[dragonx]

puoi spiegare più dettagliatamente la strada Azure? come aggiungo l'option con l'url dell'acs ai parametri del dhcp server? di regola non devo cambiare il dns in modo che cerca di connettersi ai server telecom e invece lo reindirizzo su azure?

@LuKePicci

puoi rispondermi? lo so che sono un pò scarso però ti chiedo un pò di pazienza

[LuKePicci]

La option con l'url la aggiungi seguendo le istruzioni del server dhcp che intendi utilizzare, quindi prima di potertele indicare devi scegliere. Non devi fare nulla di strano in termini di DNS perchè il technicolor non andrà a connettersi ai server telecom ma all'URL che indicherai, e che dovrà essere risolto correttamente.

@FrancYescO ti suggerirei di mettere un attimo da parte la generazione del certificato, fallo fare a certbot e metti le chiavi come parametri di https.createServer (o chi per esso).

[FrancYescO]

ad ora già si può fare... la flag --https legge i file key.key e cert.cert che sono nella stessa folder

[LuKePicci]

E così funziona? Intendo, se lo navighi da browser o curl su pc ti da errori https o no?

Poi c'è anche da verificare questa pagina, sia per la questione CA che per la versione OpenSSL: https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/

[LuKePicci]

Nel caso oltre LE ci sono altri provider con protocollo ACME per certificati gratuiti che magari non hanno problemi con la vecchia openssl e che comunque sono tra le CA del firmware

es: https://www.ssl.com/it/guida/ssl-tls-emissione-e-revoca-del-certificato-con-acme/

[dragonx]

Nel caso oltre LE ci sono altri provider con protocollo ACME per certificati gratuiti che magari non hanno problemi con la vecchia openssl e che comunque sono tra le CA del firmware

es: https://www.ssl.com/it/guida/ssl-tls-emissione-e-revoca-del-certificato-con-acme/

quali sono gli altri provider?

[FrancYescO]

Ne curl, ne browser danno problemi con i certificati generati da quell'accrocchio, mi son accorto di quelle stranezze solo con openssl s_client -connect.

Per provare direttamente sul modem mi servirebbe implementare anche il server NTP, altrimenti il certificato comunque risulta issued nel futuro e (giustamente) non credo non gli vada giù.

sto provando con il primo pescato dal cilindro, ma: https://github.com/luk3skyw4lker/node-ntp-sync/issues/10

La questione della chain/scadenza certificato descritta in quel link è proprio quello che stavo accennando prima.. e nello specifico:

In OpenSSL 1.0.x, a quirk in certificate verification means that even clients that trust ISRG Root X1 will fail when presented with the Android-compatible certificate chain we are recommending by default

Per gli altri provider direi che devono essere sia ACME che con verifica dns-01, altrimenti tantovale generarselo a mano il certificato..

[LuKePicci]

Il provider ACME che ho citato come esempio supporta anche DNS-01

La question dell'NTP è essenziale poichè in config/cwmpd "option ssl_datecheck '1', però le prove falle tranquillamente su un 4130/2 pre-rootato impostando a mano la data da shell prima di collegarlo a tch-exploit

[dragonx]

Il provider ACME che ho citato come esempio supporta anche DNS-01

La question dell'NTP è essenziale poichè in config/cwmpd "option ssl_datecheck '1', però le prove falle tranquillamente su un 4130/2 pre-rootato impostando a mano la data da shell prima di collegarlo a tch-exploit

sul sito di certbot sta scritto che per essere usato ci dev'essere un server online, ma non si può usare solo per fare i 2 file del certificato ? la data va impostata indietro ?

@lorenzocanalelc potresti dirmi quale firmware avevi in uso quando hai fatto il root ?

Ieri ho fatto il bridge sul DGA4130 tra le prime 2 porte Ethernet, portatile con tch-exploit collegato alla porta 1 (eth0 nel file network) e DGA4331 collegato alla porta 2 (eth1.83 nel file/etc/network ) ... sulla console, dopo aver lanciato tch, non compaiono neanche le query. Oltre al certificato ho comunque il problema della vlan sulla porta 83 che non ne vuole sapere di andare (provato sul portatile 1 con Windows, sull'altro portatile con Ubuntu e sul DGA4130 modificando il file/etc/network), quindi penso che sia un problema di firmware

[lorenzocanalelc]

Fatto ieri l’ultima volta sul firmware 1.1.1, comunque il server DHCP con la configurazione che stai usando lo devi fare nel DGA4130, non con tch-exploit

[dragonx]

Fatto ieri l’ultima volta sul firmware 1.1.1, comunque il server DHCP con la configurazione che stai usando lo devi fare nel DGA4130, non con tch-exploit

quindi a te la vlan del dga4331 va?

io sul dga4130, come suggerito da @FrancYescO  , ho fatto queste modifiche nel file /etc/config/network
aggiunto
config interface 'lanbridgevlan'
    option ifname 'eth0 eth1.83'
    option type 'bridge'

e tolto eth0 ed eth1 da
config interface 'lan'
    option ifname 'eth0 eth1 eth2 eth3'
    option type 'bridge'

se hai un altro router dove le interfacce si configurano allo stesso modo puoi provare?

come lo faccio il server dhcp sul 4130?

con tch lancio

tch.exe --acsurl="https://xxxxxx.duckdns.org" --https --dnsserver --ip="192.168.2.1"

dopo aver ovviamente aggiornato l' ip su duckdns e con i file del certificato nella stessa directory

[dragonx]

Ho fatto il downgrade al firmware 1.0.1 e ho notato 2 cose nuove:
1. quando collego wan dga4331 ethernet portatile con vlan83 appaiono ### MESSAGE {"op":1,"htype":1,"hlen":6,"hops":0,"xid":2531991 ....., >>> DISCOVER, <<< OFFER, ### MESSAGE, >>> REQUEST, ### BOUND
2. la ethernet non si spegne più come accadeva prima

la domanda è: continua a non funzionare come si deve il dga4331 oppure bisogna modificare tch-exploit?

[dragonx]

ho provato ad eseguire la strada che porta al link azure di @lorenzocanalelc ma non ci sono riuscito, o meglio, sulla console compaiono solo le query che il dga4331 prova a fare. Ho svolto le seguenti operazioni

1. assegnato 192.168.2.1 alla porta ethernet con vlan 83.
2. connesso la wan del dga alla ethernet e spento il wifi.
3. eseguito tch exploit tch-exploit-win.exe --acsurl="https://<<indirizzo lorenzo>>.azurewebsites.net/cwmpWeb/acs" --ip="192.168.2.1" --dhcponly
4. alla prima query attivato il tethering usb dello smartphone e tasto destro sulla interfaccia uscita sul pannello di controllo, condivisione connessione con la ethernet, cambio ip alla ethernet in 192.168.42.90 (l'ip della nuova interfaccia ha ip 192.168.42.87, non posso dare lo stesso ip alla ethernet)
5. non succede niente su console, arrivano soltanto query e basta ed il led lampeggia solo quando vengono inviate le query e non in maniera costante

cosa sbaglio? per favore aiutatemi altrimenti butto sto router che mi ha stancato

p.s. : su windows devo solo condividere la connessione dell'interfaccia che appare quando attivo il tethering oppure devo selezionare la porta ethernet e l'interfaccia e fare tasto dx -> connessione con bridging? e per fare il bridge è meglio usare il metodo della selezione delle 2 interfacce oppure è meglio usare il driver tap di openvpn?

p.s. 2: i comandi qui
https://hack-technicolor.readthedocs.io/en/latest/Upgrade/
dove vanno inseriti? mi devo connettere con winscp o putty(ssh) al dga4331? che ip porta,user e pass devo mettere?

p.s. 3: @lorenzocanalelc puoi controllare che lo script su azurre sia ancora funzionante?

[uomoukko]

Purtroppo al momento mi trovo fuori Italia, ho portato il 4331 con me, ma al momento ho una connessione NAT
straniera e senza IP pubblico, quindi mi sa che dovrò abbandonare le prove almeno finche non rientrerò.
Io ero riuscito a far dialogare il modem con il pc tramite scheda usb VLAN 83, avevo creato il certificato con let's encrypt
che era stato accettato e ancora lo uso per il mio server nginx, ma per il rootare dga4331 mi ero bloccato
sulla parte finale del programma tch e allora avevo iniziato a studiare il SOAP il nodejs e il protocollo TR-069
per costruirmi un programma fatto apposta.
Secondo voi sbloccare questo modem senza doverlo mettere su internet è fattibile?
Nella condizione in cui sono ora purtroppo è l'unica alternativa che ho!
Possibile che non ci siano altri exploit o buffer overflow da sfruttare?

[dragonx]

@uomoukko

che strada hai scelto, quella di usare lo script docker su Azure o quella di fare tutto in tch ed usare il tch-exploit di francyesco? la seconda dovrebbe essere più semplice in virtù del fatto che non hai bisogno di fare il bridge, se poi ti prende il certificato let's encrypt sei a buon punto... che firmware hai? Hai spostato la data ?
il certificato tuo consiste nei 2 file uno con estensione cert e l'altro key?

Nel caso oltre LE ci sono altri provider con protocollo ACME per certificati gratuiti che magari non hanno problemi con la vecchia openssl e che comunque sono tra le CA del firmware

es: https://www.ssl.com/it/guida/ssl-tls-emissione-e-revoca-del-certificato-con-acme/

ho provato a seguire la guida ma non va

Please deploy a DNS TXT record under the name:

_acme-challenge.duckdns.org.

with the following value:

xxxx

Before continuing, verify the TXT record has been deployed. Depending on the DNS
provider, this may take some time, from a few seconds to multiple minutes. You can
check if it has finished deploying with aid of online tools, such as the Google
Admin Toolbox: https://toolbox.googleapps.com/apps/dig/#TXT/_acme-challenge.duckdns.org.
Look for one or more bolded line(s) below the line ';ANSWER'. It should show the
value(s) you've just added.

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Press Enter to Continue
An unexpected error occurred:
Response received didn't match the challenge's requirements :: Response received didn't match the challenge's requirements. If you need assistance, please contact [email protected]
Ask for help or search for solutions at https://community.letsencrypt.org. See the logfile C:\Certbot\log\letsencrypt.log or re-run Certbot with -v for more details.

dopo aver aggiunto la stringa xxxx + _acme-challenge su duckdns.org , aspettato e fatto la query TXT su https://www.whatsmydns.net/ , certbot dice che ci sono degli errori quando invia una post a https://acme.ssl.com/ejbca/acme/sslcom-dv-rsa/acct/ ... "Response received didn't match the challenge's requirements. If you need assistance, please contact [email protected]" (su https://www.whatsmydns.net dopo aver eseguito la query accanto ai server rimane la x rossa ma cliccandoci sopra la x appare cmq lo stesso nome in ingresso sotto ;ANSWER)