Iliad: modem libero, EPON e MAP-E - Domande Frequenti (FAQ)

edofullo · 2022-02-04T20:07:37+00:00

Come ho già fatto per Sky, visto il setup particolare rispetto degli altri ISP che conosciamo, pubblico qui un elenco di FAQ riguardanti Iliad ed il Modem li...

psychowood

edofullo i pcap sono un po' massivi, c'ero andato pesante per non perdermi niente ma si sono mescolate anche altre interfacce temo.
Ho provato a filtrare solo sul dhcpv6, mi risultano solo 4 pacchetti, sono sufficienti quelli? Piuttosto provo a rifarlo in maniera isolata. Se mi sa dire per cos'altro filtrare provo ad approfondire.

la cosa interessante è che nella terza request viene richiesta anhe l'opzione per il MAP-E

ma nella risposta del server non è presente l'opzione 94, ma solo la 23 per il DNS e la 25 (Identity Association for Prefix Delegation)

A meno che (ma avrebbe poco senso) la Iliadbox non si tienga in memoria i parametri ricevuti in precedenza e non effettui più la negoziazione... mi sarei comunque aspettato la risposta dal server dhcpv6.

EDIT: Aggiungo, dopo la transazione dhcpv6 partono un paio di richieste DNS verso server iliad

E da lì c'è una serie di connessioni TLS verso quegli host, ma in quanto TLS non riesco a vederne il contenuto (e non credo ci sia modo di recuperare le chiavi).

Non è che se non si è in net-neutrality non viene configurato correttamente il MAP per poter usare mezzi propri? C'è modo di desumere i parametri tramite reverse engineering dei pacchetti incapsulati?

edofullo

psychowood Ho provato a filtrare solo sul dhcpv6, mi risultano solo 4 pacchetti, sono sufficienti quelli?

Si, sono sufficienti quelli.

gandalf2016

psychowood src_mac mellanox 👀
Passa tutto per quel MAC, internet compreso ?

— breve digressione —
Effettivamente Mellanox/Nvidia è tra i vendor che gestiscono SRv6 a line rate.
Sarebbe il primo provider con BRAS/BNG nvidia/mellanox in Italia, che io sappia.

mark129

gandalf2016 Sarebbe il primo provider con BRAS/BNG nvidia/mellanox in Italia, che io sappia.

A me viene da pensare che sarebbe un raro, se non il primo esempio fuori dai DC di infrastruttura Mellanox...
White box (stile Facebook)?

handymenny

gandalf2016 Sarebbe il primo provider con BRAS/BNG nvidia/mellanox in Italia, che io sappia.

Non potrebbe essere la scheda di rete dell'OLT? Magari è una stupidaggine, ma non conoscendo per bene EPON e IPoE mi viene il dubbio che sia possibile

gandalf2016

handymenny mmm no perché vedi subito il BRAS terminata la VPN L2 che ti raccoglie.
L’utente poi è in openstream quindi vedresti ZTE al massimo.

(Per dire su FW in openstream vedi il Mac del BNG Juniper dove ti raccolgono in IPoE)

mark129
No no, li produce proprio NVidia. Poi sono apparati 1-2U massimo e che consumano poco.
Come software cumulus Linux.

Sempre che non sia una scheda di un server su cui è virtualizzato il tutto ma di norma si vedono altri indirizzi MAC per quello. Non quello della scheda fisica.
Quindi si ci sta comunque l’ipotesi di hw withebox

mark129

gandalf2016 No no, li produce proprio NVidia. Poi sono apparati 1-2U massimo e che consumano poco.
Come software cumulus Linux.

Quindi mi stai dicendo che l'apparato di bordo è (= potrebbe essere) uno switch tipo Nvidia Spectrum / Mellanox SN (usato non come DC fabric ma alla maniera di roba come i Juniper QFX presenti sulle reti di molti operatori geografici tipo Akamai)?

gandalf2016

mark129
Così si può ipotizzare da quello sniff
Resta altrimenti l’altra che sia solo il DHCP Server o un server con schede mellanox

Bisognerebbe capire se il traffico internet ha sempre come destinazione quel MAC(così da scartare l’ipotesi solo DHCP).

psychowood

gandalf2016 Prendendo pacchetti a caso provenienti dall'esterno sulla WAN, con destinazione il mio ipv4, vedo che il destinatario è sempre lo stesso mac mellanox, direi che non è solo il dhcp server.

psychowood

Mi sa che stavamo cercando nel posto sbagliato...

psychowood

Sapete se il MAP-E presenta lo stesso tipo di incapsulamento del post precedente su wireshark?

Perché così su due piedi, tra il DHCPv6 che non fornisce i parametri per il MAP, e i capture che sono riuscito a fare mostrano tutti dei pacchetti con incapsulamento IPIP ("[Protocols in frame: eth:ethertype:vlan:ethertype:ipv6:ip:udp:data]" e "Next Header: IPIP (4)")

Premi per mostrare Premi per nascondere

Frame 196: 184 bytes on wire (1472 bits), 184 bytes captured (1472 bits) on interface br0, id 0
    Interface id: 0 (br0)
        Interface name: br0
    Encapsulation type: Ethernet (1)
    Arrival Time: May  8, 2022 18:46:48.719173463 CEST
    [Time shift for this packet: 0.000000000 seconds]
    Epoch Time: 1652028408.719173463 seconds
    [Time delta from previous captured frame: 0.077507893 seconds]
    [Time delta from previous displayed frame: 0.077507893 seconds]
    [Time since reference or first frame: 26.888954624 seconds]
    Frame Number: 196
    Frame Length: 184 bytes (1472 bits)
    Capture Length: 184 bytes (1472 bits)
    [Frame is marked: False]
    [Frame is ignored: False]
    [Protocols in frame: eth:ethertype:vlan:ethertype:ipv6:ip:udp:data]
    [Coloring Rule Name: UDP]
    [Coloring Rule String: udp]
Ethernet II, Src: Mellanox_ff:ff:ff (ff:ff:ff:ff:ff:ff), Dst: FreeboxS_ff:ff:ff (ff:ff:ff:ff:ff:ff)
    Destination: FreeboxS_ff:ff:ff (ff:ff:ff:ff:ff:ff)
        Address: FreeboxS_ff:ff:ff (ff:ff:ff:ff:ff:ff)
        .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
        .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
    Source: Mellanox_ff:ff:ff (ff:ff:ff:ff:ff:ff)
        Address: Mellanox_ff:ff:ff (ff:ff:ff:ff:ff:ff)
        .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
        .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
    Type: 802.1Q Virtual LAN (0x8100)
802.1Q Virtual LAN, PRI: 0, DEI: 0, ID: 836
    000. .... .... .... = Priority: Best Effort (default) (0)
    ...0 .... .... .... = DEI: Ineligible
    .... 0011 0100 0100 = ID: 836
    Type: IPv6 (0x86dd)
Internet Protocol Version 6, Src: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, Dst: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
    0110 .... = Version: 6
    .... 0000 0000 .... .... .... .... .... = Traffic Class: 0x00 (DSCP: CS0, ECN: Not-ECT)
        .... 0000 00.. .... .... .... .... .... = Differentiated Services Codepoint: Default (0)
        .... .... ..00 .... .... .... .... .... = Explicit Congestion Notification: Not ECN-Capable Transport (0)
    .... 0000 0000 0000 0000 0000 = Flow Label: 0x00000
    Payload Length: 126
    Next Header: IPIP (4)
    Hop Limit: 107
    Source Address: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
    Destination Address: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
Internet Protocol Version 4, Src: YY.YY.YY.YY, Dst: XX.XX.XX.XX
    0100 .... = Version: 4
    .... 0101 = Header Length: 20 bytes (5)
    Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)
        0000 00.. = Differentiated Services Codepoint: Default (0)
        .... ..00 = Explicit Congestion Notification: Not ECN-Capable Transport (0)
    Total Length: 126
    Identification: 0xa6c8 (42696)
    Flags: 0x00
        0... .... = Reserved bit: Not set
        .0.. .... = Don't fragment: Not set
        ..0. .... = More fragments: Not set
    ...0 0000 0000 0000 = Fragment Offset: 0
    Time to Live: 109
    Protocol: UDP (17)
    Header Checksum: 0x7476 [validation disabled]
    [Header checksum status: Unverified]
    Source Address: YY.YY.YY.YY
    Destination Address: XX.XX.XX.XX
User Datagram Protocol, Src Port: 18628, Dst Port: 44444
    Source Port: 18628
    Destination Port: 44444
    Length: 106
    Checksum: 0xe206 [unverified]
    [Checksum Status: Unverified]
    [Stream index: 34]
    [Timestamps]
        [Time since first frame: 0.000000000 seconds]
        [Time since previous frame: 0.000000000 seconds]
    UDP payload (98 bytes)
Data (98 bytes)
    Data: XXXX
    [Length: 98]

ipotizzerei che nel mio caso la connessione sia in ipipv6 e non in MAP-E... Possibile?
Dopo tanta fatica a tirare su e configurare la vm openwrt, esce fuori che sono sul protocollo che non è supportato e per il quale non ci sono (a quanto no visto cercando) moduli installabili... 😃

C'è di buono che se è effettivamente così, non dovrei aver bisogno di particolari parametri, gli indirizzi per ipip6 credo siano facilmente recuperabili dalla trace, sono gli stessi in tutti i pacchetti.

Mi sfugge solo dov'è che viene negoziato tra iliadbox e ONT il fatto di usare quel tipo di tunnel, visto che non ve n'è traccia nella trace dei pacchetti.

nanomad

psychowood considera che nelle config per il router libero iliad usa intercambiabilmente ipip e mape quindi è probabile che si, sia lo stesso protocol type (alla fine mape usa dietro l'incapsulamento ipip di IPv6 stando alla rfc se l'ho letta bene)

Cmq come il buon @edofullo sono a disposizione per buttare un occhio al pcap. In particolare prova a guardare tutte le response DHCPv6 e non solo quella che ti assegna il prefix, es l'advertise

edofullo

psychowood MAP-E è IPIP6 con qualche regola SNAT e autoconfigurazione.

Alcuni parametri vanno calcolati a mano, trovi tutto nella RFC7597

psychowood

edofullo Interessante, pensavo forse differente, grazie. Per la condivisione devo fare un pcap più pulito, come dicevo quelli che ho ora sono un po' grezzi 🙂 se tu e @nanomad mi date il contatto telegram mi organizzo.

Nel frattempo vi condivido che l'handshake dhcpv6 contiene solo quei 4 pacchetti condivisi sopra, ed anche l'advertise non ha regole MAP al suo interno. Verifico nella rfc se il calcolo in modalità BR si basa solo sui PD ipv6 assegnati. Per replicare il calcolo ho mapcalc dentro openwrt, non dovrebbe essere un problema se riesco a ricostruire la regola.

Stamattina provo anche a vedere se riesco ad intercettare almeno la request verso i due host di configurazione su dominio iliad per provare a replicarle, sperando che la ib non abbia certificati firmati verificati.

nanomad

psychowood se tu e @nanomad mi date il contatto telegram mi organizzo

Lo stesso del forum sia per me che per @edofullo 😅 l'ho dato per scontato. Se vuoi potresti fare un factory reset della IB e sniffare tutto da 0 nel caso i parametri siano dati solo in caso di provisioning iniziale. Mi immagino sia in grado di riconfigurarsi da se

edofullo

psychowood Per la condivisione devo fare un pcap più pulito

Che intendi? Per capirci il puù possibile in realtà sarebbe comodo avere il più possibile, però per fare andare OpenWRT (o capire perchè non va) dovrebbero bastare i pacchetti DHCPv6 (Solicit, Advertise, Request, Reply), tutto il resto se vuoi lo puoi eliminare con Wireshark.

Conta però che in genere è tutto cifrato quindi non ci sono grossi problemi di privacy, al masimo riusciamo a capire il tuo IP... però se hai servizi esposti shodan lo conosce già.

Confermo che sono @edofullo anche su telegram.

psychowood

nanomad immaginavo, ma meglio chiedere 🙂
Già fatto il factory reset, non cambia nulla, c'è il solito ciclo di tutti i reboot: i 4 dhcpv6 poi due chiamate https verso fbxfw.iliad.it (ipotizzo per il check firmware freebox) e poi verso fbxgetcfg.iliad.it (per la configurazione).

@edofullo sì più che altro c'è anche la parte di voip, ovvio che non è sfiducia nei vostri confronti ma in generale non volevo farli girare, tutto qua.

Provo a tagliare uno dei pcap che ho e mandarvelo

simonebortolin

psychowood @edofullo sì più che altro c'è anche la parte di voip, ovvio che non è sfiducia nei vostri confronti ma in generale non volevo farli girare, tutto qua.

Spero per te (e per tutti) che il voip sia limitato al tuo IPv6. Come "minima" forma di doppia autenticazione (per evitare che uno usi il tuo voip dalla cina o dal congo)...*

*si qualcuno potrà dire "tanto si può bypassare con una vpn", si perché tutti hanno una VPN protetta da username e password.

edofullo

psychowood sì più che altro c'è anche la parte di voip, ovvio che non è sfiducia nei vostri confronti ma in generale non volevo farli girare, tutto qua.

Nel DHCPv6 non credo proprio.

Gli altri pacchetti li puoi rimuovere senza problemi... ma è in chiaro la config del VoIP?

psychowood

simonebortolin Secondo me è possibile che sia limitato solo alla fibra iliad in generale (ipotizzo dal proxy .iliad) più che al proprio indirizzo.
Se mai mi capiterà di andare da qualcuno con rete fibra iliad, provo le credenziali da cell e vediamo se vanno.

edofullo no chiaro, intendevo dai pacchetti successivi. Il SIP non è in TLS, ma in effetti la password dovrebbe essere in hash con il nonce.

simonebortolin

psychowood Secondo me è possibile che sia limitato solo alla fibra iliad in generale (ipotizzo dal proxy .iliad) più che al proprio indirizzo.
Se mai mi capiterà di andare da qualcuno con rete fibra iliad, provo le credenziali da cell e vediamo se vanno.

Io spero vivamente di no.

« Pagina precedente Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile