem.
Ho abilitato la VLAN nel modem (l'avevo disabilitata),
poi ho configurato la scheda di rete pure con 835,
e ho verificato che mi assegna correttamente i due IP (al modem e al router).
Esattamente come faceva prima quando avevo il VLAN disabilitato e una scheda di rete normale.

L'unica cosa che vedo dopo l'assegnazione dell'ip (usando wireshark, filtro ip.addr==dga4331)
è una serie di query udp al dns(53) per sapere dove stanno i ntp server (forse per l'orologio).

Poi ho resettato il modem per portarmi nella condizione di impostazioni di fabbrica e..
SORPRESA! il DHCP non funziona più e sembra che ci sia un pacchetto PADI in broadcast
che se non erro è un PPPoE Discovery.. infatti collegandomi direttamente al modem
per verificare tramite WIFI vedo che è in atto una connessione PPP.

Come mai il programma per rootare, il TCH non sembra effettuare una connessione
PPP ma un semplice dhcp diretto? Ma allora il programma TCH funziona col modem
in config estesa (sbloccato) e ppp disabilitato?
Sono profondamente demoralizzato :( :( col ppp da gestire mi si crea un ulteriore
livello di complessità sigh
Ci aiuta il nuovo firmware?