Huawei OptiXstar EG8010Hv6

by

Shrnutí

Nasazení vlastního ONT Huawei OptiXstar EG8010Hv6 v infrastruktuře T-Mobile jako plnohodnotné náhrady za operátorem dodaný KAON PM1191 vyžaduje emulaci původní hardwarové identity. Sektorové OLT striktně podmiňuje synchronizaci na L2 vrstvě shodou GPON Serial Number (SN), u některých profilů i MAC adresy a neumožňuje provisioning cizích koncových zařízení. Praktická diagnostika popsaná v tomto dokumentu prokázala, že náhrada za KAON PM1191 firmware verzí V5R021C10 není realizovatelná bez hardwarového zásahu.

Standardní retailové verze Huawei ONT disponují uzamčeným firmwarem, který změnu systémových identifikátorů běžnému uživateli neumožňuje. Tento dokument definuje analytický postup, jak pomocí eskalace privilegií (zisk skrytého super-admin přístupu) a cílené modifikace konfiguračního XML souboru zpřístupnit editační pole pro klonování GPON SN a současně trvale odemknout root shell (SSH) pro nezbytnou hloubkovou diagnostiku OMCI stacku.

Analýza identifikačních parametrů a přístupová matice

1. Identifikační parametry původního ONT (KAON PM1191)

Během fyzické synchronizace na L2 vrstvě (fáze O3) odesílá původní klientské zařízení směrem k OLT následující síťové a hardwarové identifikátory:

  • GPON SN (Hexadecimal): 4B414F4E0D000EA2
  • Vendor ID (ASCII): KAON (odpovídá úvodním čtyřem bajtům sériového čísla v HEX zápisu: 4B 41 4F 4E).
  • Specifické ID zařízení (Hexadecimal): 0D000EA2
  • Fyzická MAC adresa: 24:e4:ce:1a:8b:ee

2. Konfigurace klonování identity (Spoofing)

Pro úspěšnou emulaci na cílovém hardwaru Huawei je nutné v sekci ONT Authentication přepsat výchozí identitu (původní tovární ASCII SN od Huawei bylo 48575443B4B494B0). V závislosti na konkrétním typu validace rozhraní lze zapsat identitu původního KAON zařízení dvěma ekvivalentními způsoby:

  • Hexadecimální formát zápisu (16 znaků HEX): 4B414F4E0D000EA2
  • Alfanumerický formát zápisu (12 znaků ASCII): KAON0D000EA2
  • PLOAM Password: Pole se ponechává prázdné (ve výchozím stavu). Optické G-PON sítě provozované v infrastruktuře T-Mobile (CETIN) na území ČR nevyužívají autentizaci pomocí PLOAM hesel; primární verifikace probíhá na základě GPON SN, avšak konkrétní OLT porty mohou vyžadovat dodatečnou LOID autentizaci (viz Fáze 3, bod 3).

3. Přístupová matice cílového ONT (Huawei OptiXstar)

Pro administraci zařízení ve vizuální vrstvě (HTTP/HTTPS) i v rámci zabezpečeného příkazového řádku (SSH) platí následující autorizační údaje:

Webové uživatelské rozhraní (WebGUI):

  • Neprivilegovaný účet: uživatelské jméno Epuser, heslo e6bPpcHt.
  • Privilegovaný super-admin účet (Level 0): uživatelské jméno Epadmin, heslo e6bPpcHt.

Rozhraní příkazového řádku (CLI via SSH/Telnet):

  • Systémový root účet: uživatelské jméno Eproot.
  • Výchozí tovární heslo (Default): adminEP (u starších revizí firmwaru alternativně adminHW).
  • Nově definované heslo (vynucené systémem při prvním přihlášení): e6bPpcHt.

Fáze 1: Odemčení, modifikace a GPON SN spoofing (Huawei EG8010Hv6 V5R021)

U novějších firmwarů (V5R021) jsou standardní multicastové exploity (Huawei ONT Enable Tool) pro otevření Telnetu zablokovány. Hardwarové parametry se naštěstí dají modifikovat přímo z WebGUI pomocí eskalace privilegií, případně přes XML injekci pro zisk SSH přístupu.

Krok 1: Zisk super-admin přístupu (WebGUI)

Běžný účet Epuser nemá práva k úpravě GPON parametrů. Z analýzy XML konfigurace však vyplývá, že operátor (provisioning) plošně nastavuje pro účet super-administrátora Epadmin totožné heslo jako pro Epuser.

  1. Otevřete WebGUI (standardně 192.168.18.1 nebo vlastní LAN IP).
  2. Přihlaste se jako: Epadmin
  3. Heslo zadejte stejné jako pro běžný účet: e6bPpcHt (nebo vaše aktuální).
  4. Odemkne se plné rozhraní (UserLevel=”0″).

Krok 2: Klonování GPON SN (Spoofing v L2 vrstvě)

Díky účtu Epadmin není pro změnu sériového čísla nutný shell.

  1. V horním menu přejděte na System Tools -> ONT Authentication.
  2. Nastavte Authentication Mode na Password.
  3. Nastavte Password Mode na Hex string.
  4. Do pole SN vložte hexadecimální formát vašeho KAON modemu (např. 4B414F4E0D000EA2).
  5. Klikněte na Apply. Zařízení provede zápis do NVRAM a restartuje se.

Krok 3: Aktivace SSH a root přístupu (XML Injekce)

I když je SN změněno přes WebGUI, root shell (SU_WAP>) je klíčový pro hloubkovou diagnostiku OMCI. Telnet je ve firmwaru často odstraněn nebo nefunkční, je nutné vynutit start SSH démona (Dropbear).

  1. Přihlaste se jako Epadmin a přejděte na System Tools -> Configuration File.
  2. Pokud chybí tlačítko pro stažení, stiskněte F12 (Vývojářské nástroje), najděte v kódu skrytý prvek <div id="downloadConfig" style="display:none"> a smažte style="display:none". Tlačítko se objeví. Stáhněte soubor hw_ctree.xml.
  3. Otevřete hw_ctree.xml v čistém textovém editoru. Firmware V5R021 nevyžaduje k uploadu přes účet Epadmin dešifrování ani CRC šifrování.
  4. Najděte blok <AclServices...> a ujistěte se, že obsahuje SSHLanEnable="1".
  5. Najděte blok <UserInterface> a nahraďte/upravte část <X_HW_CLIUserInfo> takto (přidává řídicí uzel SSH a zachovává platné nativní hashe pro CLI účty):
<X_HW_CLISSHControl Enable="1" port="22" Mode="0" AluSSHAbility="0"/>
<X_HW_CLITelnetAccess Access="1" TelnetPort="23"/>
<X_HW_CLIUserInfo NumberOfInstances="2">
<X_HW_CLIUserInfoInstance InstanceID="1" Username="Eproot" Userpassword="$2SC~UPF006@AF`.XD`y]L1[5`QsDN5/&amp;.8G#z]=aA&amp;TQf~&lt;6qbW)+[c)CdQ]T\74dQjhD!'}4p$6x&lt;~BP33Y['a^fIXV]-|8vtQbQ$" UserGroup="" ModifyPWDFlag="0" EncryptMode="2" AccessInterface="LAN/WAN" Salt="ca0bed219716820b76a50450"/>
<X_HW_CLIUserInfoInstance InstanceID="2" Username="Epuser" Userpassword="$2150&quot;L^=&quot;1VxpqY5CH-p+9m~g,oq{SXkI}@B!s_]Y&amp;=szQLJ''OZkQ@F&lt;tLsU~].3$DsykGg:zdQAPr]'o=&quot;7:S^xp&gt;%x$@(y7T6T$" UserGroup="" ModifyPWDFlag="1" EncryptMode="2" AccessInterface="OLT_TELNET" Salt="182b0d9bf88703781f132543"/>
</X_HW_CLIUserInfo>
  1. Soubor uložte, vraťte se do WebGUI a přes odkrytý formulář “Update Configuration File” (opět přes F12) jej nahrajte. Po restartu modemu bude port 22 otevřen.
  2. Připojte se přes terminál: ssh Eproot@<IP_modemu>. Výchozí heslo pro tento originální hash je adminEp (nebo adminHW). Následně si systém vyžádá změnu hesla.
  3. Přepněte se do super-uživatelského módu příkazem: su

Fáze 1.5: Ověření stavu spoofingu (CLI diagnostika)

V prostředí SU_WAP> přes SSH je nutné ověřit, jaké parametry modem reálně používá a jak se hlásí nadřazenému OLT. Linuxový shell (BusyBox) je u tohoto modemu uzamčen (příkaz shell neobsahuje např. cat či ls), používáme tedy nativní WAP příkazy.

  1. Ověření fyzického GPON SN (L2 vrstva):
    • Příkaz: display sn
    • Očekávaný výsledek: sn = 4B414F4E0D000EA2 (Pokud to sedí, zápis z WebGUI zafungoval a MAC/SN identifikátor laseru je správný).
  2. Ověření OMCI MIB tabulek (L3/Management vrstva):
    • Příkaz: omcicmd mib show meid 256 instid 0
    • Očekávaný výsledek: Výpis entity ONT-G. Klíčový je atribut Att1 (Vendor ID).
    • Upozornění: Pokud Att1 vrací 48575443 (ASCII pro HWTC – Huawei), znamená to, že i přes změněné sériové číslo firmware zachovává hardwarovou identitu v MIB tabulkách. Příkaz set k přepsání těchto tabulek je v tomto firmwaru nedostupný. Jak prokázala Fáze 3, T-Mobile OLT provádí křížovou validaci — fyzické SN nestačí, OLT kontroluje i OMCI Vendor ID a vyžaduje LOID autentizaci.

Fáze 2: Logická integrace s OpenWRT

Již nasazený OpenWrt router s Marvell DSA switchem (dle dřívější konfigurace) plně odbavuje L3 logiku, NAT, firewall i tagování.

Nastavení Huawei ONT musí být striktně transparentní:

  1. Webové GUI Huawei: V sekci WAN vytvořit nové připojení.
  2. WAN Mode: Bridge (nikoliv Route/PPPoE).
  3. VLAN ID: Vypnuto / Transparent / Untagged. ONT nesmí zasahovat do 802.1q hlaviček, protože VLAN 2510 taguje až OpenWrt na subinterfacu br-lan.1.
  4. Port Binding: Namapovat toto transparentní Bridge spojení na fyzický LAN port 1 zařízení Huawei.

Rizika OMCI MIB Inkompatibility

I po úspěšném naklonování SN může synchronizace selhat v OMCI fázi přechodu ze stavu O4 do O5 (Operation).

Kdyby bylo možné Vendor ID přepsat na KAON, OLT by aplikoval provisionovací profil pro hardware KAON a odeslal OMCI zprávy s konfigurací TCONT a GEM portů strukturované pro čipset KAON. Huawei ONT by je však nedokázal správně zpracovat vlastním proprietárním OMCI stackem. V praxi ale tato situace nenastane — Vendor ID zůstane uzamčeno na HWTC a OLT odmítne provisioning již v této fázi.

ParametrKAON PM1191 (Výchozí stav)Huawei EG8010Hv6 (Spoofed)
L2 AutentizaceNativně akceptováno OLTVyžaduje prolomení root shellu a modifikaci hw_boardinfo
OMCI ProfilingShoda Vendor ID i MIB stromuRiziko konfliktu: SN hlásí KAON, firmware odpovídá strukturou Huawei
Zpracování VLANZpracovává z OMCI, předává transparentněNutno manuálně nastavit do čistého L2 bridge
TR-069 ManagementOperátor vidí statistiky útlumu a chybOperátor TR-069 odmítne kvůli nesouladu certifikátů/verzí; podpora je zcela slepá

Zásah do zařízení vyžaduje zálohování původního hw_boardinfo pro případ nutnosti obnovy (brick recovery) přes sériovou linku, jelikož po restartu s nevalidními parametry může kernel zacyklit boot proces (Hardware Modding: Huawei ONT SN Rewrite).

Fáze 3: Závěry penetrační a diagnostické analýzy (Firmware V5R021C10)

Praktická diagnostika modemu Huawei EG8010Hv6 proti OLT T-Mobile exaktně potvrdila teoretická rizika asymetrie na OMCI vrstvě. I přes úspěšnou eskalaci privilegií narazila integrace na hardcoded softwarové limity:

  1. Úspěšný L2 Spoofing (Fáze O3): Klonování přes WebGUI funguje. Fyzická identita laseru byla úspěšně změněna, což potvrdil příkaz display sn (hodnota 4B414F4E0D000EA2). Fyzická linka přešla do stavu O4 (GPON Serial_Number_Ack), útlum a vysílací výkon vykazují standardní hodnoty. Blokace nastává při pokusu o přechod O4 → O5.
  2. Blokace na vrstvě OMCI MIB (Fáze O4): Příkaz omcicmd mib show meid 256 instid 0 odhalil, že Vendor ID v paměti modemu zůstává uzamčeno na hodnotě HWTC (Huawei). V entitě 257 (ONT2-G) se hardware natvrdo hlásí jako EG8010Hv6-10. OLT TMCZ očekává na základě L2 SN profil KAON; při detekci HWTC odmítne vytvořit provozní GEM porty a T-CONT kontejnery.
  3. Detekce OMCI Provisioning Loopu a LOID autentizace: Diagnostika logu (omcicmd show log) prokázala, že OLT drží spojení v zacykleném stavu a neustále dotazuje entitu Loid Auth (MeID 65530). Příkaz omcicmd mib show meid 65530 instid 0 odhalil strukturu OMCI MIB entity:Att1 (4 B): 43544300 → ASCII "CTC\0" (China Telecom Corporation vendor tag) Att2 (24 B): 2a2a2a... → LOID (24 znaků, maskováno hvězdičkami) Att3 (12 B): 2a2a2a... → LOID Password (12 znaků, maskováno) Att4 (1 B): 02 → Authentication Mode = LOID (0x02)

Klíčové zjištění k LOID: Diagnostika prokázala, že OLT T‑Mobile drží spojení v chybovém stavu a opakovaně dotazuje entitu Loid Auth (MeID 65530), přičemž v MIB jsou přítomny LOID i LOID Password (Att2/Att3, maskováno hvězdičkami) a mód autentizace je nastaven na LOID (Att4 = 0x02). To naznačuje, že LOID hraje v autentizaci roli alespoň na úrovni konkrétního profilu daného portu, nelze však z dostupných dat jednoznačně určit, zda je primárním kritériem, nebo doplňkovým kontrolním mechanizmem vedle GPON SN a Vendor/Equipment ID. Jisté je, že ani po nastavení libovolného LOID na straně Huawei ONT nedojde k přechodu do O5 – hlavním blokátorem zůstává neshoda Vendor/Equipment ID (HWTC vs. očekávaný KAON), kterou nelze bez zásahu do EEPROM/efuse obejít. Vendor tag CTC\0 v Att1 potvrzuje, že firmware Huawei obsahuje natvrdo zkompilované proprietární extenze, které není možné modifikovat softwarovou cestou.

  1. Karanténa Dopra Linux: Pokusy o manuální přepis MIB tabulek přes SSH selhaly. Výrobce do firmwaru implementoval restriktivní chroot (“Dopra Linux”), ze kterého byly odstraněny standardní editační nástroje (vi, cat), a příkazy omcicmd mib set byly kompletně odstraněny při kompilaci. Ochrana integrity pomocí CRC navíc znemožňuje upload modifikovaného souboru hw_boardinfo bez vyvolání File Hash Check Error.
  2. Omezení příkazové sady CLI (SU_WAP): Příkazy pro přímé nastavení LOID přes CLI (set loid, set wan loid, set InternetGatewayDevice.DeviceInfo.X_HW_Loid) neexistují. Příkaz set opticdata je implementován, ale nepřijímá parametry — hlásí ERROR::Command is not right s jakýmkoli argumentem. Nastavení LOID přes WebGUI formulář (ONT Authentication) pomocí účtu Epadmin technicky funguje, avšak z auditního logu vyplývá, že při použití standardního formuláře (X_HW_Loid:-) jsou hodnoty odesílány jako prázdné řetězce. Funkční metoda zůstává přímý přístup přes skrytou stránku /html/amp/ontauth/password.asp.

Závěrečný verdikt:

Provoz ONT Huawei EG8010Hv6 (V5R021) na GPON síti T-Mobile je softwarově nemožný. L2 spoofing sériového čísla nestačí; striktní OMCI validace ze strany OLT vyžaduje shodu Vendor/Equipment ID, kterou nelze bez hardwarového programátoru a prolomení proprietárního CRC algoritmu vynutit. Pro zajištění L2 transparentnosti bez fragmentace (MTU 1500) je nutné využít bezplatně pronajímané “Simple” ONT od operátora (KAON), které plní funkci čistého bridge, a L3 terminaci (včetně PPPoE na VLAN 2510) přenechat vlastnímu routeru (pfSense). Dodatečnou komplikací specifickou pro tento optický port je přítomnost LOID autentizace v OMCI profilu; bez součinnosti s operátorem nelze ověřit a reprodukovat přesnou kombinaci parametrů, kterou OLT na původním KAON zařízení očekává.

Odkazy

https://andreluis034.github.io/huawei-utility-page/#cipher
https://blog.fayaru.me/posts/huawei_router_config/
https://forum.adrenaline.com.br/threads/tutorial-desbloqueio-acesso-bridge-onts-huawei.688478/
https://hack-gpon.org/ont-huawei-eg8010h/
https://github.com/logon84/Hacking_Huawei_HG8012H_ONT
https://forum.pctuning.cz/viewtopic.php?t=300752

Print Friendly, PDF & Email