Menu principale

DVA-5592 Wind Modem Router VDSL2 VoIP Wireless AC2000

Aperto da Pondera, 06 Novembre 2017, 13:36:01

hardcorepawn

con gaudio maximo sono riuscito a spengere tutti i led del router :D  

la configurazione che ne viene fuori è la seguente:

Welcome
DLINK# configure
DLINK(cfg)# leds
DLINK(cfg-leds)# showRunningConfigScript
led ServiceLED1
    defaultColor Green
    defaultDutyCycle Off
    add behaviour off
    behaviour off
        dutyCycle Off
        add trigger Trigger1
        trigger Trigger1
            enable
        exit
        enable
    exit
    enable
exit
led ServiceLED2
    defaultColor Green
    defaultDutyCycle Off
    add behaviour Behaviour1
    add behaviour Behaviour2
    add behaviour Behaviour3
    behaviour Behaviour1
        color Green
        dutyCycle Off
        add trigger Trigger1
        trigger Trigger1
            enable
        exit
        enable
    exit
    behaviour Behaviour2
        color Green
        dutyCycle Blinking
        add trigger Trigger1
        trigger Trigger1
            enable
        exit
        enable
    exit
    behaviour Behaviour3
        color Red
        dutyCycle On
        add trigger Trigger1
        trigger Trigger1
            enable
        exit
        enable
    exit
    enable
exit
led ServiceLED3
    defaultColor Green
    defaultDutyCycle Off
    add behaviour Behaviour1
    add behaviour Behaviour2
    behaviour Behaviour1
        color Green
        dutyCycle Off
        add trigger Trigger1
        trigger Trigger1
            enable
        exit
        enable
    exit
    behaviour Behaviour2
        color Red
        dutyCycle Off
        add trigger Trigger1
        trigger Trigger1
            enable
        exit
        enable
    exit
    enable
exit
led ServiceLED4
    defaultColor Green
    defaultDutyCycle Off
    add behaviour Behaviour1
    add behaviour Behaviour2
    add behaviour Behaviour3
    add behaviour Behaviour4
    add behaviour Behaviour5
    behaviour Behaviour1
        color Green
        dutyCycle Off
        add trigger Trigger1
        trigger Trigger1
            enable
        exit
        enable
    exit
    behaviour Behaviour2
        color Green
        dutyCycle BlinkingFast
        add trigger Trigger1
        trigger Trigger1
            enable
        exit
        enable
    exit
    behaviour Behaviour3
        color Red
        dutyCycle on
        add trigger Trigger1
        trigger Trigger1
            enable
        exit
        enable
    exit
    behaviour Behaviour4
        color Red
        dutyCycle BlinkingFast
        add trigger Trigger1
        trigger Trigger1
            enable
        exit
        enable
    exit
    behaviour Behaviour5
        color Green
        dutyCycle Off
        add trigger Trigger1
        trigger Trigger1
            enable
        exit
        enable
    exit
    enable
exit
led ServiceLED5
    defaultColor Green
    defaultDutyCycle Off
    add behaviour Behaviour1
    add behaviour Behaviour2
    add behaviour Behaviour3
    add behaviour Behaviour4
    add behaviour Behaviour5
    behaviour Behaviour1
        color Green
        dutyCycle Off
        add trigger Trigger1
        trigger Trigger1
            enable
        exit
        enable
    exit
    behaviour Behaviour2
        color Green
        dutyCycle Blinking
        add trigger Trigger1
        trigger Trigger1
            enable
        exit
        enable
    exit
    behaviour Behaviour3
        color Red
        dutyCycle On
        add trigger Trigger1
        trigger Trigger1
            enable
        exit
        enable
    exit
    behaviour Behaviour4
        color Red
        dutyCycle BlinkingFast
        add trigger Trigger1
        trigger Trigger1
            enable
        exit
        enable
    exit
    behaviour Behaviour5
        color Green
        dutyCycle Off
        add trigger Trigger1
        trigger Trigger1
            enable
        exit
        enable
    exit
    enable
exit
led ServiceLED6
    defaultColor Green
    defaultDutyCycle Off
    add behaviour Behaviour1
    add behaviour Behaviour2
    add behaviour Behaviour3
    behaviour Behaviour1
        color Green
        dutyCycle Blinking
        add trigger Trigger1
        trigger Trigger1
            enable
        exit
        enable
    exit
    behaviour Behaviour2
        color Red
        dutyCycle On
        add trigger Trigger1
        trigger Trigger1
            enable
        exit
        enable
    exit
    behaviour Behaviour3
        color Green
        dutyCycle Off
        add trigger Trigger1
        trigger Trigger1
            enable
        exit
        enable
    exit
    enable
exit
led ServiceLED7
    defaultColor Green
    defaultDutyCycle Off
    add behaviour Behaviour1
    behaviour Behaviour1
        color Green
        dutyCycle Off
        add trigger Trigger1
        trigger Trigger1
            enable
        exit
        enable
    exit
    enable
exit
enable

c'e' da scancherare un po' ma alla fine se ne esce
lo spegnimento non è immediato perchè da telnet non puoi fare applica ma solo salvare ma evidentemente c'e' qualcosa di schedulato che lo fa a posteriori perchè ieri sera erano rimasti accesi internet e wan e stamane erano spenti :asd:

bisogna intervenire non su enable/disable, quelli vanno lasciati tutti enable ma sui vari defaultdutycycle, behaviour e dutycycle del singolo behaviour

non li ho cambiati tutti ma solo quelli verdi a led fisso perchè se esce fuori un problema o malfunzionamento o non vanno i telefoni e accende il rosso almeno lo vedi :asd:

i led sono 7
dal 2 al 7 il meccanismo si ripete uguale
mentre l'1, il power, è leggermente diverso perchè non c'e' un behaviour e bisogna crearselo e poi c'e' da creare l'evento di trigger relativo
Entrare in telnet/ssh e digitare

configure
leds
enable
configsave


Poi i comandi dal led 2 al 7 sarebbero questi:

led ServiceLED2
defaultdutycycle Off
configsave
showr

e qui andate a cercare sempre il behaviour che interessa e cioè:
Color Green
DutyCycle On

individuato il behaviour entrateci con:
behaviour Behaviour[1 o 2 o 3 o 4 o 5]
es: individuato l'1 digitare
behaviour Behaviour1
DutyCycle Off
configsave
exit
configsave
exit

e poi si ripetono i 3 blocchi di istruzioni sopra con led ServiceLED3 e cosi' via
attenzione sempre a individuare il behaviour giusto perchè non è sempre solo l'1 ;)

per il solo led 1 POWER invece procedere in questo modo:
led ServiceLED1
defaultColor Green
defaultDutyCycle Off
configsave
add behaviour off
behaviour off
dutyCycle Off
configsave
add trigger Trigger1
trigger Trigger1
enable
configsave
exit
enable
configsave
exit
enable
configsave
exit
enable
configsave
exit

per controllare se è andato tutto bene controllate con
showr
se tutti i defaultdutycycle sono a off e se tutti i behaviour color green che prima erano dutycycle On sono diventati Off

le modifiche non sono applicate nell'immediato, bisognerebbe spegnere e riaccendere voip, wifi1 e 2, riavviare la connessione, scollegare e ricollegare le periferiche usb... ma dopo un po' arrivano :fagiano: :sofico:

nb: per chi possiede anche il 5582 e lo tiene in servizio ad esempio come access point/switch gigabit e come seconda stazione voip la cosa si puo' fare analogamente, li i led sono 8, sono impostati che blinkano (nel 5592 sono fissi), e il powerled ha già un behaviour ma la cosa è analoga

in entrambi le lucine delle porte lan dietro credo siano controllate solo elettricamente quindi via software non puoi fare niente


CitazionePer i LED ottimo, dove hai manipolato? Se scrivi una miniguida la linkiamo in prima pagina. Lo spegnimento è definitivo oppure a tempo?
è definitivo penso, a meno che qualcosa cambi le configurazioni tipo update, aggiornamento firmware ecc...

m4ss1

@hardcorepawn aggiunto link nel secondo messaggio ;)

hardcorepawn

allora intanto riporto anche qui la questione firewall perchè è piuttosto importante visto che espone tutti i router wind ormai...

http://192.168.1.1/ui/dboard/security/firewall/advanced

la regola DROP predefinita sul livello Default è sbagliata e rende il router visibile dall'esterno (pingando le varie porte risultano closed e non stealth cioè invisibili)

bisogna modificarla

in "destinazione del pacchetto" sotto "interfaccia" al posto di "Tutte" bisogna selezionare "Traffico Destinato Localmente" (come in figura sotto)
poi cliccare Applica



A questo punto la regola WAN PING che compare dopo DROP è inutile e si puo' disabilitare: entrare nell'interfaccia di modifica della regola mettere abilita: "No"
poi cliccare Applica

una volta rientrati nella pagina di ricapitolazione delle regole cliccare su Applica ancora

Il problema affligge anche il 5582 allo stesso modo quindi la modifica andrebbe applicata anche li

si ringrazia MaseTheSage @hwupgrade per la dritta risolutiva

Carciofone

@hardcorepawn aggiungo alla discussione queste considerazioni su cui meditare: https://www.achab.it/achab.cfm/it/blog/achablog/drop-vs-reject-qual-e-la-differenza e http://www.chiark.greenend.org.uk/~peterb/network/drop-vs-reject

Riporto le provocatorie conclusioni:
CitazioneConclusion

DROP offers no effective barrier to hostile forces but can dramatically slow down applications run by legitimate users. DROP should not normally be used.
Update:

Sean Taylor emailed with an interesting counterposition:

A very thought provoking discussion. One scenario where drop has a significant advantage is if you are victim of a denial of service attack and have a highly asymmetric data connection (much faster download than upload) as is the case with DSL.

In this case dropping helps because the attacker may not overwhelm your download, but the ICMP responses may overwhelm your upload speed, meaning you will not be able to remotely log in and manage your network under attack, and legitimate traffic is completely blocked.

I'm sure there are more sophisticated ways to manage denial of service, but as part time admin. of a very small server with woeful uplink speed denial of service is the biggest problem I face these days.

hardcorepawn

tutti i router di questo tipo che ho usato sinora hanno configurazione stealth a meno che uno non disabiliti tutto mettendo nat aperto o lasciando configurazioni di forward su consenti

non è dato sapere se in questo router ci sono moduli interni di protezione da attacchi DDOS: nelle configurazioni sicuramente non c'e' menzione

per non rischiare se uno non vuole che il router risulti visibile dall'esterno e far capire che c'e' qualcosa dietro l'indirizzo ip bisogna applicare la modifica

Carciofone

Concordo con te sul fatto che in genere un router è solitamente predisposto dal produttore per comportarsi in modo stealth droppando i pacchetti, ma per come sono costruite oggi le reti, l'unico caso in cui i pacchetti vanno persi è proprio quello in cui il router di testa li droppi, mentre tutti i router di percorso rispondono in modo diverso perchè devono necessariamente rispondere al loro antecedente in catena. Questo i programmatori e gli hacker ormai lo sanno e quindi sanno anche che a pacchetto droppato corrisponde un router silente da attaccare.
L'unica differenza è che per attaccare un router stealth ci vuole circa un volume di contatti superiore di dieci volte e per un tempo molto più lungo a causa dei time out della richiesta, rispetto a quello di un router che effettui il reject dei pacchetti e questo traffico parassitario è ciò che temono i provider internet. Per questo Wind chiede espressamente ai produttori di impostare i firewall degli apparati che distribuisce su reject e non su drop.
Sulla maggior sicurezza intrinseca di una regola drop rispetto ad una reject ormai moltissimi ricercatori sono convinti che non sia vero, ma che anzi una rete in cui gli host siano in modalità stealth garantisce agli attaccanti ottime possibilità di apportare attacchi esterni da router nascosti o quasi degli utenti, ed è anche questo un secondo motivo per cui molti provider richiedono il reject ai router. La tecnica per zombare i router stealth è nota da almeno 5 anni.

Comunque, intendiamoci, le cose sono in continua evoluzione e per l'utente singolo che magari ogni tot riavvii pure la connessione, la modalità stealth è sicuramente efficace.

steom

Ciao,
è possibile recuperare le credenziali dell'autenticazione del modulo SFP?
per poterle mettere su un ont esterno tipo il Huawei HG8010H ed usarlo per affettuare il collegamento?
io ho un modulo sfp Huawei H87MMA5671A2.

m4ss1


rerigam

Citazione di: m4ss1 il 17 Maggio 2018, 17:36:52Disponibile nuovo firmware DVA-5592 A1 WI 20180405

Inserito nel primo messaggio.

Mi potrò anche sbagliare ma mi sembra la stessa versione del 20180129, almeno è identico il numero di bytes (strana coincidenza).
Sai se è stata ripristinata la funzione di aggiornamento automatico firmware tramite reset del router?
Qualche volontario per il test?

m4ss1

Citazione di: rerigam il 17 Maggio 2018, 17:50:19Mi potrò anche sbagliare ma mi sembra la stessa versione del 20180129, almeno è identico il numero di bytes (strana coincidenza).

Non è lo stesso firmware, il numero dei bytes può anche non cambiare.

Citazione di: rerigam il 17 Maggio 2018, 17:50:19Sai se è stata ripristinata la funzione di aggiornamento automatico firmware tramite reset del router?

No, non ho ancora aggiornato   ::)

hardcorepawn

la dimensione credo sia cosa fissa se viene compresso il tutto tramite lzma zlib o similari: salta fuori sempre la stessa dimensione completata da zeri per quello che avanza dai dati

...certo no straccio di changelog potevano pure metterlo

Carciofone

@rerigam: non credo sia stato ripristinato l'aggiornamento automatico, perchè wind ha ancora in download solo il 20180129.
Questo lo puoi comunque aggiornare in automatico inserendo il server ftp tra quelli dentro i quali il router va a verificare se ci sono nuovi firmware. La procedura è indicata in qualche altro forum, ma ad occhio non funzionerà mai perchè i firmware stoccati sui server dlink sono tutti compressi in formato .zip e il router non è in grado di decomprimerli. Installatelo manualmente.
L'ho installato ed in effetti la data mostrata dal firmware cambia, quindi non può essere lo stesso. La configurazione è ok.

Per la cronaca: il precedente firmware 2018.01.29 NON era buggato come dicono altrove ... non certo più di quello di fabbrica :Wink:

bovirus

@Carciofone

In questo nuovo firmware funziona il restore di un file configurazione backuppato?

Questo mi sembra era uno dei bug del firmware di gennaio 2018.

Carciofone

Sì, quell'aspetto sembrerebbe essere stato corretto. Ci sono poi migliorie nell'uso dei dongle LTE ed in particolare del DWM-222 che è impostato come dongle di default e nel reset della macchina vengono fatte lampeggiare tutte le lucette quando si avvia la procedura di reset.
Comunque sì, hai ragione che quell'aspetto non funzionava nel vecchio e anche in quello di settembre.

MaseTheSage

Citazione di: Carciofone il 17 Maggio 2018, 19:41:20@rerigam: non credo sia stato ripristinato l'aggiornamento automatico, perchè wind ha ancora in download solo il 20180129.
Questo lo puoi comunque aggiornare in automatico inserendo il server ftp tra quelli dentro i quali il router va a verificare se ci sono nuovi firmware. La procedura è indicata in qualche altro forum, ma ad occhio non funzionerà mai perchè i firmware stoccati sui server dlink sono tutti compressi in formato .zip e il router non è in grado di decomprimerli. Installatelo manualmente.
L'ho installato ed in effetti la data mostrata dal firmware cambia, quindi non può essere lo stesso. La configurazione è ok.

Per la cronaca: il precedente firmware 2018.01.29 NON era buggato come dicono altrove ... non certo più di quello di fabbrica :Wink:

sera a tutti... solo una curiosità... dove vedi che in download wind ha solo il 2018.01.29? xD

Carciofone


Carciofone

Forse ho rilevato un problema: una delle due reti wifi non rispetta lo scheduling, oppure rimane acceso il led wifi anche se la rete si spegne.

hardcorepawn

si' hanno modificato praticamente tutti gli script

hanno modificato anche delle cose relativamente alla porta scp (migliorato il supporto) e aggiunto qualche supporto in più sulle chiavette umts

hanno anche provato a sistemare l'accesso via browser mobile che prima aveva solo delle sovrapposizioni: ci sono alcuni ipk nuovi proprio sulla gui parte mobile



ah, l'utente che ha appena postato sopra, MaseTheSage, è quello che ha scovato il bug del firewall: dategli subito un punto di reputazione

JackThePoint

Ho installato il nuovo firmware, resettato, e il telnet non accetta più il comando webgui (e non lo visualizza nell'elenco di quelli disponibili) per modificare i permessi delle pagine dell'interfaccia web. Ditemi che ho preso un abbaglio......

MaseTheSage

Citazione di: hardcorepawn il 18 Maggio 2018, 00:06:38si' hanno modificato praticamente tutti gli script

hanno modificato anche delle cose relativamente alla porta scp (migliorato il supporto) e aggiunto qualche supporto in più sulle chiavette umts

hanno anche provato a sistemare l'accesso via browser mobile che prima aveva solo delle sovrapposizioni: ci sono alcuni ipk nuovi proprio sulla gui parte mobile



ah, l'utente che ha appena postato sopra, MaseTheSage, è quello che ha scovato il bug del firewall: dategli subito un punto di reputazione

Buondì a tutti...
Cosa hanno modificato della porta scp? XD
Come torno da lavoro mi dedico al nuovo fw.. comunque penso sempre che se  migliorano il fw, questo diventa davvero un prodotto mooolto interessante sia a livello consumer che a livello piccole aziende.. mi sta davvero piacendo, opportunamente riconfigurato xD

Licenza Creative Commons
Il contenuto dei messaggi del forum è distribuito con
Licenza Creative Commons Attribuzione Non commerciale 4.0
Tutti i marchi registrati citati appartengono ai legittimi proprietari