[lorenzocanalelc]

(hai davvero un 4330? dove l'hai preso? è quello di Telia?)

OT
[ You must login or register to view this spoiler! ]
Fine OT

[LuKePicci]

Devi scegliere il server dhcp da installare in Linux e cercare come c'o figurargli le custom option. Se invece usi il 4130 le option si configurano come da documentazione openwrt per dnsmasq.

[dragonx]

Devi scegliere il server dhcp da installare in Linux e cercare come c'o figurargli le custom option. Se invece usi il 4130 le option si configurano come da documentazione openwrt per dnsmasq.

che server dhcp devo scegliere? posso fare l'operazione sul portatile? come si configura dnsmasq sul 4130? quali file devo fare il backup?

[FrancYescO]

Ho provato a buttar giù qualcosa di automatizzato con server https... non ho testato nulla, se non la corretta generazione del certificato tramite challenge DNS (sul server di staging di letsencrypt), c'è anche la cartella release con i compilati, è necessario un account/token/dominio di duckdns (uno che conoscevo aveva la possibilita' di permettere la verifica tramite record DNS TXT), stesso lo script imposterà come IP da risolvere sul dominio quello del parametro --ip

https://github.com/FrancYescO/tch-exploit

Codice: [Seleziona]

tch-exploit-win.exe --acsurl="https://xxxxxxxxx.duckdns.org" --ip=192.168.1.100 --duckdnstoken="xxxxxxxxx"
il codice fa pena, ma se funziona apro comunque una PR...

[LuKePicci]

[ You must login or register to view this spoiler! ]

Me ne aveva pure parlato ma non mi aveva mai detto come si chiamava il modello, altrimenti gli avrei dato una dritta su come leggere correttamente il carattere 0

[LuKePicci]

il codice fa pena, ma se funziona apro comunque una PR...

Uhm temo che fatto in questo modo possa non funzionare, devi prevedere che tch-exploit debba essere lanciato mentre il pc e offline. In pratica in un primo step devi ottenere i certificati per il dominio. Poi vai offline. Come secondo step devi avviare tch-exploit dicendogli di usare i certificati ottenuti prima (quando esiste questa opzione lui deve usare https invece di http per il suo createserver), dicendogli quale acsurl mandare al device (non cadere nella tentazione di controllare se l'url inizia per https, é comodo poter impostare uno https senza che lui parta effettivamente ad usare https), e devi anche fare in modo che a query DNS per il dominio qualcuno risponda, quindi ti serve un (finto) server DNS in tch-exploit che risolva almeno solo quel nome (farei una roba tipo che per ogni opzione a riga di comando - -dns-host=nome.com:1.2.3.4 lui risolve in quel modo altrimenti chiede a monte), infine devi aggiungere l'ip del PC come server DNS nelle risposte DHCP che genera.

Puoo anche mantenere l'automatismo di ottenimento certificati dentro tch-exploit ma fai in modo che sia un esecuzione a parte da fare prima della procedura di exploit vero e proprio.

[FrancYescO]

Ah se c'è la necessità di fare tutto offline diventa rompiscatole..
la parte del finto server DNS non c'era già? altrimenti devo anche vedere cosa embeddare come dns server... forse mi son perso questo passo quando veniva fatto su azure...

é comodo poter impostare uno https senza che lui parta effettivamente ad usare https

questo non capisco perchè.. volevo tenermi stretto nell'aggiungere flag ma a questo punto credo sia necessario almeno un --certonly e --https

EDIT:
ho aggiornato il tutto.. ma manca il DNS server farlocco.

generazione certificati (con PC online, key e cert scritti nella stessa cartella)

Codice: [Seleziona]

--acsurl="https://xxxx.duckdns.org" --certonly --duckdnstoken="xxxx" start con server HTTPS

Codice: [Seleziona]

--acsurl="https://xxxx.duckdns.org" --https
EDIT2:
ci ho rimpippato anche un dnsserver (ce ne è uno incluso ma come si usa non l'ho capito...)
basta lanciarlo con l'ulteriore flag dnsserver e qualunque query dns A gli arrivi la risolve con l'ip di bind

Codice: [Seleziona]

--acsurl="https://xxxx.duckdns.org" --https --dnsserver

[LuKePicci]

Direi che il tutto ha senso, manda la PR vediamo @BolLaMN che ne dice

[FrancYescO]

la PR gliel'ho aperta già ieri come draft per capire se ha idee https://github.com/BoLaMN/tch-exploit/pull/10 ora gli aggiungo che ho messo un server DNS tramite lib a parte.. ma prima di toglierla da draft vorrei avere la sicurezze che tutto l'accrocchio qualcosa riesca a rootare...

[lorenzocanalelc]

Ho provato sull'OWA0131 già rootato, si blocca sulla DNS request, sono andato a vedere nel log e questo è l'errore:

Codice: [Seleziona]

Mon Jan 10 22:47:27 2022 daemon.notice wansensing: device br-lan nexthop 58.162.0.1 detected
Mon Jan 10 22:47:27 2022 user.notice cwmpd: Reloading cwmpd
Mon Jan 10 22:47:27 2022 daemon.warn cwmpd[3558]: CWMPUCI: cwmp_config_load_forcedinforms - set forcedinform success -  path: Device.ManagementServer.ConnReqJabberID
Mon Jan 10 22:47:27 2022 user.notice cwmpd: Starting cwmpd
Mon Jan 10 22:47:27 2022 daemon.err cwmpd[3558]: CDUS_TRACE: cwmp_changedustateapi_flush CURRENTLY NOT IMPLEMENTED
Mon Jan 10 22:47:27 2022 daemon.info cwmpd[3558]: PROT_TRACE: Events are waiting, need to contact ACS
Mon Jan 10 22:47:27 2022 daemon.info cwmpd[3558]: CONNECTION: Connecting to server
Mon Jan 10 22:47:27 2022 daemon.info cwmpd[3558]: UBUS_CLIENT: external IP address is 58.162.0.13
Mon Jan 10 22:47:27 2022 daemon.err cwmpd[3558]: SSL: connect failed
Mon Jan 10 22:47:27 2022 daemon.err cwmpd[3558]: SSL:   error:14090086:lib(20):func(144):reason(134)
Mon Jan 10 22:47:27 2022 daemon.err cwmpd[3558]: CONNECTION: Failed to connect to server.
Mon Jan 10 22:47:27 2022 daemon.info cwmpd[3558]: PROT_TRACE: Nb of retries 1
Mon Jan 10 22:47:27 2022 daemon.info cwmpd[3558]: PROT_TRACE: Min retry wait time 5
Mon Jan 10 22:47:27 2022 daemon.info cwmpd[3558]: PROT_TRACE: Max retry wait time 10
Mon Jan 10 22:47:27 2022 daemon.info cwmpd[3558]: PROT_TRACE: Effective retry wait time 6
Mon Jan 10 22:47:27 2022 daemon.info cwmpd[3558]: PROT_TRACE: LAST STATE: <Idle>
Mon Jan 10 22:47:27 2022 kern.warn kernel: [   91.533564] dhd_prot_ioctl: status ret value is -17
Mon Jan 10 22:47:27 2022 daemon.notice wansensing: (L2Sense) runs L2SenseMain.check(network_interface_lan_ifup)
Mon Jan 10 22:47:27 2022 daemon.notice wansensing: device br-lan nexthop 58.162.0.1 detected
Mon Jan 10 22:47:27 2022 user.notice firewall: Reloading firewall due to ifup of lan (br-lan)
Mon Jan 10 22:47:28 2022 user.notice warmboot: reason:0 0:PWR
Mon Jan 10 22:47:29 2022 user.notice firewall: Reloading firewall due to ifupdate of lan (br-lan)
Mon Jan 10 22:47:33 2022 daemon.info cwmpd[3558]: PROT_TRACE: Events are waiting, need to contact ACS
Mon Jan 10 22:47:33 2022 daemon.info cwmpd[3558]: CONNECTION: Connecting to server retry 1.
Mon Jan 10 22:47:33 2022 daemon.info cwmpd[3558]: UBUS_CLIENT: external IP address is 58.162.0.13
Mon Jan 10 22:47:33 2022 daemon.err cwmpd[3558]: SSL: connect failed
Mon Jan 10 22:47:33 2022 daemon.err cwmpd[3558]: SSL:   error:14090086:lib(20):func(144):reason(134)
Mon Jan 10 22:47:33 2022 daemon.err cwmpd[3558]: CONNECTION: Failed to connect to server.
Mon Jan 10 22:47:33 2022 daemon.info cwmpd[3558]: PROT_TRACE: Nb of retries 2
Mon Jan 10 22:47:33 2022 daemon.info cwmpd[3558]: PROT_TRACE: Min retry wait time 10
Mon Jan 10 22:47:33 2022 daemon.info cwmpd[3558]: PROT_TRACE: Max retry wait time 20
Mon Jan 10 22:47:33 2022 daemon.info cwmpd[3558]: PROT_TRACE: Effective retry wait time 18
Mon Jan 10 22:47:33 2022 daemon.info cwmpd[3558]: PROT_TRACE: LAST STATE: <Idle>
Mi sa che non gli piace il certificato di LetsEncrypt...

[FrancYescO]

L'orario sul modem era corretto? se la risposta è si, allora l'unico colpevole può essere solo il certificato (credo ne stia generando uno crosssignato, forse si può provare quello che ha come chain di firma solo la nuova ISRG Root X1), se la risposta è no, mi sà che a tutto il giochino c'è da aggiungere (o far funzionare quello che c'è) anche un server NTP.

direi di assicurarci prima che abbiamo nel firmware una Root CA con cui possiamo giocare...

[sureb]

Salve a tutti,
di recente ci hanno installato il modem router in oggetto
al momento  il firmware è
Release AGTHF_1.1.1.
Modem TIM HUB+ DGA4331
Fornitore del prodotto Technicolor
Nome prodotto AGMY2020
Versione Software 19.4

Sul server windows da sempre era configurata eperfettamente funzionate un semplice VPN PPTP. Passando alla fibra FFTH e al nuovo modem risulta impossibile collegarsi
L'errore segnalato dal server :
La causa più comune di questo problema è un firewall o un router tra il server e il client VPN
non configurato per consentire la trasmissione di pacchetti Generic Routing Encapsulation (GRE) (protocollo 47).

Pensando che il tecnico telecom avesse accesso a più opzioni di configurazione ho anche accettato il loro intervento ( a pagamento) ma dubito abbia capito il problema e dopo 10 minuti e un riavvio del modem ha fatto cadere la linea ed è sparito.

Premesso che ovviamente ho configurato al solito il port forwarding, mi chiedevo se qualcuno ha idea di come risolvere e/o abilitare GRE.
Grazie anticipatamente per l'eventuale aiuto.

buondì. dopo quasi 2 mesi di lotte con Telecom non ho risolto nulla ( se non che i tecnici cambiando di nascosto impostazioni router avevano bloccato la normale navigazione) e non mi han cambiato router. Forse sono leggermente OT ma vorrei profittare della vs competenza per sapere con cosa potrei sostituirlo e non avere problemi con protocollo x vpn. Fritz ?

[dragonx]

il tch-exploit patchato per https non esiste ma un altro utente poco prima di te ha descritto in queste pagine in modo dettagliato cosa ha modificato in tch-exploit per riuscirci.

Parlando di azure, hai bisogno di un dispositivo che faccia dhcp server e routing verso internet da una interfaccia su vlan. Può essere sia un PC che un altro router completamente configurabile. Se il 4330 (hai davvero un 4330? dove l'hai preso? è quello di Telia?) è rootato e connesso ad internet allora si va bene. Altrimenti puoi usare il PC. In entrambi i casi devi configurare una interfaccia vlan (come credo tu abbia già fatto sul PC) ed aggiungere l'option con l'url dell'acs ai parametri del dhcp server.

puoi spiegare più dettagliatamente la strada Azure? come aggiungo l'option con l'url dell'acs ai parametri del dhcp server? di regola non devo cambiare il dns in modo che cerca di connettersi ai server telecom e invece lo reindirizzo su azure?

[LuKePicci]

@lorenzocanalelc mi raccomando il certificato di let's encrypt assicurati che sia quello vero e non quello di staging

Appena posso provo a controllare se c'è la CA e in che date è valida.

[FrancYescO]

Il problema, a parte il server NTP da integrare, potrebbe essere la chain del certificato:

di default ad oggi LE rilascia i certificati con questa chain..

Codice: [Seleziona]

---
Certificate chain
 0 s:CN = community.letsencrypt.org
   i:C = US, O = Let's Encrypt, CN = R3
 1 s:C = US, O = Let's Encrypt, CN = R3
   i:C = US, O = Internet Security Research Group, CN = ISRG Root X1
 2 s:C = US, O = Internet Security Research Group, CN = ISRG Root X1
   i:O = Digital Signature Trust Co., CN = DST Root CA X3
---è possibile richiederli (devo capire come si fa con quel client acme che ho usato..) saltando la DST Root CA X3 che potrebbe dar fastidio ai nostri dispositivi embedded:

Codice: [Seleziona]

---
Certificate chain
 0 s:CN = asdasd.duckdns.org
   i:C = US, O = Let's Encrypt, CN = R3
 1 s:C = US, O = Let's Encrypt, CN = R3
   i:C = US, O = Internet Security Research Group, CN = ISRG Root X1
---
Ad ora il risultato del server https che tiro su in tch-exploit è questo (test di @lorenzocanalelc ):

Codice: [Seleziona]

$ openssl s_client -connect xxxxx.duckdns.org:53871 -servername xxxxx.duckdns.org
CONNECTED(00000005)
depth=0 CN = xxxxxx.duckdns.org
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = xxxxxx.duckdns.org
verify error:num=21:unable to verify the first certificate
verify return:1
depth=0 CN = xxxxx.duckdns.org
verify return:1
---
Certificate chain
 0 s:CN = xxxxx.duckdns.org
   i:C = US, O = Let's Encrypt, CN = R3
   a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256
   v:NotBefore: Jan 19 11:25:50 2022 GMT; NotAfter: Apr 19 11:25:49 2022 GMT
---
...
Quindi forse a parte la chain faccio anche qualcosa di strano con la chiave privata (io non ho fatto altro che integrare questo esempio: https://git.rootprojects.org/root/acme.js/src/branch/master/examples/get-certificate-full.js )