Changelog Firmwares nuevas "CA" para HGU Askey/Mitrastar

Changelog Firmwares nuevas "CA" para HGU Askey/Mitrastar

Buenas compañer@s:

 

Imagino que debido a que básicamente es la misma firmware y versión, nadie se ha percatado de ello, pero gracias al compañero @lutafe  por indicar no solo los problemas que tenía sino que aparecía como una firmware diferente, he estado investigando un poco el asunto. Además, generalmente ya sabéis que hago un changelog cuando aparece una versión nueva, aunque esto realmente ha sido una revisión que podemos llamarla de "urgencia" por parte de Movistar para solventar un problema importante y que además les podría limitar y mucho.

 

El problema de base

El principal problema que se ha querido corregir, y de ahí al nombre "extraño" de la nueva versión (coletilla "CA"), es que el certificado del servidor TR069 de Movistar caducó el 30 de Mayo. Dado que la firmware está configurada para rechazar certificados caducados y que además tiene que integrar el propio certificado CA emisor del servidor raiz para validarlo (para evitar falsear el servidor legítimo de Movistar), el cliente TR069 de los Router que usaban dicho servidor simplemente han dejado de funcionar. La última columna es la caducidad del certificado que se estaba usando actualmente en el servidor TR069 preconfigurado por defecto: https://main.acs.telefonica.net:7006

 

Captura2.PNG

 

Para solucionar esto se han visto forzados a realizar algunos cambios. Fundamentalmente han modificado el servidor TR069, en realidad es el mismo pero el puerto de conexión ha cambiado de 7006 a 7016. En dicho puerto el servidor TR069 usa un certificado totalmente diferente, emitido por una CA diferente. Si el emisor del certificado hubiese sido el mismo, realmente no tendrían que modificar gran cosa, o si por defecto el Router siguiese permitiendo el certificado caducado... aunque esto podría caer en un problema de seguridad. El problema es que al ser el emisor del CA es también diferente, con lo que tienen que modificar el certificado interno del Router, o el Router rechazará la conexión.

 

¿Por qué es esto tan importante? A los equipos ya instalados y funcionando no tiene muchos problemas. Pero la URL por defecto del servidor TR069 (luego cambia) se usa para la primera carga remota de nuestros datos, es decír, después de un reset, los ajustes VoIP/IPTV fundamentalmente. Esto explica porqué algunos usuarios en las últimas semanas se han visto que después de resetear el Router, este no era capaz de realizar la carga remota de sus datos, siendo necesaria la intervención de un técnico... es decir, actualización en local de la firmware a la nueva, para que pudiese realizar la carga remota.

 

Captura2.PNG

 

El nuevo certificado caducaría en 2024, pero vemos que el emisor es diferente. El Router tiene que incluir dicho CA (en realidad el que incluye es el de abajo de la lista, que es el CA que emite el PKI TGTTI que a su vez emite el de acs). El CA importante, el emisor, no caduca hasta 2034 con lo que aun cuando caducase el certificado acs en 2024, el PKI root podría emitir otro TGTTI actual y a su vez otro acs nuevo, con lo que el certificado en la firmware no sería necesario cambiarlo, y no habría este problema de nuevo. El CA anterior caducaba de todos modos en 2021, con lo que antes o después tenían que solventarlo.

 

Algún cambio adicional??

 

Changelog Mitrastar b54 -> b54_CA (Compilación 4 de Mayo de 2020)

 

Por los cambios internos es una actualización menor, no parece que tuviesen entre manos ninguna versión madura, o veríamos en ella algunos cambios más:

 

-Cambio del certificado de TR069
-Se habilita la ignoración de cert caducado (imagino que como salvaguarda)
-Cambia el puerto del cliente TR069:  https://main.acs.telefonica.net:7016 (anterior 7006)
-Limpieza de archivos en principio en deshuso
-Se actualiza solo un par de binarios, el cliente TR069 que realmente se encarga de más cosas y la librería principal del Router

 

 

Changelog Askey n55_5 -> n55_5_CA (Compilación 8 de Abril de 2020)

 

Aquí hay algunos cambios más en comparación con la del Mitrastar. Obviamente lo urgente sigue siendo lo mismo, pero se modifican algunas cosillas adicionales:

 

-Se actualizan los clientes/servidores DHCP usado por el Router

-Se actualiza el cliente TR069

-Se cambia el certificado TR069 y el puerto de conexión al servidor TR069

-Se actualizan las librerías internas de gestión

-Se actualiza la herramienta de gestión WIFI

-Actualización menor del SoC Quantenna (nada que nos afecte)
    -Compilación del 9 de Julio de 2019
    -Se añade como región a china y malasia, tablas de emision para ellos también
    -Se habilita el canal 153 para algunos países

 

--------------------------------------------------------------------

 

 

En el caso del Mitrastar, hay reportes de un compañero que ha tenido problemas con ella... no puedo decir que sea generalizado o puntual, así que ojo. En principio los cambios internos son pocos, y enfocados fundamentalmente a solucionar el problema descrito. Si cambiaron algo en el cliente TR069 que pueda estar provocando dichos fallos, es algo que desconozco.

 

En el caso del Askey hay algunos cambios adicionales. Tenemos actualización de los clientes/servidores DHCP, esto podría solucionar, a lo mejor, algun fallo de compatibilidad que pueda existir con dispositivos que no logran obtener IPs. Ojo que todo eso es suposición, no he investigado en absoluto que cambios se han realizado, si son de calado o realmente es cualquier tontería. Los cambios en el SoC quantenna por otro lado no es algo que nos afecte en modo alguno en España.

 

En cualquiera de los dos casos, no hay actualizaciones ni de Drivers ni de nada que pueda tener un impacto en principio significativo.

 



Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 1 de 34
3.655 Visitas
33 RESPUESTAS 33

Hola, llevo desde ayer sin fibra, tengo la ES_g15.5_R3505VWSTD203_n55_5

Esto buscando si está disponible la versión XXX_n55_5CAxx para descargarla al móvil, pasarla al PC y luego instalarla en el router. Está disponible, gracias.

Mensaje 26 de 34
203 Visitas

Buenas @fibrita 

 

Las firmwares no se distribuyen, y, en cualquier caso, una actualización de firmware no va a hacer que la línea funcione de nuevo, si está caída.



Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 27 de 34
200 Visitas

Hola, abrí otro hilo ya que vi en otro hilo, válgame la redundancia, que había q abrilo y te lo facilitaban. 

 

Leyendo el post original entendí q el técnico venía a instalar el nuevo firmware. 

 

Un saludo y gracias por el post original.

Mensaje 28 de 34
198 Visitas

Buenas @fibrita 

 

Facilitar las firmwares, nunca.

 

Que sea necesario que un técnico se desplace insitu al domicilio y cargarla, en determinadas situaciones si ha sido necesario, pero son casos aislados, ya que el 99% de las actualizaciones se hacen simplemente reseteando el Router o por remoto.

 

En cualquier caso, repito, si tu problema es que no te funciona la línea, poco o nada tiene que ver con la firmware que tenga, esa versión funciona perfectamente



Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 29 de 34
191 Visitas
Spoiler
Ok, perdona, lo que entendí es q al tener el firmware antiguo no daba el ok para el certificado y por eso el router no conectaba y estaba caída la línea. Y por eso era necesario q viniera el técnico físicamente a instalar el nuevo firmware. Pero vamos que voy ya por 30 horas sin línea y si solo eso pues lo podía hacer yo, y más con la pandemia. Gracias de nuevo por la explicación. Un saludo.
Mensaje 30 de 34
185 Visitas

Buenas @fibrita 

 

No, el certificado no tiene absolutamente nada que ver con la conexión a la línea compañero, me temo que la solución a tu problema si realmente hay un corte en la línea, es otro. Ya sea una rotura de la fibra que va a la CTO, de la CTO a la OLT o incluso en tu propia roseta óptica. Pero nada que tenga que ver con la firmware.

 

Y de cualquier modo, aun cuando incluso se pudiese solucionar con ello otros tipos de fallos/errores, tampoco te la enviarían, mandarían a un técnico insitu.

 

Pero vamos, que en tu caso lo que necesitas es que revisen la línea para ver que ha pasado y de que es el corte, nada que ver con el Router.



Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 31 de 34
181 Visitas

Ok, dentro no creo, por lo menos de origen pq la línea cayó en un periodo de 1 hora q estuve en la cocina. Hice los pasos está mañana que vi en el foro, el de desconectar y conectar el latiguillo lo hice con cuidado.

 

Hace un tiempo estuvieron haciendo cosas en la calle, cayó la línea pq se rompió algo y salieron corriendo, habían roto algo pq cuando vino el técnico de Movistar tuvo que pedir una pieza por correo. No sé si fue lo mismo pero esta semana vi a una persona trabajando en lo q creo q eran las líneas, aunque no fue el mismo día cuando lo vi, la vez anterior sí. De todas formas no sé dónde está el fallo.

 

Te pongo copy y paste del post original y pq entendí q podría ser el firmware:

 

"...Si el emisor del certificado hubiese sido el mismo, realmente no tendrían que modificar gran cosa, o si por defecto el Router siguiese permitiendo el certificado caducado... aunque esto podría caer en un problema de seguridad. El problema es que al ser el emisor del CA es también diferente, con lo que tienen que modificar el certificado interno del Router, o el Router rechazará la conexión.

 

...

Esto explica porqué algunos usuarios en las últimas semanas se han visto que después de resetear el Router, este no era capaz de realizar la carga remota de sus datos, siendo necesaria la intervención de un técnico... es decir, actualización en local de la firmware a la nueva, para que pudiese realizar la carga remota..."

 

 

Gracias de nuevo. Saludos

 

 

Mensaje 32 de 34
149 Visitas

Buenas @fibrita 

 

Efectivamente, en el peor de los casos el Router tendría problemas en realizar la telecarga, pero nada relacionado con perder la conexión. De echo si miras en la imagen los certificados citados caducaron hace meses, se te habría caído la línea hace muchos meses. No te preocupes que no tiene nada que ver, probablemente sea una rotura de fibra en cualquier punto o una deficiencia de la potencia del laser u otra cosilla. A ver si pueden revisarte la línea y dar con el problema pronto.

 

Saludos.



Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 33 de 34
144 Visitas

Hola @Técnico-Movistar, en estos días no ha fallado pero suele tardar más en fallar, a veces dos semanas o un mes.

si no me vuelve a fallar lo pondré aquí.

de momento no puedo confirmarlo.

Mensaje 34 de 34
126 Visitas