Aginet config 1.0 Configuração em massa no AX141

[MK1P]

Não sei nem por onde começar, mas vamos lá.

Trabalho para um provedor de internet e atualmente tenho um problema com os roteadores AX141(BR)v1, que é a impossibilidade de fazer a configuração em massa dos mesmos, como tenho 300 roteadores em espera para colocar a configuração de preset, a situação está um pouco complicado de tá postergando, já entrei em contato com o suporte da TP-link mas nada resolveram e me pediram para aguardar enquanto os técnicos estão a resolver, e eu irei deixar a informação publica, como não vi em nenhum lugar isso escrito ou sendo discutido

OBS: foi testado usando a versão 1.0 do aginet config, e eu iniciei tentando fazer os testes pelo aginet config 3.0 e pelo agile server 2.0 não funciona em nenhum desses seja em massa, ou individualmente. e ficando ciente que é possível fazer tanto direto, quanto pelo switch, desde que haja apenas 1 roteador conectado para o aginet config 1.0

Situação começou quando tentei realizar as configurações depois de ter um preset pronto, quando tentei enviar o preset individualmente no roteador inicial de teste, funcionou normalmente, mesmo fazendo de um Switch não gerenciável, modelo SF800 Q+, ou de um switch gerenciável, modelo TL-SG108E, ambos foram testados da mesma forma, colocando apenas 2 roteadores conectados, e mesmo assim ele não envia o preset feito para o roteador, foi tentado contato com a TP-link, me enviaram um arquivo de introdução ao aginet config, onde mostra passo a passo, com videos e como fazer o envio de preset pelo CWMP, e como ele funciona tanto para o TP-link quanto para o Mercusys. Bem, eu segui o passo a passo como me indicado e não resolveu em nada, quando você abre o programa, ele abre o servidor TFTP e o servidor DHCP mas de forma ou jeito algum ele entrega mais de 1 IP do servidor DHCP simultaneamente, e de acordo com os especialistas do suporte do TP-link esse roteador tem suporte para envio em massa de preset, independente da versão do Aginet.

gostaria de saber se tem alguma solução para esse problema que alguém saiba, seja da configuração do computador, do roteador, ou até do próprio switch que estou usando atualmente(TL-SG108E)

Caso necessário encaminho qualquer informação necessária, irei retirar e omitir qualquer informação sensível caso haja, portanto, pode haver uma demora, mas irei encaminhar sempre que necessário.

[alexandre.mbm]

@MK1P , eu não tenho as respostas que você busca. Seu tópico é o único com a palavra-chave Aginet. Permita-me, então, o bom "oportunismo" de incentivar aqui uma troca de informações (documentação técnica) sobre a tecnologia.

 

Lidaremos com conceitos da TR-069,  uma especificação técnica de gerenciamento remoto estruturado.

 

1) O que seria o Aginet ACS?

 

Auto-Configuration Server. Em português, algo como: servidor de auto-configuração. Ele responde ao dispositivo tipo CPE (no caso, o roteador do cliente), comandando configurações através de mensagens em XML/SOAP.

 

2) E o Aginet Config?

 

Esta ferramenta possibilita customizar o firmware. Com logo e favicon do provedor, além de um preset.

 

Se o cliente fizer reset no equipamento, os "padrões de fábrica" na verdade serão o que estiver definido naquele preset; melhor dizendo: o provedor tem seu próprio firmware (customizado).

 

O servidor (ACS) é capaz de distribuir novos firmwares, e não apenas comandos de configuração isolados.

 

3) Por que na caixa de um roteador tp-link eu encontro a grafia "NAginet", com esse 'N'?

 

Estou aguardando a resposta da empresa.

 

4) Onde estão os tutoriais, aulas e manuais para a plataforma?

 

Para qualquer coisa que vá além da propaganda dos produtos, a TP-LINK oferece um portal que requer cadastro e login. Talvez aí dentro, além do download das ferramentas, esteja a documentação técnica de interesse.

 

5) Afinal, estamos falando de implantação de firmware ou de administração remota?

 

Parece que das duas coisas. Porém, aos provedores interessa a administração massiva. Eles podem se negar a estar "ajustando" o roteador do cliente individualmente, ainda que com a facilidade de sê-lo remotamente.

 

HackTric afirma:

 

Citação

Os dispositivos gerenciados pelo TR-069 têm um agente de gerenciamento instalado neles. Este agente é responsável por se comunicar com o ACS e executar as tarefas solicitadas pelo ACS. O agente também é responsável por relatar o status do dispositivo ao ACS.

 

Embora o TR-069 seja uma ferramenta útil para gerenciar dispositivos de rede, ele também pode ser uma vulnerabilidade de segurança. Se um invasor conseguir acessar o TR-069, ele pode controlar remotamente o dispositivo gerenciado.

 

[alexandre.mbm]

Em 19/03/2024 às 10:59, MK1P disse:

me enviaram um arquivo de introdução ao Aginet Config, onde mostra passo-a-passo, com vídeos e como fazer o envio de preset pelo CWMP

 

TR-069 e CWMP são a mesma coisa. Acabam sendo nomes alternativos para o trabalho da ferramenta Aginet ACS. Ou melhor, é o protocolo usado.

 

"CPE WAN Management Protocol". Entendo como: protocolo para gerenciamento de dispositivo CPE através da WAN. Ou seja, o gerenciamento (massivo ou individual), que é feito através do servidor de auto-configurações.

 

Outros protocolos estão logo ao lado.

 

Este tópico é particularmente interessante para descobrirmos como "impedir" o tal gerenciamento por parte do provedor. Dando origem a um hack para termos o roteador, após restabelecidos os padrões de fábrica realmente originais, agora a serem mantidos continuamente sob o governo do cliente não-interessado em bloqueios descabidos.

 

Se o ACS identifica primeiramente o dispositivo CPE através do MAC address de sua interface externa, então talvez seja a oportunidade para se fazer um ataque permanente do tipo man-in-the-middle. Na maioria dos cenários, teria de ser uma intervenção física: algum dispositivo bridge antes da WLAN do roteador. Ou, quem sabe, se fazer a pré-alteração offline e permanente do MAC address daquela porta.

 

Para a primeira estratégia, talvez um arduino-like como sniffer ativo daria conta. Com duas portas Gigabit Ethernet, uma de entrada e outra de saída. Vantagem: segurança total para a integridade do hardware alheio.

 

@MK1P , agora, tentando responder você:

 

Alguma coisa no seu ambiente pode estar impedindo o CPE de se identificar para o ACS.

 

Se você descobrir que essa "coisa" não foi um erro de implantação, possivelmente você vai descobrir uma terceira estratégia para o supracitado hack — que é desejado por uma multidão de clientes insatisfeitos com bloqueios draconianos.

 

Nota – A comunicação entre ACS e CPE está criptografada mediante SSL/TLS.