Emile "iMil" Heitor 's home » Fonera

Ouep, bah écoute, salut quoi.

iMil — Sat, 08 Dec 2007 13:09:07 +0000

Ça fait un petit moment que je lorgne ce que fait cette boite. D’abord, j’ai cru à un simple plagiat du modèle de wifi “communautaire” de FON. Encore une ennième boite qui compte faire son beurre sur le dos de la Communauté et consciencieusement fermer son firmware grace aux retours des divers hackers qui auront décelé pour eux les failles potentielles.
Et puis je scrute un peu ce qui se fait chez Meraki, et je lis dans quelques blogs que leur routeur semble être ouvert (comprendre, “en ssh”) par defaut… et que c’est totalement volontaire ! Voici le motd que je copy/paste depuis ce site :

BusyBox v1.1.0 (2006.09.29-21:24+0000) Built-in shell (ash)
Enter ‘help’ for a list of built-in commands.

http://meraki.net

Welcome to your meraki mini.  Please look for developer
information at http://meraki.net. We would like to encourage
you to play with this platform and add your own features to it.
However, our lawyers require us to tell you that much of
the software on this device is protected by copyrights, and
may not be redistributed or sold.

Happy Hacking!
root@meraki-node:~#

Excusez du peu, mais on est loin de la paranoïa de la firme espagnole (et dieu sait que ça m’attriste d’ecrire cela) qui a été jusqu’à désactiver le shell sur la console serie dans sa “fonera+”…

Comme le dit très bien l’ami touff, c’est la Communauté qui tranchera.

Y’s'passe des trucs

iMil — Tue, 04 Dec 2007 21:37:04 +0000

Va pas croire que jme touche hein, mais manque de pot, les trucs sur lesquels je bosse ces temps cis, je peux pas les publier. Pas encore en tout cas. L’un d’entre eux, c’est le fameux GNU/Linux Manazine numero 100, que vous trouverez dans n’importe quel kiosque à journaux si vous n’y êtes pas abonné (ce qui est probablement une erreur :). Vous y lirez mon périple lors du setup de Zone0, la future machine de GCU.

Ensuite, ma marotte depuis près d’un an, FON. Si la récente marche arrière de la compagnie au minirouteur qui a finalement fermé tout acces exterieur a suscité la colère des Foneros-hackers (sens noble, toussa), de récentes discussions avec les autorités concernées laissent supposer que notre voix a été entendue. C’est préférable, car je doute qu’il y ait une seconde chance. More to come…

Enfin, mais c’est probablement le moins interessant pour toi ami comateur de imil.net, j’ai hérité d’une charge de travail non négligeable au boulot, ce qui me pousse à parfois ramener des casse-tête à la maison, mais j’y peux rien, j’aime ça.

Ah, un truc encore, recemment quelqun sur le canal (#gcu) m’a parlé d’un bijou. Ce bijou. Et en lisant un peu ce qui a été réalisé avec ce monstre, je tombe la dessus… ouh ouh ouuuh, y’aura bientot plus besoin d’accès ADSL dans le 17ème :)) NEED NEED NEED

la Fonera / Kamikaze: activation du second SSID

iMil — Sat, 27 Oct 2007 09:24:30 +0000

Je trouvais ça un peu dommage de pas utiliser le second SSID de la Fonera, par exemple pour en faire un bridge sur le LAN. Après un brin de recherches, voici la conf nécessaire à l’activation et l’utilisation d’ath0 et d’ath1 :

config wifi-device  wifi0
        option type     atheros
        option disabled 0
        option mode             11bg
        option diversity        0
        option txantenna        1
        option rxantenna        1

# l'interface client
config wifi-iface
        option device   wifi0
#        option network  wan
        option mode     sta
        option ssid     empire
        option bssid    CA:CA:CA:FE:FE:FE
        option key      donnemoitoncorpsbebe
        option bgscan   0
        option encryption psk
        option txpower 18

# l'interface à bridger
config wifi-iface
        option device wifi0
        option mode ap
        option network lan
        option ssid OpenWRT
        option encryption psk
        option key ohouitoncorpsbebe

Puis :

root@OpenWrt:~# cat /etc/config/network
# Copyright (C) 2006 OpenWrt.org

config interface loopback
        option ifname   lo
        option proto    static
        option ipaddr   127.0.0.1
        option netmask  255.0.0.0

config interface lan
        option ifname   eth0 ath0
        option type     bridge
        option proto    static
        option ipaddr   192.168.1.254
        option netmask  255.255.255.0

config interface wan
        option ifname   ath1
        option dns "212.27.53.252 212.27.54.252"
        option proto    static
        option ipaddr   212.20.30.40
        option netmask  255.255.255.0
        option gateway  212.20.30.254

Un /etc/init.d/network restart n’est pas suffisant pour prendre cette nouvelle conf en charge, en effet, les rules de firewalling et l’interpretation de pas mal de variables ne sont pas totalement faites. Un petit reboot du routeur permettra de s’assurer que tout est opérationnel.

NB: ah, evidemment pour que l’AP puisse gérer le WPA/WPA2, vous aurez besoin du package hostapd. De meme, pour pouvoir authentifier le client sur un AP en WPA/WPA2, vous aurez besoin de wpa-supplicant :

root@OpenWrt:~# ipkg install hostapd wpa-supplicant

Kamikaze: propre et bien rangé

iMil — Thu, 25 Oct 2007 21:23:24 +0000

Finalement, je suis presque content de ma déception passée sur DD-WRT-sale. J’ai pu me plonger corps et âme dans l’apprentissage de Kamikaze, la nouvelle version d’OpenWRT, entre autres fonctionnelle pour… la Fonera evidemment.

Alors oui, la GUI est pourrie et buggée. Ok. Mais tu sais quoi ? dans un firmware bien rangé, c’est vraiment pas problématique.
Explication.

Déjà, et c’est pas rien, les gens d’OpenWRT ont des packages qui marchent :

root@OpenWrt:/etc/config# ipkg update
Downloading http://downloads.openwrt.org/kamikaze/7.09/atheros-2.6/packages/Packages
Updated list of available packages in /usr/lib/ipkg/lists/release
Downloading http://downloads.openwrt.org/kamikaze/packages/mips/Packages
Updated list of available packages in /usr/lib/ipkg/lists/packages
Downloading http://downloads.x-wrt.org/xwrt/kamikaze/7.09/atheros-2.6/packages/Packages
Updated list of available packages in /usr/lib/ipkg/lists/X-Wrt
Done.

Pardon mais ça fait du bien.
Ensuite, exit les nvram show|grep maiscestquoilaclé, on a un beau /etc/config tout bien structuré et read/write, car les bonhommes sont pas crétins :

root@OpenWrt:~# df -h
Filesystem                Size      Used Available Use% Mounted on
none                      6.6M     92.0k      6.6M   1% /tmp
tmpfs                   512.0k         0    512.0k   0% /dev
/dev/mtdblock3            5.9M      2.4M      3.5M  41% /jffs
mini_fo:/jffs             1.0M      1.0M         0 100% /

Fonctionnellement, j’ai besoin des choses suivantes:
. Rediriger un / des ports
. Router statiquement vers d’autres réseaux
. Monter un OpenVPN client
. monitorer le routeur en SNMP

Accroche-toi lutin, ça fait mal tellement c’est bien gaulé :

Redirection de ports

root@OpenWrt:~# tail -2 /etc/config/firewall
forward:dport=2222:192.168.10.3:22
forward:dport=6890-6999:192.168.10.5

routage statique

Ajouter au /etc/config/network :

config route blah
        option interface lan
        option target 192.168.12.0
        option netmask 255.255.255.0
        option gateway 192.168.10.10

OpenVPN

root@OpenWrt:~# ipkg install openvpn

Suivi de la conf classique d’OpenVPN

SNMP

root@OpenWrt:~# ipkg install snmpd

(trop dur)

Afin d’assurer le lancement automatique des services à chaque reboot d’OpenWRT, on ln -s dans /etc/rc.d, assez classiquement ma foi.

Quelques liens du meilleur effet :
Client Mode HOWTO
La doc officielle
La doc d’install

On notera qu’un

svn checkout https://svn.openwrt.org/openwrt/trunk kamikaze

prend quelques minutes et pèse environ 100 Megs contre les quelques heures et les 17Go de DD-WRT. Mais surtout, que le premier builde sans ruses minables visant à contourner l’absence de modules que l’auteur aura choisi de ne plus distribuer.

Allez, va mourrir dans un coin BS.

Mais siii, c’est moiii, agaad’

iMil — Sun, 14 Oct 2007 14:31:34 +0000

hum hum hum…

Y’a pas longtemps, j’ai peté ma “vieille” fonera. À force d’y coller des antennes au cul, j’ai fini par casser la soudure entre le connecteur d’antenne et la carte.

Par chance, j’ai recemment été convié à la Fiesta FON, ou l’on distribuait des fonera “classiques” (comprendre “pas fonera+”). Donc nickel bien, je remplace l’ancienne, ouvre la nouvelle, tout est ok. Sauf que non. Puisque désormais, evidemment, le portail FON ne me voit plus connecté :(
Alors comme ça, pour voir, j’ai été jeter un oeil dans les divers scripts de la fonera, me disant qu’après tout, pour localiser du materiel, ils devaient probablement se baser soit sur le S/N, soit une ou plusieurs MAC. Et bin ouais.
Si vous deviez, comme moi, changer voter fonera et que vous n’avez pas la patience d’attendre la réponse du support de FON, je vous conseille l’édition du fichier /bin/thinclient (oui, encore lui), et le hardocage des variables ETMAC et WLMAC, qui représentent respectivement l’adresse MAC de la carte ethernet et l’adresse MAC du lien WiFi public.
Exemple:

ETMAC="00:18:84:30:40:50"
WLMAC="00:18:84:30:40:51"

J’ai noté que dans les deux foneras, la MAC du lien wireless était la MAC du lien ethernet + 1.
Pour finir, on démarre thinclient en mode standalone :

/bin/thinclient start

Et on verifie que le portail FON ne dit plus que votre routeur est déconnecté :)

Si ça peut dépanner…

OpenVPN, DD-WRT et Fonera

iMil — Sun, 14 Oct 2007 10:01:35 +0000

J’ai refait mon LAN. Dans les grandes lignes, une Fonera flashée en DD-WRT bridge la connexion au net via une freebox. Le wrt est le routeur du LAN, il est connecté à un bete switch sur lequel est branché une Fonera “legacy”, qui me fournit l’acces WiFi de manière classique via son SSID “MyPlace”.

Jusque là, rien de particulier.
Mais dans ce petit réseau, j’ai également des téléphones SIP dont un white, WiFi donc. Et comme vous le savez probablement, SIP et plus particulièrement RTP ne font pas bon ménage avec du NAT. Pour pallier ce problème, j’ai l’habitude d’utiliser des liens privés vers mes Asterisk en utilisant OpenVPN. J’ai testé par mal de packages avant de trouver une combinaison fonctionnelle sur Fonera/DD-WRT. En effet, les packages openvpn, libopenssl et liblzo disponibles ici: http://ipkg.k1k2.de/packages/ coredumpent simplement. Voici les emplacements de packages qui marchent:

http://downloads.openwrt.org/kamikaze/7.09/atheros-2.6/packages/libopenssl_0.9.8e-1_mips.ipk
http://ipkg.hotsplots.de/kamikaze/7.06/atheros-2.6/packages/liblzo_2.02-1_mips.ipk
http://ipkg.hotsplots.de/kamikaze/7.06/atheros-2.6/packages/openvpn_2.0.9-1_mips.ipk

J’ai également trouvé de très bons tips à cette adresse:

http://www.dd-wrt.com/wiki/index.php/OpenVPN

notemment quelques informations relatives au règles iptables à placer sur le DD-WRT après que le tunnel soit établi pour assurer un routage sans encombres.

Ach Fonera güüt yaa

iMil — Sun, 12 Aug 2007 21:00:52 +0000

Ça fait plusieurs jours que je bataille avec ma seconde fonera munie d’un firmware OpenWRT Kamikaze avec des logs du genre :
Associated with xx:xx:xx:xx:xx:xx Authentication with xx:xx:xx:xx:xx:xx timed out.
wpa_supplicant faisait sa mauvaise tête, impossible d’associer Kamikaze à la première Fonera en WPA / TKIP. J’avais lu que la release 7.06 était dispo et j’ai pas cherché plus loin, ntt ntt iMil enfin… un peu de jugeote. En allant jeter un oeil sur l’arbo d’OpenWRT je m’aperçois qu’une version 7.07 était dispo et que le Changelog explique bien clairement :
Changes since Kamikaze 7.06 --------------------------- [bla, bli, blu] - WPA related bugfixes in the wifi scripts for Broadcom and Atheros
Bien vu.

Ni une ni deux, je m’engage dans l’upgrade du firmware. Dans la mesure du possible, j’aime bien me caler sur des docs de gentils hackers qui ont galéré avant moi, du coup j’ai trouvé cette doc, qui même si elle est ecrite en allemand, langue à laquelle je bite pas un mot, highlighte bien consciensieusement les parties “code”.
Je résume pour la forme :

. On récupère http://downloads.openwrt.org/kamikaze/7.07/atheros-2.6/openwrt-atheros-2.6-vmlinux.lzma
. On récupère http://downloads.openwrt.org/kamikaze/7.07/atheros-2.6/openwrt-atheros-2.6-root.squashfs

Puis moyennant le setup d’un serveur tftp (je vais pas expliquer cette partie résumée dans 782364892 blogs), on soumet RedBoot de cette façon :

RedBoot> ip_addr -l ip_de_la_fonera/cidr -h ip_du_serveur_tftp
RedBoot> fis init
RedBoot> load -r -b %{FREEMEMLO} openwrt-atheros-2.6-vmlinux.lzma
RedBoot> fis create -e 0x80041000 -r 0x80041000 vmlinux.bin.l7
RedBoot> load -r -b %{FREEMEMLO} openwrt-atheros-2.6-root.squashfs
RedBoot> fis create -l 0x6f0000 rootfs
RedBoot> fis load -l vmlinux.bin.l7
RedBoot> exec

Et nous voici en 7.07.

Afin d’assurer l’association en WPA, vous aurez evidemment besoin du package wpa-supplicant.
On setup une conf réseau minimale (on suppose que la fonera est pour le moment branchée via un lien classique ethernet sur un reseau dont la gate est 192.168.20.254)

# ifconfig eth0 192.168.20.2 netmask 255.255.255.0
# route add default gw 192.168.20.254

On edite le resolv.conf puis

# ipkg update
# ipkg install wpa-supplicant

et eventuellent

# ipkg install wpa-cli

Pour les plus faignants, voici à quoi ressemble mon /etc/config/wireless, fichier interprété par les initscripts de Kamikaze pour démarrer wpa_supplicant. L’/etc/config/network varie selon la topo cible (bridge, client routé, client bridge…)

config wifi-device  wifi0
        option type     atheros
        option disabled 0
        option mode             11bg
        option diversity        0
        option txantenna        1
        option rxantenna        1

config wifi-iface
        option device   wifi0
        option network  lan
        option mode     sta
        option ssid     MyPlace
        option bssid    xx:xx:xx:xx:xx:xx
        option key      1234567890
        option bgscan   0
        option encryption psk

Un petit /etc/init.d/network restart, on attend qques secondes, on regarde le resultat via wpa_cli et ça devrait être la teuf.

dd-wrt, le firmware qui a l’air joli

iMil — Tue, 01 May 2007 22:48:45 +0000

Mais juste l’air.

Après avoir tripoté le bidule quelques jours, j’ai gentiment reflashé ma fonera avec un autre firmware que je passerai au crible à son tour. Pour être concis, dd-wrt, c’est le bordel. Un repertoire “d’initscript” qui mélange gaiement scripts se finissant par des “^M” et templates de la GUI, la quasi-totalité des parametres sont inscrits et lus via nvram, ce qui nous donne :

/etc/config # nvram show|wc -l
size: 23894 bytes (8874 left)
867

extrait au pif :

ppp_get_ac=
pptp_server_ip=
ath0_compression=0
ath2_channelbw=20
restore_defaults=0
ddns_time=
pptp_use_dhcp=0
kaid_user=
wshaper_downlink=0
ath0_txantenna=1
ppp_username=
pptpd_client_srvip=
ath0_macmode1=disabled
filter_port=
wan_lease=0

wouaa comment c’est bien rangééé

Les regles de firewalling sont planquées quelque part, mais on n’y touche evidemment pas via la -tres jolie- GUI. Le support jffs2 est inclus mais l’ipkg.conf est faux, chaque changement de parametre nous vaut un reload de l’ensemble des services, et j’en passe et des meilleurs.

Bref, certainement un très bon produit de substitution pour quelques routeurs aux firmwares sales, mais certainement pas pour l’amateur de propreté d’un Unix correctement segmenté.

Trash.

dd-wrt@fonera

iMil — Sat, 14 Apr 2007 14:07:23 +0000

ouh-ouuuuuuh

Toute la procedure est expliquée ici.

Maintenant, on va tâcher de coller et configurer proprement un chilli pour que le DD-WRT puisse utiliser le portail captif FON.

il vous reste des pillules nosleep ?

iMil — Fri, 13 Apr 2007 22:03:43 +0000

Alors d’abord je reçois ceci de la part d’un mysterieux anonyme :

Qu’evidemment je m’empresse de brancher comme il se doit :

Pour obtenir ce saint Graal là :

Et donc là, je me souviens de ça, mais surtout… surtout de ÇA.

Vous deux là, Mr L. et Mr F., j’espere que vous vous en voulez bien fort de cramer mon week end de la sorte.