Keuin's

联通中兴光猫调教:夺回自主权

0x0 前言:为什么要折腾

今年,家里换了联通宽带,v4+v6的双栈接入体验很不错。不过联通给的光猫就实在很难让人满意了:这个光猫由中兴(ZTE)制造,是一个究极缝合产品:把光转电、拨号、NAT、无线AP这四个功能全部做到了一个“光猫”盒子里。这样确实降低了宽带部署的人工成本和技术成本,毕竟我们不再需要买路由器了,一个设备即可解决家庭有线、无线设备的网络接入问题。除此之外,该设备还内置了远程下发配置的功能,运营商的运维可以远程修改、覆盖用户光猫的设置,从而降低了维护成本。

不过,对于我们这种高级用户来说,这些功能不仅没有任何的益处,反而限制了我们的正常使用:光猫的管理用户是分等级的,我们这种用户只能拿到一个低权限的“管理员”,只能改改wifi名字、wifi密码之类的;而运营商运维手里的管理员账户才是真正的管理员:可以修改几乎所有的设置,还可以登录到telnet。但是,我们用户是拿不到这个账户的:要么找运维去要,要么自己破解。我在网上搜索了一下相关的经验,发现在一两年前,很多人都可以要到这个超级管理员的密码,但是2021年开始,就有人说自己要不到了。我打电话问了运维,他不给我改成桥接,而且也不告诉我超级管理员密码,那么,还是自己动手吧。

注意:以下操作全程不要连接光纤,否则设置会被联通强行修改,且超级管理员密码会被修改,无法获得超级管理员权限,只能再次重置、恢复到出厂设置。

0x1 禁用远程管理

为什么要禁用远程管理呢?第一次折腾的时候,我也没有禁用远程管理,后果就是:改完一两个月后,联通的运维在未告知我的情况下,远程覆盖了我的配置文件,把我的桥接模式强行改为NAT模式。同时,由于联通的远程管理会强制重置超级管理员密码,仅使用正常手段的话,用户只能乖乖使用联通的霸道设置,要么做两层NAT,要么让自己的无线路由器运行在AP模式。总之,联通希望你用他的设备作为你的网关,而我们是不希望这样的。所以,我们要用技术手段禁用远程管理,夺回我们配置自己的网络设备的自主权。

  1. 首先,要记下你的LOID、VLAN ID以及PPPoE用户名。前两个用于配置光纤转以太网,PPPoE用户名则用于在自己的路由器上拨号(网页无法查看PPPoE用户名,不过联通一般会给你,或者试一下是不是123456这种)。
  2. 备份完毕后,用针捅reset按钮来复位。注意,网页重置不是真的重置,一定要捅屁股才行(比如超级管理员的密码就不会重置)。
  3. 等待路由器重置完毕后,假设路由器IP是192.168.1.1,访问http://192.168.1.1/cu.html,用密码CUAdmin登录超级管理员页面。
  4. 登录进去后,找到WAN设置,把名字里带有TR069的项目都删掉,避免联通使用TR069来修改路由器设置。
  5. 按照这篇文章存档)介绍的方法,获得Telnet用户名和密码。注意:这个工具获得的登录凭据是临时的,如果失效,重新获取即可。
  6. 按照这篇文章的方法,修改web页面没有显示的设置,进一步禁用TR069远程管理。具体地,在Telnet控制台中运行sendcmd 1 DB p MgtServer,可以看到可修改的配置项,把URL以及MRURL都修改为一个无效的地址(我改为了127.0.0.1),并且把Tr069EnablePeriodicInformEnable都修改为0即可。
  7. (可选)使用命令sendcmd 1 DB set UserInfo 0 Password 123456把超级管理员密码改为123456,使用命令sendcmd 1 DB set UserInfo 1 Password 123456把普通用户密码改为123456。

(我也不能确定这样是否可以彻底禁用掉远程管理,只能用时间来检验了。)

(来自一年后的更新:可以的,稳定跑一年没被改回去了。)

0x2 设置为桥接模式

“桥接模式”一词,来源于中兴光猫的web配置页面。我对该词语的理解是,光猫工作在链路层,将两个使用不同物理层协议(一个是光纤,一个是双绞线电缆)的以太网端口连接起来。由于这两个端口处在同一个以太网广播域下,光猫充当网桥的角色,因此光猫的工作模式是桥接模式。

我们使用超级管理员账户登录到路由器后台,找到WAN设置,删掉所有已有的设置(尤其是名字包含TR069的设置,避免被远程管理)。之后,新加一个设置,“连接模式”设置为“桥接”,“VLAN模式”设置为“改写”,“VLAN ID”填入你在重置之前在WAN设置里看到的“VID”(包含在连接名字里)。

重启光猫,插上光纤和自己的路由器,在自己的路由器里设置PPPoE拨号,应该就可以连接到互联网了。这时再进入光猫后台查看,发现原有的超级管理员密码仍可正常使用,如果时间验证发现联通无法修改光猫的设置(理论上是这样的),那么我们就成功地夺回了我们自己对网络设备设置的自主权!

0x3 后记

我们坚信,因特网是自由的。

联通试图降低运维成本以及小白用户配置出错的概率无可厚非,但联通仍应且理应为懂得如何配置自己的网络设备的用户归还完全控制他们自己的网络设备的权力。

0x4 参考资料

  1. 中兴光猫配置文件获取方法, ncgege, CSDN
  2. 【重磅发布】中兴ZTE全系列光猫开telnet工具破解版, jarvis, Jarvis’s Blog
  3. 分享一个中兴电信光猫配置文件解包打包工具, spoon, 恩山论坛
  4. ZXHN F677V2修改桥接, twd2, Wandai Blog
  5. 修好电话, twd2, Wandai Blog(中兴光猫配置文件解密工具)
  6. 以解决 河南联通中兴F677V2 怎么破解超级管理员? 需求:桥接, cxpjazz, 恩山论坛(有IPTV相关设置)
  7. 破解电信光猫中兴ZXHN F420
  8. 河南联通光猫F677V9改桥接等, bl1366, 恩山论坛