IlPuntoTecnico
Hardware e Software => Connessioni ADSL/VDSL/FTTC => Topic aperto da: Combine - 23 Marzo 2019, 18:19
-
Buonasera amici, avrei una domanda da porvi.
Generalmente con i vecchi firmware per le DGA4131 funzionava il seguente comando per abilitare GUI da remoto ed accedervi.
# iptables -A INPUTWAN -p tcp --dport 80 -j ACCEPT
Cosicché digitando nella barra URL http://xxx.xxx.xxx.xxx (ip di management della cpe) era possibile trovarsi davanti la GUI della Cpe del cliente per assisterlo al meglio.
Con gli altri technicolor è ancora possibilissimo farlo (tramite altri comandi) ma con questa UCPE non più.
E' probabile che lo stesso vendor abbia disabilitato l'accesso WAN?
Siete a conoscenza di qualche comando simile o aggiornato per risolvere il problema?
Grazie.
-
Purtroppo conosco già la risposta, ovvero un blocco da parte del vendor, ma mi chiedevo se ci fosse un comando differente anche per arginarlo dato che noi accediamo come "super-root" diciamo.
Attendo anch'io lumi, santi e madonne :rotfl:
-
io utilizzavo questa stupida regola nel file /etc/config/firewall
config redirect
option src 'wan'
option dest_ip '192.168.1.1'
option src_dport '8888'
option dest 'lan'
option dest_port '80'
option proto 'tcp'ovviamente poi era in listening sulla 8888, comunque puoi anche semplicemente attivare l'assistenza remota che almeno si mette anche https di default
(quasi sicuramente nello stesso file troverai la regola che ti blocca la 80)
-
@FrancYescO grazie per la risposta, io utilizzavo direttamente
/etc/init.d/firewall stop
In tal modo accedevo nella GUI del cliente rapidamente (mi pare che la sessione scada dopo 30 minuti)
e successivamente lo riabilitavo.
Ma con la nuova release di OpenWRT Cyan (o la precedente Jade) tali comandi non fungono più.
Proverò con quel comando ma credo che non funzionerà, grazie per ora.
Mi pare che di default la porta delle UCPE invece sia 80 o 8080, o 223 non ricordo ora di preciso.
Qualche altra idea?
-
quella regola rediretta la porta wan 8888 alla 80 che e' la default, (quindi per accedere dovrai fare http://xxx.xxx.xxx.xxx:8888) l'ho usata senza problemi anche su 4131, ovviamente se non si usa ip 192.168.1.1 per la cpe bisogna cambiare di conseguenza
-
Di questo ne sono a conoscenza, se ad esempio la porta è la 8888 allora per accedere tramite WAN si usa l'ip di management (deve essere pubblico statico) e dunque la stringa completa ad esempio sarà:
http://2.230.57.594:8888
Proverò il codice e ti farò sapere, ma se il vendor stesso ha bloccato l'accesso WAN a meno che non lo sblocchi il cliente come root sarà impossibile accedervi, a prescindere dalla correttezza dei comandi, o sbaglio?
-
non e' messo alcun blocco su base interfaccia o almeno non sui technicolor che io sappia, anche se in effetti c'e un'altra questione, io avevo messo fin da subito la GUI moddata rimpiazzando quella fastweb che usa cgi
-
@FrancYescO Probabilmente quelli di Fastweb si riferivano agli Askey senza Openwrt.
Io accedendo da remoto dunque come raggiungo il file firewall? Entrando come root e scrivendo il tuo codice?
Pardon ma questo linguaggio non lo conosco molto, anzi, se mi dicessi dove hai imparato te ne sarei grato.
In pratica mi loggo tramite puTTY come sshlanadmin@ipmanagement, inserisco user e password e sono già dentro come root, dunque i privilegi SU li ho.
-
Quelli non sono comandi ma un pezzo da inserire nel file /etc/config/firewall (volendo anche con winscp) ovviamente per technicolor, l'askey lo conosco poco
Quello abilita l'interfaccia web su, WAN non saprei se anche dall'IP di classe 10 ma direi di si
-
Appunto, l'avevo capito. E da remoto potrei fare questa operazione? Perché di default credo sia bloccato e di non poter fare nulla.
Non entrerei con un Ip di classe 10. (non funzionerebbe) ma solo se avente ip pubblico statico (dunque per esempio classe 2.)
-
Se accedi con ssh puoi anche usare WinSCP con protocollo scp per modificare il file in oggetto (o comunque puoi utilzzare i comandi uci da ssh per aggiungere quella regola)
piu' che altro mi sale un dubbio... tutti i clienti fastweb che hanno chiesto IP pubblico ora hanno il modem aperto in ssh sull'IP 2.x ?!
-
(o comunque puoi utilzzare i comandi uci da ssh per aggiungere quella regola)
Quali comandi dovrei usare? Lo usavo per cambiare canale e password del modem dei clienti, esempio:
uci set wireless.wl0_1.ssid='Combine_Guest'
Ma non saprei come adoperare uci come hai detto tu... :(
Per il resto le GUI dei clienti che non hanno la UCPE e possiedono l'ip pubblico statico di classe 2.x o 93.x sono accessibili da remoto tramite SSH mediante appositi comandi...
Da lavoro posso solo usare puTTY, quindi SSH CLI.
-
Quello che ti ho scritto sopra si tramuta in questi comandi SSH se non vuoi/puoi intervenire direttamente sui file di config
uci add firewall redirect
uci set firewall.@redirect[-1]=redirect
uci set firewall.@redirect[-1].src='wan'
uci set firewall.@redirect[-1].src_dport='8888'
uci set firewall.@redirect[-1].dest='lan'
uci set firewall.@redirect[-1].dest_port='80'
uci set firewall.@redirect[-1].proto='tcp'
uci set firewall.@redirect[-1].dest_ip='192.168.1.1'
ovviamente poi c'e bisogno di uci commit per far prendere le modifiche
non capisco poi perche' dovrebbe esserci un comportamento diverso per chi usa UCPE e chi no
-
@FrancYescO Grandissimo, grazie mille!
non capisco poi perche' dovrebbe esserci un comportamento diverso per chi usa UCPE e chi no
Perché gli altri hanno delle CLI per i propri firmware che sono una schifezza, con comandi che non richiedono assolutamente OpenWRT.
-
Allora guarda che alla fine e' piu' una questione di firmware che di dispositivo (vedi ad esempio i technicolor 789 o 788 per cui fastweb ha solo firmware con numero di versione <=10) poi ce ne sono anche di altri che hanno shell linux e volendo potrebbero avere anche uci ma non openwrt (vedi askey)
-
Bravo, anche i vecchi firmware xtream 35b avevano UCI, ora mi sembra non più, devo controllare.
Riguardo gli altri comandi ricordo la sintassi ma non a memoria al 100%, li reperisco e li scrivo.
Ma penso che servano più che altro a noi superuser che accediamo con tunnel VPN e abbiamo già accesso all'interfaccia SSH della CPE in questione (vecchi ADB e THCN non UCPE)
Non credo che da GUI stock si possa abilitare SSH.
Comunque potrebbero sempre servire.
-
@FrancYescO nulla, sugli xtream 35b entro come root e posso far tutto (lanadmin#) ma sulle UCPE entro come lanadmin> perciò niente root!
Il che è strano...
Per le UCPE DGA4131 entrando tramite telnet ipcpe tutto ok, ma se provo tramite ssh lanadmin@ipcpe si blocca, probabilmente è bloccata la porta 22 (e la 80 a questo punto).
Probabilmente il vendor stesso, come diceva un coordinatore Fastweb, ha bloccato il file config per far sì che l'accesso da wan sia disabilitato in root.
Ho addirittura provato WinSCP (se mi scoprono sono fregato ahaha) e niente da fare, non accedo (protocollo SCP, ip management, porta 22, user e pass lanadmin).
Per tutte le altre CPE Fastweb invece nessun problema, anzi:
Per tutti gli altri Tecnicolor Media Access i comandi per abilitare la Gui da remoto sono.
Telnet ipcpe
service system ifadd name='HTTP' group=wan
saveall
Per tutti gli altri ADB invece i comandi sono
telnet ip cpe
web ui
remote access
enable
save
Ovviamente questo richiede i privilegi di root e un ip di management o quantomeno un DDNS.
Cosa ne pensi riguardo la questione UCPE @FrancYescO ? A questo punto credo ci sia poco da fare.
Ho tentato anche a far permettere ogni connessione in entrata e in uscita con
Iptables -L all
Ma niente. Non accedo da remoto... neppure inserendo la porta in questione (dovrebbe essere la 80 o 8080)
Ma credo valga la stessa cosa... Il comando non essendo espletato da root non ottiene alcunché.
-
@-Mirco- Il fatto che noi del 2° livello non riusciamo ad accedere come root significa una sola cosa, file config bloccato.
Mi sa che da remoto non possiamo farci niente (per ora)....
Attendo una risposta di @FrancYescO, ma quel lanadmin> è già eloquente di suo...
-
Attualmente non mi vengono altre idee, anche perche' senza avere nulla sotto mano e' difficile.. forse su quei device il server web e' configurato per stare in ascolto solo sull'interfaccia LAN e senza un accesso root e' difficile da andare a toccare..
-
Già.. come ti ho detto è proprio bloccato dal vendor, come ha anche intuito Mirco... Pazienza.
Quei comandi però possono sicuramente risultare utili per i TG789 xream 35b. Grazie ;)
-
In realtà esiste un altro modello di UCPE dove invece abbiamo accesso alla shell con privilegi di Root, la UCPE Huawei DN8245F.
La shell in questione è in Dopra Linux e ci si arriva effettuando l'accesso da telnet prima e si ottiene l'accesso come WAP>
Digitando poi SU, si ottiene l'accesso come SU_WAP>, scrivendo poi il comando shell si accede a Dopra Linux come root ovver SU_WAP(Dopra Linux) #
In quel caso l'unico comando che mi permette di digitare è getcustominfo.sh
Gli altri trovati online non fungono.
Qualcuno conosce la shell in questione?
-
Sugli HG con FW non troppo datato, l'abiltazione SU avviene per altro su base "challenge"
https://www.ilpuntotecnico.com/forum/index.php/topic,80426.msg248811.html#msg248811
Comunque se la busybox è stata limitata in comandistica, da quel che ho visto in giro nessuno ha trovate soluzioni.
-
Io riesco già ad accedere tramite SU e alla Shell, non ne conosco i comandi.
La mia richiesta era un'altra. Accendo da root come poter abilitare la GUI da remoto almeno su suddetta CPE-
Riesco ad essere già dentro come SU_WAP(Dopra Linux) #
-
Io riesco già ad accedere tramite SU e alla Shell
Io sono solito leggere i messaggi cui rispondo: ho soltanto fatto un paragone a titolo informativo con altri apparati Huawei...
non ne conosco i comandi.
...ed ho aggiunto, per rimanere più in tema con la tua questione, che la comandistica sotto quella specifica shell busybox risulta limitata (nelle mie prove risultano appena pochi script del tutto inutili) e sulla base delle mie ricerche nessuno ha trovate soluzioni per ottenere un accesso più completo.
-
Io sono solito leggere i messaggi cui rispondo: ho soltanto fatto un paragone a titolo informativo con altri apparati Huawei...
Non è il mio caso.. Riguardo ai comandi sono più che d'accordo.
Gli Askey e i DGA4131 sono bloccati nel file config, al momento è impossibile accedere da remoto tramite root, se neanche il Tech Support riesce....
Mi informerò meglio.