Как, как ? С болью и страданиями.
Часть 1. Пролог.
В общем началось все с того что в последний год мы с женой довольно много путешествовали по юго-восточной азии. В среднем проводили 1-2 месяца в разных странах. Когда ты относительно часто переезжаешь и у тебя много устройств которые хотят иметь доступ в интернет то есть проблема, что в каждом новом месте тебе необходимо каждое устройство заново подключать к wi-fi. И ладно когда техники не много и она вся синхронизируется через облако как девайсы от apple. Но когда помимо ноутбуков и планшетов есть еще стимдек, wi-fi камера, raspberry, esp32 и прочее прочее то все это начинает утомлять.
В ходе этих путешествий я пришел к тому что супер удобно возить свой собственный преднастроенный роутер со своим домашним wi-fi и заменять им тот который стоит у вас в квартире от хозяина. Для этих целей я взял что было у меня под рукой, какой-то небольшой soho микротик. Я не люблю подключать его как еще один роутер в уже существующий так как у микротика не очень сильный wi-fi и если в квартире он стоит рядом с роутером от провайдера то получается сильно шумно в диапазоне 2.4 (да и в 5 тоже) и скорость/стабильность бывает страдает. Плюс нет никаких гарантий "оптимизации" трафика со стороны провайдерского роутера. Например удивительно частро встречал фильтрацию dns запросов.
Так я и жил и мне все нравилось.
Последние год мы решили пожить пооседлее и остановились на Пхукете. И тут меня ждал сюрприз. Нашем кондо на Пхукете есть один монополист интернета - это True и у него тут все обтянуто GPON.
GPON - это одна из технологий/разновидностей оптоволокна. Не самый популярный интерфейс в домашних роутерах
Естественно вместе с интернетом ты получаешь в нагрузку потрясающий провайдерский роутер. Все свои предпочтения можно засунуть себе в жопу или долго возмущаться и сетовать на то что жизнь не справедлива, но если нужен интернет то ты так или иначе получишь именно этот GPON и именно этот роутер. В защиту скажу работает он весьма неплохо, у меня выдает полную скорость по тарифу на загрузку и скачивание, что-то в районе 450мб/с. Я делилися интернетом с соседом, и он получал доступ через (!) соседнюю квартиру по этажу и все было окей. У роутера реализован даже работающий MIMO как я понял и все прочие прелести современного вайфая.
Но все же мне хотелось его поменять на свой. Я бегло посмотрел на него и понял что точно надо менять. В роутере было реализована куча потрясающих фич от которых мне сильно хотелось избавиться. Например всякие ALG фаерволы с одной настройкой (on/off), или какая-то антиддос защита, или какие-то встроенные умные меш сети чтобы эти роутеры сами собирались в ботнет и еще сильнее шумели в эфире на частоте 2.4. И все было бы хорошо если галочка off их бы отключала, но конечно она этого не делала (ведь инженеры знаю что сделать это функции неотключаемыми будет лучше для меня и всех вокруг). Вместо этого она просто рисовала в интерфейсе красный крестик, мол отключено, радуйтесь. А фактически внути оставалась какая-то лапша правил iptables, куча сообщений об ошибках при загрузке модулей (забегая вперед их было видно при подключений через uart).
Еще мне пришла в голову неплохая идея что я могу использовать этот роутер исключительно как wi-fi AP, а уже управлять трафиком и со своего микротика, так как там банально больше возможнойстей по настройке но не такой хороший Wi-Fi модуль.
Часть 2. Быстрый старт.
И было решено действовать.
За некую отправную точку я взял статьи как люди меняли в России GPON роутеры от mgts. В двух словах нужно взять GPON SFP модуль, вставить его или в роутер с SFP интерфейсом, или в что-то типа медиаконвертора (госпаде как мне не нравиться это слово) "SFP <-> ethernet" если у вас нет SFP в роутере, настроить и радовать.
Настройка не требует специальных компетенций, вы просто копируете значения всех оригинальных параметров вашего провайдерского роутера в свой модуль, он имперсонируется под него и начинает работать. Операторское оборудование при этом даже не замечает подмены. Копировать нужно все, серийник, производителя, вверсию софта. Благо такая полная имперсонация - это прям базовый функционал для SFP GPON трансиверов с алиэкспресс. Конечно, я пологаю, есть и правильный путь, попросить на стороне провайдера добавить ваш модуль и разрешить ему проходить аутентификация с родным серийником и mac-адресом, но я боюсь я бы не выдержал такого разговора с таиской техподдержкой, да и вряд ли они поддерживают такой вариант подключения для домашних пользователей.
Если говорить о конкретном железе то классика подобных решений - DFP-34X-2C2.
Eще понадобиться штука куда можно его вставить а-ля медиаконвертор так как у меня у роутере нет SFP разьема. Есть куча предложений от безродного китая до имениных брендов. Я выбрал от tplink - mc220l. Все таких не хотелось еще отлавливать проблемы в будущем в нем из-за неизвестности производителя.
Из дополнительного еще был заказан переходник для оптики. Переходник нужен так как существует несколько типов полировки оптических линий. Самыми растпространенными являются UPC и APC. И в теории даже вроде как UPC полировка предназначена для клиентского оборудования а APC для провайдерсокго, но это много где не соблюдается (например у меня в доме) и что бы все было гуд нужен переходник.
Сам модуль довольно сильно греется и имеет тенденцию к перегреву и лучшее что можно с этим сделать это добавить ему пассивного охлаждения. Поэтому на любую свободную плосткость я приклеил по радиатору
Часть 3. Долгий путь.
Не повторяйте мою ошибку. заказывайте железо только после того как у вас будут на руках все необходимые для подлючения данные. Меня спас счастливый случай и отсутсвие культуры разработки, возможно вам повезет меньше и вас ничего не спасет в патовой ситуации.
Две недели с закупки до доставки прошли довольно быстро. Я получил все что заказывал, собрал, естественно я попробовал воткнуть на шару оптоволокно, получил статус вроде Auth failed и пошел перечитывать статьи еще раз смотерть в ui sfp модуля что же там можно настроить.
По плану все выглядело довольно просто, вот настройки, их нужно подсмотреть в оригинальном роутере, подключиться к GPON SFP трансиверу по telnet или через web ui, вставить в него их, нажать окей, потом ребут и получить статус Successful Authentication и наслаждаться. Почти все так и есть, подавляющая часть настроек видна в админке роутера и просто копируется оттуда (а некоторые из них есть еще и на наклейке на роутере). Проблемы начались с LOID и PLOAM. Это те самые секреты для аутентификации из которых оборудование провайдера понимает что вы наш клиент и аутентифицирует вас в сети.
Они обязательны, хотябы один из двух. На самом деле единого стандарта нет, в ходе чтения статей натыкался на информацию что например где-то Испании туда можно ввести все что хочешь и провайдерское оборудование все равно приймет тебя как родного (так как они смотрят на mac адрес в первую очередь). Я ввел свое любимое число, перезагрузился, получил auth failed и понял что просто не будет.
Для сравнения в России для получения PLOAM нужно зайти в роутер под специальной технической учеткой, данные которой гуляют по форумам с самого начала эксплуатации gpon сетей. Прикинув все за и против я решил что скорее всего тут схема аналогичная и надо будет пробовать погуглить гуглить таиский интернет на похожую тему, но потом, пока же попробвать еще вытащить него настройки самому.
Помимо LOID или PLOAM (я еще не знал даже что именно использует локальный провейдер) у меня в роутере была видна настройка ppp подключения. Ну точнее как настройка, я видел статистику по нему и статус типа ppp поднят мистер, пользуйтерь интернетом на здоровье. То есть сам интернет я получал не напрямую через gpon а через поднятое внутри него ppp соединение. Соответственно в отличии от классической "московской" схемы где ppp не было, мне еще надо получить логин и пароль от ppp чтобы все заработало на моем роутере.
Начал я с простого, с бекапов конфигов. План был таков, в web ui сделать резервную копию настроек, скачать какой-нибудь zip архив, открыть его, посмотреть текстовые конфиги и получить все что хочу. К сожалению так не вышло. Фаил то я скачал, но это похоже был просто бинарный дамп раздела из памяти роутера. Совсем не хотелось его реверсить, да и была высока вероятность не потянуть сие действо, так что отложил этот вариант на потом.
Ладно, тогда я решил зайти с другой стороны, а именно через логи. В местном роутере была страница с логированием, и зная что в логах с уровнем дебаг может и должно писаться многое, вплоть до настроек я подумал что это может быть вполне рабочей схемой. Включить максимально логирование, отключиться, подключится, перезагрузить роутер, скачать логи и посмотерть что туда записалось. Да, но.... как оказалось уровни логирования там прибиты где-то внутри и повышая их в веб интерфейсе или понижая не менялось ровным счетом ничего. А из коробки там стояло что-то типа "info", хотя в логах и были записи начинающие с слова debug, их было настолько мало что совершенно не походило на включенную отладку. Короче говоря из логов я не узнал ничего. А ну кроме того что там при загрузке есть куча ошибок то с переименованием интерфейсов, с отсутсвующими куда-то доступами, о проблемах с tr-062, что бекап настроек это дамп и прочая шелуха. Короче для общего развития было интересно, но для моей цели совершенно бесполезно.
Оукей, штош, надо зайти через черный ход. Я пологал с высокой долей вероятности что внутри у роутера есть uart с root консолью на нем или чем-то подобным. И подлючившись к нему я смогу уже на месте сориентирвоаться и вытащить нужные мне данные. Сказано сделано. Получило разобрать даже не нарушив гарантийкую пломбу (почти). И сразу на верхней стороне увидеть пины под uart.
Далее дело за малым, подпаяться и подлючиться, и... ну... как сказал один мой друг "ух, нормально делать стали, что ли?". И меня ждал uboot под паролем а потом приглашение ввести логин и пароль. Логин и пароль с которыми я входил в web ui не подошли, всякие "стандартые" пары типа root/12345 тоже не подошли.
Гуглеж ничего не дал так как это выпущенный под заказ роутер и в свободной продаже как я понимаю его или нет, или он под другим именем с другой прошивкой, короче это мне ничем не поможет. Ну разве что я узнал что есть другие роутеры у моего провайдера, более старые, от которых уже утекли технические учетки и там все необходимые данные можно легко посмотерть. А у некоторых конкурентов в роутерах прям сразу выводиться вся нужная информация.
Вот так пожрав говна, я понял что тучи сгущаются милорд. Короче жопа чо.
Ничего не оставалось как начать с начала, а именно искать таицев энтузиастов которые уже могли сделать что-то подобное.
Я нашел несколько групп в фейсбуке якобы энтузиастов кто что-то делает с этими роутерами. Я с фейсбуком немножно на ты, но вроде как написать на стене в группе это единственный способ коммуникации. Что собственно я и сделал. И получил бан через 7 минут и удаление моего поста. Мне кажется это успех.
Я стал хитрее и остороженее, и написал паре ребят оттуда в личку. Через неделю они мне ответили что это невозможно.
Еще было одно сообщество в line которое торгует оборудованием. Тут успех был скромнее, 92 просмотра и 0 ответов.
В этот момент я уже думал надо взять творческую паузу и вернуться к замене по позже, а именно никогда, но мне помог случай.
Часть 4. Кульминация.
В один из вечеров бесконечного поиска настроек и их ненаходжения я перекидывал оптику то в родной роутер то в свой модуль, ничего как обычно не работало, я решли что ладно, видимо не сегодня, вернул вернул оптику в провайдерский роутер и лег спать. Проснулся ночью от звонка спамеров и заметил что роутер светиться как новогодняя герлядна а интернета нет. Стало не очень приятно так как если я там доигрался до срабатывания какой-либо защиты то мне бы предстоял звонок в поддержку и разговор на тайглише и вызов мастера, вся эта возня, скорее всего они бы ничего не поняли что сломалось и можно было бы подвиснуть на неделю без интеренета, а этого очень не хотелось.
Я полез в настройки и увидел что все так и есть, провайдерский роутер теперь получает отлуп по auth failed. Пу пу пу... дела. Ладно, попробуем перезагрузиться. Не помолго. Попробуем еще раз перезагрузитсья. Опять не помогло. Ну, наверно надо еще раз, и может вытащить его из розетки. В общем не помню сколько раз я его перезагрузил но случилось чудо.
Случилось чудо получше чем работающий интернет. После очередной перезагрузки я как обычно залогинился в web ui но попал туда не как обычной пользвоатель, как настраивающий персонал с дополнительными правами. Сперва я чет вобще не понял что случилось. Сказывалось что на часах было 4 утра. А потом как понял. В интрефейсе как-раз появились впладки с заполненным LOID и пустым PLOAM, а так же секция настройка ppp где я позаимствоавал логин и пароль.
Я был очень рад, хотя нихуя понятнее и не стало как так получилось. На следующий день я продолжил эксперименты. Оказалось следующее, сразу после перезаргузки роутера есть некоторое состояние гонки. Чем оно вызвано не знаю, возможно это как-то завязано на аутентификации в gpon сети (например когда там ошибка то открой супер-админский настроечный доступ, но скорее всего нет) или просто пока роутер прогревается он не всегда успевает натянуть на пользвоателя ограниченный доступ, но факт остается фактом если повезет в нужный момент сразу после перезагрузки залогиниться то можно попасть в режим с расширенными настройками где видна вся необходимая информация. Я пробовал раз 60 наверно, у меня получилось повторить это два раза. Да, шансы не ахти какие, но пока это единственный способ через который я смог получить нужные настройкам.
Часть 5. Успех.
Ну все, а дальше дело оставалось за малым. Нужно было дополнить настройки и посмотреть что там есть у нас в GPON.
Сам GPON как технология довольно вариативна имеет свои определенные особенности и режимы работы. Например он архитектурно поддерживает помимо передачи трафика еще и видео и звук. В целом все это очень хорошо но почти нигде не используется в полном объеме.
Базовой вещью которая нас больше всего интересует во всех этих процессах является такая сущность как GEM-канал. Внутри GEM происходит инкапсуляция и передачать ethernet фреймов. На конечный абонентских устройстках излюбленная практика это маппить GEM каналы 1:1 как vlan. В моем случае было именно так. Оставалось только узнать vlan id. Эти id при подключении передает провайдерское оборудование и из консоли SFP модуля мы можем узнать какие GEM/VLAN в нас пришли.
Как видим у нас есть два влана, 100 и 591. По 100 у нас поднимается ppp соединение с интернетом. Такой вывод я сделал глядя в настройки роутера что был у меня изначально от провайдера. В 591 я ничего не нашел. Скорее всего это это мусор. Я пробовал его сниферить но там пусто.
После создаем vlan интерфейс в роутере, на нем поднимает ppp.
Победа.
Часть 6. Эпилог.
Собственно пришел ли я к цели к которой хотел?
Ну как сказать, так то да, но по дороге потерял 50мб скорости. Я правда не знаю где они теряются а разбираться лень. Я нашел себе оправдание что это неверная методология измерений, как так до замены роутера я мерял немного под другому.
В целом я очень доволен результатом. Роутер от провайдера когда от него не требуется ничего кроме как быть wi-fi точкой доступа показывает себя с лучшей стороны.
А я получил ту самую гибкость которую хотел. Ну пример российские банки или сервисы бывают не работают когда ты находишься за кордоном. У меня поднят vpn прямо на роутре и жена может включать/выключать его для целого устройства через policy base routing на роутере, не требует никаких приседаний с самим телефоном или компьютером. Это удобно когда сегодня ты заходишь в банк с компьютера а завтра с телефона.
Еще у нас тут бывает штормит интернет. Сети юго-восточной азии в целом перегружены и если мониторинг показывает что "милорд что-то неспокойно у вас" то я могу пустить весь трафик с домашних устройств через например японский сервер. Как правило в этом случае становиться лучше связанность с Россией. Для Европы помогало аналогично но через Польшу, но тут я не знаю как это работает, магия не иначе.
Еще чего мне сильно не хватало это QoS. Поясню, у меня дома запущен мониторинг качства интернета 24/7 из говна и палок. В целом ничего интересного просто скорость и время открытия сайтов в разных локациях. Удобно бывает посмотреть как развивались те или иные события в динамике когда чувствуешь что с интернетом что-то не то, но не можешь понять что. Для чистоты измерений хотелось чтобы при их проведении были минимизированы вмешательства извне, например открытые торенты не отнимали канал при проведении изменений. И да, моя новая схема позволила это реализовать.
А в целом хотелось бы закончить на следующем
Все таки я решал довольно узкую проблему, большинству читателей я думаю это не нужно =)
А почему нельзя свой роутер поставить после gpon? И в РФ, и в Аргентине так делаю.
А в Аргентине еще кроме GPON бывает DOCSIS, который вообще трогать нежелательно после настройки.
Вот это упорство! Позвольте пожать вашу крепкую руку, сударь! Круть!
По техчасти почти ничего не понял, но ооочень интересно :) И забавную дыру ты нашел в загрузке, конечно.
А про тест и мониторинг скорости — интересно. Сейчас такую штуку сам начал писать и настраивать из опенсорс-тулзов и Графаны. Но если у тебя есть что-то готовое — поделись, пожалуйста, коли не жалко!
Слушай, я может что-то не так понимаю - но я просто вожу с собой роутер gl.inet'овский (там OpenWRT + их кастомный гуй), втыкаю его проводом если есть возможность (или как wifi uplink если такой возможности нет), плевать на double-NAT и все работает, опциально с подключением к домашней сети по wireguard?
Хах, как знакома твоя боль )))
Сначала я мучался в Москве с МГТС (это оказалось достаточно просто, со следующим опытом).
Потом в грузии с Магти. Там я угробил свой первый GPON модуль, выставил не ту скорость на интерфейсе и микрот перестал его видеть. Купил даже отдельный медиаконвертер (tplink какой-то) но так и не смог завести gpon модуль.
Модули вроде такие-же как у тебя: DFP-34X-2C2. Возможно только последние три буквы другие.
В итоге так-же трахался в Грузии с UART их родного роутера, получилось вытащить ploam. Там хоть PPP нет, и то радует.
Завел благополучно. Даже МРку закинул на гитхаб в прошивки от DFP-34X-2C2.
В Черногрии пока руки не дошли, у них тут местная оптика в 99% случаев ужасно медленная. Медленнее старлинка и по цене соотносима. Поэтому пользуюсь теперь благами спутникового инета )
Подскажи пожалуйста, что у тебя за система мониторинга такая на последнем скрине в графане? Можешь поделиться? )
Зря вы в суппорт не обращались, они приезжают и сами всё делают на вашем железе.
Ну и ремарка - нет такого названия страны, не знаю почему ру-сегмент использует слово «тайланд» всё время
Спасибо, что поделился опытом! Я думаю, не попробовать ли такой же трюк провернуть в Ереване, но пока скорее прихожу к выводу, что нет.
А почему бы при таком сетапе просто не выключить раздачу wi-fi роутера провайдера и оставить только wi-fi микротика?
У меня тоже это число часто встречается.
Тебе позвонили тайские спамеры или русские на русский номер? Если первое, то насколько это
там распространено?
Я правильно понимаю, что у вас в РФ поднят сервер и вы к нему подключаетесь? Сам хочу подобную схему настроить, но не знаю откуда начать
Я правильно понял, что графана+прометей снимает данные с пробников по всему земному шару? Пробники на vps-ках живут?
Как настроен pbr на некротике для быстрого переключения? «поднят vpn прямо на роутре и жена может включать/выключать его для целого устройства через policy base routing на роутере»
APC полировка совместима с обычными модулями, мб даст затухание до 3 дБ, вряд ли для обычной абонентской ситуации это будет критично.
Как заметили предыдущие комментаторы, не уловил почему нельзя просто поставить свой роутер поставить за провайдерским, выключить у прова всё лишнее и не оставить свои настройки, если хочется везде одну экосистему.