Anleitung: Modifikation Fritz.box 7170 auf Alice IAD

[graefe]

Servus,
Tja nur angerufen werden klappt leider nicht. Kommt nichts an der FB an.

Mich würde nur interessieren ob jemand mit einer FB 7270 und der IADHack.html Methode sein NGN VoIP zum laufen bekommen hat.

Mir gehts genauso. (IAD 3222 und FB 7170)
Ich bin dem Rat von matze432 gefolgt und habe die "registrarXX.sip.alice-voip.de" mit Wireshark ausgelesen. Dort stand: registrar71. Damit bekomme ich die Nummer aber überhaupt nicht registriert. Mit registrar01 und registrar72 bekomme ich die Registrierung hin - kann aber nicht angerufen werden.

Graefe

Edit: Nach dem Aufspielen der neusten Firmware funktioniert es nun mit der aus Wireshark ausgelesen registrar71. Und ich kann auch angerufen werden! Super!

 

[pee]

Hi,
Ich versuche gerade das ganze auf den IAD 3331 umzumünzen. Das Teil ist im Prinzip eine 7170 mit Alice Firmware. Leider bekomme ich das 32 stellige Passwort noch nicht raus.

Von Vorne:
Zu allererst habe ich mit dem Webinterface des IAD 3331 rumgespielt, dabei habe ich schonmal rausgefunden, dass man z. B. mit

http://alice.box/cgi-bin/webcm?getpage=../html/alice/query.txt&var:cnt=1&var:n0=connection_voip:settings/username

an den Benutzernamen zur PVC-Einwahl kommt ([email protected]), das dazu passende Passwort ist ja durch die Freischalt-Pin gegeben.
Die PVC Verbindung läuft also! (schon getestet)

Im Prinzip kann man mit Hilfe der query.txt-Methode an alle Einstellungen der Box kommen, wenn man den passenden Befehl kennt. Die Befehle sollte man aber auch über eine original Fritzbox rausfinden können:

http://alice.box/cgi-bin/webcm?getpage=../html/alice/query.txt&var:cnt=1&var:n0=sip:settings/sip0/registrar

gibt z. B. sip.alice-voip.de zurück.

Problem ist, wenn man Passwörter auslesen will, dann kommt nur **** zurück.

Da ich beim rumspielen auch rausgefunden habe, dass es möglich ist Pakete zu dumpen (wie bei der rmax-Methode) habe ich mal einen Reset gemacht und danach mitgeschnitten was man da so bekommt.

Gestartet wird der Mitschnitt mit:

http://192.168.1.1/cgi-bin/capture_notimeout

Man kann auch das Interface angeben:

http://192.168.1.1/cgi-bin/capture_notimeout?iface=lan&snaplen=1600&start=Start

Es dauert etwas, dann startet der Download einer Datei (sobald die ersten Bytes gesendet werden). Startet man das ganze so ohne Parameter scheint es (nach meiner Interpretation), als würde man auf der PVC-Verbindung horchen. Nach dem Reset wird eine PPPOE Verbindung aufgebaut (der PVC-Username von oben tauch hier wieder auf), danach gibt es ein paar DNS-Requests (registrar71.sip.alice-voip.de!). Schließlich sendet der IAD SIP-Requests usw.
Dann werden die in der rmax-Methode angesprochenen xml-Daten geschickt.
Dummerweise finde ich da nicht das Passwort! Es werden insgesamt nur 8 Werte ausgetauscht:

InternetGatewayDevice.DeviceSummary
InternetGatewayDevice.DeviceInfo.HardwareVersion
InternetGatewayDevice.DeviceInfo.SoftwareVersion
InternetGatewayDevice.DeviceInfo.SpecVersion
InternetGatewayDevice.DeviceInfo.ProvisioningCode
InternetGatewayDevice.ManagementServer.ParameterKey
InternetGatewayDevice.ManagementServer.ConnectionRequestURL
InternetGatewayDevice.WANDevice.1.WANConnectionDevice.1.WANPPPConnection.1.ExternalIPAddress

Wobei bei InternetGatewayDevice.ManagementServer.ParameterKey ein leerer String geschickt wird.

An diesem Punkt hänge ich also grad fest. Es wäre Nett wenn Jemand, bei dem die rmax-Methode erfolgreich war mal nachgucken könnte, an welcher Stelle genau die XML-Daten mit dem Passwort geschickt werden und ob die von mir angegeben Parameter auch vorhanden sind.
Ich finde leider in dem ganzen Mitschnitt keine 32-Stelligen Werte, außer den Nonces bei der SIP-Registrierung.

 

[pee]

War ja mal wieder klar, dass ich es kurz nach dem Post hinbekomme .
Also das Problem war, dass ein Zurücksetzen über das Interface nicht ausreicht, man muss statt dessen den Wlan-Knopf an der Rückseite des Geräts lange gedrück halten (nach einer Weile blinkt die Wlan-LED und kurz danach alle LEDs, dann kann man loslassen).

Nach dem Neustart dann sofort den Dump gestartet. Im Interface den Einrichtungsassistenten durchführen (Im ersten Schritt das Häkchen weg clicken und keinen Pin eingeben, sonst wird vermutlich der Mitschnitt gestoppt). Danach sollten die benötigten Daten im Mitschnitt zu finden sein.

EDIT:

Anleitung für auslesen bei IAD 3331 (und wahrscheinlich 5130) HIER

 

[xCeeKayx]

so ... hab mich hier schon mal gemeldet. hab ein sphairon iad ohne wlan also nicht möglich mit der mittschnitt methode. da ich leider keinen gefunden habe der mir das machen könnte habe ich mir gerade ein siemens datenkabel bestellt und werde mich mal selbst daran machen ... das wird spannend

 

[werwiewas]

Wie ist das jetzt mit dem Turbolink 2971?
Zwar haben hier schon viele gefragt, aber keiner mag darauf Antworten
Müsste nur wissen ob ich das Teil aufschrauben muss oder nicht
Mehr erwarte ich als Antwort nicht :-D

 

[xCeeKayx]

So, jetzt hab ich Probleme ...

Version 1.0.1
Read EEPROM
Jump to Flash

Version 1.0.1
Read EEPROM
Jump to Flash


U-Boot 2.1.30-8 Vinetic-2VIP#GARY(safe timing) (Mar 9 2009 - 07:10:20)

DRAM: 16 MB

Head: relocate_code start
Head: relocate code finish.
Image Name: u-boot image
Image Type: MIPS Linux Firmware (lzma compressed)
Data Size: 41607 Bytes = 40.6 kB
Load Address: 80100000
Entry Point: 80100000
Disabling all the interrupts
Uncompressing UBoot Image ...
Uncompression completed successfully with destLen 140080.
Head: Jumping to u-boot in the ram at 0x80100000

Board: AMAZON Yangtse Version, Chip V1.3, CPU Speed 235 MHz
DRAM: 16 MB

... jetzt bleibt mir ja nur noch das kurzschließen, aber ich habe gaaaar keinen plan wo ich den bitte ansetzen muss ... hab geshalb mal ein foto angehangen und hoffe es kann mir jemand helfen...

 

[xCeeKayx]

habs gefunden kann jetzt auch den ubootreader verwenden aber der spuckt mir nur leere dateien aus ... ahhhhhhhhhhhhh

edit
damit möchte ich sagen das die tgz dateien wenn ich sie öffne leer sind !

edit2
ahhhhhhh alle kombinationen ausversucht immer leere files !!! zum kotzen !!!

edit3
so datt wars hab mir nen 3231 bestellt und werds mit der anderen methode machen!

 

[JohnDoe42]

Hallo zusammen,

hab' die Keys nach rmax' Methode extrahiert und alle Anschlüsse (3) in der FB installiert (btw: @rmax - Erstklassige Anleitung, Hut ab !!! Und ein perfekter Appetizer für weitere VOIP-Nachforschungen dazu ... ;-) ).

...
3. Wenn man die Wireshark-Protokolle ausließt, im TCI-IP-Stream nicht nur nach "DirectoryNumber" suchen sondern auch nach "registrar". Da steht nämlich die Nummer der Registrar-URL, die ihr für die Anmeldung braucht. Die URL hat die Form:

registrarXX.sip.alice-voip.de

Wobei XX die Nummer aus dem Paketprotokoll ist. Wenn man den falschen Registrar angibt, kann man zwar raus telefonieren aber bekommt keine Anrufe.

Hier hab' ich den Registrar im Stream entdeckt und verarbeitet - leider ohne Erfolg. Ich kann 'raustelefonieren, aber nicht angerufen werden.
Hat dazu noch jemand 'ne Idee ?

Grüße.

JD.

EDIT: Nach fünf Minuten lief alles soweit. Keine Ahnung warum. Allerdings bekomm ich immer ein Besetzt-Zeichen, wenn ich mit einer MSN (auf einem Telefon) eine der anderen MSNs (auf 'nem anderen Telefon) anrufe ...

 

[pee]

Hallo zusammen,
Hier hab' ich den Registrar im Stream entdeckt und verarbeitet - leider ohne Erfolg. Ich kann 'raustelefonieren, aber nicht angerufen werden.
Hat dazu noch jemand 'ne Idee ?

Trag mal bei Registrar sip.alice-voip.de ein und bei Proxy dann registrarXX.sip.alice-voip.de

 

[JohnDoe42]

Trag mal bei Registrar sip.alice-voip.de ein und bei Proxy dann registrarXX.sip.alice-voip.de

Ändert nichts daran, daß ich beim Anruf von einer MSN auf die andere ein Besetzt-Zeichen bekomm'.
Der Rest läuft problemlos.
Trotzdem danke für den Tip und Grüße,

JD.

EDIT: Hier das zugehörige Ereignis:
05.06.10 14:28:36 Internettelefonie mit 0******* über registrar72.sip.alice-voip.de war nicht erfolgreich. Ursache: Address Incomplete (484)

Beitrag 2:
EDIT2: Aaaaaarrgghhhhh ...
Bei den Einstellungen der Nummer die "0" bei "Diese Vorwahlziffern werden der gewählten Rufnummer vorangestellt" weggelassen ... Alles absolut perfekt !!
Nochmals besten Dank an rmax und matze432 und Grüße,

JD.

 

[xCeeKayx]

so 3231 ist heute gekommen ... musste bei alice anrufen damit die da den pin zurücksetzen da das alte modem da noch eingeloggt war.

alles nach der iad-hack datei befolgt und innerhalb von 20 minuten alles eingerichtet. in der datei findet man auch seinen registrar. Bei mir war es registrar70 , hab ich vorher hier noch nicht gesehen. Aber läuft alles einwandfrei!

Es lebe ein IAD freies Leben!

 

[python11]

Datenpakete auslesen

verstehe ich es richtig, dass ich im IAD 5130 die pakete nicht auslesen kann sondern die wlan variante 3231 dafür brauche.

ich versuche schon lange leider erfolglos die alice-hardware loszuwerden und wäre über jede hilfestellung sehr dankbar.

ich habe schon alice selbst stark beansprucht, denn bei vertragsabschluss hat man mir versichert, dass dies ohne probleme gehen würde.

und jetzt habe ich die alicebox am hals.

Danke

 

[rmax]

verstehe ich es richtig, dass ich im IAD 5130 die pakete nicht auslesen kann sondern die wlan variante 3231 dafür brauche.

Das IAD 5130 ist kein Sphairon-Router, sondern eine Fritz!Box, deshalb funktioniert es mit der Sphairon-Anelitung nicht. Das heißt aber nicht, daß es gar nicht geht, denn auch die Fritzboxen bieten einen Paketsniffer, mit dem der Trick eigentlich auch funktionieren müßte.

 

[MaxMuster]

... ich spiele mal die Forensuche und sage, es sollte auch ohne Sniffer gehen, siehe z.B. hier

Jörg

 

[rmax]

Prima, daß es mehrere Möglichkeiten gibt. Allerdings erscheint mir die Variante mit Bootloader und Emulator komplexer als die mit dem Sniffer.

 

[MaxMuster]

das stimmt.
Aber wenn du auch die Möglichkeit der seriellen Konsole hast, geht fast das genauso, ohne den Umweg über den Emulator, der letzlich die Konsole emuliert ;-).
Frage ist, ob die Firmware noch das Programm "allcfgconv" enthält...

Jörg

 

[katzenimmt]

...

Sehe ich das richtig, dass man mit der Methode also nur an den registrar und eben das VOIP-Passwort, oder stehe ich da auf dem Schlauch ? Dann braucht man doch aber noch den Benutzernamen für den PVC-Einwahl...?!

 

[rmax]

Sehe ich das richtig, dass man mit der Methode also nur an den registrar und eben das VOIP-Passwort, oder stehe ich da auf dem Schlauch ? Dann braucht man doch aber noch den Benutzernamen für den PVC-Einwahl...?!

Der Dump enthält ziemlich am Anfang auch den PPP-Benutzernamen für die VoIP-PVC, aber einfacher bekommst Du den aus dem VoIP-Menü des IAD3231. Außerdem ist hier im Thread auch schon beschrieben worden, wie man ihn sich nach einem Blick auf das Typenschild aus Teilen der Seriennummer und der MAC-Adresse zusammensetzen kann.

@matze432: Punkt 1 Deiner Korrekturliste zeigt, daß Du zu ungeduldig warst.
Wenn man in der Anleitung den Punkt "Warten bis die Box neu gestartet hat und die DSL-LED wieder an ist." befolgt, müßten Expertenmenü und nas2 eigentlich gleich beim ersten Versuch erreichbar sein.

 

[katzenimmt]

Ah super. Nach ein paar Versuchen mit dem VOIP link hat es auch mit dem IAD 3222 geklappt. Ging also auch nicht beim ersten mal.
Danke auch für den Hinweis, dass die "Ablese-Methode" hier schon erwähnt wurde. Steht ja im ersten post. Die Nummer, die ich mit dem VOIP link herausgefunden habe, stimmt aber zum Teil nicht mit dem IAD Aufkleber überein.

Jetzt müsste ich ja eigentlich alles Daten haben. Aber vielleicht kann mit hier ja noch jemand etwas genauer helfen.... (alice mit easybox 601)

 

[rmax]

Ging also auch nicht beim ersten mal.

Ah - ich vergaß zu erwähnen, daß man sich zuerst regulär an der Konfig-Oberfläche des IAD anmelden muß, dann erreicht man die versteckten Menüs auf Anhieb.

Die Nummer, die ich mit dem VOIP link herausgefunden habe, stimmt aber zum Teil nicht mit dem IAD Aufkleber überein.

Interessant. Welcher Teil unterscheidet sich denn, der aus der Seriennummer oder der aus der MAC-Adresse?

Im Zweifelsfall stimmt natürlich nicht was auf dem Aufkleber steht, sondern die Version aus dem Menü, denn damit hat das IAD sich ja die ganze Zeit schon erfolgreich eingewählt.