Fibra

❓

Sacar claves PPPoE del router Sercomm FG824CD

Jamofer 10 octubre 2022 12:09 ✎ ⚑

⋮

He intentando sacar las claves del PPPoE y viendo el resto de hilos traté de hacerlo a través de hacer mirror a la interfaz ppp4 (la que corresponde con mi WAN de NEBA).

El tráfico que hay entre el ACS y mi router está cifrado al ir por HTTPS. He probado hacer un MiM poniendo como configuración inicial del TR069 un servidor tonto en mi PC que simplemente redirecciona las peticiones y caza cuando hace un SetParameterValues de la URL del ACS para mantenerlo a mi IP local.

Sin embargo no funciona como esperaba, no llega a recibir ningún SetParameterValues con la información necesaria para el provisionado del router. Solo veo los informs y el provisionamiento con el usuario/clave adecuados para loguearse al ACS.

¿A alguien se le ocurre alguna idea de cómo se podría sacar las claves del PPPoE con este router?

SOLUCIÓN

vukits 10 octubre 2022 13:16

⋮

hay un forero que lo consiguió.

He estado trasteando el FG824CD, vengo a decir que no hace…

Jamofer 10 octubre 2022 13:27

⋮

Me temo que es un caso distinto en el que el servidor de ACS será a través de HTTP sin cifrar. Veo la comunicación del ACS pero al estar cifrado no se puede obtener con qué valores se está provisionando el router.

He probado poner otros servidores que he ido viendo por el foro que son HTTP en la configuración de TR069 pero finalmente éstos les mandaba por el SetParameterValues el nuevo servidor de ACS que funciona con HTTPS, haciendo que el resto de trazas no se puedan ver.

✖

vukits 10 octubre 2022 13:37

⋮

Intentalo por la vía administrativa

Por ley, Lowi parecen obligados a facilitarte las credenciales PPPoE.

De momento, pon el FG824CD en modo bridge, y acoplale un router neutro…

PD: si Lowi se ponen farrucos, reclama ante SETSI, enriqueciendo tu reclamación con los antecedentes del primer enlace

Jamofer 10 octubre 2022 13:43

⋮

En este caso es Finetwork, he tratado de solicitar los datos a través de atención al cliente por teléfono y correo pero se han negado. Sé que debería esperarme al menos 3 meses pero abrí una reclamación por si acaso suena la flauta.

Muchas gracias por la sugerencia!

✖

vukits 10 octubre 2022 13:46

⋮

no entiendo.

¿el router es de Lowi o de Finetwork?

y correo pero se han negado.

si tienes copia de esta negativa, ya está tardando en reclamar ante SETSI (tal como te dije arriba)

✖

Jamofer 10 octubre 2022 13:48

⋮

Es de Finetwork. No entiendo por qué pone Lowi, juraría haberlo publicado en el foro de Finetwork (tampoco puse en el asunto nada de Lowi). Añadí a la reclamación la negativa que recibí por correo de Finetwork.

✖

vukits 10 octubre 2022 13:50

⋮

Añadí a la reclamación la negativa que recibí por correo de Finetwork.

bueno, pues ya nos contarás cuando se haya resuelto el tema

entiendo por qué pone Lowi, juraría haberlo publicado en el foro de Finetwork (tampoco puse en el asunto nada de Lowi)

Por qué reescribimos los títulos de los hilos y borramos algunos

✖

Jamofer 10 octubre 2022 13:52

⋮

Jamofer 11 octubre 2022 07:21

⋮

Despues de probar un montón de historias (incluso llegando a habilitar el SSH al principio sin provisionar inyectando SetParameterValues GetParameterNames GetPameterValues por TR069) he descubierto un fallo bastante random y que sin resetear el router estando ya provisionado se pueden obtener las credenciales del PPPoE.

Requerido

Servidor de DNS
Servidor HTTPS con certificado autofirmado

Para el servidor DNS he usado bind9 y para el servidor HTTPS flask sobre python usando el argumento de ssl_context='adhoc'.

Procedimiento

Teniendo en cuenta que tu PC está por LAN en la 192.168.0.10:

Montar un servidor de DNS escuchando en la IP 192.168.0.10.
Crear una regla en el servidor DNS para que acssec.fnet.gb.vodafone.es resuelva a tu IP 192.168.0.10
Crear un servidor HTTPS con certificado autofirmado escuchando en https://192.168.0.10:6061 (El mismo puerto que tiene configurado el TR069)
Cambiar en el WAN que la DNS sea la IP de tu PC con tu servidor de DNS (usad el truco de javascript para ser admin con el usuario sercomm).

En cuanto se conecte se quedará la web del router colgada, esperas un rato así y quitas el cable de la fibra, pasado unos segundos volverá a estar disponible la web del router.

Dentro de "Estado y Soporte" -> "Unidad de Diagnóstico" -> "App Debug crash logs" veremos que ha salido un nuevo crash, nos lo bajamos y dentro del fichero buscamos el usuario de PPPOE que se obtiene en la web del router y justo al lado después de donde pone Password se encuentra la contraseña sin cifrar. El fichero tiene mezclado texto plano con binario, en principio valdría cualquier editor de texto.

Corregiré el post y añadiré información de cómo realizar los pasos más tarde, quizás mañana con calma.

✖

vukits 11 octubre 2022 10:06

⋮

¡ostras!

qué buena pinta.

gracias

Crear una regla en el servidor DNS para que acssec.fnet.gb.vodafone.es resuelva a tu IP 192.168.0.10

¡corcholis! y yo comiendome la cabeza de cómo usar servidores propios… ¡claro! ¡se colocan en red local! … ainss. eso me pasa por no haber atendido más en clase :P

✖

Jamofer 16 octubre 2022 19:06

⋮

¡De nada! Fue completa casualidad jajajajaja.

Se me olvidó indicar que en la pestaña de Servicios hay que habilitar que el TR069 se permita el tráfico por LAN. Podría hacer un post aparte para indicar qué parametros fui cotilleando y cuáles se pueden modificar del TR069. Creo que a través del SSH, aunque no permita habilitar la shell, la terminal tonta que tiene te permite hacer comandos como iptables ifconfig brctl,. Seguramente con esos comandos se pueda hacer el bridge sin necesidad de comprar una ONT pero no estoy seguro.

Lo hice basandome en la web de aquí: acampos.net/2021/04/router-sercomm-fg824cd-v.html

Eso sí, los paths de los parámetros son distintos a los que sale en el blog. Y también hacer un GetParameterValues de contraseñas te lo da como en la web, cifrados.

ValaV 16 octubre 2022 14:40

⋮

Puedo confirmar que funciona este método.

En mi caso use DNSMaq en ubuntu (mas sencillo de configurar) para redirigir la peticion a mi PC principal donde tenia una mini app autofirmada en dotnet escuchando en el 6060, y 6061, en mi caso, Finetwork, parece que usa ese puerto, la opcion de flask deberia valer bien ya que la peticion no llega, se cancela a nivel ssl.

En mi caso aparecio en la linea 294 del crash, la web del router no se llego a congelar nunca.

Muchisimas gracias a Jamofer por la idea!

✖

Jamofer 16 octubre 2022 19:00

⋮

Así es, me pasó igual. No llegaba la petición al servidor, seguramente al validar el certificado autofirmado no se la espera que no conozca el CA. O que directamente al no tener CA pete.

En mi caso iba a usar DNSmasq pero como no me esperaba para nada este fallo y quería hacer el proxy al servidor de verdad, usé bind9 en vez de ponerlo en otro servidor a la hora de editar el archivo /etc/hosts.

En mi caso aparecio en la linea 294 del crash, la web del router no se llego a congelar nunca.

Gracias por indicar sobre qué linea puede aparecer. Y que bien que no se te bloqueara la página, mucho más cómodo entonces.

diecxz 24 octubre 2022 19:03

⋮

Hola! gracias por compartir el descubrimiento! En mi caso, he accedido con el truco de ser admin desde el inspector de código, pero las opciones que tengo para activar el TR69 en LAN accedo desde Configuracion / Control de acceso / TR69 encendido (WAN _ solo desde red de gestión) / (LAN _ denegar).

Si cambio el denegar de LAN a permitir, al darle a aplicar veo en la consola del inspector de la web un error POST _ ERR_EMPTY_RESPONSE

Me da que mi router (HW 2 pone detrás) es diferente al vuestro (posiblemente HW 1¿?)

Alguna sugerencia? Gracias!

✖

apocalypse 24 octubre 2022 20:20

⋮

No, es el mismo. Los de VF y Enabler son el HW2.

Hardware Type & Version

FG824CD SCOMFG824CDv2

✖

diecxz 25 octubre 2022 11:40

⋮

ok, lo digo porque veo que hay 2 routers diferentes, pero con el mismo modelo y creo que hay un poco de confusión en los tutoriales, si se refieren a uno u otro:

Nuevo router Sercomm FG824CD con ONT integrada para FTTH NEBA (el que yo tengo)

Sercomm FG824CD: Nuevo router con ONT integrada en pruebas piloto con fibra NEBA de MásMóvil (el otro modelo) este parece más moderno

✖

apocalypse 25 octubre 2022 13:59

⋮

Jamofer 27 octubre 2022 07:54

⋮

Tan solo puedes hacer eso cuando está reseteado de fábrica entrando como admin. Si vas en los logs verás que esos empty responses se traducen en falta de permisos.

✖

Xiph 10 marzo 2023 19:40

⋮

He probado a resetearlo de fábrica y sigue sin dejarme guardar el ajuste de TR069 a activo desde la LAN

En el Syslog tengo esto

Cuando dices que hay que entrar como admin, es con el usuario "admin"? yo estoy entrando con el usuario "Vodafone" y haciendo el truco del cambiar el value del desplegable a ="admin".

Versión Firmware:FG824CD3114

Edit: Me respondo a mi mismo: hay que desconectar la fibra, resetear el router de fábrica, y con la fibra todavía desconectada iniciar sesión con el usuario "admin" y contraseña "VF-ESFG824CD", ahí se puede activar TR069 via LAN. @diecxz quizás este es el problema que tenías.

Mañana intentaré a configurar el servidor DNS etc

Edit2: Al final no he necesitado hacer lo de las DNS etc, estuve trasteando un rato en las configuraciones de WAN etc, y después descargué el app Log de la sección Debug logs, ahora revisandolo veo que está la contraseña

✖

Xiph 13 marzo 2023 10:58

⋮

✖

ag3r 11 mayo 2023 09:30

⋮

✖

Xiph 11 mayo 2023 10:06

⋮

Jmg86 19 febrero 2024 23:01

⋮

Uper33 13 noviembre 2022 14:54

⋮

Un tutorial de como montar los servidores DNS y https seria mucho pedir? me he montado una maquina virtual con Linux para probar pero mis conocimientos son bastante limitados y no he conseguido nada

Peju510 13 febrero 2023 23:24

⋮

Buenas gracias por el tutorial yo he podido hacerlo usado NAMO como DNS server en macOS y corriendo un http server tonto con Flask en el puerto 6061 usando TLS. Ya tengo las claves PPPoE ahora mi pregunta es si hay un método de obtener el GPON o los datos VoIP sin una ONT Nokia y un H500s. Saludos y gracias de nuevo.

✖

Peju510 14 febrero 2023 18:12

⋮

Me autorespodo por si alguien estaba perdido al igual que yo para que se aclare. Una vez conseguido el PPPoE hay que volver a entrar como admin a la página de administración del FG824CD, para ello se puede utilizar el truco de modificar el HTML en el <input> o tocar JS, concretamente el archivo mainFunction.js ~70L y jugar con el debugger de JS para cambiar los parámetros de la sesión. Una vez dentro como admin teneis que ir a Estado y Soporte > Utilidad de Diagnóstico > GPON Debug y descargar el ddb, una vez descargado haceis un cat y lo pipeais para hacer un grep "PASSWD" y ya lo teneis luego solo queda pasarlo a hexadecimal y ya estaría.

✖

Jamofer 20 febrero 2023 14:28

⋮

¡Buenas! Gracias por la información. No se podía sacar directamente del formulario de la web con el truco de ser admin? La verdad es que no recuerdo en qué sitio estaba la configuración del GPON pero en mi caso si estaba en plano.

De todas formas mucho mejor tener alternativas :)

apocalypse 24 octubre 2022 19:01 ✎

⋮

Efectivamente parece que VF ha habilitado https en su servidor ACS, y ha implementado la nueva URL en los últimos firmwares. Ayer probé con un Sercomm Vox 2.5 que se encontraba en el firmware v3.2.07, aún con la URL en http. Pude capturar todos los datos sin problemas, el ACS no le encasquetó la nueva URL en https. Actualicé el firmware a la v3.6.14 (la última obtenida de sus servidores) y la URL viene ya en https, como en mi FG824CD con firmware 3114v8. Lo que se me olvidó es probar a cambiarla por la http y ver si la mantenía.

Las URL en http son:

http://main.vf-acs.iservicesmail.com:8081/cwmpWeb/WGCPEMgt

Con el hostname nuevo: http://acssec.fnet.gb.vodafone.es:8081/cwmpWeb/WGCPEMgt

Y en https:

https://acssec.fnet.gb.vodafone.es:6060/cwmpWeb/CPEMgt

O con el hostname antiguo: https://main.vf-acs.iservicesmail.com:6060/cwmpWeb/CPEMgt

En realidad main.vf-acs.iservicesmail.com y acssec.fnet.gb.vodafone.es resuelven a la misma IP, que no quiere decir que tengan que ofrecer el mismo servicio/web, pero en este caso sí. El puerto 6060 puede ser sustituido por el 6061.

No se si mantendrá la URL http si no se cambia el hostname, tan solo sustituyendo https por http y 6060/6061 por 8081, pero se puede probar.

Al final en VF nos lo están poniendo un poco más difícil para sacar los datos. A los que compran un H500-s mucho ojo porque como venga con un firm de los últimos, irá en https. Quizás un downgrade sea la clave, a mi no se me actualizó el Vox 2.5 por TR069 al capturar los datos.

✖

Jamofer 27 octubre 2022 08:02

⋮

Hice varias pruebas y al final terminaba recibiendo un SetParameterValues para cambiar el link del ACS con el servidor de HTTPS.

Sykboy88 20 febrero 2023 23:54

⋮

Hola, a ver si me podeis echar una mano, he comprado un sercomm H500 ya que como explicais aqui de sarcar los datos PPPoE no tengo ni idea ya que no se nada de servidores DNS, si que le he podido sacar el PLOAM al fg824 lo que me sucede es que el h500 no levanta internet, he reseteado he hecho de todo y no hay manera, tengo una red con varios repetidores que para lo unico que me sirven es de florero,