De Gemeente Altena en omstreken heeft pas glasvezel van Delta gekregen.
In deze topic wil ik graag mijn bevindingen delen en welke stappen ik allemaal doorlopen heb om de Genexis Platinum-7840 te vervangen voor een eigen router.
Mocht je in een ander gebied zitten of een andere provider hebben met een zelfde serie router waar mijn instellingen niet werken.
Dan kan je iets naar beneden scrollen waar ik uitleg hoe ik de juiste instellingen heb kunnen vinden voor mijn regio.
TL;DR voor mensen die geen muur tekst willen lezen.
Maar de vraag vooraf wat mensen zichzelf best zullen afvragen: Waarom doe je dit en wat is er mis met Delta zijn apparatuur?
Ik heb meerdere antwoorden op die vraag maar de voornaamste 2 zijn:
Disclaimer: In het 2e deel van deze thread ga ik in op het demonteren en "hacken" van de commandline van mijn router.
Ik moedig je niet aan om dit zelf te proberen en accepteer geen enkele verantwoordelijkheid voor eventuele schade of defect raken van apparatuur.
Dus hoe ben ik te werk gegaan?
Ik ben simpel weg gewoon begonnen door de gpon module nadat die was geactiveerd in mijn eigen router te stoppen en kijken wat er gebeurt.
Tot mijn verrassing kreeg ik een 10.x.x.x adres en begon ik te spelen met vlans en mac spoofing omdat ik geen WAN adres er uit kon krijgen.
Na een paar uur daar in gestopt te hebben en geen stap veder ging ik een andere hoek bekijken.
Wat als Delta pppoe gebruikt op hun netwerk en ik in het authenticatie vlan vast zit. (Spoeiler ze doen dat niet)
Op Google kon ik helemaal niks vinden over Delta glas vlans en of ze authenticatie gebruiken dus alles vanaf dit punt was speculatie.
Ik heb een Linux server met een pppoe server, plain text pap en wireshark opgezet om te kijken ppp frames kon onderscheppen maar daar kwam ook niks uit.
Toen begon het idee te dagen in mijn hoofd: Goh zal dat apparaat een seriële aansluiting hebben intern waar ik een config uit kan trekken zodat ik weet waar ik naar zoek?
Na wat moeiten met de router te bevrijden uit zijn behuizing, wat verdraaid lastig was er zitten overal plastic clips die niet meer los willen als ze vast zitten en waar je niet bij kan. Heb ik de router bevrijd met minimale schaden aan de behuizing. (Maar 2 van de 6 clips zijn afgebroken)
Ik vond iets wat leek op een uart serial connector en ik ging op onderzoek uit wat welke pin was.
Ff google en ik kwam uit op dit artikel: https://bergs.biz/blog/20...genexis-fibertwist-p2410/
Het was een heel ander model router maar wel van de zelfde fabrikant waar wat interessante bevindingen.
O.a. pinnout, baud rates, een cli admin wachtwoord en het vinden van een potentiële backdoor voor providers. (Nu wou ik zeker dat apparaat uit mijn netwerk)
Je heb speciale uart to usb adapter maar ik had er geen bij de hand, ik heb een arduino uno in uart mode gebruikt in mijn geval.
Na het aansluiten en invullen van de juiste baud rate, kreeg ik een cli terug yey!.
Ik probeerde de router te resetten om in de failsafe mode terecht te komen die in het boven genoemde artikel ontdekt was maar die stond uit op mijn router helaas.
Wat wel werkte was de user en pass combinatie van operator en operator, heerlijk als bedrijven zo lui zijn met hun security
.
Eenmaal in de router kwam ik de zelfde bekende cli tegen als in het eerder genoemde artikel, het was gewoon een uitgeklede variant van Cisco IOS!
Na ff de beschikbare commando's te bekijken kwam ik heel snel een show run commando tegen wat alle info bevatte wat ik nodig had.
Hier is een dump van de config voor mensen die dat leuk vinden:
Door een beetje ip rules en vlan config velden te bestuderen kwam ik er achter dat vlan 100 internet was, vlan 101 tv en vlan 102 VOIP.
Ik vermoed dat je ook de routing regels voor vlan 100 en 101 in je eigen router moet over nemen als je naast internet ook tv wilt. (vergeet icmp snooping niet op je eigen firewall/router)
Telefoon moet je apart taggen denk ik.
Aangezien ik alleen internet af neem heb ik dat niet kunnen testen dus veel geluk voor wie dat gaat proberen.
Heerlijk als ze je alle info op een zilveren schaal overhandigen.
Ik bleef nog even kleven om te kijken wat de andere commando's deden maar ik haalde daar niks nuttigs uit, de cli was vrij uitgekleed.
Als mensen willen kan ik nog los de opstart logs en een "show ip route" posten maar ik moet die eerst even door nemen op persoonlijk identificeerbare info.
Dus op mijn firewall vlan 100 instellen en gaan toch?
Nope ik kreeg geen IP adres.
Ik zal je alle details besparen maar het probleem was mijn Unifi dream machine pro met de ronduit beta class firmware waarvan Unifi claimt dat het stabiel en productie waardig is.
Na alle kabel er uit te trekken op de SFP WAN en een lan poort na en de SPF te forceren op 1gbe snelheid kreeg ik uiteindelijk toch een correct WAN IP na een laaste wanhopige reboot.
Blijkbaar kan versie 1.9.1 en 1.9.2 niet correct van RJ45 WAN naar SFP WAN schakelen (Wat Unifi claimt kan) je moet de stekker er fysiek uit trekken van je RJ45 poort.
Ik had nog een werkende Ziggo lijn dus zo kwam ik in de knoei.
Na het aanzetten van vlan 100 op de SFP WAN kan je de RJ45 WAN kabel er uit terkken en de SFP inpluggen. Daaran werkt het meteen voor mij.
Dus een lekker lang verhaal, ik hoop dat mensen er wat aan hebben als zij zelf aan de slag gaan met een Genexis router en niet de zelfde regio instellingen delen.
Vandaar dat ik zo uitgebreid in mijn methodiek was.
Teven ben ik de onderzoeker Ralf Bergs heel dankbaar
Zijn voorwerk heeft mij een hoop tijd en frustratie bespaard met het toegang verkrijgen tot de cli van de Genexis.
In deze topic wil ik graag mijn bevindingen delen en welke stappen ik allemaal doorlopen heb om de Genexis Platinum-7840 te vervangen voor een eigen router.
Mocht je in een ander gebied zitten of een andere provider hebben met een zelfde serie router waar mijn instellingen niet werken.
Dan kan je iets naar beneden scrollen waar ik uitleg hoe ik de juiste instellingen heb kunnen vinden voor mijn regio.
TL;DR voor mensen die geen muur tekst willen lezen.
Voor de mensen die graag willen weten hoe ik achter het juiste vlans ben gekomen uit nieuwsgierigheid of omdat zijn een ander vlan moeten hebben in hun regio kunnen in dit deel van de tread terecht.Wat heb je nodig?
Een router/firewall met een SFP (WAN) port die ook vlans op de wan interface kan configureren.
De Genexis router van Delta en met name de SFP gpon module uit de Genexis router
Ik vermoed dat je niet een eigen gpon kan gebruiken want in de gpon zit een uniek id wat de provider aan zijn distributie apparatuur koppelt. (En zijn manieren om dat id over te zetten maar dat gaat buiten de scope van mijn tread)
Wat moet je doen?
Eerste de Genexis aansluiten en de first time setup doorlopen, zo wordt je gpon geactiveerd bij Delta en haalt de router zijn config op (Wat later handig kan zijn) en kan je testen of de "officiële" supported hardware met internet werkt.
Haal de gpon module uit de router pas wel op je verbreekt een garantie zegel dus alles op eigen verantwoording vanaf dit punt. (Verwijder eerst de glasvezel kabel, daarna kan je met een klein schroevendraaiertje een palletje omhoog wippen en de module er zo uit halen)
Installeer de gpon in je eigen router/firewall en configureer het volgende:
De WAN poort op DHCP laten staan
Op de WAN poort Vlan 100 instellen (access port/untaggen)
Wil je ook tv en telefonie? Op de WAN poort vlan 100 (Internet), 101 (TV), 102 (VOIP) taggen en de juiste vlans binnen je netwerk untaggen (Niet zelf getest een routing tabel staat veder naar beneden in de post voor de tv en voip servers van delta. Wellicht is het untaggen binnen het eigen netwerk niet eens nodig daar door)
Geen MAC spoofing of clone nodig in mijn geval (Kan je proberen als je geen IP adres krijgt, het MAC adres van de Genexis router zijn WAN poort staat achterop de stikker van de router)
Thads it![]()
Je hoort nu netjes een IP adres van Delta te krijgen en kan het internet op
Krijg je een adres wat met 10.x begint heb je de vlan config verkeerd gedaan
Delta gebruikt vlan 1 tagged en untagged om config naar hun routers te pushen in een 10.x netwerk met Cisco cwmp.
Maar de vraag vooraf wat mensen zichzelf best zullen afvragen: Waarom doe je dit en wat is er mis met Delta zijn apparatuur?
Ik heb meerdere antwoorden op die vraag maar de voornaamste 2 zijn:
- Genexis ondersteunt geen bridge mode alleen een DMZ modes. Dit is voor 99% van de netwerk opstellingen geen punt maar in mijn geval met een ipsec vpn echt een drama omdat ik achter een 2e nat terecht kom. Plus ik haal wat complexiteit uit mijn netwerk als ik direct naar mijn firewall kan gaan zonder eerst door de apparatuur van delta te natten.
- Het leek mijn een leuke uitdaging aangezien ik nog niet iemand anders heb kunnen vinden op het internet die een werkende set-up achter een delta glas lijn heeft kunnen krijgen met eigen apparatuur.
Disclaimer: In het 2e deel van deze thread ga ik in op het demonteren en "hacken" van de commandline van mijn router.
Ik moedig je niet aan om dit zelf te proberen en accepteer geen enkele verantwoordelijkheid voor eventuele schade of defect raken van apparatuur.
Dus hoe ben ik te werk gegaan?
Ik ben simpel weg gewoon begonnen door de gpon module nadat die was geactiveerd in mijn eigen router te stoppen en kijken wat er gebeurt.
Tot mijn verrassing kreeg ik een 10.x.x.x adres en begon ik te spelen met vlans en mac spoofing omdat ik geen WAN adres er uit kon krijgen.
Na een paar uur daar in gestopt te hebben en geen stap veder ging ik een andere hoek bekijken.
Wat als Delta pppoe gebruikt op hun netwerk en ik in het authenticatie vlan vast zit. (Spoeiler ze doen dat niet)
Op Google kon ik helemaal niks vinden over Delta glas vlans en of ze authenticatie gebruiken dus alles vanaf dit punt was speculatie.
Ik heb een Linux server met een pppoe server, plain text pap en wireshark opgezet om te kijken ppp frames kon onderscheppen maar daar kwam ook niks uit.
Toen begon het idee te dagen in mijn hoofd: Goh zal dat apparaat een seriële aansluiting hebben intern waar ik een config uit kan trekken zodat ik weet waar ik naar zoek?
Na wat moeiten met de router te bevrijden uit zijn behuizing, wat verdraaid lastig was er zitten overal plastic clips die niet meer los willen als ze vast zitten en waar je niet bij kan. Heb ik de router bevrijd met minimale schaden aan de behuizing. (Maar 2 van de 6 clips zijn afgebroken)
Ik vond iets wat leek op een uart serial connector en ik ging op onderzoek uit wat welke pin was.
Ff google en ik kwam uit op dit artikel: https://bergs.biz/blog/20...genexis-fibertwist-p2410/
Het was een heel ander model router maar wel van de zelfde fabrikant waar wat interessante bevindingen.
O.a. pinnout, baud rates, een cli admin wachtwoord en het vinden van een potentiële backdoor voor providers. (Nu wou ik zeker dat apparaat uit mijn netwerk)
Je heb speciale uart to usb adapter maar ik had er geen bij de hand, ik heb een arduino uno in uart mode gebruikt in mijn geval.
Na het aansluiten en invullen van de juiste baud rate, kreeg ik een cli terug yey!.

Ik probeerde de router te resetten om in de failsafe mode terecht te komen die in het boven genoemde artikel ontdekt was maar die stond uit op mijn router helaas.
Wat wel werkte was de user en pass combinatie van operator en operator, heerlijk als bedrijven zo lui zijn met hun security

Eenmaal in de router kwam ik de zelfde bekende cli tegen als in het eerder genoemde artikel, het was gewoon een uitgeklede variant van Cisco IOS!
Na ff de beschikbare commando's te bekijken kwam ik heel snel een show run commando tegen wat alle info bevatte wat ik nodig had.
Hier is een dump van de config voor mensen die dat leuk vinden:
In de config kon je zien dat de router op vlan 1 zijn config krijgt via cwmp die daarna uit gezet was.geneos# show running-config
! version geneos-lunar-3.14.0-R
!cwmp acs username "" password ""
cwmp disable
ip rule seq 1 source-interface lan destination 62.45.57.36/32 destination-interface vlan100
ip rule seq 2 source-interface lan destination 62.45.57.34/32 destination-interface vlan101
ip rule seq 3 source-interface lan destination 62.45.57.0/24 destination-interface vlan101
ip rule seq 4 source-interface lan destination 62.45.59.0/24 destination-interface vlan101
ip rule seq 5 source-interface lan destination 62.45.76.0/24 destination-interface vlan101
ip rule seq 6 source-interface lan destination 62.45.58.226/32 destination-interface vlan101
ip rule seq 7 source-interface lan destination 62.45.45.150/32 destination-interface vlan101
ip rule seq 8 source-interface lan destination 62.45.69.0/24 destination-interface vlan101
ip rule seq 9 source-interface lan destination 212.115.196.0/25 destination-interface vlan101
ip rule seq 10 source-interface lan destination 212.115.196.248/29 destination-interface vlan101
ip rule seq 11 source-interface lan destination 217.63.90.128/25 destination-interface vlan101
ip rule seq 12 source-interface lan destination 217.63.91.0/26 destination-interface vlan101
ip rule seq 13 source-interface lan destination 62.45.61.32/27 destination-interface vlan101
ip rule seq 14 source-interface lan destination 62.45.61.16/28 destination-interface vlan101
ip rule seq 15 source-interface lan destination 62.45.61.64/28 destination-interface vlan101
ip rule seq 16 source-interface lan destination 217.102.255.57/32 destination-interface vlan101
ip rule seq 17 source-interface lan0 destination-interface vlan100
ip rule seq 18 source-interface lan destination-interface vlan100
!management source-interface vlan1
ntp server nl.pool.ntp.org
ntp source-interface vlan100
clock timezone Europe/Amsterdam
!username operator password ""
!username operator access cli
!username admin password ""
!username admin access gui
wlan 2g channel auto allowed-channels 1,6,11
dhcp server pool cpe-lan
!pool enable
!pool size start 192.168.1.64 end 192.168.1.253
dhcp server pool guest-lan
!pool size start 192.168.2.64 end 192.168.2.253
interface lan
!bridge member wlan1,wlan2
!ip address 192.168.1.254/24
ip igmp proxy vlan101
ip igmp immediate-leave
interface lan/ethernet1
!vlan member 4001
!vlan untagged 4001
interface lan/ethernet2
!vlan member 4001
!vlan untagged 4001
interface lan/ethernet3
!vlan member 4001
!vlan untagged 4001
interface lan/ethernet4
!vlan member 4001
!vlan untagged 4001
interface vlan1
!ip address dhcp
interface vlan100
ip address dhcp
interface vlan101
ip address dhcp
interface vlan102
ip access-group voip-in in
ip address dhcp
interface wan
vlan member 1,100-102
vlan untagged 1 priority 1
interface wlan1
wlan security authentication wpa2
interface wlan2
wlan security authentication wpa2
interface wlan3
!shutdown
interface wlan4
!shutdown
ip access-list voip-in
seq 10 permit udp source any destination any port 8000-8015
seq 20 permit tcp source any destination any port 5060-5061
seq 30 permit udp source any destination any port 5060-5061
seq 40 permit icmp source any destination any
voice
!country nl
user-agent include
!dial plan "(xx.T)"
voice line 1
clip enable
voice line 2
clip enable
wlan bandsteering
!bandsteering rssi -60
!bandsteering stablocktime 5
!bandsteering scaninterval 120
!end
Door een beetje ip rules en vlan config velden te bestuderen kwam ik er achter dat vlan 100 internet was, vlan 101 tv en vlan 102 VOIP.
Ik vermoed dat je ook de routing regels voor vlan 100 en 101 in je eigen router moet over nemen als je naast internet ook tv wilt. (vergeet icmp snooping niet op je eigen firewall/router)
Telefoon moet je apart taggen denk ik.
Aangezien ik alleen internet af neem heb ik dat niet kunnen testen dus veel geluk voor wie dat gaat proberen.
Heerlijk als ze je alle info op een zilveren schaal overhandigen.
Ik bleef nog even kleven om te kijken wat de andere commando's deden maar ik haalde daar niks nuttigs uit, de cli was vrij uitgekleed.
Als mensen willen kan ik nog los de opstart logs en een "show ip route" posten maar ik moet die eerst even door nemen op persoonlijk identificeerbare info.
Dus op mijn firewall vlan 100 instellen en gaan toch?
Nope ik kreeg geen IP adres.
Ik zal je alle details besparen maar het probleem was mijn Unifi dream machine pro met de ronduit beta class firmware waarvan Unifi claimt dat het stabiel en productie waardig is.
Na alle kabel er uit te trekken op de SFP WAN en een lan poort na en de SPF te forceren op 1gbe snelheid kreeg ik uiteindelijk toch een correct WAN IP na een laaste wanhopige reboot.
Blijkbaar kan versie 1.9.1 en 1.9.2 niet correct van RJ45 WAN naar SFP WAN schakelen (Wat Unifi claimt kan) je moet de stekker er fysiek uit trekken van je RJ45 poort.
Ik had nog een werkende Ziggo lijn dus zo kwam ik in de knoei.
Na het aanzetten van vlan 100 op de SFP WAN kan je de RJ45 WAN kabel er uit terkken en de SFP inpluggen. Daaran werkt het meteen voor mij.
Dus een lekker lang verhaal, ik hoop dat mensen er wat aan hebben als zij zelf aan de slag gaan met een Genexis router en niet de zelfde regio instellingen delen.
Vandaar dat ik zo uitgebreid in mijn methodiek was.
Teven ben ik de onderzoeker Ralf Bergs heel dankbaar
Zijn voorwerk heeft mij een hoop tijd en frustratie bespaard met het toegang verkrijgen tot de cli van de Genexis.