[dragonx]

Sapresti dirmi quale versione utilizzare nel file di docker-compose? Controllando sul dockerhub esistono 3 tag, il latest di 5 anni fa e un altro di un anno fa. Quale dovrei utilizzare? (Edit: sbagliato repo, ne esistono molte di più)

(Ho risolto per quanto riguarda il problema del certificato CA, adesso ho messo tutto il locale e posso tecnicamente fare summon dalla webui di genieacs)

1 che significa che hai messo in locale?
2 come hai fatto a vedere che non accettava la CA ?
3 cosa è summon?

[lorenzocanalelc]

@imdadadani
Questo dovrebbe essere l'ultimo yml che ho usato

Codice: [Seleziona]

# Use this file to pull GenieACS from DockerHub #

version: "3"
services:
# Dockerfile here: https://github.com/docker-library/mongo/blob/6932ac255d29759af9a74c6931faeb02de0fe53e/4.0/Dockerfile#
    mongo:
        image: mongo:4.1
        restart: always
        container_name: "mongo"
        environment:
            - MONGO_DATA_DIR=/data/db
            - MONGO_LOG_DIR=/var/log/mongodb
        volumes:
            - data_db:/data/db
            - data_configdb:/data/configdb
        expose:
            - 27017
        networks:
            - genieacs_network

# Dockerfile here: https://hub.docker.com/r/drumsergio/genieacs/dockerfile
    genieacs:
        depends_on:
            - 'mongo'
        image: drumsergio/genieacs:1.2.3
        restart: always
        container_name: "genieacs"
        environment:
            - GENIEACS_UI_JWT_SECRET=coseacasocoseacasocoseacasocoseacaso
            - GENIEACS_CWMP_ACCESS_LOG_FILE=/var/log/genieacs/genieacs-cwmp-access.log
            - GENIEACS_NBI_ACCESS_LOG_FILE=/var/log/genieacs/genieacs-nbi-access.log
            - GENIEACS_FS_ACCESS_LOG_FILE=/var/log/genieacs/genieacs-fs-access.log
            - GENIEACS_UI_ACCESS_LOG_FILE=/var/log/genieacs/genieacs-ui-access.log
            - GENIEACS_DEBUG_FILE=/var/log/genieacs/genieacs-debug.yaml
            - GENIEACS_EXT_DIR=/opt/genieacs/ext
            - GENIEACS_MONGODB_CONNECTION_URL=mongodb://mongo/genieacs
            - GENIEACS_FS_URL_PREFIX=https://NOMETUAAPP.azurewebsites.net/
            - GENIEACS_UI_PORT=3000
        expose:
            - 3000
            - 7547
            - 7567
        volumes:
            - opt_volume:/opt
        networks:
            - genieacs_network

# Dockerfile here: https://github.com/Tivix/docker-nginx/blob/6f8872d582dbd6e6272fd2f134cccde694b9b2ef/Dockerfile
    docker-nginx:
        depends_on:
            - 'genieacs'
        image: tivix/docker-nginx
        restart: always
        environment:
            NGINX_PORT: "8080"
            PROXY_TARGETS: "genieacs:3000,genieacs:7547,genieacs:7567"
            PROXY_LOCATIONS: "/,/cwmpWeb,~* ^/[^/]+\\.(sts|rbi|bli|rmt|rms)$"
        container_name: "docker-nginx"
        ports:
            - "8080:8080"
        networks:
            - genieacs_network

volumes:
    data_db:
    data_configdb:
    opt_volume:

networks:
    genieacs_network:
Guardandolo ho ricordato che una volta non mi funzionava perché avevo dimenticato di aggiornare il parametro GENIEACS_FS_URL_PREFIX 

[imdadadani]

Sono riuscito a sbloccare il router, non ho utilizzato genieacs per farlo in quanto non mi andava in nessun modo, ma ho sfruttato tch-exploit con delle variazioni:

1. Dovete avere un dominio con un certificato ssl valido (io ho usato Let's Encrypt) che punta verso il vostro ip del computer in locale (deve essere raggiungibile dal router, nel mio caso era 10.42.1.1)
2. Configurate una istanza di NGINX nel vostro computer con proxy pass verso http://localhost:PORTA (su PORTA metteteci quello che volete) e ssl attivo con un certificato valido
3. Avviate una istanza di tch-exploit con dhcponly e l'url acs con lo stesso dominio di prima che ha il certificato valido

Codice: [Seleziona]

sudo ./tch-exploit-linux --acsurl="https://VOSTRODOMINIO.xyz/" --ip="10.42.1.1" --dhcponly4. Resettate il Tim Hub+ e attendete finché il router si collegherà al server DHCP
5. Appena il router si è connesso, avviate un'altra istanza di tch-exploit con questa volta il server acs attivo e la stessa porta di prima che avete impostato su NGINX:

Codice: [Seleziona]

sudo ./tch-exploit-linux --port=4346 --ip="10.42.1.1" 6. Dopo qualche instante, dovreste iniziare a vedere nel log del programma delle richieste HTTP, infine vi verrà chiesto di premere il tasto WPS
7. Connettetevi via SSH, e buon divertimento!

Guida scritta velocemente, potrei fare una spiegazione più completa.

1 che significa che hai messo in locale?
2 come hai fatto a vedere che non accettava la CA ?
3 cosa è summon?

1. Avevo configurato prima genieacs direttamente nel mio computer, anche se dopo è diventato inutile (vedi la guida all'inizio).
2. Ho utilizzato Wireshark collegandomi nella vlan dove il Tim Hub+ si connette.
3. Una funzione di Genieacs che è come se "chiamasse" il router per vedere lo stato.

[dragonx]

continuo a non capire come sbloccare sto coso...
1. il dominio è un nome a caso? come devo fare il certificato con Let's encrypt ? cosa vuol dire che punta al vostro pc in locale? per farlo puntare devo usare il file host ed associare ip computer con url del dominio?
2. per creare un istanza di nginx su linux è sufficiente scrivere da terminale .\     ?cosa è proxy pass? devo creare un altro certificato?
3. come faccio a capire che il router si è connesso al server dhcp?

[imdadadani]

1. Il dominio deve essere uno valido, se non vuoi spendere soldi basta che ne fai uno da Freenom (tipo quelli .tk), per il certificato Let's Encrypt puoi farlo direttamente dal tuo computer utilizzando la challenge DNS da certbot
2. Basta che lo installi con il tuo package manager preferito e cambi la configurazione (solitamente sta su /etc/nginx/nginx.conf o /etc/nginx/sites-enabled/default)
3. Il led "WEB" diventa verde

[dragonx]

cosa è e come configuro proxy pass? è una cosa di linux o nginx?

[imdadadani]

È una configurazione del virtual server di NGINX, questo è come l'ho configurato io:

Codice: [Seleziona]

server {
listen 80 default_server;
listen [::]:80 default_server;
        listen 443 ssl default_server;
listen [::]:443 ssl default_server;

root /var/www/html;

server_name _;

location / {
   proxy_pass http://localhost:4346;
}


        ssl_certificate      /etc/letsencrypt/live/DOMINIO/fullchain.pem;
        ssl_certificate_key  /etc/letsencrypt/live/DOMINIO/privkey.pem;
        ssl_protocols       TLSv1 TLSv1.1 TLSv1.2;

}


[uomoukko]

@imdadadani
Ti prego fai una bella guida dettagliata e completa. Siamo tutti interessati allo sblocco
senza scomodare complicati account remoti e Genieacs, insomma come hai fatto tu,
usando unicamente un dominio autenticato + tch-exploit.

Personalmente, stavo cercando di capire come effettuare lo sblocco a partire da un sistema WINDOWS,
anche al limite usando WSL linux ma senza dover necessariamente installare un intero linux.
Penso che in teoria la cosa dovrebbe essere fattibile ugualmente.

Non mi sono chiari alcuni passaggi:
Il DGA4331 con firmware 1.0.1 viene collegato in porta WAN/LAN ad una scheda di rete presente
nel pc della nostra rete locale (pc che va su internet tramite il router di casa)
usando per la scheda il VLAN ID=83, corretto?

Il dominio "esempio.com" registrato gratis, punta al mio indirizzo esterno del modem
che corrisponde al mio ip tramite dynamic dns sul modem che va su internet,
e quando il DHCP fittizio di tch-exploit assegna l'ip al DGA4331
gli dice tramite option 43 di andare a fare un POST in "https://esempio.com:port" per attivare cwmp

Ma allora invece di scomodare un'istanza di nginx,  non basterebbe un port forward del "modem ci da
 internet" che rediriga il POST generato dal DGA4331 in arrivo sulla porta esterna, e lo
trasferisca sulla porta lan del pc della nostra rete locale su cui gira tch-exploit
autenticato per il dominio da cert.pem/key.pem ?

Come hai fatto a dare internet alla scheda di rete su cui è connesso il DGA4331?
Io ho usato Proprieta'-->Condivisione avendo l'accortezza di lavorare sui registri per dare alla scheda pc
un indirizzo che mi piacesse (58.162.0.1) anche perché mi hanno detto che gli indirizzi 10.x.x.x sono
percepiti come locali e quindi non validi. cioè ho fatto così:
(normalmente il valore del server per la condivisione Windows è settato a 192.168.137.1)

Codice: [Seleziona]

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ScopeAddress"="58.162.0.1"
"ScopeAddressBackup"="58.162.0.1"

Questa condivisione però crea automaticamente un altro server dhcp così alle volte il
DGA4331 risponde al server dhcp della condivisione windows e si riassegna un ip diverso.
In questo caso, essendosi sganciato dal dhcp server del tch-exploit, non
sente l'opzione 43 del tch-exploit che lo avrebbe fatto POSTare
e quindi tanti saluti.

 

[imdadadani]

Si come hai detto tu io ho collegato il router alla porta WAN.

Da Linux c'è una opzione molto comoda che mi permette di condividere in automatico la rete selezionando il tipo di connessione (e mi setta sempre l'ip del computer a 10.42.1.1 quindi è facile ricordarselo), inoltre di default non ha un server DHCP quindi è la combinazione perfetta se voglio condividere internet in questo modo. Se su Windows esiste una opzione simile (non ho idea io, non lo uso da anni) allora non bisogna installare altri sistemi operativi per farlo funzionare.

Per quanto riguarda tch-exploit, se si potesse integrare la modalità https dentro quel programma NGINX sarebbe completamente evitabile dato che l'unica cosa che fa è proxare le richieste sotto tls.

[LuKePicci]

E' stato già fatto, ma richiede qualche rifinitura per essere mergiato

[dragonx]

È una configurazione del virtual server di NGINX, questo è come l'ho configurato io:

Codice: [Seleziona]

server {
listen 80 default_server;
listen [::]:80 default_server;
        listen 443 ssl default_server;
listen [::]:443 ssl default_server;

root /var/www/html;

server_name _;

location / {
   proxy_pass http://localhost:4346;
}


        ssl_certificate      /etc/letsencrypt/live/DOMINIO/fullchain.pem;
        ssl_certificate_key  /etc/letsencrypt/live/DOMINIO/privkey.pem;
        ssl_protocols       TLSv1 TLSv1.1 TLSv1.2;

}


ma quello è il file nginx.conf in /etc/conf ? io l'ho installato su ubuntu ed è diverso ... a me l'elemento HTTP (json?)  appare così

Codice: [Seleziona]

http {

##
# Basic Settings
##

sendfile on;
tcp_nopush on;
tcp_nodelay on;
keepalive_timeout 65;
types_hash_max_size 2048;
# server_tokens off;

# server_names_hash_bucket_size 64;
# server_name_in_redirect off;

include /etc/nginx/mime.types;
default_type application/octet-stream;

##
# SSL Settings
##

ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # Dropping SSLv3, ref: POODLE
ssl_prefer_server_ciphers on;

##
# Logging Settings
##

access_log /var/log/nginx/access.log;
error_log /var/log/nginx/error.log;

##
# Gzip Settings
##

gzip on;

# gzip_vary on;
# gzip_proxied any;
# gzip_comp_level 6;
# gzip_buffers 16 8k;
# gzip_http_version 1.1;
# gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript;

##
# Virtual Host Configs
##

include /etc/nginx/conf.d/*.conf;
include /etc/nginx/sites-enabled/*;
}

cancello quello che c'è ed aggiungo il tuo oppure aggiungo il tuo codice senza cancellare?

edit nginx.conf test failed....non me lo fa avviare

[dragonx]

poi fullchain.pem e privkey.pem come li ottengo? inizialmente i primi certificati che feci erano cert.ert e key.key, poi con uomoukko ho fatto i certificati cert.pem e key.pem... come faccio questi ultimi certificati?

[dragonx]

piccolo o.t.: come compilo tchexploit presente qui https://github.com/BoLaMN/tch-exploit su linux x86 (o su windows però che l'eseguibile sia in grado di funzionare su linux x86)?

[uomoukko]

Veramente la compilazione serve a pacchettizzare tutto il programma, ma
non si deve necessariamente compilare niente, perché tch-exploit contiene anche
i files nodejs per cui ti basta avere node nel sistema operativo
In caso affermativo si esegue index.js che si trova nella sottocartella dist.

Come faccio a verificare che node funzioni? Basta creare un testo di esempio: esempio.js

Codice: [Seleziona]

#!/usr/bin/node
console.log("Salve, mondo\n");
e poi eseguirlo con
$ node esempio.js (o a seconda dei settaggi $ node ./esempio.js)
Salve, mondo

oppure, se si vuole accorciare il comando,
grazie alla prima riga #!/usr/bin/node (e l'eseguibilità chmod u+x esempio.js),
$ esempio.js    (o anche $ ./esempio.js)
Salve, mondo

Adesso scrivo un esempio più interessante che apre
un server https alla port 8443 lo chiamo server.js

Codice: [Seleziona]

#!/usr/bin/node

const myhttps = require('https');
const myfs = require('fs');

const opzioni = {
   key: myfs.readFileSync('key.pem'),
  cert: myfs.readFileSync('cert.pem')
};

function sfunz(req, res) {
  res.writeHead(200);
  res.end('hello world\n');
}

myhttps.createServer(opzioni,sfunz).listen(8443);
key.pem e cert.pem vanno messi nella cartella corrente e il server parte con
$ server.js (non visualizza niente, è normale)

per testarlo, in un'altra finestra
$ openssl s_client -connect localhost:8443
GET / HTTP/1.0 (due volte invio)
hello world

o ancora, usando curl
$ curl -k https://localhost:8443
hello world

... tante belle parole ma non sono ancora riuscito a sbloccare il modem

[dragonx]

@uomoukko
Grazie della risposta, ma ho optato per un altra soluzione (purtroppo peggiore): ovvero creare una macchina virtuale su windows 10 64 bit con linux ubuntu x64 (con vmware non mi vedeva proprio l'adattatore usb ethernet, co virtualbox invece linux mi vede l'adattatore usb ma non mi fa selezionare la connessione ethernet...appare ma è disabilitata)

comunque vedendo il tuo codice del post precedete i file key.pem e cert.pem non vanno bene, devono essere fullchain e privkey... per maggiori informazioni a riguardo @imdadadani dovrebbe saperti dirti meglio