Tentativo di installare un mio router su FTTH Fastweb via OpenFiber

aternopae

Sto cercando di configurare un mio router su rete Fastweb via OpenFiber. Ho l'ONT esterno, è uno ZTE ZXHN F601, che ha un uso MAC quindi presumo che renda invisibile il MAC della WAN del router proprio perché così loro lo apprendono sull'OLT e tu metti il router che ti pare ... in teoria ...

Il router è il Fastgate Huawei DN8245f2.

La cosa strana che fa è questa: dallo sniff del traffico (mi sono messo con Wireshark tra ONT e WAN) vedo che tutto il traffico gira sulla VLAN 835, ho anche beccato la sessione SIP ecc.

Poi però la richiesta DHCP è stranissima:

avviene secca untagged, quindi fuori dalla VLAN 835
chiede di potere usare un IP preciso (option 50 popolata con l'IP che poi prende per davvero sulla VLAN 835)
l'opzione 53 è valorizzata 3 (DHCP request)
l'opzione 61 contiene il MAC, presumo per identificare l'apparato con il server ACS e avere il corretto URI di auto-configurazione, che a me però non serve
l'opzione 57 chiede 1292 bytes (maximum DHCP answer length)
l'opzione 60 manda la stringa huawei_HW_E1A.A_SW_V100R019C10SPC530B010/dslforum.org/https presumo sempre per ottenere una risposta corretta con i dati dell'ACS relativi al modello specifico
infine l'opzione 55 è popolata con una lunghissima parameter list request:
- subnet mask, router, DNS, hostname, domain name, broadcast, static route, network information service domain, network information service server, network time protocol server, vendor-specific info, pcode, sip servers, classless static route, 6RD, private classless static route

Nella risposta arriva, sempre fuori dalla VLAN, un pacchetto DHCP ACK, con l'IP richiesto confermato, poi arrivano queste opzioni:
1 subnet mask 255.255.252.0
3 router 10.62.108.1
6 DNS 83.103.25.250
6 DNS 62.101.93.101
15 domain name fastwebnet.it
43 vendor specific info https://59.0.121.191:8443/ACS-server/ACS
51 IP address lease time 28800s
58 Renewal time 14400s
59 Rebinding time 14460s

Che ovviamente non sono tutte quelle chieste dal router. A valle di questo il traffico è tutto taggato VLAN 835, e l'IP del router è chiaramente quello richiesto e poi confermato, tutto il traffico della LAN fa chiaramente overload su di esso.

La cosa assurda è che anche se prendo un router X (per ora ho provato con un Mikrotik per poter fare quello che mi pare) mi do l'IP che mi rilascia il DHCP sulla VLAN835 assegnato statico (tanto rilascia sempre quello) poi se provo a pingare 10.62.108.1 che dovrebbe essere il gw non lo raggiunge.

Ho spoofato il MAC dell'Huawei, ho la prova che lo spoofing funziona dallo sniff del Wireshark, quindi in teoria dall'altra parte non dovrebbero nemmeno saperlo che uso un altro router, ma niente.

Evidentemente ci sono inspection ben più approfondite sulla formalità dei pacchetti che fanno sì che si accorgano che ho cambiato apparato ... 🤨🤔

Ovviamente non ho idea di come configurare un simile comportamento del DHCP su un qualunque router, non credo sia nemmeno una cosa standard. Ho provato ad attivare una richiesta DHCP sia secca sull'ethernet sia sulla VLAN 835, che vedo uscire, ma non risponde nessuno. Ho provato anche a mimare il router Huawei popolando accuratamente tutti i campi option così come li ho sniffati ma niente.

Qualcuno che conosce meglio questi apparati ha qualche suggerimento?

x_term

aternopae ZTE ZXHN F601, che ha un uso MAC quindi presumo che renda invisibile il MAC della WAN del router proprio perché così loro lo apprendono sull'OLT e tu metti il router che ti pare ... in teoria

Nemmeno in teoria, ONT è un bridge Ethernet e il MAC address del router è quello che vede il BNG. Senza clonare il MAC del Fastgate e inserire la stringa della option 60 non va. Oppure lo devi comunicare a Fastweb e ti levano la limitazione.

gandalf2016

Come ti hanno già detto serve una DHCP Request su VLAN 835 con la option che hai tu stesso sniffato:

aternopae l'opzione 60 manda la stringa huawei_HW_E1A.A_SW_V100R019C10SPC530B010/dslforum.org/https

Altre vengono ignorate.
Questa diciamo che stabilisce la sessione con il BNG e ti permette di ottenere IP e navigare.
Un assegnamento statico non è sufficiente per navigare ma serve una dhcp Request.

Puoi sempre chiamare il servizio clienti per chiedere sia un indirizzo IP pubblico, sia di utilizzare il tuo router senza dover mandare quella option nella DHCP Request.

Rekko

aternopae Ho spoofato il MAC dell'Huawei

E fin qua ci siamo (bastava il Mac scritto dietro sull'etichetta),stai attento ad averla modificata su tutti i file del router (preferibilmente OpenWRT,ho una config con un Tim Hub moddato con lo stesso modem fastweb fornito a te e l'ho reso il degno sostituto)

aternopae l'opzione 60 manda la stringa huawei_HW_E1A.A_SW_V100R019C10SPC530B010/dslforum.org/https

Prova questa stringa

askey_HW_ES1_SW_0.00.47/dslforum.org

aternopae

gandalf2016 Come ti hanno già detto serve una DHCP Request su VLAN 835 con la option che hai tu stesso sniffato:

Ho già provato a mimare fedelmente la richiesta DHCP che fa il router Huawei, come dicevo avendo a disposizione Wireshark ho prova che la richiesta è correttamente configurata, tuttavia non ottengo risposta. Per questo sospetto che dall'altra parte ci sia un qualche layer di controllo (un network access controller) che fa una inspection ben più accurata e si accorge che la richiesta, pur contenendo gli stessi campi, non viene dal CPE Huawei.

Del resto la richiesta che fa il CPE fornito da Fastweb è stranissima, intanto non la fa sulla VLAN 835 ma la fa untagged (questa che incollo è quello che ho sniffato della negoziazione del router Fastweb):

Poi il server risponde (10.0.72.162, è un qualcosa Juniper) e mi restituisce un pacchetto DHCP con l'IP e gli altri parametri, sempre untagged:

Poi però quell'IP che mi assegna il CPE Huawei lo prende sulla VLAN 835. Il che è un comportamento fuori dagli standard (forse volutamente proprio per evitare che tu banalmente colleghi alla linea quello che ti pare attivando un DHCP client più o meno al suo default).

Questa è la richiesta DHCP che ho "mimato" col Mikrotik:

è praticamente identica, anche se non forma il pacchetto con i campi nello stesso identico ordine. Del resto li ho forzati nella config che il RouterOS7 ti consente di fare in maniera molto granulare.

Non risponde nessuno né se la faccio untagged né se la taggo con la VLAN 835. Mi sa che vada chiesto lo sblocco a Fastweb.

gandalf2016

aternopae è praticamente identica,

Prova a confrontare il campo text della option 60. Son fiscali su quello che deve combaciare.
Questioni tipo apici, doppi apici, spazi, caratteri terminatori

Mi sembra molto strano il mikrotik non riesca ad ottenere l’IP.
Prova anche la stringa consigliata da @Rekko come valore.

Confronta con wireshark i valori dell’ option 60 del Huawei con quelli che genera il tuo mikrotik .

Sì sono i BNG Juniper MX480 o 960.

aternopae

gandalf2016 le uniche differenze sono:

la option 53 (è tagliata in cima ma è quella nello screenshot), ma non mi consente di cambiarla, l'Huawei fa una Request secca (tipo 3) mentre il MikroTik fa un Discovery (tipo 1).
i campi sono in ordine diverso ma i contenuti sono identici (vedi screenshot affiancati)

LATIITAY

aternopae uhm, forse lo Huawei mantiene in memoria l'ultimo IP preso e quindi procede subito con una Request invece di un Discover. Prova a resettarlo e a sniffare tutto quello che succede al primo avvio...

gandalf2016

aternopae perfetto, allora devi solo aspettare scada il lease del fastgate o trovare il modo per rilasciarlo dal fastgate stesso.
In genere dopo già 5 minuti che non vede traffico il BNG incomincia a rispondere alle discovery.
Non immediatamente però

P.S: Fai tutto direttamente sulla VLAN taggata 835 e non usare niente in untagged

MicheleMikyMouse

aternopae per curiosità, come è andata a finire? ho un problema che mi ricorda il tuo anche se in una situazione diversa

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile