Changelog Firmwares nuevas "CA" para HGU Askey/Mitrastar

Highlighted
Changelog Firmwares nuevas "CA" para HGU Askey/Mitrastar

Buenas compañer@s:

 

Imagino que debido a que básicamente es la misma firmware y versión, nadie se ha percatado de ello, pero gracias al compañero @lutafe  por indicar no solo los problemas que tenía sino que aparecía como una firmware diferente, he estado investigando un poco el asunto. Además, generalmente ya sabéis que hago un changelog cuando aparece una versión nueva, aunque esto realmente ha sido una revisión que podemos llamarla de "urgencia" por parte de Movistar para solventar un problema importante y que además les podría limitar y mucho.

 

El problema de base

El principal problema que se ha querido corregir, y de ahí al nombre "extraño" de la nueva versión (coletilla "CA"), es que el certificado del servidor TR069 de Movistar caducó el 30 de Mayo. Dado que la firmware está configurada para rechazar certificados caducados y que además tiene que integrar el propio certificado CA emisor del servidor raiz para validarlo (para evitar falsear el servidor legítimo de Movistar), el cliente TR069 de los Router que usaban dicho servidor simplemente han dejado de funcionar. La última columna es la caducidad del certificado que se estaba usando actualmente en el servidor TR069 preconfigurado por defecto: https://main.acs.telefonica.net:7006

 

Captura2.PNG

 

Para solucionar esto se han visto forzados a realizar algunos cambios. Fundamentalmente han modificado el servidor TR069, en realidad es el mismo pero el puerto de conexión ha cambiado de 7006 a 7016. En dicho puerto el servidor TR069 usa un certificado totalmente diferente, emitido por una CA diferente. Si el emisor del certificado hubiese sido el mismo, realmente no tendrían que modificar gran cosa, o si por defecto el Router siguiese permitiendo el certificado caducado... aunque esto podría caer en un problema de seguridad. El problema es que al ser el emisor del CA es también diferente, con lo que tienen que modificar el certificado interno del Router, o el Router rechazará la conexión.

 

¿Por qué es esto tan importante? A los equipos ya instalados y funcionando no tiene muchos problemas. Pero la URL por defecto del servidor TR069 (luego cambia) se usa para la primera carga remota de nuestros datos, es decír, después de un reset, los ajustes VoIP/IPTV fundamentalmente. Esto explica porqué algunos usuarios en las últimas semanas se han visto que después de resetear el Router, este no era capaz de realizar la carga remota de sus datos, siendo necesaria la intervención de un técnico... es decir, actualización en local de la firmware a la nueva, para que pudiese realizar la carga remota.

 

Captura2.PNG

 

El nuevo certificado caducaría en 2024, pero vemos que el emisor es diferente. El Router tiene que incluir dicho CA (en realidad el que incluye es el de abajo de la lista, que es el CA que emite el PKI TGTTI que a su vez emite el de acs). El CA importante, el emisor, no caduca hasta 2034 con lo que aun cuando caducase el certificado acs en 2024, el PKI root podría emitir otro TGTTI actual y a su vez otro acs nuevo, con lo que el certificado en la firmware no sería necesario cambiarlo, y no habría este problema de nuevo. El CA anterior caducaba de todos modos en 2021, con lo que antes o después tenían que solventarlo.

 

Algún cambio adicional??

 

Changelog Mitrastar b54 -> b54_CA (Compilación 4 de Mayo de 2020)

 

Por los cambios internos es una actualización menor, no parece que tuviesen entre manos ninguna versión madura, o veríamos en ella algunos cambios más:

 

-Cambio del certificado de TR069
-Se habilita la ignoración de cert caducado (imagino que como salvaguarda)
-Cambia el puerto del cliente TR069:  https://main.acs.telefonica.net:7016 (anterior 7006)
-Limpieza de archivos en principio en deshuso
-Se actualiza solo un par de binarios, el cliente TR069 que realmente se encarga de más cosas y la librería principal del Router

 

 

Changelog Askey n55_5 -> n55_5_CA (Compilación 8 de Abril de 2020)

 

Aquí hay algunos cambios más en comparación con la del Mitrastar. Obviamente lo urgente sigue siendo lo mismo, pero se modifican algunas cosillas adicionales:

 

-Se actualizan los clientes/servidores DHCP usado por el Router

-Se actualiza el cliente TR069

-Se cambia el certificado TR069 y el puerto de conexión al servidor TR069

-Se actualizan las librerías internas de gestión

-Se actualiza la herramienta de gestión WIFI

-Actualización menor del SoC Quantenna (nada que nos afecte)
    -Compilación del 9 de Julio de 2019
    -Se añade como región a china y malasia, tablas de emision para ellos también
    -Se habilita el canal 153 para algunos países

 

--------------------------------------------------------------------

 

 

En el caso del Mitrastar, hay reportes de un compañero que ha tenido problemas con ella... no puedo decir que sea generalizado o puntual, así que ojo. En principio los cambios internos son pocos, y enfocados fundamentalmente a solucionar el problema descrito. Si cambiaron algo en el cliente TR069 que pueda estar provocando dichos fallos, es algo que desconozco.

 

En el caso del Askey hay algunos cambios adicionales. Tenemos actualización de los clientes/servidores DHCP, esto podría solucionar, a lo mejor, algun fallo de compatibilidad que pueda existir con dispositivos que no logran obtener IPs. Ojo que todo eso es suposición, no he investigado en absoluto que cambios se han realizado, si son de calado o realmente es cualquier tontería. Los cambios en el SoC quantenna por otro lado no es algo que nos afecte en modo alguno en España.

 

En cualquiera de los dos casos, no hay actualizaciones ni de Drivers ni de nada que pueda tener un impacto en principio significativo.

 


Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 1 de 8
466 Visitas
7 RESPUESTAS 7
Highlighted

Hola @Theliel

 

Te agradecemos la explicación que das de la última revisión del firmware, mantenemos el hilo abierto por si algún otro usuario tiene dudas sobre el tema.

 

Un saludo.

 

Luis.



Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 

Solución aceptada.png
Mensaje 2 de 8
406 Visitas
Highlighted

@Theliel 

 

Aviso a navegantes:

En modo semi-bridge el Mitrastar con firmware b54_CA, se queda sin linea telefonica permanentemente.

Y el enlace PPPoE, se cae->levanta 2-3 veces hasta que se consigue mantener estable.

 

Askey no tiene ese problema.

 

Saludos.

Mensaje 3 de 8
183 Visitas
Highlighted

buenas @Xosevp 

 

No es nuevo, para levantar el teléfono tienes que habilitar IGMP Snooping en la interfaz VoIP. Le das a Editar y lo habilitas, y el teléfono vuelve, pasaba igual antes también


Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 4 de 8
179 Visitas
Highlighted

@Theliel 

 

El telefono levanta correctamente y funciona, pero pasados unos minutos se muere "algo" del SIP interno.

Esos cambios IGMP fueron probados y no influyen, vuelve a morir permanentemente.

 

Saludos.

Mensaje 5 de 8
174 Visitas
Highlighted

No puedo probar tu esquema porque el que tengo instalado es el Askey, pero en el Mitrastar no han cambiado casi nada, no ha habido cambio ni en Drivers, ni en nada relativo a SIP, ni... han sido mínimos. Como con todo, todo eso posible que algún cambio en alguna de las pocas librerías que han realizado de el problema, no te podría decir sin alternar de una a otra y comprobar.

 

En principio no han tocado nada más


Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 6 de 8
167 Visitas
Highlighted

@Theliel 

 

No se desde que version pasa. Pero al menos en B38_2 es estable, tanto internet como el telefono.

 

Saludos.

Mensaje 7 de 8
164 Visitas
Highlighted

Hola @Xosevp / @Theliel ,

Yo puedo confirmaros de que versión a que versión se rompió esto.

 

Fue de la b54 a la b54_7.

 

Desde la b54_7, si tienes el HGU en semi-bridge, te quedas sin VOIP al ratito, si reinicias tienes VOIP un rato hasta que se vuelve a caer y así todo el rato.

 

Parece que a Movistar esto le da igual, porque como no da soporte para configuraciones con routers neutros...

 

Por tanto, para quien tenga un HGU Mitrastar y lo vaya a usar como semi-bridge, le recomiendo que use la b54, no recomiendo nunca tener un FW muy viejo como es el B38_2 ya que eso puede llevar a agujeros de seguridad (todos sabemos que la seguridad absoluta es una utopía) y cuanto más podamos reducir ese porcentaje mejor.

 

Un saludo,

Mensaje 8 de 8
90 Visitas