Substituir ONT por Mikrotik com SFP

Boa tarde,

A foto colocada em cima, e uma ligação feita a rede de fibra óptica pública na Suíça. O router da operadora não permitia modo bridge, por isso tive que meter mãos à obra para dar a volta a isso. A autenticação e feita através do OTO-ID ( cada casa possui uma tomada com o código escrito https://zuerinet.ch/system/faqs/3/Glasfasersteckdose.jpg?1519044165 )

O router da operadora e um sagemcom 5360, que requer um SFP externo. Por isso foi só pegar no SFP fornecido pelo operador e colocar no conversor da tp-link. Simples parece, certo? Errado, o operador não se disponibilizou a fornecer a password para a ligação voip então tive que procurar um método de sniffar a mesma. Todos os métodos de tentativa de entrar no router em modo root estavam tapados pelos últimos firmwares do operador. Num site que já não existe (disponível através de cache da internet) existe um script que desencripta os backups dos router sagemcom, e foi a solução, criei um backup das minhas configurações, desencriptei com o tal script python, extrai o gzip, modifiquei o ficheiro e coloquei um utilizador com privilégio root e Telnet, empacotei de novo em gzip, voltou a ser encriptado com o script e foi feito restore do backup no router.

Com acesso Telnet em modo root, foi simples extrair os dados SIP. A sagemcom corre uma versão modificada do firmware openwrt.

Esta lenga lenga toda para dizer o seguinte:
Se colocarem um TP-Link TX-6610 (exemplo) para fazer autenticação na rede, das duas uma: precisam de alguém que vos valide o novo serial GPON na rede e vos forneça a password SIP, ou então tem que extrair o serial GPON do router actual e fazer clone na web interface do tp-link.

Relativamente há pergunta sobre o porque de usar o conversor da tp-link em vez de um edgerouter ou microtik, foi apenas custo, com o SFP na mão, o tp-link custou 15/20 euros na Amazon.
 
Boa tarde,

A foto colocada em cima, e uma ligação feita a rede de fibra óptica pública na Suíça. O router da operadora não permitia modo bridge, por isso tive que meter mãos à obra para dar a volta a isso. A autenticação e feita através do OTO-ID ( cada casa possui uma tomada com o código escrito https://zuerinet.ch/system/faqs/3/Glasfasersteckdose.jpg?1519044165 )

O router da operadora e um sagemcom 5360, que requer um SFP externo. Por isso foi só pegar no SFP fornecido pelo operador e colocar no conversor da tp-link. Simples parece, certo? Errado, o operador não se disponibilizou a fornecer a password para a ligação voip então tive que procurar um método de sniffar a mesma. Todos os métodos de tentativa de entrar no router em modo root estavam tapados pelos últimos firmwares do operador. Num site que já não existe (disponível através de cache da internet) existe um script que desencripta os backups dos router sagemcom, e foi a solução, criei um backup das minhas configurações, desencriptei com o tal script python, extrai o gzip, modifiquei o ficheiro e coloquei um utilizador com privilégio root e Telnet, empacotei de novo em gzip, voltou a ser encriptado com o script e foi feito restore do backup no router.

Com acesso Telnet em modo root, foi simples extrair os dados SIP. A sagemcom corre uma versão modificada do firmware openwrt.

Esta lenga lenga toda para dizer o seguinte:
Se colocarem um TP-Link TX-6610 para fazer autenticação na rede, das duas uma: precisam de alguém que vos valide o novo serial GPON na rede e vos forneça a password SIP, ou então tem que extrair o serial GPON do router actual e fazer clone na web interface do tp-link.

Relativamente há pergunta sobre o porque de usar o conversor da tp-link em vez de um edgerouter ou microtik, foi apenas custo, com o SFP na mão, o tp-link custou 15/20 euros na Amazon.

Pois, são detalhes importantes que não vão muito em conta com o objetivo do tópico inicial, visto que nada do que explicas se aplica a nenhum dos cenários de fibra (vulgo GPON) oferecidos pelas operadoras portuguesas. Não basta comprar um conversor comum, e não basta comprar um sfp comum, até porque a ligação de fibra que apresentas é em tudo diferente de uma ligação GPON.

Alem disso, a autenticação também não é um passo trivial e sem o SFP apropriado (e são muito poucos) não é possível. Os espanhóis já se debateram com esta situação e conseguiram uma solução para os ISPs deles, e o nosso o objetivo seria replicar o que eles fazem, até porque eles têm cenários de ISPs que usam autenticação manual e outros com autenticação semiautomática (que pela minha investigação é o que também acontece em Portugal). A solução chave para os espanhóis foi arranjar uns SFPs mágicos que foram ja mencionados algures num post neste tópico (ZISA), mas dada a limitação na venda desses SFPs, houve alguém que se deu ao trabalho de desenhar e comercializar um SFP custom preparado para quase todos os challenges de autenticação das redes GPON. O meu objetivo passa por usar um desses SFPs e estudar a rede das diferentes operadoras que decerto será semelhante ás redes espanholas.
 
Última edição pelo moderador:
Novidades de porcaria:
Nem necessitei de mandar vir nada, emprestaram-me ont, sfp, router huawei sem configuração, conversores, etc e nem sinal da fibra.
No huawei dava para mudar o mac adreess meti igual que no fibergateway e nada, não sincroniza.
 
Bem, este tópico ficou parado no último ano, mas estive sempre a acompanhar este projeto e finalmente tive algum tempo livre para avançar com algumas descobertas. TLDR: Ainda não é possível substituir o ONT de nenhuma das operadoras, mas estamos lá quase!


MEO

O meu estudo incide mais sobre substituir os aparelhos da MEO, especificamente o fibergateway que era o que existia no meu set up. O sistema da meo parece simples mas ao mesmo tempo deu boas dores de cabeça. O grande problema da MEO é que é praticamente tudo feito por eles (infelizmente! -> https://www.alticelabs.com/site/gpon-solutions/pon/ ) o que significa que muito possivelmente os OLTs que eles têm podem ter como base um OLT de um outro fabricante (Alcatel por ex.), mas com os floreados deles por cima. Isto pode ser meio caminho andado para não seja possível usar hardware vendido ao end user, visto que pode haver grandes incompatibilidades com o OLT.

Bem, detalhes: A MEO usa uma ligação GPON autenticada, com ip atribuído de forma dinamica por DHCP. A autenticação rege-se pelo GPON SN, que é o serial number do vosso router (no meu caso fibergateway), a GPON PWD (também PLOAD password) é um default 20-20-20-20-20-20-20-20-20-20 (foi-me garantido), e clonagem do MAC Address do vosso router (não tenho bem a certeza se é necessário, mas honestamente também não é um grande obstáculo)

Para testar isto, usei um TP-Link Archer XR500V, que me parecia muito promissor ao início, mas que me desiludiu um bocado no fim. Este router é um dos típicos da TP-LINK com uma entrada SC/APC, e com montes de oferta para tunning. Permite fazer tudo aquilo que para a MEO seria necessário, incluindo clonar o mac address em todas as interfaces do router. O que consegui com isto? O router liga-se ou OLT e troca mensagens OMCI com sucesso, chegando mesmo a chegar a um estado O5 (Authenticated). O GRANDE Problema é que o router tem um bug do catano e como é destinado para ISPs eles não disponibilizam quase nada (nem firmwares públicos). O Bug é que ao introduzir a GPON pwd em hexadecimal, o router não deixa meter os 10 Bytes que diz suportar (ou seja apenas deixa 18 hex chars e não 20). Eles têm la a alternativa para meter em ASCII, que ai sim, deixa meter os 10 bytes, mas como 20 em HEX é um espaço (" ") eu fico sempre naquela se ele não se frita todo e se faz a conversão corretamente. Agora, eu não sou experiente o suficiente para saber se existe diferença em ter uma password metida em ASCII ou em HEX (do ponto de vista da autenticação com o OLT), mas assumi que era so uma opção de conversão oferecida e que o router ia ser civilizado, usando sempre HEX mesmo quando a pwd era submetida em ASCII. Não resultou.

Isto levou-me a conjeturar varias teorias
  1. A GPON password está errada (honestamente, não acho provavel)
  2. O Router nao esta a fazer bem handle da GPON password em ASCII (mais tarde conclui que é provavel)
  3. Nenhum dos perfis oferecidos pelo router é compativel com o OLT da meo (pode acontecer, mas tambem nao acho que tenho sido esse o problema)
  4. É necessário clonar mais alguma informação além do que foi mencionado, por exemplo: Vendor id, ONT Version, ONT model, Equipment id, firmware version, etc (se for isto, o router da tp-link nao tem maneira de suportar isto out of the box)

Com o objetivo de alterar coisas à mão e à pedreiro, liguei-me ao router pela UART onde consegui uma shell de root-admin no Filesystem do router. Com isto tive também acesso a todo o software usado pela tp-link. Conclui com isto que a teoria 2 podia ser verdade, porque não me pareceu que o router fazia uma conversão de ASCII para HEX diretamente, o que podia ser um problema. Entre todas as milhares de coisas que tentei e reversei, a minha ideia final foi em tentar alterar na memória flash o GPON Password (não é tão simples como editar um ficheiro). Eis que durante os milhares de testes que fiz, enquanto dumpava uns registos da memória, fui forçado a reiniciar o router. Nunca mais bootou! Brikou ao ponto de perder acesso à UART (ainda estou a tentar perceber o que aconteceu). Isto significa que o divertimento teve de acabar, o que aumentou bastante a minha frustração (que já era alguma). Estava mesmo disposto em fazer um patch ao firmware e criar uma versão distribuível no caso de funcionar, mas enfim agora já não é possível.

Em relação aos modos de ligação com o OLT, eu vi no firmware que ele tem um modo automático, mas maioritariamente suporta OLTs da Huawei, ZTE, Fiberhome e mais uns quantos que não consegui identificar. Não me pareceu mesmo haver um problema em falar com os OLTs da meo (julgo que no sítio onde testei eram baseados na Alcatel).

* a vantagem deste router é que tem portas FSX por isso daria para preservar tanto NET, IPTV e VOIP! Ao nível de funcionalidades, estão la todas!


Os Equipamentos e o suporte dos OLTS

tp-link

O equipamento que usei da TP-Link parecia-me o mais promissor que havia no mercado, mainstream, potente e suitable para end users. Similares a este existe o TX-W6961N, XN020-G3v e o TX-6610. São mais fracos e não são tão acessíveis no mercado (alguns já descontinuados). A premissa do Archer usado para testes aplica-se aos restantes, ate porque as tools custom da tp-link deverão ser as mesmas.


ubiquiti

Similares ao TX-6610, a ubiquiti tem o UFiber Nano e o UFiber Loco. Isto nao fundo são ONTs, mas já dariam uma ajuda. Acho que são potentes e usam software diferente do da tplink. No que toca a suporte de OLTs, diria que são praticamente os mesmos.


CarlitoxxPro SFP


Este é sem dúvida o hardware com mais potencial, sem dúvida alguma. Problema, é caro como os olhos e custa a volta de 130 euros (só o SFP!). Este sfp é feito por uns espanhóis com exatamente o mesmo objetivo que nós. Já é a segunda versão que comercializam, e desta vez tem software custom deles, feito para alterar tudo o que possa ter que ser alterado, e segundo eles têm um suporte enorme de vários switches (mikrotik principalmente) e OLTs! Honestamente, não sei se me vou dar ao trabalhar de comprar uma unidade ate porque eu praticamente não vivo em Portugal e é uma solução super overkill e com bastantes barreiras a entrada para grande parte dos users. Mas honestamente, se tivesse que apostar num cavalo, era neste. O SFP em questão chama-se CPGOS03-0490 e é uma revisão deles com base num Hilink HL23446.

Por Fim

Vodafone

Sei também como se processa a autenticação com a Vodafone, no entanto, julgo que a autenticação varia de cliente para cliente (ainda assim fácil de obter). Não vou dizer como, pelo menos ate ter oportunidade de poder testar uma ligação com tempo e calma. A parte boa da vodafone é que usam muita coisa da Huawei, mesmo em OLTs, por isso é possível que qualquer integração com equipamentos mainstream com suporte para GPON seja tranquila.


Desculpem la o tamanho do post, e alguma da minha frustração, mas foram mesmo bastantes horas investidas em aprender isto tudo para no fim não conseguir o objetivo, mas ainda assim achando estar perto! (e ainda mandar um router com os porcos). Qualquer pessoa interessada está há vontade em enviar MP para esclarecimentos ou de continuar a investigação aqui no post. Contem as vossas novidades, e eu volto a colocar novidades no fórum se, entretanto alguma coisa significativa mudar.
 
Última edição:
@mavs , usando esse CarlitoxxPro SFP em hardware x86, com recurso a pfsense, não será mais proveitoso do que as soluções alternativas? Sobretudo, porque se integra tudo em gateway/firewall?
 
Sim claro, o hardware pode ser o que qualquer um quiser, desde que suporte o SFP e partindo do pressuposto que o próprio SFP permita reproduzir o mesmo ambiente que um router da operadora.

Aproveito para dizer que em algumas infraestruturas (nao sei se é o caso dos ISPs PT), especialmente da Alcatel Lucent (ALU), é necessário ativar a interoperabilidade com um 3rd Party ONT e excluir custom MEs (management entities). Esperemos que não seja o caso porque ai seria necessário um comportamento ativo por parte da operadora em ativar essa opção.
 
Sim claro, o hardware pode ser o que qualquer um quiser, desde que suporte o SFP e partindo do pressuposto que o próprio SFP permita reproduzir o mesmo ambiente que um router da operadora.

Aproveito para dizer que em algumas infraestruturas (nao sei se é o caso dos ISPs PT), especialmente da Alcatel Lucent (ALU), é necessário ativar a interoperabilidade com um 3rd Party ONT e excluir custom MEs (management entities). Esperemos que não seja o caso porque ai seria necessário um comportamento ativo por parte da operadora em ativar essa opção.
Estou a tentar fazer o mesmo, alguma update sobre o assunto?
 
Bom, eu acabei por comprar o sfp da CarlitoxxPro, já coloquei o slid e o sn do meu ONT VDF lá e o OMCI já sobre até ao estado O5, mas depois as VLANs em cima não obtêm IP, portanto ainda me está a faltar alguma coisa...
 
Bom, eu acabei por comprar o sfp da CarlitoxxPro, já coloquei o slid e o sn do meu ONT VDF lá e o OMCI já sobre até ao estado O5, mas depois as VLANs em cima não obtêm IP, portanto ainda me está a faltar alguma coisa...

Tens o Client DHCP ativo nas interfaces VLANs?

Cumps
 
Yap, as VLANS têm a mesma configuração que com o ONT da VDF. A única mudança é que mudaram de uma ether1 para um sfp-plus1.

Quais são as VLANs do lado da Vodafone?

O meu cenário é diferente, mas será algo similar ao seguinte:

sZiwCDq.png


Código:
/interface vlan
add comment="Dados PT - ZTE MF266" interface=ether9 name="VLAN 12" vlan-id=12
...
/interface list
add name=WAN
...
/interface list member
add interface=ether9 list=WAN
add interface="VLAN 12" list=WAN
...

U1zAmgJ.png


xXk66MU.png


Código:
/ip dhcp-client
add !dhcp-options disabled=no interface="VLAN 12" use-peer-dns=no use-peer-ntp=no

Acede ao router por SSH e exporta a configuração e posta (ou envia por PM) para que possa analisar.

Código:
export hide-sensitive

Cumps
 
O problema não são as VLANs, o problema é o OLT que não abriu o acesso ao ONT... se as mesmas vlans funcionam com o ont original, também funcionariam com o sfp..
 
Bom dia,
Tenho seguido o tópico e depois de alguma investigação encontrei um ONT da Vodafone (Huawei HG8012H) que me permite depois de alterar o firmware da Vodafone modificar o SN e password em ascii ou hex dependendo da minha preferência.
Tenho meo em casa e tentei testar se realmente solucionava o problema de eliminar o ONT da meo por este visto ter acesso ilimitado a tudo no ONT alterado, copiei o SN do ONT da meo e a GPON PWD como mencionou o user mavs default 20-20-20-20-20-20-20-20-20-20 mas nada feito, vai até ao stage 4 mas depois volta ao stage 2 e 3.

Alguém tem alguma sugestão ?

PS: Estou neste momento a tentar fazer um dump do firmware do ONT da meo (winbound 25Q128JVFQ) para ver se consigo ver alguma coisa interessante mas penso que está protegido, tenho de investigar mais.
 
Como já vi que não estou sozinho no barco cá vai... (ainda não consegui)

Estou a testar usando o CarlitoxxPro SFP num Mikrotik na MEO.

A minha configuração anterior era ONT -> Mikrotik, mas tento uma porta SFP achei que seria boa ideia e simples fazer tudo directo (em resumo: estava enganado)

Antes de tudo isto liguei me por UART, fiz dump ao ONT (GS0110GH) e iniciei esta aventura.

Anteriormente dava para saltar o boot na versão: U-Boot 2015.04-lantiq-gpon-1.3.4 (Feb 12 2016 - 16:55:43) mas actualmente com a versão U-Boot 2015.04-lantiq-gpon-1.3.4-ALB_0.4 (Nov 22 2018 - 14:29:52) já não existe essa possibilidade.

No final do ciclo de boot pede login (PTIN-GS0110G login: ) mas o único utilizador (nauser) no sistema não tem permissões para aceder ao UART, apenas pode aceder por SSH ou Telnet e está restrito a 3 IP's. Portanto sem alterar o firmware esta via fracassou.

O caminho a seguir foi analisar o firmware e realmente há referencias à PLOAM 0x20 0x20...que como já foi dito representa em ascii o espaço em branco, concluímos então que a MEO apenas usa validação por SN e ignora os campos de password.

Resumindo obtenho a o estado ONU: O5, mas mesmo com a vlan12 configurada não obtenho conexão...

Sei que na Vdf e Nos a coisa é mais fácil porque usam ONT's da Huawei e o próprio Carlitoxx garantiu me que há várias pessoas em PT a usar o SFP dele com sucesso.
 
Última edição:
Eu sou vodafone, estou com o SFP do carlitoxx também num Mikrotik e nada feito... Tenho exactamente o teu problema, estado O5, zero tráfego nas VLANs...
 
Eu sou vodafone, estou com o SFP do carlitoxx também num Mikrotik e nada feito... Tenho exactamente o teu problema, estado O5, zero tráfego nas VLANs...

Mas conseguiste tirar os dados do ONT da Vdf?
Eu estou desconfiado que estou a usar a vlan errada e que seja necessário autenticar com o DHCP.
Por exemplo na MEO eles usam vlan dupla nos clientes empresariais.
 
Sim, na interface web do ONT ele dá os dados todos, a VLAN é a correta porque eu substitui o technicolor original por um Mikrotik e tenho as vlans certas porque está tudo a funcionar.
 
Back
Topo