Routing Class C dentro da WAN CBV ... WTF ?!
- Autor do tópico AndreGarciaLX
- Data Início
AndreGarciaLX
Power Member
uwannacookie
A explicação está incorreta, o problema está exactamente em estar a ser ->roteado<- gamas de Classe C dentro da WAN CBV (atenção WAN é diferente de WWW)
A gama 10.x está a ser usada pela CBV para os seus equipamentos, a situação é a mesma só que com devices de pertença CBV
JoaoP100
anamaria11
O problema está que para formalizar queixa ... o processo não é tão linear assim, tem os seus custos, a CNPD está-se literalemnte a borrifar para isto ...
E obviamente, gostaria de ver a cara de um juiz quando se começasse a falar de "ips" ...
O mais certo seria eu levar em cima ... acho que o dever está por
enquanto cumprido, informei, disseram que vão ver, se não fizerem nada ai logo penso, mas o mais provavel será levar a algum jornalista pois encontram-se protegidos
neste tipo de situações ...
LiveMetal
Bingo Classe C on WAN ... até é possivel, afinal o management dos equipamentos tem de ser feito, mas devia estar totalmente filtrada.
Acho engraçado que mesmo em "bridge" a saida seja MYGW -> IP_da_Onebox_192 -> IP_CBV->10.
cabeca69
Isso são pancadas do ruindowze, o meu Galaxy Note é detetado como um Wiko p.e. , o meu tablet lenovo como Huawei... até pode ter sido uma visita
O modo mais fiável de ver se tens ou não alguém "agarrado" é no proprio WebUI da Onebox, mesmo que já tenham desligado sempre tens o historico do DHCP Lease
************
Sugiro para ficarem descansados, o que já se aconselhou em tantos outros lados, bridge na onebox e dispositivo vosso pelo meio, até os tplinks baratinhos 30€ são melhores que ...
Nas regras de firewall (por defeito p.e. no pfsense) impedir todo e qualquer trafego input no interface wan.
Para algo com mais "musculo" aconselho as Alix, não são propriamente baratas, mas por 106€ temos um quadcore c/ 3 ethernet intel.
Supostamente estarão a ver esta situação ... vamos aguardar
Edit: Esqueci de mencionar que não se pode configurar a firewall na onebox, somente existe um comando para ligar/desligar nada mais ... pelo que consegui apercerber-me a conf vem com o bootfile por tftp dado na negociação de link ... e ai é ilegal mexer, não toco
A explicação está incorreta, o problema está exactamente em estar a ser ->roteado<- gamas de Classe C dentro da WAN CBV (atenção WAN é diferente de WWW)
A gama 10.x está a ser usada pela CBV para os seus equipamentos, a situação é a mesma só que com devices de pertença CBV
JoaoP100
anamaria11
O problema está que para formalizar queixa ... o processo não é tão linear assim, tem os seus custos, a CNPD está-se literalemnte a borrifar para isto ...
E obviamente, gostaria de ver a cara de um juiz quando se começasse a falar de "ips" ...
O mais certo seria eu levar em cima ... acho que o dever está porenquanto cumprido, informei, disseram que vão ver, se não fizerem nada ai logo penso, mas o mais provavel será levar a algum jornalista pois encontram-se protegidos
neste tipo de situações ...
LiveMetal
Bingo
Classe C on WAN ... até é possivel, afinal o management dos equipamentos tem de ser feito, mas devia estar totalmente filtrada.Acho engraçado que mesmo em "bridge" a saida seja MYGW -> IP_da_Onebox_192 -> IP_CBV->10.
cabeca69
Isso são pancadas do ruindowze, o meu Galaxy Note é detetado como um Wiko p.e. , o meu tablet lenovo como Huawei... até pode ter sido uma visita
O modo mais fiável de ver se tens ou não alguém "agarrado" é no proprio WebUI da Onebox, mesmo que já tenham desligado sempre tens o historico do DHCP Lease
************
Sugiro para ficarem descansados, o que já se aconselhou em tantos outros lados, bridge na onebox e dispositivo vosso pelo meio, até os tplinks baratinhos 30€ são melhores que ...
Nas regras de firewall (por defeito p.e. no pfsense) impedir todo e qualquer trafego input no interface wan.
Para algo com mais "musculo" aconselho as Alix, não são propriamente baratas, mas por 106€ temos um quadcore c/ 3 ethernet intel.
Supostamente estarão a ver esta situação ... vamos aguardar
Edit: Esqueci de mencionar que não se pode configurar a firewall na onebox, somente existe um comando para ligar/desligar nada mais ... pelo que consegui apercerber-me a conf vem com o bootfile por tftp dado na negociação de link ... e ai é ilegal mexer, não toco
Última edição:
@AndreGarciaLX , não me parece que o config file tenha alguma configuração de firewall. Essa informação deve estar definida por defeito na Onebox e é essa que faz a gestão da firewall. O config file, por norma, só trás informações relacionadas com as velocidades, prioridade de tráfego, IP para actualizações de firmware dos modems, informação sobre o tráfego consumido (antes era feito por ai também, agora não sei), etc. Nada relacionado com a gestão do próprio tráfego do lado WAN-LAN.
Já agora, como é que acedes à Onebox por telnet? :x E que opções te dá de "bónus" para além das que tens no WebGUI?
Já agora, como é que acedes à Onebox por telnet? :x E que opções te dá de "bónus" para além das que tens no WebGUI?
uwannacookie
Power Member
@AndreGarciaLX Eu referi em mudares a range de IP da tua rede doméstica de 192.x.x.x para 10.x.x.x , podias simplesmente estar na rede de gestão sem qualquer bloqueio.
AndreGarciaLX
Power Member
@LiveMetal
Como diria o Dr. Frankenstein, vamos por partes
Estudei profundamente Docsis e sim, é possivel, até sabem e podem ver o que fazes "na tua rede" por exemplo utilizo PLEX internamente em casa, protocolo UDP, sabemos que nas horas prime este está limitado pelos motivos obvios, se só o uso internamente, como é aplicado qos ?! Tirando a "gestão" da Onebox e passando ao meu equipamento já não tenho problemas com ... Não vou discutir mas ...
*Nota: Todas as informações disponibilizadas abaixo, são de dominio público (Broadcom e SagemCom) e não figuram em nenhum acordo NDA, destinam-se á análise da parte da rede Equipamento Provedor - Dispositivos Cliente, de todos os modos se de algum modo não estiver de acordo com as regras do forum/operador peço por favor a sua eliminação imediata, no questions asked.E obviamente não incentivo de modo algum a utilização da seguinte informação em proveito/dano do proprio ou do operador, será totalmente da vossa responsabilidade.
1 - Para aceder por telnet deves fazer telnet ao ip que tenhas na OneBox (defeito 192.168.0.1) e utilizar as credenciais admin | admin
2 - Comandos úteis:
2.1 - ls - mostrar comandos e diretorios disponiveis
2.2 - cd - mudar o diretorio ativo
2.3 - help comando - mostrar como utilizar os comandos
2.4 - Diretorio raiz:
***
show all - All of the following, plus optionally recurse subtables
show tech_support -- All of the following; recurse all subtables, no user prompts
show ip -- All IP addresses in the system
show reset -- Reset reason history log
show uptime -- Time that system has been up
show version -- SW filename, version, and build info
***
set username -- Sets the username
set password -- Sets the password (Aconselho vivamente a alterarem com este comando a password por defeito admin)
2.5 - Diretorio cm:
***
show all -- ALL options of this command
show arp -- ARP table
show bpi -- BPI status
show certs -- CM certificates
show cls -- Docsis classifiers
show cfg -- CM config file name and contents
show cpe -- CPE info/table
show ds -- Downstream status and signal quality
show dscwer -- Downstream Codeword Error Rate
show dsx -- DSx message history
show event -- CM event log
show flows -- Docsis service flows
show lease -- CM IP and DHCP options
show mdd -- MAC domain settings
show route -- The routing table
show state -- Full docsis state information
show status -- Docsis registration Status
show tod -- Time of day
show ucd -- Upstream descriptors
show us -- Upstream status
show counters -- HW Counters
show debug -- Hal debug
show sockets -- BcmSocket debug
show errors -- Error counters
show us30 -- DOCSIS 3.0 upstream counters
show fam -- Forward assist manager
***
diag downstream 525000000 -- Changes downstream frequency
diag upstream 125000000 -- Changes upstream frequency
***
ping 11.24.4.3 -- Ping IP address 11.24.4.3.
***
set firewall -- enables or disables the firewall. (Como podem verificar somente se pode activar/desativar a firewall, nada de alterações)
set d30version -- enables or disables the D30 version capability advertisement in reg-req.
2.6 - Diretorio eRouter:
***
show all -- ALL options of this command
show firewall -- Displays the firewall nonvol settings
show fwr -- Displays current firewall ruleset
show igmp -- Displays the IGMP Group Statistics
show nat -- Displays the current NAT info
show nd -- Displays the current Neighbor Discovery Thread information
show rg -- Displays the RG nonvol settings
show upnp -- Displays UPnP settings and state information
show reg_dump -- Displays NATP 4KE registers.
show dqm_status -- Displays NATP DQM status
show promotion -- Displays NATP promotion threshold (pps).
2.7 - Diretorio emta:
***
show all -- ALL options of this command
show unservicedSocket -- Show unserviced socket stats
show socket -- Show opened socket
show callHistory -- Call history/count
show certs -- MTA certificates
show codecs -- supported codec list
show cfg -- MTA config file contents
show kerb -- Kerberos ticket and state
show lastKerbMsg -- Last Kerberos message
show lease -- MTA IP address and DHCP options for the current lease
show line -- Line states
show ncsHist -- NCS message history
show ncsDigitMap -- NCS Digit map
show phs -- Shows PHS settings for voice calls
show prov -- Provisioning state
show rtp -- RTP info
show security -- Security association info
show setting -- Emta settings
show status -- State of any NCS connections
show country -- Show list of supported countries and active country
show bosStatus -- Show the status of all EMTA BOS synchronized task resources
show HDAudioState -- Show HD Audio state information
show lastCall -- Show list of last calls info stored (not run in show all)
show processorInfo -- Show processor debug information (not run in show all)
show ipcStats -- Show IPC Statistics for a channel (not run in show all)
show faxrStats -- Show FAXR Statistics for a channel (not run in show all)
show hbState -- Show heartbeat state for a channel (not run in show all)
show ecanStats -- Show ECAN state for a channel (not run in show all)
show logHistory -- Show save log history (not run in show all)
show callclient -- Show call client state information (not run in show all)
show hgcp -- Show HGCP info (not run in show all)
show transaction -- Show HGCP transaction state info (not run in show all)
***
log -- show current log settings
log dns warn -- enables warning and critical DNS message logging
log krb info -- enables informational, warning and critical KERBEROS message logging
log prov off -- disables PROV message logging
log all off -- disables ALL EMTA message logging
log all on -- enables ALL EMTA message logging (including debug, informational, warning and critical logs)
***
reset -- Reset the MTA now.
***
set dhcpOption -- Set requested DHCP option number [122|177]
set dloadInhibit -- Inhibit SW download during call
set dtmfRelay -- RFC2833 DTMF Tone Relay
set faxRelay -- T.38 Fax Relay
set firewall -- Enable the EMTA IP stack firewall
set jitterBuf -- Jitter buffer type + parameters
set lineMaint -- Line voltage maintenance on reboot, sync loss,
-- CMS down
set loopCurrentBoost -- Boosted loop current
set maxCpeInclude -- Inclusion of MTA in CM max CPE limit
set phs -- Set up PHS enabled and suppressed fields
set lockstep -- Set MGCP lockstep and quarantine behavior
set quarantineMode -- Set MGCP quarantine mode
set queueDepth -- Set depth of the NCS message quarantine buffer
set ringOffset -- Ring with DC offset
set rtpPort -- RTP port number for MTA
set telRoot -- Root certificate for use during provisioning
set logEvents -- Enable the logging of extended Events
set toneDetection -- Enhanced tone detection control on an endpoint
set resetTickets -- Reset (CMS / Prov) Kerberos tickets
set ringWaveform -- Set Ring Waveform shape to sinusoidal(1) or
-- trapezoidal(2)
set dqosLite -- Enable or Disable DQoS-lite for the EMTA
set powerMgmtDelay -- Set the delay in seconds before Power Mgmt Mode
set ugsAd -- Enable or Disable UGS-AD Control for the EMTA
set emtaRouterPingTest -- Configure Emta Router Keep Alive Setting
set pulseDialDetect -- Pulse Dial Detection
set slicType -- Sets the SLIC type
set HDAudioEnable -- Enables/disables HD Audio codecs on a per line basis
set g722PayloadType -- Sets payload type for G722-64 codec
*Se repararem, passamos a dispor de toda a conf necessária a um softphone IP, ou bem configurarmos outro provedor VOiP
2.7 - Diretorio ethernet:
***
show all -- Show all of the below
show debug -- Shows debug state of ethernet RX/TX DMA rings.
2.8 - Diretorio ftpLite:
***
ftp -- Initiates FTP until a key is pressed.
Existem mais diretorios com os seus comandos especificos, mas esses deixo á vossa investigação Analisem bem, vão encontrar algumas coisas bem engraçadas como a pass do SNMP default do fabricante chipset (abc0123) (será que é usada em todo o lado ou só no meu equipamento ? hmmm) pass fabricante emta (SagemCom) passes WPS fallback (01234567890) e ainda ... ainda ... mais informações estou disponivel sempre para debater o assunto pessoalmente,aviso no entanto que o meu tarifário assenta em 1 imperial/20 minutos disponibilidade *tremoços não incluidos !!!
Um bem haja e abraço
Edit, já agora uma coisa bem util, abram no Chrome/ie http://IPDABOX:8080/ dá um jeitaço para análise de espectro
Como diria o Dr. Frankenstein, vamos por partes
Estudei profundamente Docsis e sim, é possivel, até sabem e podem ver o que fazes "na tua rede" por exemplo utilizo PLEX internamente em casa, protocolo UDP, sabemos que nas horas prime este está limitado pelos motivos obvios, se só o uso internamente, como é aplicado qos ?! Tirando a "gestão" da Onebox e passando ao meu equipamento já não tenho problemas com ... Não vou discutir mas ...*Nota: Todas as informações disponibilizadas abaixo, são de dominio público (Broadcom e SagemCom) e não figuram em nenhum acordo NDA, destinam-se á análise da parte da rede Equipamento Provedor - Dispositivos Cliente, de todos os modos se de algum modo não estiver de acordo com as regras do forum/operador peço por favor a sua eliminação imediata, no questions asked.E obviamente não incentivo de modo algum a utilização da seguinte informação em proveito/dano do proprio ou do operador, será totalmente da vossa responsabilidade.
1 - Para aceder por telnet deves fazer telnet ao ip que tenhas na OneBox (defeito 192.168.0.1) e utilizar as credenciais admin | admin
2 - Comandos úteis:
2.1 - ls - mostrar comandos e diretorios disponiveis
2.2 - cd - mudar o diretorio ativo
2.3 - help comando - mostrar como utilizar os comandos
2.4 - Diretorio raiz:
***
show all - All of the following, plus optionally recurse subtables
show tech_support -- All of the following; recurse all subtables, no user prompts
show ip -- All IP addresses in the system
show reset -- Reset reason history log
show uptime -- Time that system has been up
show version -- SW filename, version, and build info
***
set username -- Sets the username
set password -- Sets the password (Aconselho vivamente a alterarem com este comando a password por defeito admin)
2.5 - Diretorio cm:
***
show all -- ALL options of this command
show arp -- ARP table
show bpi -- BPI status
show certs -- CM certificates
show cls -- Docsis classifiers
show cfg -- CM config file name and contents
show cpe -- CPE info/table
show ds -- Downstream status and signal quality
show dscwer -- Downstream Codeword Error Rate
show dsx -- DSx message history
show event -- CM event log
show flows -- Docsis service flows
show lease -- CM IP and DHCP options
show mdd -- MAC domain settings
show route -- The routing table
show state -- Full docsis state information
show status -- Docsis registration Status
show tod -- Time of day
show ucd -- Upstream descriptors
show us -- Upstream status
show counters -- HW Counters
show debug -- Hal debug
show sockets -- BcmSocket debug
show errors -- Error counters
show us30 -- DOCSIS 3.0 upstream counters
show fam -- Forward assist manager
***
diag downstream 525000000 -- Changes downstream frequency
diag upstream 125000000 -- Changes upstream frequency
***
ping 11.24.4.3 -- Ping IP address 11.24.4.3.
***
set firewall -- enables or disables the firewall. (Como podem verificar somente se pode activar/desativar a firewall, nada de alterações)
set d30version -- enables or disables the D30 version capability advertisement in reg-req.
2.6 - Diretorio eRouter:
***
show all -- ALL options of this command
show firewall -- Displays the firewall nonvol settings
show fwr -- Displays current firewall ruleset
show igmp -- Displays the IGMP Group Statistics
show nat -- Displays the current NAT info
show nd -- Displays the current Neighbor Discovery Thread information
show rg -- Displays the RG nonvol settings
show upnp -- Displays UPnP settings and state information
show reg_dump -- Displays NATP 4KE registers.
show dqm_status -- Displays NATP DQM status
show promotion -- Displays NATP promotion threshold (pps).
2.7 - Diretorio emta:
***
show all -- ALL options of this command
show unservicedSocket -- Show unserviced socket stats
show socket -- Show opened socket
show callHistory -- Call history/count
show certs -- MTA certificates
show codecs -- supported codec list
show cfg -- MTA config file contents
show kerb -- Kerberos ticket and state
show lastKerbMsg -- Last Kerberos message
show lease -- MTA IP address and DHCP options for the current lease
show line -- Line states
show ncsHist -- NCS message history
show ncsDigitMap -- NCS Digit map
show phs -- Shows PHS settings for voice calls
show prov -- Provisioning state
show rtp -- RTP info
show security -- Security association info
show setting -- Emta settings
show status -- State of any NCS connections
show country -- Show list of supported countries and active country
show bosStatus -- Show the status of all EMTA BOS synchronized task resources
show HDAudioState -- Show HD Audio state information
show lastCall -- Show list of last calls info stored (not run in show all)
show processorInfo -- Show processor debug information (not run in show all)
show ipcStats -- Show IPC Statistics for a channel (not run in show all)
show faxrStats -- Show FAXR Statistics for a channel (not run in show all)
show hbState -- Show heartbeat state for a channel (not run in show all)
show ecanStats -- Show ECAN state for a channel (not run in show all)
show logHistory -- Show save log history (not run in show all)
show callclient -- Show call client state information (not run in show all)
show hgcp -- Show HGCP info (not run in show all)
show transaction -- Show HGCP transaction state info (not run in show all)
***
log -- show current log settings
log dns warn -- enables warning and critical DNS message logging
log krb info -- enables informational, warning and critical KERBEROS message logging
log prov off -- disables PROV message logging
log all off -- disables ALL EMTA message logging
log all on -- enables ALL EMTA message logging (including debug, informational, warning and critical logs)
***
reset -- Reset the MTA now.
***
set dhcpOption -- Set requested DHCP option number [122|177]
set dloadInhibit -- Inhibit SW download during call
set dtmfRelay -- RFC2833 DTMF Tone Relay
set faxRelay -- T.38 Fax Relay
set firewall -- Enable the EMTA IP stack firewall
set jitterBuf -- Jitter buffer type + parameters
set lineMaint -- Line voltage maintenance on reboot, sync loss,
-- CMS down
set loopCurrentBoost -- Boosted loop current
set maxCpeInclude -- Inclusion of MTA in CM max CPE limit
set phs -- Set up PHS enabled and suppressed fields
set lockstep -- Set MGCP lockstep and quarantine behavior
set quarantineMode -- Set MGCP quarantine mode
set queueDepth -- Set depth of the NCS message quarantine buffer
set ringOffset -- Ring with DC offset
set rtpPort -- RTP port number for MTA
set telRoot -- Root certificate for use during provisioning
set logEvents -- Enable the logging of extended Events
set toneDetection -- Enhanced tone detection control on an endpoint
set resetTickets -- Reset (CMS / Prov) Kerberos tickets
set ringWaveform -- Set Ring Waveform shape to sinusoidal(1) or
-- trapezoidal(2)
set dqosLite -- Enable or Disable DQoS-lite for the EMTA
set powerMgmtDelay -- Set the delay in seconds before Power Mgmt Mode
set ugsAd -- Enable or Disable UGS-AD Control for the EMTA
set emtaRouterPingTest -- Configure Emta Router Keep Alive Setting
set pulseDialDetect -- Pulse Dial Detection
set slicType -- Sets the SLIC type
set HDAudioEnable -- Enables/disables HD Audio codecs on a per line basis
set g722PayloadType -- Sets payload type for G722-64 codec
*Se repararem, passamos a dispor de toda a conf necessária a um softphone IP, ou bem configurarmos outro provedor VOiP
2.7 - Diretorio ethernet:
***
show all -- Show all of the below
show debug -- Shows debug state of ethernet RX/TX DMA rings.
2.8 - Diretorio ftpLite:
***
ftp -- Initiates FTP until a key is pressed.
Existem mais diretorios com os seus comandos especificos, mas esses deixo á vossa investigação
Analisem bem, vão encontrar algumas coisas bem engraçadas como a pass do SNMP default do fabricante chipset (abc0123) (será que é usada em todo o lado ou só no meu equipamento ? hmmm) pass fabricante emta (SagemCom) passes WPS fallback (01234567890) e ainda ... ainda ... mais informações estou disponivel sempre para debater o assunto pessoalmente,aviso no entanto que o meu tarifário assenta em 1 imperial/20 minutos disponibilidade *tremoços não incluidos !!!Um bem haja e abraço
Edit, já agora uma coisa bem util, abram no Chrome/ie http://IPDABOX:8080/ dá um jeitaço para análise de espectro
Última edição:
AndreGarciaLX
Power Member
@uwannacookie Volta a ler o que comentei de todos os modos não tenho qualquer interesse em ... além de que seria quebra direta dos TOS
de todos os modos não tenho qualquer interesse em ... além de que seria quebra direta dos TOS AndreGarciaLX
Power Member
Caros, se bem me parece já não existe classe C, confirmam ? Abc
uwannacookie
Power Member
@AndreGarciaLX Não de todo. A classe 10.x.x.x é endereço privado de classe A, cuja subnet é de /8 , ou 255.0.0.0 . Se a Cabovisao tivesse ACL's devidamente feitas, qualquer IP classe A na tua rede não deveria afectar a rede de gestao (que é Classe A por norma). O teste seria, a tua rede confundir-se com a rede de gestão, e teres acesso direto. Provaria uma falha de segurança enorme.
@AndreGarciaLX , desde já um obrigado pela informação prestada Eu em tempos também estudei qualquer coisa de DOCSIS mas só o mais básico mesmo.
Confirmo que já não há IPs 192.168.*.* visíveis na rede interna da Cabovisão. Bom trabalho eheh
Uma coisa que não pude deixar de verificar é que a minha Onebox cria 2 redes distintas (192.168.0.* e 192.168.2.*). Vi isso fazendo o show ip por telnet. A tua também aparece assim?
Umas imperiais e uns tremoços a mim parece-me bem! Ou até uns "caracoles" que estamos a chegar à época deles
eheheh
Abraço
EDIT: Algo que me interessava saber:
max CPE per CM: T=0x12 (018) L=0x01 (001) V=0x04 (4)
Ou seja, o meu config file permite 4 IPs públicos pena por webGUI não dê para configurar a Onebox de forma a aproveitar esta "particularidade".
Eu em tempos também estudei qualquer coisa de DOCSIS mas só o mais básico mesmo.Confirmo que já não há IPs 192.168.*.* visíveis na rede interna da Cabovisão. Bom trabalho
ehehUma coisa que não pude deixar de verificar é que a minha Onebox cria 2 redes distintas (192.168.0.* e 192.168.2.*). Vi isso fazendo o show ip por telnet. A tua também aparece assim?
Umas imperiais e uns tremoços a mim parece-me bem! Ou até uns "caracoles" que estamos a chegar à época deles
ehehehAbraço
EDIT: Algo que me interessava saber:
max CPE per CM: T=0x12 (018) L=0x01 (001) V=0x04 (4)
Ou seja, o meu config file permite 4 IPs públicos
pena por webGUI não dê para configurar a Onebox de forma a aproveitar esta "particularidade".
Última edição:
AndreGarciaLX
Power Member
@uwannacookie
Uma class A pode não ser um /8 se apetecer até pode ser um /30 onde somente comunicam dois hosts, pode não parecer muito comum mas por exemplo é o que eu uso quando sou obrigado a papar com NAT de router se não houver bridge WAN, ACL e firewalling apesar de parecer o mesmo são duas coisas diferentes,na base a grande diferença está em stateless e stateful inspection, aqui pelo routing obviamente precisamos de firewall, era giro ver um snmp a funcionar numa /8, acho muito bem que segmentem por zonas senão ui ... quanto ao resto a ver se me consigo fazer compreender, uma coisa é eu "tropeçar", outra coisa é andar a fazer propositadamente. Abc
@LiveMetal
Boa ! Já enviei email a agradecer .
Não sei se vou dizer uma asneirada, creio que a gama 192.168.2 é o que ela usa para a parte do STB comunicar com o disco da OBox em samba/ftp e dar acesso á net ao STB acho que tens lá informação do PHY.
Hipoteticamente falando pode ser que exista uma UART on board, hipoteticamente poderá estar a utilizar u-boot, hipoteticamente pode sofrer de um bug que deixa a sessão aberta em root (expert:expert) durante dois segundos antes de fechar tudo, hipoteticamente falando um adaptador usb-serie podia funcionar para um terminal.Hipoteticamente o tftpd pode ser carregado de um PHY
Não tens 4, mas tens 2 ! Assumindo defaults configuras um interface no teu pc com duas vlans, uma a apanhar dhcp e a outra com o ip estatico 192.168.0.2 gw 192.168.0.1, na obox configuras o bridge com o mac do PHY, e adicionas como DMZ o ip 192.168.0.2, dependendo se depois no roteamento mandas sair por um lado ou outro irá por um ou outro ip publico, certo levas á mesma com nat-dmz no 0.1 mas não tens de andar a partir nada. Por defeito até, esta rede quando usas bridge fica activo nas restantes portas do switch/wifi da obox, demorei um pouco a perceber o porquê mas é fácil, o STB precisa de internet e não pode depender uma configuração custom bridge !! Até podes deixar essa "rede" para as visitas por exemplo
Os caracois, são uns animais irrequietos !
Abc
Uma class A pode não ser um /8 se apetecer até pode ser um /30 onde somente comunicam dois hosts, pode não parecer muito comum mas por exemplo é o que eu uso quando sou obrigado a papar com NAT de router se não houver bridge WAN, ACL e firewalling apesar de parecer o mesmo são duas coisas diferentes,na base a grande diferença está em stateless e stateful inspection, aqui pelo routing obviamente precisamos de firewall, era giro ver um snmp a funcionar numa /8, acho muito bem que segmentem por zonas senão ui ... quanto ao resto a ver se me consigo fazer compreender, uma coisa é eu "tropeçar", outra coisa é andar a fazer propositadamente. Abc
@LiveMetal
Boa ! Já enviei email a agradecer .
Não sei se vou dizer uma asneirada, creio que a gama 192.168.2 é o que ela usa para a parte do STB comunicar com o disco da OBox em samba/ftp e dar acesso á net ao STB acho que tens lá informação do PHY.
Hipoteticamente falando pode ser que exista uma UART on board, hipoteticamente poderá estar a utilizar u-boot, hipoteticamente pode sofrer de um bug que deixa a sessão aberta em root (expert:expert) durante dois segundos antes de fechar tudo, hipoteticamente falando um adaptador usb-serie podia funcionar para um terminal.Hipoteticamente o tftpd pode ser carregado de um PHY
Não tens 4, mas tens 2 ! Assumindo defaults configuras um interface no teu pc com duas vlans, uma a apanhar dhcp e a outra com o ip estatico 192.168.0.2 gw 192.168.0.1, na obox configuras o bridge com o mac do PHY, e adicionas como DMZ o ip 192.168.0.2, dependendo se depois no roteamento mandas sair por um lado ou outro irá por um ou outro ip publico, certo levas á mesma com nat-dmz no 0.1 mas não tens de andar a partir nada. Por defeito até, esta rede quando usas bridge fica activo nas restantes portas do switch/wifi da obox, demorei um pouco a perceber o porquê mas é fácil, o STB precisa de internet e não pode depender uma configuração custom bridge !! Até podes deixar essa "rede" para as visitas por exemplo
Os caracois, são uns animais irrequietos !
Abc
Ketheriel
Power Member
Sim, só te falhou um ponto na tua teoria... Pode ser inclusive um cliente da Cabovisao com um equipamento de rede com BGP configurado a anunciar essas rotas. Inclusive pode muito bem ser a tal Camara que falhaste por terem um tecnico lerdo.
Eu trabalhei numa empresa que tinha infra-estrutura em determinado datacenter em Lisboa onde também me apercebi que a NOS estava a expor várias redes, uma delas a 10.45.255.255 por BGP. E melhor conseguia apontar um browser e ligar-me aos modems dos clientes...
Os equipamentos de rede que eu tenho em minha casa, nomeadamente o que tenho a fazer o core routing também pode ser configurado para apresentar as minhas redes por BGP para o exterior... No entanto nao o faço.
Para quem concentrou tantos esforços em tentar demonstrar algo que nao ficou demonstrado, faltou-te o essencial.... pores o MTA em modo de bridge e deixares o teu equipamento gerir tudo o resto em vez de inserires mais redes e mais SNATs pelo meio (o que te prejudica). Um individuo intelegente procederia dessa forma, modo bridge no MTA (acredita que funciona muito bem que eu tenho isso configurado assim, uma vez que o meu AP tem uma super antena no maximo do limite permitido por lei).
Ketheriel
Power Member
Nunca te passou pela cabeça por o MTA em modo de bridge? Se o fizesses o teu equipamento ficaria com um IP externo da Cabovisao...
Repara bem nisto:
Código:
[[email protected]] > /ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK INTERFACE
0 ;;; defconf
192.168.88.1/24 192.168.88.0 ether2-master
1 D 84.91.184.25/22 84.91.184.0 ether1Isto deveria ser o que deverias ter feito em vez de andar a inventar.
ether1 - porto que liga ao MTA da cabovisao
ether2-master - bridge interna do router para o AP/Switch
Isso é tudo muito bonito, se o Bridge da Onebox funcionasse como deve ser. O problema é que, mesmo em bridge, o tráfego passa todo pela Onebox e faz lá um hop na mesma. Simplesmente não vai ao NAT... e, mesmo assim, ainda a expõe ao exterior. Não sei se tens conhecimento, mas a Onebox (mesmo em bridge) mantém um IP público no seu NAT, ou seja, WiFi e nas restantes portas (em suma, existirão sempre 2 redes... a da Onebox e a que fazes bridge).
Convém ter-se algum cuidado quando se fala das coisas e, ainda para mais, pondo em causa o conhecimento de causa de outra pessoa.
Ketheriel
Power Member
Neste ponto tens razao, eu nao tenho OneBox, tenho um modem normal e as minhas boxes sao KAON DVR. A unica razao porque escolhi este setup é porque o modem está num bastidor/central de telecomunicaçoes de onde sai para toda a casa coaxial e RJ45.
Consegues fornecer esta informaçao:
* traceroute (ex: google.com)
* dump do connection tracking da firewall;
* tabela de NAT da firewall (da OneBox);
* tabelas de routing da OneBox;
Que NAT? NAT é uma tabela na firewall associada a IP Masquerading. Deves ter uma firewall no router e outra na OneBox, referes-te a qual delas?
Certo. O que pode indicar que tens um servidor de DHCP para o wireless e outro para os portos fisicos ao inves de teres apenas 1 DHCP na bridge principal. Faz sentido, certo?
O que acontece se desligares a firewall da OneBox? (o meu modem/MTA faz isto automatico, quando activo o modo de bridge ele desliga isso tudo).
Eu nao pus o conhecimento de ninguém em causa, simplesmente disse que é mais simples que a confusao que andam para aí a fazer.
A resposta para o que passa é facil de descobrir.
AndreGarciaLX
Power Member
Não se tratava de um equipamento cliente mas sim um MTA Cisco pertença da CBV como confirmado por eles, fazes sequer ideia do que é BGP e diferenciar igress de egress ??
Trabalhaste numa empresa que tem infra estrutura num DC em LX, óptimo, provavelmente já terei passado por lá
10.45.255.255 não se trata de uma rede, mas sim de um endereço IP privado de .. BROADCAST !! È a função dele "anunciar" que existe aquela rede para os restantes equipamentos.Não deves ter lido com certeza, fui bem mais além de colocar em bridge, se quiseres saber os detalhes lê com atenção o que coloquei em cima, como muito colocaria DNAT, não SNAT, gostei do "intelegente" mas prefiro mesmo ser intelIgente
(adorei o insulto barato sem sentido) nunca deves ter tocado numa OneBox para dizeres que o bridge funciona bem e para terminar que raio me importa a mim teres um AP com uma super antena no maximo permitido por lei ? Será como nas crianças em que se tenta ver quem tem a pilinha maior, tens mesmo a certeza que queres ir por ai ?AndreGarciaLX
Power Member
Não leste mesmo definitivamente ... já agora para um expert como afirmas ser deixar um dominio .local sounds pretty amateur, até te explicava o porquê mas vou deixar que descubras com o tempo
AndreGarciaLX
Power Member
Arranja uma OneBox e testa, não tem NADA a ver com o que tu tens, basta olhares pelo fórum e veres os comentários da malta a tentar livrar-se da onebox e voltar para motorola+kaon ...
A informação que pedes já foi postada por mim em cima, mais uma ler não custa nada e até está bem documentado.
"NAT é uma tabela na firewall associada a IP Masquerading" aqui vou ajudar-te vá Network Address Translation ! Precisas de ter uma firewall nos dois pontos exactamente para que ? O objectivo é exactamente o contrario colocar em bridge transparente de modo á OneBox não tocar em NADA, o servidor de DHCP que fica activo nas restantes portas ethernet e wireless é exactamente o mesmo ! que tu supostamente desactivas ao colocar o modo bridge mas ele lá fica a funcionar como se de uma segunda rede se tratasse, para mim isto não é colocar em bridge ... mas se calhar aprendi pouco nos meus poucos 15 anos de networking e com o meu CCIE R&S...