Como restaurar acessos RootUser e permissões num router TG784n (10.2.1.L)

  • 20 Março 2015
  • 302 respostas
  • 59846 visualizações


Mostrar a primeira mensagem

302 respostas

? era isso mesmo que queria evitar, ter 2 redes distintas é aquilo que tenho à anos por não conseguir fazer uma conjugação de ambas as redes.


 


Para identificar como gateway o equipamento vodafone seria uma grande complicação, são inumeros dispositivos, ia perder horas e horas e alem que nao seria de todo a solução que quero, já tinha pensado nisso, e era uma das coisas que queria evitar. 


seria tão mais facil se fosse possivel alterar o gateway nas box's assim era simples.


 


Uma vez que não me parece possivel ir pelo caminho que queria, será possivel bloquear todos os mac's com excepção dos das box's? qualquer coisa que me permita ter uma rede integral e com tudo a funcionar em todo o lado.


 


Não sou nenhum mega expert em redes, mas tenho alguns conhecimentos, mas confeso que nunca me vi numa que me matasse tanto a cabeça sem grandes resultados.


 
Reputação 5
?


 


Nesse caso, usando no router MEO, a lease personalizada como indica o ?, no seu ultimo post, deve ser o bastante . Não é necessário bloquear MAC's. Poderá só haver um pequeno contra-tempo, se por alguma razão necessitar de desligar da corrente, o roiuter MEO, é  possivel que a lease seja removida e terá de a configurar de novo.


 


Atentamente,
Reputação 3
Pois, aqui na questão que o ? coloca sobre o lease ir à vida após o reinicio ou ligar/desligar do router, é uma possibilidade, mas à partida o parâmetro expirytime=0 deverá proteger contra isso mesmo, mantendo o lease durante tempo "infinito" mesmo após reiniciar. Não há como testar, claro. 😃
Para já está a funcionar, so falta mesmo testar isso do reboot do router, sem assim for é chato, pois em caso de falha de energia fico na mesma. Mas de qualquer modo é bem melhor que simplesmente não funcionar.


 


Agradeço a ajuda e dps de testar tudo coloco aqui feedback 


 


Abraço 
Reputação 5
?


 


Aqui está a linha de comando dada pelo ?, revista com a adição de mais 2 paranetros que ajudam á permanencia da configuração da lease, para a box TV:


 


code:
:dhcp server lease add clientid=en:de:re:co:ma:cc:00 pool=LAN_private addr=192.168.1.69 gateway=192.168.1.254 macaddr=en:de:re:co:ma:cc:00 lifetime=0 leasetime=0 allocation=manual
saveall
:system reboot

 


Atentamente,
Reputação 3
? Penso que os parâmetros lifetime e allocation apenas existem no v3.


Mesmo asism pode adicionar leasetime=0, não sei que leasetime ele atribui quando não se define nada.
Reputação 5
ner0 escreveu:

Pois, aqui na questão que o @NeoPT coloca sobre o lease ir à vida após o reinicio ou ligar/desligar do router, é uma possibilidade, mas à partida o parâmetro expirytime=0 deverá proteger contra isso mesmo, mantendo o lease durante tempo "infinito" mesmo após reiniciar. Não há como testar, claro. :D



 


Confirmo aqui, pelo menos nos routers TG799vn com 10.2.1.D e TG784n V3 com 10.2.1.L, se o dispositivo da  rede não estiver ligado aquando do arranque do sistema. È chato e estupido que o router não guarde esta conifguração permanentemente, sem falha ( os meus Asus WL todos guardam) mas, é como o firnware trabalha e o que temos.


 


Atenção: o parametro correcto deverá ser leasetime=0, pelo menos a partir da versão 10.2.1.D


 


Atentamente,
Para já o reboot não afeta nada o sistema, amanha testo desligando as box's


 


Tenho é aparentemente outro problema, não é sempre, mas acontece que a ligação fica estremamente lenta, principalmente em dispositivos moveis, não sei o pk, e acontece so passado algum tempo de estar tudo ligado. parece até que estou a usar uma ligaçao por satelite onde o upload tem um desfazamento gigante do down. mas isso vou testando entre hoje e amanha


 
Reputação 2
Saudações a todos,

 

Durante 5 anos, com acesso de root ao meu velhinho Thomson TG784n, ligação de fibra, tudo funcionou maravilhosamente bem.

...no entanto, duas semanas atrás, um belo domingo, 3 da madrugada, estava eu a configurar uma solução VM-SPHERE para um FUJITSU PRIMERGY RX300 S6, que só por acaso tinha de ser entregue no dia seguinte... e a net...kaputz!

Lembrei-me logo dos maravilhosos "updates" não comunicados que a meo resolve fazer, e pensei, não... agora não, já tou "way behind on the deadline!" (agora em português, já estou muitissimo atrasado para levar com isto), e decido aguardar...

...aguardo 10min, 20min, 30min, ("auto-mutilo-me" por nunca ter desligado o CWMP, na esperança de revisões / correcções / melhorias de firmware), e o power led continua "AMBAR" intermitente e o ethernet led fixo, (sinal de update em curso!), penso cá para os meus botões...isto não é normal, não costuma demorar tanto, bom, só me resta uma solução: desligar e ligar ( e fazer figas! ), na pior das hipoteses faço um restore do meu "user.ini" que já tem mais que muitas afinações implementadas ao longo de todos estes anos...

...e a desgraça bate-me na porta! morreu! :Sups! tá morto! népia!

Ligo para os senhores da MEO que prontamente me dizem o que eu já sabia, fim da linha para o velhinho...THOMSON, amanhã estamos aí para lhe substituir o equipamento!

E estiveram... agora começa a saga e o motivo deste post...

 

Recebi uma bela prenda, Technicolor TG784n v3, mas... com o firmware 10.2.1.O ! :@

Segui os passos descritos neste post ao pormenor, a data de fabrico deste equipamento é de Julho/2015, o passive firmware é também o 10.2.1.O.

O reset ao router, em modo OFFLINE permite-me a entrada como "sumeo" e a pass mantém-se "bfd,10ng", consigo activar o remoteaccess, noutro equipamento com acesso 4G preparo o URL para o RA e...

...simplesmente não há tempo de reacção que nos valha quando ligamos o cabo do ONT, a primeira coisa que o menino faz é ligar ao ACS e estragar tudo novamente!

 

Só consegui travar o menino usando um ACTIVE SWITCH, com filtros a bloquear todo o trafego com o ACS.

Acedi com o "Debug" e a password aleatória do TechnicalSupport, fui para os "users" todo afiado, como o privilégio de "RootUser" já não existe, adicionei o privilégio "root" na consola JAVA e... "Could not set new role for user: god (wrong privileges)".

Já tentei por TELNET, criei um ROLE com privilégio anyaccess/anyservice, e consigo tudo, menos associar/criar um USER com esse ROLE.

 

Entretanto toda a ajuda é bem vinda, um forte abraço a todos, especialmente aos que lutam para que a INTERNET CONTINUE "LIVRE", sem restrições dos ISPs para DNS e equipamentos, o que é altamente redutor e nos traz á memória os tempos do "LÁPIS AZUL", com a diferença de este ser um serviço pago e bem pago!

 

As minhas sinceras desculpas pelo testamento, continuarei com a saga e colocarei aqui o desenvolvimento.

Até breve.

 
Que jogo do gato e do rato... esse firmware deve ser novo, mas quando será que a PT deixa de fazer destas mer...??? Aianda não perceberam que quem manda nas nossas redes somos nós? Isto revolta-me, a sério, eu sei o que tenho passado devido as limitações da PT e da parvoíce de nos obrigar a usar Thompson's em prol do facilitismo deles, seria tão mais fácil se pudéssemos simplesmente mudar esses router à fava e colocar aquilo que queremos, como no tempo da net ADSL sem tv, onde podiamos colocar o equipamento que quiséssemos.


 


Nao posso ser grande ajuda infelizmente, mas pelo que descreves parece que "acabaram" com os RootUser, ou se calhar atribuíram outro nome aos privilégios root
Reputação 3
?


Como é um firmware novo, a que pouca gente tem acesso, não haverá muitos que possam dar sugestões válidas.


Se já não existe role RootUser, o Debug agora tem o quê, Administrator ou SuperUser?


Já tentaste alterar um desses roles existentes para ter anyaccess/anyservice?


Não vejo grande hipótese nessa situação, a não ser reverter o firmware para a versão 10.2.1.L


 


Firmware v10.2.1.L válido para routers com placa DANT-U: https://meocloud.pt/link/53d1a28c-ec0d-47e4-9785-8b855909aa7a/784n_v3_build_10.2.1.L_DANT-U_DB.rbi/


Agradecimentos ao masterg* pelo firmware e à MEO pelo alojamento do mesmo na sua cloud supimpa.
Reputação 2
Cumprimentos Multiporta,


 


Confirmo isso mesmo, o ROLE "NA" associado ao "nauser" passou a servir apenas para manutenção remota e pouco mais.


O ROLE "RootUser" desapareceu, usando o ROLE "TechnicalSupport" é possivel criar um ROLE igual ao de "root", ou seja "anyaccess/anyservice", simplesmente cada vez que criar/associar um USER a esse ROLE o report indica privilégios insuficientes.


 


Voltei a sentir-me miudo outra vez, na sala de aula, com a professora a tomar ..."mal"... conta de mim...


20 anos de Eng. de Sistemas para ver isto...nunca imaginei o caminho que este país tomaria, a admitir este tipo de práticas!


Estou a pensar adquirir o Linksys EA6300-EW, e usar o OpenWRT, a não ser que a "professora" me diga que...não!... nesse caso desisto da MEO (unilateralmente) e procuro um operador que me permita total controle sobre a minha infra-estrutura.


Já não tenho idade/tempo/paciência para aturar estes abusos...


...porque o equipamento é deles, mas a segurança, a electricidade, a casa, a rede e o dinheiro são MEOs!


 


Cumprimentos
Reputação 2
Olá ner0


 


Sim consigo criar um ROLE com credenciais iguais ás do ROLE "root" (anyaccess/anyservice), simplesmente não consigo criar/associar um USER ao mesmo, em telnet dá-me sempre:


 


"[mlp] Current user isn't allowed to add another user with specified role."


 


Cumprimentos


 


P.S. O "Debug" está associado a "TechnicalSupport"


 
Reputação 3
?


A minha sugestão era alterar um role existente a que um utilizador já estivesse associado em vez de criar um role novo e associar o utilizador posteriormente. Mas imagino que o comportamento seja semelhante e não deixe. Continuas a ter a hipótese de fazer o downgrade ao firmware :p


 


Vá, tenta lá, nem que seja para avançar o conhecimento da humanidade! :D


 
Reputação 2
:robotlol:


 


Sim, vou fazer isso, mas confesso que se contam pelos dedos de uma mão, as vezes que na minha vida me deixei bater sem luta. :robottongue:


 


E imagina só a humanidade a funcionar como uma verdadeira rede de troca e partilha de conhecimento, sem patentes/royalties/direitos de autor ou informação priveligiada, imagina o salto evolutivo, a melhoria da qualidade de vida, os avanços na medicina, tecnologia, etc...


 


Talvez num mundo perfeito, sem interesses financeiros a sobreporem-se á VIDA! :manwink:


 


Cumprimentos
Reputação 2
Cumprimentos ner0


 


Pelo que estive a ler não é possivel, o "RE-FLASH" do Technicolor TG784n v3 sem recurso a JTAG.


Se estiver equivocado, corrige-me por favor.


 


Estou mesmo a atingir o limite da minha paciência com esta situação ridicula de ser despromovido a um mero USER do PORT 80.


 


Trabalho nisto provavelmente há mais anos, do que alguns dos que optaram por estas politicas, têm de vida.


Implemento soluções de networking, faço consultorias/auditorias de segurança e protecção de conteúdos electrónicos, em algumas das melhores sociedades de advogados deste país, em empresas que lidam com informação sensivel, etc.


 


Alguns inclusivamente, ter-se-ão tornado clientes MEO Fibra por minha recomendação, já para não falar que no condominio de 100 habitações onde resido, efectuei em tempos um abaixo assinado com mais de 50 assinaturas recolhidas, todas a demonstrar interesse na instalação duma infra-estrutura de fibra da PT, pelo descontentamento que na altura se vivia relativamente á operadora "ZON" actual "NOS".


 


Pela minha diligência, a PT instalou NODE de fibra na Avenida anexa ao nosso condominio e conseguiu aproximadamente 50 novos clientes.


Tudo isto para ser revogado para um serviço básico, incompleto, deficiente, inseguro.


  • Básico: A WEB não se resume apenas aos serviços HTTP/HTTPS e similares.
  • Incompleto: Existem como todos sabemos um sem numero de serviços que poderiam ser bem faceis de implementar por quem sabe, mas graças ás politicas de restrições aplicadas, tudo se torna bem mais complicado, senão por vezes impossivel.
  • Deficiente: São inumeros os erros de configurações mal aplicadas com reflexos e consequências na infra-estrutura do utilizador ao longo dos anos, assumir a si a responsabilidade de gerir parte da infra-estrutura do utilizador avançado, retirando ao mesmo a capacidade de resolver situações que lhe sejam desfavoráveis, é prestar um serviço deficiente/negligente, e chamar a si uma carga de problemas. A ex. quantos updates sem aviso prévio ao utilizador resultaram em danos nos equipamentos, (a tendência natural do utilizador básico, será sempre - não tenho NET, deixa desligar e ligar de novo que pode ser que resolva!), danos esses que aumentaram os encargos de manutenção do parque de equipamentos, e em grande parte dos casos provocaram a perda de configurações do utilizador e subsequente transtorno.
  • Inseguro: São mais que muitas as falências que já encontrei ao longo dos anos, algumas delas faceis de explorar, como a mais evidente usar contas comuns em todos os equipamentos para administrar os mesmos, é uma regra básica de segurança não replicar contas em parques extensos, na verdade os servidores ACS permitem alocar bases de dados com contas individuais para cada equipamento, prevenindo assim "MAJOR LEAKS" para o dominio publico, mas há mais, muitas mais, que entendo por bem não discutir publicamente.
 


Estou mesmo a pensar em abandonar este ISP, irei acalmar, e reflectir, se o fizer, não irei sozinho, pois felizmente tenho crédito e reputação suficiente para ser ouvido por muita gente que procura e se credita no meu aconselhamento.


 


Desculpem o desabafo, cumprimentos a todos.
Reputação 5
?


 


Um pouco fora do teu contexto, e sem saber como te ajudar nesse sentido, será que podias reportar quais as novidades desse firmware - se algumas destas forem viziveis através da interface web - uma vez que não tens acesso ao user.ini?
Reputação 5
ner0 escreveu:

@NeoPT Penso que os parâmetros lifetime e allocation apenas existem no v3.


Mesmo asism pode adicionar leasetime=0, não sei que leasetime ele atribui quando não se define nada.



 


O leasetime, se deixado em branco, penso que é pre definido pelo mesmo campo, da configuração existente da pool do servidor DHCP do router MEO.  Aqui tenho o valor 0, mas eu já personalizei a pool há bastante tempo. Não tenho a certeza, ou não me recordo aliás, mas julgo que o valor, por defeito, deve rondar os 86400 segundos (24 horas) ou outro valor na ordem das centenas de milhar


 


Atentamente,
Reputação 2
Cumprimentos yEL-


 


Dá-me a sensação que os CGI foram "castrados", ou seja, mesmo com credenciais quase de ROOT, grande parte das configurações outrora disponiveis via HTTP para quem tivesse ROLE the ROOT, agora só são acessiveis por TELNET.


 


A mim isso não me incomoda muito, mas poderá ser inconveniente para USERS menos rotinados com a consola TELNET destes equipamentos.


 


Cumprimentos
Reputação 5
Olá ?,


 


Antes de mais, seja bem-vindo ao MEO Fórum. Parabens, pela originalidade e genialidade na escolha do seu nome de utilizador!


 


NOUSER escreveu:

(...)


Desculpem o desabafo, cumprimentos a todos.



 


Não há nada para desculpar. Posts construtivos, com pés e cabeça, com teor transparente, apoiados em factos e situações práticas do quotidiano e, com linguagem e apresentação cuidadas, ainda que atinjam a magnitude de um testamento, são sempre bons em qualquer fórum, incluindo este! Não se preocupe...


 


Não querendo ficar a dever nada à sinceridade, apesar de estar a cumprir funções, vou na qualidade de cliente, afirmar que estou praticamente, 100% de acordo com tudo o que escreveu! Por isso e, por mais uma vez, ter sido surpreendido de forma negativa, subscrevo.


 


Estou estupefacto, com esta horrivel tendencia para a mediocridade e falta de profissionalismo do pessoal técnico afecto ao desenvolvimento e preparação/lançamento de firmware. Não estou nada satisfeito com a decisão de restringir novamente o acesso à configuração avançada do router, pelo menos, para quem já o tinha e dele necessiitava. Sobretudo, não estou nada satisfeito, por não entender a insistencia em lançar estes updates sem informar rigorosamente nada, nem ninguem, nem sequer internamente ou, não preparar em conjunto, os aspectos e meios necessários para uma hipótese de salvaguardar as configurações personalizadas no router, ou pelo menos parte delas. Francamente, podiam ter a consciência de que isto são práticas pouco éticas e nada transparentes, que nada trazem de benéfico para a satisfação do cliente, abrir um pouco o jogo e vir aqui ao MEO Fórum, anunciar superficialmente, sem prejuízo do grau sensível das informações, o que de novo trazem estas actualizações e o que o cliente pode esperar. Em vez disso, preferem continuar o jogo sujo e cerrado, de empurrar e impingir a sua mestria, para alem de permanecer na teimosia da mudez, e da prepotência. Muito bem! Muito obrigado, pelo ótimo serviço prestado, por toda a consideração dada aos clentes MEO, especialmente, por todo o tempo que lhe dão a ganhar!


 


Para alem de continuar atento a este tópico, já que disponho de alguma (embora pouca) "alavancagem", aqui, vou de imediato, debater internamente a situação e tentar, pelo menos, obter algumas respostas.


 


Atentamente,
Reputação 2
Cumprimentos NeoPT


 


NeoPT escreveu:

Olá @NOUSER,


 


Antes de mais, seja bem-vindo ao MEO Fórum. Parabens, pela originalidade e genialidade na escolha do seu nome de utilizador!


 


NOUSER escreveu:

(...)


Desculpem o desabafo, cumprimentos a todos.



 


Não há nada para desculpar. Posts construtivos, com pés e cabeça, com teor transparente, apoiados em factos e situações práticas do quotidiano e, com linguagem e apresentação cuidadas, ainda que atinjam a magnitude de um testamento, são sempre bons em qualquer fórum, incluindo este! Não se preocupe...


 


Não querendo ficar a dever nada à sinceridade, apesar de estar a cumprir funções, vou na qualidade de cliente, afirmar que estou praticamente, 100% de acordo com tudo o que escreveu! Por isso e, por mais uma vez, ter sido surpreendido de forma negativa, subscrevo.


 


Estou estupefacto, com esta horrivel tendencia para a mediocridade e falta de profissionalismo do pessoal técnico afecto ao desenvolvimento e preparação/lançamento de firmware. Não estou nada satisfeito com a decisão de restringir novamente o acesso à configuração avançada do router, pelo menos, para quem já o tinha e dele necessiitava. Sobretudo, não estou nada satisfeito, por não entender a insistencia em lançar estes updates sem informar rigorosamente nada, nem ninguem, nem sequer internamente ou, não preparar em conjunto, os aspectos e meios necessários para uma hipótese de salvaguardar as configurações personalizadas no router, ou pelo menos parte delas. Francamente, podiam ter a consciência de que isto são práticas pouco éticas e nada transparentes, que nada trazem de benéfico para a satisfação do cliente, abrir um pouco o jogo e vir aqui ao MEO Fórum, anunciar superficialmente, sem prejuízo do grau sensível das informações, o que de novo trazem estas actualizações e o que o cliente pode esperar. Em vez disso, preferem continuar o jogo sujo e cerrado, de empurrar e impingir a sua mestria, para alem de permanecer na teimosia da mudez, e da prepotência. Muito bem! Muito obrigado, pelo ótimo serviço prestado, por toda a consideração dada aos clentes MEO, especialmente, por todo o tempo que lhe dão a ganhar!


 


Para alem de continuar atento a este tópico, já que disponho de alguma (embora pouca) "alavancagem", aqui, vou de imediato, debater internamente a situação e tentar, pelo menos, obter algumas respostas.


 


Atentamente,



 


Agradeço a cordialidade, o elogio e toda a atenção que possa dedicar ao tópico.


 


Bem haja, NeoPT


 


Cumprimentos


 


 
Reputação 3
NOUSER escreveu:

Cumprimentos ner0


 


Pelo que estive a ler não é possivel, o "RE-FLASH" do Technicolor TG784n v3 sem recurso a JTAG.


Se estiver equivocado, corrige-me por favor.


 



?


Não tenho a certeza... pode bem depender de alguma restrição do utilizador.


Num teste que fiz no meu parece que o processo começa sem problemas (ver abaixo), apesar de que cancelo nesse ponto porque, como podes ver, ainda tenho a versão D. Exemplo: http://i.imgur.com/ZrNvjct.png


 


Cumprimentos.
Reputação 2
Cumprimentos ner0


 


Compreendo, mas o TFTP UPLOAD durante o BOOTP não significa necessáriamente um (RE-FLASH) bem sucedido, entre outras questões a ponderar após o processo concluir, tais como SIGNATURES, VERSIONING, MODELING, incluem-se ... os malditos privilégios (ROLES) ! :(


 


O que no meu caso, (sadly...), não dá... pois já testei...


 


Todavia, corrige-me se estiver errado.


 


Cumprimentos
Estimado NOUSER,


 


Pode partilhar os utilizadores existentes e respetivos roles dessa nova versão?


 


Obrigado
Reputação 2
Cliente1986 escreveu:

 


Pode partilhar os utilizadores existentes e respetivos roles dessa nova versão?


 



Cumprimentos Cliente1986


 


Afirmei que o ROLE "RootUser" havia desaparecido na revisão 10.2.1.O, o que, após análise mais cuidada verifiquei ser falso, apresento as minhas desculpas a todos pelo ruído que aqui poderei ter criado.


 


Reposta a verdade...


 


Não pude nos últimos dias, por motivos profissionais, dedicar a atenção que este tópico merecia, todavia, continuei a encetar esforços no sentido de resolver / contornar as restrições que foram colocadas com este novo FIRMWARE, e com toda a informação generosamente recolhida e partilhada pelo USER ner0, montei várias estratégias e atingi o objectivo proposto:


  • obter e restaurar as credênciais de user com ROLE de ROOT.
 


Para CASE STUDY apliquei 3 técnicas:


  1. A abordagem "ner0", amplamente divulgada e debatida neste tópico
  2. A abordagem "NONAME", que implementei de raíz baseada em técnicas de TAMPERING
  3. A abordagem "FIREFLAW", que implementei de raíz baseada em FLAWS que detectei no FIRMWARE
 


Obtive sucesso nas 3, no entanto para precaver a possibilidade de novas revisões ao FIRMWARE que impossibilitem o uso da 1ª, e para que possa ajudar a comunidade no futuro, não irei, pelo menos para já, clarificar as técnicas 2 e 3.


 


A abordagem "ner0" poderá perfeitamente ser usada na revisão 10.2.1.O, com algumas ressalvas que passarei a descrever.


 


  1. o serviço TELNET apenas é disponibilizado quando o STATE do INTF InternetGPON = CONNECTED. Por outras palavras, sem NET não há TELNET ! Isto obriga-nos, depois do RESET ao ROUTER a manter o cabo WAN conectado e a persistir na tentativa de iniciar uma sessão TELNET, quando a mesma acontecer devemos desligar imediatamente o cabo WAN e continuar o processo de autenticação.
  2. Depois de devidamente autenticados em TELNET, devemos modificar um qualquer parametro do ROUTER e aplicar um "saveall", ao realizarmos este passo, forçaremos o ROUTER a assinar uma nova revisão do "user.ini"e evitar que quando voltarmos a restabelecer a ligação WAN o processo de sincronia com o servidor ACS (CWMP SERVICE) ocorra imediatamente, impedindo-nos de prosseguir com o processo "ner0".
  3. Restabelecemos a ligação WAN e prosseguimos com o processo "ner0" até ao final,... tudo deverá correr bem!
 


Em suma as modificações com consequências beligerantes para esta técnica dizem respeito a:


  • TELNET apenas com WAN
  • Logo que exista WAN, ligação imediata ao ACS (CWMP SERVICE) e consequente descarga do "user.ini".
 


Nos meus tempos livres, estou a desenvolver um pequeno aplicativo MS para executar o processo "ner0" em modo UNATTENDED, se as regras do forum assim o permitirem, terei todo o gosto de o publicar e ajudar a comunidade.


 


Cumprimentos

Responder