换猫棒了

去年从KDDI换到NURO之后就一直卡在IPv6无法使用,因为使用的是二级路由,官方说的是不兼容,而且ISP给的路由器(SGP200W)是无法拿到超级管理员权限无法给路由器变更桥接模式的,所以唯一的方法就只有更换第三方光猫了。

如果你不纠结IPv6,对目前状况满意的话确实没必要去瞎折腾。毕竟官方设备又不是不能用。而且在🇯🇵也很难买到类似猫棒或者光电转换盒之类的东西,对网络以及电子产品不熟的话非常不建议自己折腾倒是,老老实实用运营商给的设备就行。

更换设备后好处是可以使用自己的路由器进行管理,IPv6也可以正常使用,而且如果你的路由器比较高级还可以支持2.5G链路,NURO的话理论上可以跑到下行2G上行1G。不过因为我的设备(Ubiquiti UDM-SE)的SFP+口只有1G和10G模式,即便给光口固定10G模式但是插上2.5G模块也只能跑在1G模式下所以就没办法测试到底NURO能不能突破1G了╮(╯▽╰)╭不知道ubiquiti什么时候才能原生支持2.5G SFP+模块,虽然UDM-SE有2.5G电口,然而还得另外准备2.5G的光电转换盒,这类产品在🇯🇵奇缺,到最后还是得从国内海淘_(´ཀ`」 ∠)

另外就是虽然概率比较小但是运营商随时可以通过修改验证方式封锁导致第三方设备失效,至少目前还是能正常使用的。ISP控制路由器的协议叫TR-069,路由器设置页面(虽然没有superadmin的话看不到)是叫ACS。基本上来说就是运营商可以通过这个协议自动向路由器下发各种配置,比如获取设备LOID/SN/MAC,配置VLAN ID等。

之前有人破解过NURO旧的华为路由器HG8045Q的固件。然而后来固件更新后superadmin就改了,网上找的超级管理员信息也都无法使用,据说目前通过ACS已经做到了根据时间自动生成/修改超级管理员密码,所以几乎无法破解。而SGP200W是基于华为固件魔改的版本,理论上也是类似,不过毕竟是运营商“借的”机器,没必要还是别去拆了╮(╯▽╰)╭

而使用猫棒代替原本光猫的话,则是需要将光猫原本的信息提取出来,然后写入到猫棒里,让猫棒代替光猫桥接网络给路由器提供网络。虽然之前查到有用户说只需要修改SN即可,但是我实测是需要LOID/SN/PLOAM密码的。MAC地址倒不需要伪装。好在这些信息都可以无需superadmin,直接在光猫的状态画面即可获取。

在光猫的状态页面就能看到这些信息。PRODUCT ID是LOID,十六进制化的SN是PLOAM密码,SN直接就是SN(我这里是SYNC开头)。将这些信息填入猫棒后就能进入O5认证完成的阶段。

NURO网络的VLAN ID是10,据说还有20和110分别是给电视和电话服务用的,不过我没有签约就不清楚了。

如果使用的是路由器给猫棒设置时需要将IP设置成静态IP,完成后设置将IP改回动态获取即可拿到公网IP。猫棒是直接桥接模式,而且NURO的网络是DHCP分发地址的所以设置动态获取即可上网,如果你的路由器桥接WAN的话据说还能多蹭几个公网IP。我路由器不支持也懒得折腾所以就没进行多IP的测试了。

这次用的猫棒是国内推友送的ODI DFP-34X-2C2,同时还送了一根华为的MA5671A,两个都测试过了都能跑到O5可以正常上网。不过个人还是比较忌讳华为牌的所以还是主要使用ODI为主。据说诺基亚的G-010S-P也可以使用

ODI的缺点是无法修改/伪装MAC地址。华为的刷的是OpenWRT固件所以可自定项目比较多。而且插到Mikrotik路由器上可以显示内容还是比较多的,比如收发光信号强度等信息,用ODI的话是不会显示的。华为的目前打算备用,万一NURO改了什么规则需要验证MAC地址之类的话至少还有个可以替换的,不过理论上ODI的通过更新固件应该也能达到同样目的就是了。

另外要注意的是MA5671A和G-010S-P的插头虽然也是sc,但是兼容的是绿色的APC插头,而一般家用给的是UPC蓝色的插头,这两个插头的研磨方式不同,APC是斜面而UPC是平面,理论上不能混用。网上说是混用的话轻则光衰大,重的话直接损坏激光头。不过根据我测试好像差别不是那么明显。ODI模块直接就是兼容UPC插头所以这也是为啥我更愿意用ODI模块的原因(毕竟手头上没有UPC转APC的转换头/线)。

GPON本身这个技术倒没什么特殊的,原理就是ISP使用OLT对接所有用户,每个用户使用ONU来连接网络。而数据是群发的,每个用户根据时分获取自己的数据,中间的光纤分割SPL其实就是简单的光纤分光(熔接),没有任何的电子设备参与,所以叫做无源的光网络。所以PON的原理非常类似集线器/交换机,数据包会广播至所有网口,只有对应的网卡自己获取信息,如果网线插上去理论上可以抓包看到数据。不过当然PON网络也有自己的加密认证方式,不像内网集线器/交换机可以简单的抓包就能直接读取到数据。

所以理论上只要认证信息对上,激光波长对上就能上网。网上能买到的ONU模块Class B+/C+/C++/C+++都是发射功率的区别而已,SGP200W属于B+发射功率较低,不过C+/C++/C+++等都可以通过降低发射功率使用。而且从ONU到OLT一般距离都会有几十公里以上,中间还有别的分光器所以光信号衰减还是挺多的,B+的设备换成C+/C++/C+++并不影响使用。

Ubiquiti家的UISP也有GPON ONU模块,网上也有MOD可以用。理论上修改SN/MAC/LOID之类的信息也都可以做到。只不过这些修改基本都是第三方固件或者破解才能完成,所以不保证100%能稳定使用就是了。

这么一说查了一下,当年在国内办专线的时候用的就是PON网络🤔。当年感觉特高科技的东西普及开来了也就如此(

不过在日本大部分运营商(特别是使用NTT光网的)基本都是EPON,最大速率也就1G左右,而且官方给的ONU盒子直接就能插第三方路由器拨号上网,没必要上光猫这么折腾。也就NURO比较特殊用的是自己的光网走的是GPON,所以理论速率可以达到2G,然而默认送的光猫接口却只有1G,除非有线+无线用的都是NURO给的路由器,不然最大速度基本都发挥不出来。

倒是网上有攻略说通过申请NURO某安全服务,可以花大约5.5k更换2.5G光猫(实际好像给的是10G的猫),不过到最后更换的还是SONY自家的设备,所以相比限制也是(ry

到目前来说更换猫棒之后跑了好几天还是很稳定的,没有像网上说的断网或者自动重启之类的问题出现。可能因为是在寄过来之前已经被测试过了🤔,如果是在网上购买的话就得看运气了。建议的话当然是买贵一些的,最好是连光电转换盒也都买了,毕竟也就加几十块的事。不像我之后还得另外想办法海淘(

至于最近换的Ubiquiti设备,个人感觉还是比较满足的。Ubiquiti设备和Mikrotik相比就有点类似iOS和Android,Ubnt的就是满满的各种果风,从开箱到配置以及使用都是Apple的感觉。而Mikrotik就类似Android扩展性高可以玩出很多花样。虽然没有OpenWRT那种随意装插件之类的,不过只是管理网络来说已经不是够用的级别了,也难怪很多地方拿来当主路由/交换,毕竟后台功能确实挺强大的。如果不买unifi的话应该还会继续选RouterOS吧。不过企业防火墙似乎都比较偏好pfsense之类的,我倒是没用过,对内容过滤也不感冒倒是了(

这次之所以换路由,一是之前买的RB2011在之前的KDDI VDSL百兆网勉强还行,但是升级NURO之后缺点就开始暴露了,最主要是路由速度只有700M左右,而如果开了防火墙的IP过滤速度就只剩300M了_(´ཀ`」 ∠)_

而更换UDM-SE之后,至少官方标称开了全部的防火墙/深度检测功能速度还能达到3.5G,而我网络最大也才2G所以完全是能跑满还有剩。只不过现在卡在硬件没办法跑满2G上。不过由于UDM-SE的CPU接内部交换机只有1G,所以除非通过SFP+外接Pro/Enterprise的交换机,不然速度跑不出来,即便能跑出那个速度讲真平时也用不上,没必要这么折腾,倒不如以后直接等10G然后换XGPON╮(╯▽╰)╭所以买2.5G光电转换盒的事情也可以搁置些年了(虽然从国内淘也不贵倒是

Ubiquiti家最强的还得是Wi-Fi,以前用的是4台Apple的Airport来完成Wi-Fi的部署,1台专注WPA2企业级网络,提供802.11ac的网速。而另外2台则是在802.11n上做桥接(因为两个房间不好搭网线),还有一台专门提供2.4G IoT网络。而这次换unifi之后一个AP就搞定了主网+IoT网,WPA2/3 个人/企业一共8个SSID(后来根据设备削减到了5个)。而且因为有开VLAN所以做到主网设备能访问IoT设备,而IoT设备所在的VLAN无法访问主网设备以及路由等方式。也就是即便IoT设备出现安全问题,最多也就是在IoT所在的网络下搞事,不会影响到主网络。这点也是以前一直想做到的但是因为当时用的交换机以及AP不支持Layer2/3控制所以没办法。

之后如果还要升级的话应该还是会考虑把所有交换机都替换成unifi的统一进行管理,并且细分VLAN之后可以开访客网络。而且最近发现unifi可以给门户网页(类似连接公共Wi-Fi时手机弹出的需要登录特定账户或者同意条款方可连接网络的网页)加收费,可以联动stripe API直接做到提供付费Wi-Fi(虽然估计附近没人会去付费用我网络倒是

还有PoE确实是个好东西,一条网线同时提供网络和电源,Raspberry Pi之类的可以密集部署了🤔。只不过才买了U6-Pro之后就在🇯🇵开卖U6-Enterprise了。虽然速度更快支持2.5G网口,但是价格也更贵。讲真UDM-SE的PoE/PoE+只有内建8口千兆交换机有,如果要上2.5G的U6-Enterprise还得买Enterprise支持2.5G PoE++的交换机,还得上10G链路才行。就太耗钱。目前U6-Pro感觉已经满足大部分人需求了。毕竟我这里全部接近100台wifi设备U6Pro都能全部带的动,没必要一次性就上最好。相比之下多买几台AP多利用不同频道扩展一下wifi覆盖范围反而对wifi连接稳定性感觉更好。

最后附上家装猫棒了的主路由的照片:

=======================================

更新:

通过网友代购,买了个SFP+ to 2.5G Ethernet转换盒,路由器上测速成功跑超2Gbps了。说明NURO确实默认提供的就是2G的网,只是得需要支持的设备才能跑到那么高。大部分的路由和电脑都是1Gbps所以基本上是体验不到完整的2G网的。

即便我自己的环境也是只有路由内部能跑到2G以上,真的要给其他设备用2G网就必须得换交换机上10G SFP+接口,电脑没有SFP的也得考虑双网口链路聚合才能体验到超1G网速。

另外关于MAC地址,NURO不仅不检查各光猫的MAC地址,而且通过更换路由器WAN口的MAC地址可以做到更换公网IP。也就是如果IP被国内反墙了无法直接访问国内网站(CDN站点除外),可以通过更换MAC获取新的IP地址达到绕过封锁的目的(虽然很大概率过几天就又被封锁了。

虽然NURO不验证MAC地址,不过不建议尝试多播,特别是同一LOID不同MAC地址获取多个IP,不确定NURO会不会因此找上门或者断网。

作者: bi119aTe5hXk

bi~

《换猫棒了》有14个想法

  1. 我艹大哥我爱你,我现在还在头疼nuro光怎么私借自己的猫棒或者光猫,找了好久!!

  2. 在研究把NTT家的10G-ONU换成10G-EPON猫棒,可惜NTT的光猫根本没后台管理界面,只能拆机TTL尝试看看能不能进后台提取scfg了~

    1. NTT的ONU应该不负责认证,最多验证一下MAC地址。
      大部分的认证信息应该都有写在设备的包装或者铭牌上。理论上只需要将上面的信息写入猫棒即可。
      根据签约的ISP不同,PPPoE拨号或者IPoE设置会有所不同,特别是日本独有的DSLite/MAP-E之类的一些国外路由器(比如我用的Ubiquiti)不支持 :a10 这种时候只能建议买“国产路由”比如yamaha的RTX系列,或者自己刷OpenWRT之类的(

      1. 我的猫棒是XE-99S,改掉MAC之后似乎向OLT注册成功了,但是DHCPv6拿不到PD前缀 :b5
        正在等国内集运过来编程夹和TTL模块调试一下NTT猫

        1. O5注册成功的话说明配置是正确的,NTT那边验证应该也过了。
          IPv6的话根据签约的ISP不同操作方法也会有所不同,有些ISP如果要IPv6还得另外签约或者付费
          如果之前ISP给的路由是能正常使用IPv6的话,那很有可能只是设置问题,就得去网上查签约的ISP用的什么方式提供的IPv6了╮(╯▽╰)╭
          我的nuro是直接IPoE方式提供的dual-stack,所以直接DHCP就能搞定,但是好像其他家的ISP(即便是签的so-net)IPv6提供方式基本都不会是dual-stack所以好像都无法直接DHCP获取 :a6

          1. 10G EPON好像没有O5这一说法,不过猫棒确实提示was registered to OLT了。
            我签约的是softbank光10Gbps,不过用フレッツ光クロス的话不管哪家VNE都是IPoE拿到v6前缀然后v4走4in6隧道。现在用运营商的光猫能顺利拿到v6前缀, 换成猫棒不知道哪里配置有问题拿不到(
            网上资料大部分都是GPON的,EPON好少QAQ :b7

            1. 猫棒不是桥接而是直接当作路由来用么🤔
              正常的话应该是猫棒直接桥接,然后认证以及DHCP之类的都交给后面的路由器,猫棒只要注册成功基本就没它什么事了,后面就是和ISP的斗智斗勇( :b6
              看了下你的blog,感觉似乎sb用了许多特殊方法。似乎没办法简单解决。
              我的话要求倒没那么高,主要是之前nuro给的路由器分配的prefix是64位无法继续接自己的路由来分配就只能用猫棒来绕过(
              以前我用YahooBB以及au的时候倒是可以在二级路由继续分配IPv6地址,这样也满足我需求基本不用折腾也能用 :a10
              单纯为了换设备而折腾的话确实比较麻烦,这个只能祝你加油了

              1. 是桥接模式的SFU猫,没有路由功能。
                不清楚是不是NTT在里面篡改了DHCP包加了认证信息什么的(
                目前猫棒设定为全透传模式,也有可能是没设定VLAN的原因(?
                NTT的VLAN也没人知道 :a3

                1. 可能10G的网结构和1G区别比较大🤔
                  不过确实本身EPON以及10G的PON资料都比较少,国内也是最近这几年才上10GPON,而折腾这些GPON/EPON的都是捡漏玩洋垃圾的。外加日本ISP本身验证就搞特殊(
                  感觉即便继续用着ISP路由器,反正只要设置了DMZ(IPv4)以及IPv6可以正常下发的话平时用起来也没啥影响。
                  要说性能折损的话,感觉即便少个几十几百Mbps的话,本身10G网应该感受不出什么差别
                  不过本身SB用户就多,原理上就无法像NURO那样能一直维持高速,用网高峰期测速肯定不理想,这个是ISP的锅换啥设备都无法解决的 :b4

                  非得要换路由的话,硬核一些的话可以像之前他们破解NURO那样拆下rom芯片dump出rom之后反编译查认证信息╮(╯▽╰)╭当然弄不好的话会直接损坏一台路由(
                  而且即便dump出认证信息,如果是sb自己的方式的话市面上路由器也不一定支持,可能得自己写(

                  1. 嘛。。sbb倒是没在PON网络的层面上做认证
                    毕竟是租的NTT フレッツ光クロス回线,ONU也是NTT自家的,甚至10G宽带他们连对应的10G BB单元都懒得做,直接让用户租NTT的XG100NE路由器(
                    拆解了ONU发现了TTL调试的接口,等国内买的编程夹到货就试试dump
                    本来想收一台二手10G-ONU用,结果这玩意比nuro的光猫还稀有,在二手平台上完全找不到踪迹(x

                    1. 10G毕竟最近这几年才开始普及的,所以设备肯定少 :b6
                      默认情况下估计TTL不一定能取到有用的信息,现在的厂商都精了不给用户留后门了╮(╯▽╰)╭
                      不过只要等的时间够久,理论上破的方法还是会有的(

        2. 我也有类似的问题,我的解决方案是猫棒内不填写VLAN ID,改为穿透模式,并在ESXI新建虚拟交换机绑定到SFP端口然后新建端口组并在端口组上覆写VLANID,这样新建的端口组给哪一个vm哪个vm就有公网v4+v6,你可以尝试一下

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

:b1 :b2 :b3 :b4 :b5 :b6 more »

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据