一、缘由
IPv4公网IP已被收回,只能谋求IPv6新路。突然发现公司电信线路能获取到IPv6,但是经过测试,原有的光猫tewa-6aem太老,居然不支持IPv6防火墙配置,无奈只能换光猫。故去网上查,突然发现华为的HS8145C5(以下简称光猫)能够关闭防火墙且价格不贵,故22大洋掏了一个2020年7月生产的四川光猫回来(卖家邮费都12块以上了)。
2024/3/1 如果只是为了IPv6防火墙问题,可以不用往下看了,直接看 华为光猫HS8145V5C5 开启IPv6端口转发 实现公网访问内网
二、光猫折腾
(一)升级
1.版本
原有光猫版本是:内部软件版本: V5R019C20S050,即C20S050,最新的好像有S135,但是好像是HS8145V5,不懂是否通用,故找了个S115的。另外要注意,好像是C19(或者R19)及以上才支持IPv6关闭防火墙,旧版本软件是不支持的。
2.补全shell
这个光猫要用官方工具进行补全shell和开启telnet,才能开展后续的一切升级、修改配置等等(详见https://www.right.com.cn/forum/thread-4007274-1-1.html)。使用“华为ONT使能工具”时要注意,点击“启动”后,断电光猫再通电,才会写入shell有关数据到光猫。
3.升级
网上都没有找到说明怎么升级的教程。后面自己摸索:首先是要补全shell,再通过命令操作将界面改为华为原版界面,才能从华为原版界面去升级,详见https://www.right.com.cn/forum/thread-4007274-1-1.html),
/mnt/jffs2/hw_ctree_bak.xml (备份运营商hw_ctree文件) cp -f /mnt/jffs2/hw_boardinfo /mnt/jffs2/hw_boardinfo_bak ( 备份运营商hw_boardinfo文件)
这两句是备份电信界面等信息,后面要恢复电信界面的时候,要用回这些文件的。
cp -f /etc/wap/hw_default_ctree.xml /mnt/jffs2/hw_ctree.xml ( 拷贝华为原厂hw_ctree文件) sed -i 's/^.*obj.id = "0x0000001a" ; obj.value =.*$/obj.id = "0x0000001a" ; obj.value = "COMMON";/' /mnt/jffs2/hw_boardinfo sed -i 's/^.*obj.id = "0x0000001b" ; obj.value =.*$/obj.id = "0x0000001b" ; obj.value = "COMMON";/' /mnt/jffs2/hw_boardinfo sed -i 's/^.*obj.id = "0x00000031" ; obj.value =.*$/obj.id = "0x00000031" ; obj.value = "NOCHOOSE";/' /mnt/jffs2/hw_boardinfo
——这句命令就是恢复厂华界面的,恢复后,就可以正常升级了。恢复电信界面具体怎么操作详见:https://www.right.com.cn/forum/thread-3939080-1-1.html
恢复华为界面的登陆账号密码是:使用账号telecomadmin 密码admintelecom登录
恢复电信界面的登陆账号密码是:telecomadmin,密码:nE7jA%5m
另外还有一种升级,是用维修软件升级,但是我没用过,是在bilibili看到别人用的。
(二)配置超级权限
意思就是额外做一个超级管理员账号密码。这样即使电信改了telecomadmin密码,我们也可以自由登陆。详见https://www.right.com.cn/forum/thread-8187097-1-1.html。这个操作有点难度,就是要把光猫的hw_default_ctree.xml拿出来到U盘,解密(华为解密工具,XML加解密,下图第一个区),插入代码段,再加密,覆盖回光猫去。
将jffs2 文件夹下的hw_ctree.xml 复制到U盘,
cp -f /mnt/jffs2/hw_ctree.xml /mnt/usb1_1/hw_ctree.xml
(有时候会提示找不到文件夹,这个时候的多次 cd 进入jffs2文件夹去 使用这个命名,一言难尽)
拔出U盘,将U盘里面的hw_ctree.xml 进行解密,修改后,再加密回去。
cp -f /mnt/usb1_1/hw_ctree.xml /mnt/jffs2/hw_ctree.xml
CP复制命令成功的话,是没有提示的。
2024/2/28,经测试,这个超级账号还是能用的。但是如果从192.168.1.1进去,是电信界面,用不了。如果是从192.168.1.1:8080进去,是华为官方界面,就可以正常使用。
(三)更换光猫并配置拨号(含固话)
更换光猫,四川到广西,没有入库的光猫,是没法自动下发的,我也没钱找电信人员了。那就得找到loid逻辑码、宽带账号、密码(我的还是BASE64编码,还要解码,气死)。还有固话的账号、密码(就是网上说的鉴权密码)
怎么找,就得自己破解旧光猫的配置文件了。
我的是下发到40%,失败。首先到了40%,这个时候光路(OLT)认证已经成功,剩下的自己配置的。配置好后,能正常上网、打电话。
但是会自动跳到下发光猫的“注册提示”,没法打开网页(有个疑问,如果是华为原厂界面,是不是没有这个问题?!)。故要关闭注册提示,hw_ctree.xml中修改:
<X_HW_UserInfo UserName="" UserId="" Status="99" Limit="10" Times="0" Result="99" X_HW_InformStatus="0" X_HW_AcsCnnctSatus="0"/> 修改为 <X_HW_UserInfo UserName="" UserId="" Status="0" Limit="10" Times="0" Result="1" X_HW_InformStatus="0" X_HW_AcsCnnctSatus="0"/>
hw_ctree.xml修改方法,把hw_ctree.xml从光猫中复制出来到U盘,解密,修改,加密,再覆盖回去,跟配置超级权限操作类似。
(四)关闭防火墙(也可以只开某些端口,只是没电后又得重新置入一次)
如果直接 在光猫里 取消 使能IPv6防火墙控制转发报文:的选项,意味着所有的主机、端口都暴露在外网,感觉有点不安心,所以我还是打钩了。而改为:在补全shell后,修改端口(这两句命令也是我网上搜索,自己拼凑成了,居然能用就用上了)。
ip6tables -I FORWARD 1 -i ppp+ -o br+ -p tcp -m multiport --dports 80:89,5000:5009,8096,9876,6690 -j ACCEPT
ip6tables -I FORWARD 1 -i wan+ -o br+ -p tcp -m multiport --dports 80:89,5000:5009,8096,9876,6690 -j ACCEPT
这命令保存不了,光猫重启有点重来。不过也很少断电。先看看吧。
到此算是告一段落了吧。从无公网IPv4到现在,已过几个月了。家里面的移动光猫也支持上面两句命令,也是不能保存。
有哪位大神说说看怎么在自动启动里面保存着两句代码不?
三、附件
四、后记
自己22块钱的光猫,干脆一不做二不休,重来,恢复华为界面,反正也不用找电信人员,自己都可以配置成功。
这样很多麻烦都省了,还能随时升级。
2024/2/28,经测试,即使换回了华为界面,能拨号成功,但是还是会跳出中国移动注册提示(诡异得很,变成移动了)。所以一不做二不休,直接把hw_default_ctree.xml改了“关闭注册”提醒。
2024/2/29,重刷了华为界面,一直电话注册不成功,老是提示403,服务器禁止。估计是另外一台机子拨上去后,服务器没有释放(采取先关闭光猫再拔线);也可能是该了部分设置,也不懂具体原因,重刷,重配置后,后面可以正常拨入了(跟第一次对比,就从旧猫多复制了数图内容而已)。
电话拨号搞定了。但是防火墙缺无效,即使关闭防火墙,依旧是无法从公网访问内网,设备访问精确控制配置也无效。必须得第四点,加入命令。
over。
发表评论