Tiscali technicolor tg788vn-v2 voip user password

[FrancYescO]

Quote:

Originariamente inviato da conduzione

Prova fatta. Interrompendo la connessione internet il voip non funziona più. Immediatamente dopo l'interruzione della connessione internet leggo in sequenza, dal log di sistema:
- "la connessione internet (telefonia) è stata instaurata correttamente" e vengono elencati ip, server dsn e gateway che ho prelevato dal router Tiscali
- "è fallita la registrazione del numero VOIP 0039XXXXXXXX. Causa: errore DNS"

Cosa ho sbagliato ????????

Hai impostato il server proxy .sys? Nella parte di connessione telefonia hai impostato sulla vlan 935 tutti i server DNS (quelli con 10.x) di Tiscali presi dalla config originale?

Non ricordo il fritz cosa offre come diagnostica sulla rete fonia ma bisogna controllare se il gateway e i server DNS risultano pingabili... Al massimo si deve provare a mettere le impostazioni della fonia come impostazioni di collegamento a Internet standard per poter riuscire a fare un po' di diagnostica

Quote:

Originariamente inviato da alepanz

Se intendi il numero Tiscali si, ho provato io ad averlo registrato due volte. Risultato che appena connettevo la seconda linea, non funzionava e scollegava la prima linea.

Come immaginavo anche se non capisco come mai con sia il 788 "originale" collegato che con il Fritz su altra linea (che quindi dovrebbero rubarsi la registrazione VoIP a vicenda) il Fritz riesce a prevalere tanto che sul 788 nemmeno si accende il led voice, e nemmeno sui log di telefonia ci sono segni di disconnessione

[LuKe.Picci]

Quote:

Originariamente inviato da MirkoFG

li ho inseriti.. ho inserito questi due che sono i generici dns che usa tiscali voip e che sono riportati anche nel mio file di configurazione

10.139.156.110
10.139.156.126

ma una volta tolto quel flag di connessione, per far connettere il voip su connessione separata mi da errore causa dns

Premetto che da una rapidissima lettura di tutto il thread non ho capito quali server dns risolvono con successo quale dominio del proxy e quale risultato si ottenga a seconda che lo si faccia dalla lan o dalla wan, se qualcuno facesse un recap completo e sistemato sarebbe utile. Per cui forse non è questo il caso ma... non è che hai un problema di "DNS rebind violation"? Se non sai di cosa parlo dai uno sguardo al mio post sul voip di Vodafone nel thread sul sostituire la vodafone station, è in prima pagina. Se credi c'entri qualcosa e ti manca qualche dettaglio chiedi pure. A me sembra molto simile il tutto quindi essendo questi di tiscali basati su openwrt, ed avendo dovuto affrontare la cosa su Vodafone non vedo perchè qui dovreste essere immuni.

[LuKe.Picci]

Bhè escludi che sia fastweb facendo la prova da qualcos'altro ma non credere che una non corretta configurazione non possa causare una non rilevazione della chiamata come chiusa. (ho battuto il record di "non" in una frase, sorry) Inoltre verifica di non avere attiva l'auto terminazione della chiamata in caso di silenzio. Fastweb potrebbe averla attiva...

[lupinsun]

Salve Ragazzi, ho anche io questo modem Tiscali ver. 10.5.8.6, avrei bisogno di usare il magic packet (Wol) sulla rete internet!! e leggendo qua e la ho capito che devo modificare la tabella ARP, sapete come si fa??
Sono riuscito a creare un account Administrator ma oltre quello non vado, non riesco a collegarmi con telnet, c'è qualche altra soluzione??
Grazie

[FrancYescO]

Quote:

Originariamente inviato da LuKe.Picci

Premetto che da una rapidissima lettura di tutto il thread non ho capito quali server dns risolvono con successo quale dominio del proxy e quale risultato si ottenga a seconda che lo si faccia dalla lan o dalla wan, se qualcuno facesse un recap completo e sistemato sarebbe utile. Per cui forse non è questo il caso ma... non è che hai un problema di "DNS rebind violation"? Se non sai di cosa parlo dai uno sguardo al mio post sul voip di Vodafone nel thread sul sostituire la vodafone station, è in prima pagina. Se credi c'entri qualcosa e ti manca qualche dettaglio chiedi pure. A me sembra molto simile il tutto quindi essendo questi di tiscali basati su openwrt, ed avendo dovuto affrontare la cosa su Vodafone non vedo perchè qui dovreste essere immuni.

tutti i proxy con domini terminanti con .sys (quelli utilizzati di default per il voip da tiscali) vengono risolti dai dns 10.x raggiungibili solo sulla VLAN 935, a quanto pare nessuno è riuscito a configurare per far funzionare il voip in questo modo (ovvero simulando al 100% le impostazioni tiscali) ma son tutti ricaduti sull'usare i proxy con domini terminanti .net che sono proxy/domini normalissimi e risolti da qualunque dns e utilizzabili anche da altro isp.

PS. facendo le differenza con quello letto nel thread vodafone:
-non c'è la complicazione del tag host-uniq
-la voce è su una vlan (935) diversa rispetto quella dati (835)
-non viene instaurata una connessione pppoe sulla vlan voice
-gli ip sono statici (e assegnati probabilmente tramite la prima configurazione tramite CWMP e non PPPoE) e scritti/reperibili nella configurazione del modem

[Yrbaf]

Quote:

Originariamente inviato da freekess

Non riesco a trovare dove è spiegato come usare router Vdsl come ATA. Mi puoi aiutare? Grazie.

L'informazione era presente sul vecchio thread Tiscali ora perso, però mi pare che anche su quello nuovo qualcuno abbia riportato la sua versione (diversa da quella citata ma altrettanto valida).

Comunque il succo era (valido per il router 788vn) di :

- Aggiungo una delle porte eth (da 0 a 3 mi pare) alla vlan 935 (si fa da menu o da riga di comando con un comando che ora non ricordo, poi saveall alla fine)
- Collego il router (788vn) tramite quella porta all'altro router
- Su questo router realizzo un bridge che faccia passare la vlan 935 tra la lan (porte ethernet) e la connessione fisica esterna (vdsl o wan)
- Finito

Il router 788vn quando non troverà la vdsl attiva (perché la gestione vdsl è su un altro router) proverà a comunicare via ethernet (solo sulla porta esplicitamente abilitata).
Quindi i pacchetti voip arriveranno all'altro router (che dovrebbe avere la gestione vdsl o direttamente o indirettamente via wan) che con il bridge li manderà su di essa e quindi infine a Tiscali.
Tutto funzionerà come al solito ed il 788vn farà da semplice ATA Voip (più il Wifi e dhcp se non li spegnete).

Questa era la versione grezza che non disattivava sul 788vn i servizi non più necessari (vdsl, routing, dhcp, wifi, ...ecc) e quel post si è perso.
Qualcun altro ne ha poi presentato una versione più complicata ma più completa e forse questo post è ancora disponibile.

[francofranco]

Quote:

Originariamente inviato da vaio4ever

Grazie al preziosissimo aiuto del carissimo utente Herbie_53 , siamo riusciti a registrare con successo l'account Tiscali VoIP sui dispositivi Sipura/Linksys/Cisco.
Quindi, se serve, potete trovare gateway funzionanti e con tutte le funzionalità necessarie a meno di 20 euro.
Seguiranno dettagli sulle impostazioni.

Grandissimi! C'avevo sbattuto la testa anche io ma senza riuscirci
Aspetto allora le impostazioni, grazie mille!

ps: ne approfitto anche per chiedere, ma secondo voi, dopo l'exploit e sblocchi vari, da remoto Tiscali è ancora in grado di connetersi al loro modem (789vac v2) in caso di guasti per fare diagnostica?

[LuKe.Picci]

Quote:

Originariamente inviato da FrancYescO

tutti i proxy con domini terminanti con .sys (quelli utilizzati di default per il voip da tiscali) vengono risolti dai dns 10.x raggiungibili solo sulla VLAN 935, a quanto pare nessuno è riuscito a configurare per far funzionare il voip in questo modo (ovvero simulando al 100% le impostazioni tiscali) ma son tutti ricaduti sull'usare i proxy con domini terminanti .net che sono proxy/domini normalissimi e risolti da qualunque dns e utilizzabili anche da altro isp.

Ok quindi sia il server dns in grado di risovere i .sys e sia gli ip degli host .sys risolti appartengono alla subnet 10.x.x.x? Se è così allora dovreste davvero dare una occhiata alla questione del dns rebind protection attiva per default quasi ovunque. (qui uan spiegazione esaustiva https://crypto.stanford.edu/dns/dns-rebinding.pdf)

Quote:

Originariamente inviato da FrancYescO

-la voce è su una vlan (935) diversa rispetto quella dati (835)

anche su vodafone sono diverse dati e voce ma su 1036 e 1035

Quote:

Originariamente inviato da FrancYescO

-gli ip sono statici (e assegnati probabilmente tramite la prima configurazione tramite CWMP e non PPPoE) e scritti/reperibili nella configurazione del modem

anche su vodafone gli ip voce sono statici (cioè viene assegnato sempre lo stesso) ma vengono comunque assegnati dal pppoe

[conduzione]

Ho un 788vn-v2 abbandonato; mi farebbe comodo se potessi utilizzarlo come range extender. Sapete se è possibile, magari anche flashando un altro firmware ?

[FrancYescO]

Quote:

Originariamente inviato da LuKe.Picci

Ok quindi sia il server dns in grado di risovere i .sys e sia gli ip degli host .sys risolti appartengono alla subnet 10.x.x.x? Se è così allora dovreste davvero dare una occhiata alla questione del dns rebind protection attiva per default quasi ovunque.

Non te lo so dire per certo non avendo mai fatto le prove del caso ma si, dovrebbero essere su quella subnet 10.x

non capisco cosa vuoi venire a dire per la questione del dns rebind: che la request al dns venga fatta dall'ip del router connesso sulla VLAN 936 (preso dalle config che a loro volta l'hanno preso tramite CWMP) mi sembra debba essere una cosa ovvia, se poi i fritz e compagnia non si comportano in quel modo (ma non avrebbe senso, se hanno un interfaccia connessa su quella VLAN perchè dovrebbero mettere l'ip di un'altra interfaccia come provenienza?!) ho paura li ci sia poco da fare se non appunto andare su dispositivi open con OpenWRT e tutte le "complicazioni" del caso

sfortunatamente io ho solo un 788vn come dispositivo VDSL e fare configurazioni "avanzate" quali tagging vlan con il firmware limitato di tiscali, per quanto possibile è davvero una grossa perdita di tempo oltre al rischio che per una config sbagliata il balocco si rompe e non ho un backup

[LuKe.Picci]

Non è un problema di ip usato nella connessione al server dns ma di routing. Ti rifaccio l'esempio di Vodafone perchè li so com'è e posso non parlare in astratto.
L'host del proxy sip viene risolto dal dns, lo stesso suato per la connessione dati, anche 8.8.8.8 di google va bene a tale scopo, ma quegli ip sono irraggiungibili se non tramite la connessione voce. Per acconsentire a tale requisito va impostata una regola di routing che dica al gateway che quando vuole raggiungere quegli ip deve usare al connessione wan voce e non quella dati (per la quale è attiva al route di default, ovviamente quella voce non deve assolutamente essere usata in una route di default). Fatto questo il tutto funzionerebbe se non fosse che, grazie alla rebind protection, quando il resolver dns del router riceve dal router stesso (mi pare che se a fare la richiesta sia un client in lan la risposta arrivi normalmente) l'incarico di ottenere un ip per quell'host e ottiene dal dns un ip che sa verrà raggiunto tramite una route diversa da quella usata per raggiungere l'ip del dns che ha fornito la risposta, da un errore, con alert per tentato attacco prevenuto.

Essendo che questo comportamento è attivo di default in openwrt, e che i vari technicolor sbloccabili forniti dagli operatori di cui si è parlato in questo thread sono basati su un fork di openwrt 15.05, non mi stupirebbe scoprire che hanno questa funzione disattivata, o impostata una eccezione per questi domini. Se volete fare delle prove, assicuratevi da controllare che questo non vi causi delle rogne.

PS pensiero personale liberamente non condivisibile: è facile e bello parlare di "modem libero" quando non si sa a quali rogne si andrebbe incontro, per quanto percepisco da quello che vedo in giro gli apparati degli operatori sono gli unici progettati e compatibili con servizi dual-play (internet+telefono), gli stessi Fritz!Box che hanno il supporto al voip lo implementano più che altro per quelli che usano la fonia per conto proprio con un provider diverso dall'isp, o per quegli isp che per miracolo hanno una infrastruttura compatibile

[LuKe.Picci]

Ma Vodafone ha bisogno dell'host_uniq, non lo hanno implementato per rompere i coglioni ma come soluzione ad un importante problema di sicurezza, mentre il protocollo SIP è sempre puro, in tutti i deployment che ho visto è sempre implementato perfettamente, mai fuori standard e in modo più completo di messagenet e qualunque provider voip. SIP è fondamentale in una infrastruttura IMS non serve solo per la fonia. Purtroppo è quest'ambito che gli standard non esistono o sono eccessivamente fumosi ed a libera interpretazione. Andrebbero prima costretti a riprogettare la loro rete per funzionare in modo interoperabile non solo alla frontiera con altre reti ma anche verso CPE fuori dal loro controllo che by design secondo standard sono facenti parte della rete stessa per degli ovvi e buoni motivi. Lasciare sotto il controllo dell'utente un apparato parte integrante della rete è pericoloso per lo stesso utente e per tutta la rete. Sono convinto che ben pochi di questi sistemi infrastrutturali siano protetti contro potenziali attacchi dall'interno, e chi sostituisce il proprio CPE è a tutti gli effetti entrato nella rete bypassando le protezioni di frontiera dell'isp, ovvero quelle implementate nel CPE fornito.

[Yrbaf]

Quote:

Originariamente inviato da FrancYescO

non capisco cosa vuoi venire a dire per la questione del dns rebind:

Detto in parole povere significa che se la protezione è attiva il router (che fa da proxy dns) non permette l'uso dei DNS se la risposta del DNS è un ip privato e non pubblico.

Ergo anche se tu metti i DNS privati di Tiscali non riuscirai ad usarli per risolvere indirizzi in Intranet (leggere bene INTRA non INTER) se non disabiliti la protezione.

https://it.avm.de/assistenza/fritzbo...n-e-possibile/

Quote:

Originariamente inviato da LuKe.Picci

Essendo che questo comportamento è attivo di default in openwrt, e che i vari technicolor sbloccabili forniti dagli operatori di cui si è parlato in questo thread sono basati su un fork di openwrt 15.05, non mi stupirebbe scoprire che hanno questa funzione disattivata, o impostata una eccezione per questi domini. Se volete fare delle prove, assicuratevi da controllare che questo non vi causi delle rogne.

Si confermo senza dubbi che sul router di Tiscali la DNS Rebind Protection è SPENTA!

Acc. non avevo notato che invece Tim ce l'ha attiva e probabilmente è quello che non fa andare la mia config voip Tiscali replicata sul DGA Tim (che dà appunto errore DNS quando cerca di collegarsi).
Appena ho tempo riprovo con la Rebind spenta.

Quote:

Originariamente inviato da LuKe.Picci

Lasciare sotto il controllo dell'utente un apparato parte integrante della rete è pericoloso per lo stesso utente e per tutta la rete. Sono convinto che ben pochi di questi sistemi infrastrutturali siano protetti contro potenziali attacchi dall'interno, e chi sostituisce il proprio CPE è a tutti gli effetti entrato nella rete bypassando le protezioni di frontiera dell'isp, ovvero quelle implementate nel CPE fornito.

Si anche se suppongo che ci sia una certa compartimentazione (Tiscali ha di certo più utenti Fibra degli Ip presenti nella subnet) ogni cliente sembrerebbe avere il suo ip statico e sembrerebbe che siamo tutti in una mega lan Tiscali.

E conoscendo gli ip degli altri forse (se Tis non ha messo dei filtri oltre all'eventuale riciclo di Ip in zone diverse di Italia) ci potremmo (prova mai fatta) collegare a vicenda direttamente.
Con i limiti di sicurezza conseguenti (es. tutti i router sbloccati hanno la password nota, e se puoi fare ssh su qualunque router degli altri che trovi intranet allora ... ).
Per quello sconsiglio di pubblicare il proprio ip voip sul forum

Anche se poi basterebbe lanciare un ipscan e se Tiscali non ci ha messo dei filtri, tutti gli altri in intranet li trovi velocemente

[albarossa2001]

ma per il voip conviene mettere v_internet oppure v_reteprivato

[LuKe.Picci]

Quote:

Originariamente inviato da vaio4ever

Credo che l'accesso SSH sia disabilitato dalla WAN di default, l'unico acceso potrebbe essere Telnet (con solo utente abilitato Tiscali) e il CWMP TR-069, per forza di cose.

No ma il problema di cui parlava Yrbaf sarebbe relativo ad un caso in cui tutti sono connessi col proprio router, ognuno di marca e modello diversi come è ora su internet, quindi ognuno con le sue "porte aperte" agli ospiti.

[LuKe.Picci]

Quote:

Originariamente inviato da Yrbaf

Si anche se suppongo che ci sia una certa compartimentazione (Tiscali ha di certo più utenti Fibra degli Ip presenti nella subnet) ogni cliente sembrerebbe avere il suo ip statico e sembrerebbe che siamo tutti in una mega lan Tiscali.

E' possibile come dici che ci siano dei compartimenti, ma è anche possibile che usino una aggrgazione di più subnet private o addiruttira (come fa vodafone) usino ip di subnet private per i proxy e non private per gli utenti (nb anche se sono ip non privati non vuol dire che al di fuori della intranet siano raggiungibili o abbiano un senso, per quanto ne so potrebbe anche essere lo stesso ip di un server dell'nsa o del governo nordcoreano). Essendo una intranet puoi usare tutti gli ip che ti pare a patto che i router siano configurati come devono.

[Yrbaf]

Si in Intranet puoi usare quasi tutti i 32 bit di indirizzo.

Comunque Tiscali dichiara di usare la rete 10.0.0.0/8 (che sono circa 16 Milioni quindi volendo sufficienti per l'attuale parco clienti e server) ed i clienti sono messi una specifica subnet con netmask 255.255.252.0 e qui non basta più per avere tutti i clienti nella stessa subnet (non ho voglia di fare i conti giusti ma dovrebbero essere 1022 ip circa), sono necessarie per forza o più subnet diverse o il riciclo della stessa (o delle stesse) ma a compartimenti di zona.

Di sicuro più subnet ci sono perché sono riportate nei vs esempi e per fortuna il gateway non permette accessi alle subnet diverse alla propria se non solo verso quelle dei server Tiscali.
Quindi non c'è (per fortuna) un accesso diretto tra tutti i clienti Tiscali.
Resta da vedere se ci sono altri nella propria subnet da 1000 ip (o da 4000 visto che alcuni hanno riportato anche netmask 255.255.240.0)

[FrancYescO]

Quote:

Originariamente inviato da Yrbaf

Detto in parole povere significa che se la protezione è attiva il router (che fa da proxy dns) non permette l'uso dei DNS se la risposta del DNS è un ip privato e non pubblico.

Ergo anche se tu metti i DNS privati di Tiscali non riuscirai ad usarli per risolvere indirizzi in Intranet (leggere bene INTRA non INTER) se non disabiliti la protezione.

https://it.avm.de/assistenza/fritzbo...n-e-possibile/

Ok avevo preso fischi per fiaschi, a questo punto passo la palla a @conduzione o chi per lui che possa fare la prova mettendo tra le eccezzioni del fritz il nostro caro dominio .sys e vedendo se si riesce a far funzionar qualcosa con internet off

Quote:

Originariamente inviato da Yrbaf

E conoscendo gli ip degli altri forse (se Tis non ha messo dei filtri oltre all'eventuale riciclo di Ip in zone diverse di Italia) ci potremmo (prova mai fatta) collegare a vicenda direttamente.
Con i limiti di sicurezza conseguenti (es. tutti i router sbloccati hanno la password nota, e se puoi fare ssh su qualunque router degli altri che trovi intranet allora ... ).
Per quello sconsiglio di pubblicare il proprio ip voip sul forum

Anche se poi basterebbe lanciare un ipscan e se Tiscali non ci ha messo dei filtri, tutti gli altri in intranet li trovi velocemente

credo che alla fine sia quello che già fa da tempo tiscali rilevando così le chiamate "onnet" quelle che riescono ad essere instradate sulla intranet (anche su una linea RTG immagino il "convertitore voip" lo hanno in centrale)

il problema sicurezza riguardo il controllo del modem non credo ci sarebbe perchè sull'interfaccia voce non c'è nessun servizio in ascolto (tant'è che stesso tiscali si è messa in whitelist telnet i loro ip WAN) alla fine sarebbe un pò come pubblicare il numero di telefono e l'ipscan corrisponderebbe a chiamare numeri randomici per scoprire quelli funzionanti

[redeagle]

Ciao a tutti,
vedo che questo thread è diventato - a dispetto del titolo - "come configurare Fritz!Box con VoIP Tiscali"...

Bene io sono riuscito a fare tutto sul mio 7490, tirando fuori la config dal TG789VAC V2, purtroppo però con le chiamate in INGRESSO l'interlocutore non mi sente. Se la chiamata è originata da me va tutto perfettamente.

Per la cronaca:
nella mia config il proxy è srvrm.p.ims.tiscali.sys e la subnet mask è 255.255.240.0.
Come proxy nel Fritz ho dovuto però mettere core1.p.ims.tiscali.net (che ho letto qui perchè non c'è traccia di questo nome sul 789) che è l'unico riconosciuto.

Ho provato ad aggiungere tiscali.sys come eccezione nella protezione DNS Rebind ma cambia nulla, i .sys non vengono risolti.

[Yrbaf]

Che tra l'altro non è una cosa neanche troppo positiva.

Spero ci siano dei controlli per limitare l'accesso almeno ai soli utenti rete Tiscali (non so se qualcuno ha già provato a vedere se funziona da altre reti, magari solo per un test da reti mobile) e che ci siano dei limiti ai tentativi di autenticazione vista la pwd voip debolissima (di cui ormai è nota la struttura grazie ai forum) usata da Tiscali sulla maggior parte degli utenti.

Altrimenti mi basta sapere il numero di casa di uno e sapere che è un utente Tiscali per poi provare un accesso al suo posto e per trovare con al più una 70ina di milioni di tentativi brute force la sua password.
Numero che per un test locale è bassissimo (lo fai al volo in pochi minuti ma devi esserti procurato del suo traffico SIP), si spera almeno che sia una operazione lenta (o impedita) online.

Poi una volta beccata la sua password (che lui non può cambiare) posso usare il suo telefono al posto suo e lasciarlo pure isolato senza telefono per ore o giorni.

Vabbé per fortuna che il primo che si logga impedisce l'accesso agli altri e quindi lasciando il router sempre attivo si dovrebbe minimizzare il rischio (se già non ci ha pensato Tiscali).
Però se becco uno che la notte spegne il modem