[uomoukko]

Non riesco a dare internet al DGA4331 attraverso la scheda di rete aggiuntiva collegata al pc.
Vorrei capire dove sbaglio potreste aiutarmi?
Allora.. per indagare dov'è il problema ho sostituito al DGA4331 un pc portatile (e tolto il VLAN-id).
Ho collegato il portatile tramite RJ45 alla scheda di rete aggiuntiva sul pc fisso,
ho staccato il collegamento internet al pc fisso e  ho fatto partire il mio
programmino DHCP che gli assegna IP, NETMASK, ROUTER. E funziona.
Sul portatile l'indirizzo è effettivamente 58.162.0.14/255.255.255.0 router 58.162.0.1
Ricollego il pc fisso a internet, e il router gli da indirizzo 192.168.1.30/255.255.255.0 router 192.168.1.1

Quindi il pc fisso viene ad avere due indirizzi: 192.168.1.30 e 58.162.0.1

(Per quanto riguarda il DNS, ho messo sul pc fisso un programma che fa da ponte
e trasferisce le richieste della rete 58.162.0.x  sul router 192.168.1.1, e funziona,
ma non è questo il punto perché prima di tutto voglio che il routing funzioni usando IP numerici).

Il routing non va. Il portatile non naviga e facendo da lì il TRACERT ad esempio su 8.8.8.8
fallisce con le stelline. Sul pc fisso ci sono due default route, e quello con metric minore è quello che porta
sul router che ha internet (192.168.1.1). Dove sbaglio?
 

[LuKePicci]

Ma hai attivato il routing tra schede in windows?

[uomoukko]

Grazie, @LuKePicci ho trovato il problema..  ci vuole ICS, Internet connection sharing.
Ma ICS usa differenti IP (non sarebbe un problema), però
ha anche un suo server DHCP e questo vanificherebbe l'uso del mio server DHCP
che mi serve per mandare l'option 43. Ma allora cosa ha ICS in più che a me manca?
Quello che a me mancava è che ICS fa il NAT tra le due schede di rete.
Quindi per la comunicazione oltre al DHCP serve anche un programma
a livello IP che risiede sul pc con doppio indirizzo e che fa da ponte tra le due schede
cambiando indirizzi e porte con l'aiuto di una tavola di corrispondenza tra la LAN1 e la LAN2
La tavola serve per dare alla macchina corretta i pacchetti di ritorno da Internet.

Assumendo di voler far comunicare la macchina 58.162.0.14 tramite il pc della rete locale
192.168.1.30 che si collega a internet tramite il router 192.168.1.1 avremo questo schema:

Codice: [Seleziona]

Pacchetto di andata
(58.162.0.14:12345->GOOGLE:80)   ==MIONat==>  (192.168.1.30:23456->GOOGLE:80) // il prog scrive nella tavola
(192.168.1.30:23456->GOOGLE:80) ==RoutNat==> (RouterIP:34567->GOOGLE:80) // questo lo fa il modem

Pacchetto di ritorno
(GOOGLE:80->RouterIP:34567)     ==RoutNatINV==> (GOOGLE:80->192.168.1.30:23456) // questo lo fa il modem
(GOOGLE:80->192.168.1.30:23456) ==>MIONatINV==> (58.162.0.14:12345) // il prog usa la tavola
insomma un ci vuole un NAT .. ma a me serve senza DHCP.
C'è qualcosa di pronto per Windows o quantomeno qualcosa che inibisca il DHCP di ICS?
Altrimenti mi sa che dovrò reinventare la ruota e "costruirmi" anche questo NAT in versione
stringata ed essenziale.

[uomoukko]

Aggiornamento..
La prima prova l'ho fatta simulando il modem con un pc portatile così vedo se naviga.
collegato il portatile alla scheda di rete usb sul pc fisso (senza VLAN=83) . Stacco Internet:
scheda di rete principale disabilitata, inserito macaddr del pc portatile nel mio programma dhcp,
che assegna ip 192.168.137.1 al pc fisso e 192.168.137.14 al portatile(simula-modem), senza lease.
il pc portatile riceve gw=192.168.137.1, mentre il pc fisso non riceve gw. DOPODICHE'
abilito scheda di rete principale, e dopo CONDIVIDO la connessione
con Internet Connection Sharing che guarda caso utilizza lo stesso ip e non lo riassegna,
quindi adesso il pc portatile naviga (verificato, ping, tracert, telnet funzionano)

Rifaccio la prova, tolgo il pc portatile, metto il modem collegato su wan, abilito vlan=83
scheda di rete principale pc fisso disabilitata, inserito macaddr del modem nel mio programma,
che assegna 192.168.137.1 al pc fisso e 192.168.137.14 al modem, senza lease.
(su wireshark vedo i due DHCPACK). A questo punto su pcfisso abilito scheda di rete principale
e dopo condivido la connessione con ICS e adesso su wireshark vedo
sia la QUERY "A" DNS al mio server (il mio stesso modem DGA4130 con dynamic dns)
(quindi il modem ha preso la DHCP option 43)
e infatti dal wireshark vedo pure la SYN TCP del modem sul mio server, porta 443,
e poi tutti i pacchetti TCP e TLSv1.2 di Client Hello,
il Certificate Server Key Exchange il Server Hello Done
Client Key Exchange, Change Cipher Spec, Encrypted Handshake message
Poi vedo un po' di pacchetti Tlsv1.2  di Application Data, Application Data,
e un Encrypted Alert [ Content Type Alert(21) ]
e poi pacchetti tcp di [FIN, ACK] e alla fine il pacchetto [ACK]
che conferma la terminazione!!!! GRRRR
Eppure il server è buono, se mi ci collego a mano il lucchetto si chiude!
cosa mai fa scattare l'Encrypted Alert? Dove sto sbagliando?
Che stringa esattamente devo mettere sul mio https server?
io nel file /test sul mio server ho messo esattamente questo:
reboot on
reboot
ma non so se va bene per farlo riavviare..  e per il root che stringa uso?
Aggiornamento: nel server https ho trovato questa roba che forse spiegherebbe qualcosa
La richiesta proviene dall'ip del pc fisso che condivide la connessione.

Codice: [Seleziona]

192.168.1.30 - - [23/Nov/2021:01:39:51 +0100] "POST /test HTTP/1.1" 405 166 "-" ""
192.168.1.30 - - [23/Nov/2021:01:40:52 +0100] "POST /test HTTP/1.1" 405 166 "-" ""
192.168.1.30 - - [23/Nov/2021:01:43:07 +0100] "POST /test HTTP/1.1" 405 166 "-" ""
192.168.1.30 - - [23/Nov/2021:01:47:37 +0100] "POST /test HTTP/1.1" 405 166 "-" ""
192.168.1.30 - - [23/Nov/2021:01:52:58 +0100] "POST /test HTTP/1.1" 405 166 "-" ""
192.168.1.30 - - [23/Nov/2021:01:57:26 +0100] "POST /test HTTP/1.1" 405 166 "-" ""
perche' il DGA4331 richiede un POST e non GET del file test?
e quindi errore 405 "Method not allowed"

Nuovo aggiornamento:
usato il "workaround" sul server nginx che permette il POST senza dover ricompilare
Editato /etc/nginx.conf e inserita questa riga per la sezione https: 
# To allow POST on static pages
    error_page  405     =200 $uri;
(e poi # /etc/init.d/nginx reload)
ed effettivamente, testando da pc, wget --method=POST https://mioserver.dominio/test ritorna codice 200
e ottiene fisicamente il file test. Per ulteriore controllo, nel log del server https ho correttamente
192.168.1.30 - - [23/Nov/2021:10:57:26 +0100] "POST /test HTTP/1.1" 200 25 "-" "Wget/1.21.1"
 ma ancora qualcosa non va... ecco il nuovo log del server quando il modem prende il file

Codice: [Seleziona]

192.168.1.30 - - [23/Nov/2021:12:05:10 +0100] "POST /test HTTP/1.1" 200 25 "-" ""
192.168.1.30 - - [23/Nov/2021:12:10:15 +0100] "POST /test HTTP/1.1" 200 25 "-" ""
192.168.1.30 - - [23/Nov/2021:12:10:22 +0100] "POST /test HTTP/1.1" 200 25 "-" ""
192.168.1.30 - - [23/Nov/2021:12:10:39 +0100] "POST /test HTTP/1.1" 200 25 "-" ""


[LuKePicci]

Ma scusa ce lo hai messo genieacs o un altro finto ACS dietro il server https? Ora che sei riuscito a convincere il router TIM a dialogare con un tuo ACS devi rispondere e dialogare come un vero ACS fino al punto di dargli una RPC di Download per l'sts.
Tutte le chiamate SOAP di CWMP sono chiaramente su POST, altrimenti il messaggio SOAP non ci passa.

[uomoukko]

@LuKePicci
Ok.. allora credo di essere a buon punto..
sono proprio un pollo! Pensavo che il modem accettasse direttamente i comandi.
Però io se voglio usare il nginx standard del DGA4130 con il workaround,
non posso servire pagine dinamiche con il POST, quindi mi chiedo:
Non è possibile editare il file https://mioserver.dominio/test
e farlo diventare un messaggio SOAP statico fatto a mano che fa scaricare l'sts?
Se c'e' di mezzo un handshake dinamico sono fregato!
e non saprei nemmeno come mettere programmi completi ACS esterni
Ci sto studiando sopra, ma tu non hai o sai come preparare uno di questi messaggi SOAP fatto a mano?
Grazie per la pazienza - e con il tuo aiuto spero di riuscire a sbloccare questo $#@@% di modem

[LuKePicci]

E' quello che fa tch-exploit, ma sono dinamici, non è un singolo messaggio statico. Ti conviene impostare nginx come proxy verso tch-exploit o verso un vero ACS.

[sureb]

Salve a tutti,
di recente ci hanno installato il modem router in oggetto
al momento  il firmware è
Release AGTHF_1.1.1.
Modem TIM HUB+ DGA4331
Fornitore del prodotto Technicolor
Nome prodotto AGMY2020
Versione Software 19.4

Sul server windows da sempre era configurata eperfettamente funzionate un semplice VPN PPTP. Passando alla fibra FFTH e al nuovo modem risulta impossibile collegarsi
L'errore segnalato dal server :
La causa più comune di questo problema è un firewall o un router tra il server e il client VPN
non configurato per consentire la trasmissione di pacchetti Generic Routing Encapsulation (GRE) (protocollo 47).

Pensando che il tecnico telecom avesse accesso a più opzioni di configurazione ho anche accettato il loro intervento ( a pagamento) ma dubito abbia capito il problema e dopo 10 minuti e un riavvio del modem ha fatto cadere la linea ed è sparito.

Premesso che ovviamente ho configurato al solito il port forwarding, mi chiedevo se qualcuno ha idea di come risolvere e/o abilitare GRE.
Grazie anticipatamente per l'eventuale aiuto.

[LuKePicci]

Che router avevi prima? Guardando nelle config del 4331 vedo che ora gli helper sono applicati per singola zona del firewall, quello pptp è applicato su lan  (per consentire pptp iin uscita da pc in lan) ma non lo vedo applicato su wan. Nei precedenti firmware ad esempio per DGA l'helper pptp era attivato globalmente. Se il problema fosse questo l'unica cosa che puoi fare è rootarlo e abilitare l'helper su wan, ma ti conviene prima appurare che il problema sia effettivamente lì. É l'helper pptp che si occupa di gestire il reindirizzamento di GRE, che in generale è già "abilitato".

[sureb]

Che router avevi prima? Guardando nelle config del 4331 vedo che ora gli helper sono applicati per singola zona del firewall, quello pptp è applicato su lan  (per consentire pptp iin uscita da pc in lan) ma non lo vedo applicato su wan. Nei precedenti firmware ad esempio per DGA l'helper pptp era attivato globalmente. Se il problema fosse questo l'unica cosa che puoi fare è rootarlo e abilitare l'helper su wan, ma ti conviene prima appurare che il problema sia effettivamente lì. É l'helper pptp che si occupa di gestire il reindirizzamento di GRE, che in generale è già "abilitato".

Grazie per la risposta. Il root mi pare procedura complessa e comunque eviterei non essendo mio il modem. Non ho esperienza con questo modem , mi sembrava di aver capito che eventualmente se lo si sbloccava per utilizzo con altri operatori compariva configurazione estesa e una scheda Helpers NAT ma forse confondo con altro modello.(sulla scheda tim scrive che è sbloccabile)
Sto anche valutando di chiedere a tim cambio modem ma ...non ho idea se ha altri modelli che possano supportare pptp.

[lorenzocanalelc]

Sbloccandolo per altri operatori mi pare che non si possa abilitare il Nat Helper, dovrebbero sistemare loro con qualche Update se come dice @LuKePicci si sono dimenticati una regola

[sureb]

Sbloccandolo per altri operatori mi pare che non si possa abilitare il Nat Helper, dovrebbero sistemare loro con qualche Update se come dice @LuKePicci si sono dimenticati una regola

Ehh ipotizzavo dopo aver visto questo pdf https://assistenzatecnica.tim.it/at/ShowBinary%3FnodeId%3D/AT_REPOSITORY/1096033
"Loro" ...la prima volta che li ho chiamati mi ha ricontattato un tecnico dopo 10 minuti ... ha fallito e ha fatto cadere la linea. Ho chiamato altre 3 volte ... e nessun presunto tecnico si è più fatto vivo .. ma provo a insistere

p.s avevo visto in questa foto configurazione estesa

[lorenzocanalelc]

Quel PDF è strano, perché in realtà l'assistenza remota non è abilitata dopo lo sblocco, immagino che fosse una vecchia versione dello sblocco. Però effettivamente sembra che con lo sblocco dovrebbero attivare le configurazioni di NAT Helper, ma non ho provato se funziona, a te l'onore 

[uomoukko]

Domanda...
Visto che sarei riuscito a far partire il famigerato POST dal DGA4331 verso il mio vecchio modem DGA4130 improvvisato server https nginx autenticato con let's encrypt, a questo punto per evitare sbattimenti
(che consisterebbero nella ricompilazione di un nginx meno stringato capace di mandare veri POST e non pagine statiche
e poi di un programma accessorio che crea la roba da POSTare usando SOAP e le sue dannate Envelope),
non potrei sfruttare in qualche modo il già esistente tch-exploit per completare l'opera?
E se usassi un port forward sul modem internet DGA4130 che redirige la porta 443 su un pc della mia LAN?
E se il pc della LAN, se facesse girare un qualche server web HTTPS, non sarebbe per così dire
autenticato pure lui da let's encrypt, avendo lo stesso ip pubblico?
(a patto di copiare sul server HTTPS quei cert.pem e key.pem che ho messo nel modem DGA4130)

E a questo punto mi domando: ma non si potrebbe semplificare tutto usando unicamente
il port forwarding del modem internet sulla porta HTTPS di un pc della mia LAN,
e quel pc della lan dovrebbe soltanto far girare il tch exploit, che ha già il server HTTPS/SOAP.
Però tale server non sarebbe autenticato a meno che non utilizzi i certificati che io posseggo!
Sarebbe facile modificare il tch-exploit per accettare certificati forniti dall'utente? Funzionerebbe?
Ti prego @LuKePicci dimmi che si può fare!!

[LuKePicci]

Assolutamente si, si può fare. E se non ci riesci modificando tch-exploit basta metterci davanti stunnel o socat in modo da creare un proxy https certificato (con i certificati che già hai) sopra la porta standard di tch-exploit

Modificare tch-exploit dovrebbe essere molto semplice, devi solo usare https invece di http sul create server e dargli come parametri i file di chiave e certificato.

Poi ovviamente devi dare al 4331 un dns (sul PC, quello del 4130 o anche uno pubblico) che possa risolvere il tuo dominio certificato con l'ip privato del PC, oppure come già stavi facendo lo fai risolvere con l'ip pubblico del 4130 e da lì fai un forward,