La Fibre
Datacenter et équipements réseaux => Routeurs => 
TP-Link => Discussion démarrée par: vergeaow le 29 mai 2015 à 15:50:46
-
Bonjour à tous,
Voici mon problème :
J’ai voulu mettre à jour le firmware de mon routeur WiFi TP-LINK TL-WDR3600.
L’utilitaire indique que cela va prendre un certain temps.
Mon portable ayant fini de charger je souhaite le débrancher pour aller passer un coup de fil.
Erreur, j’ai débranché de transfo du routeur ???
Je sais, c’est ballot :'(.
Il y a donc eu (comme) une coupure de courant pendant la mise à jour du firmware.
Le routeur ne boote plus (je ne vois plus passer les différentes étapes de clignotement des LED), il n’y a que la LED verte « power » qui est allumée, impossible d’accéder à l’interface web.
Lorsque je branche le routeur sur mon réseau, la LED correspondant au port LAN s’allume, ça clignote mais le routeur ne récupère même pas d’adresse IP (pas de trace de son adresse MAC sur mon serveur DHCP).
J’ai donc « Googlé »mon problème, tout n’est peut-être pas perdu.
Il existe une procédure pour se connecter au routeur en SSH avec le logiciel Putty et en attribuant une ip fixe au PC. Si j’arrive à m’y connecter il y a le détail pour re-flasher le firmware.
Rien, Nada, Que dalle, …
Le routeur reste invisible !
D’après vous, poubelle ?
-
Il existe une procédure pour se connecter au routeur en SSH avec le logiciel Putty et en attribuant une ip fixe au PC. Si j’arrive à m’y connecter il y a le détail pour re-flasher le firmware.
donc tu as mis une IP fixe sur ton PC sur le meme range que le routeur , tu peux le pinger ?
-
Pour avoir eu un soucis du même genre (enfin un ami qui jouait avec mon WDR3600), à priori il est possible de mettre un port JTAG dessus et de le flasher ainsi.
Je te laisse regarder, je pourrai lui demander des précisions si besoin.
-
Même sur la table arp il n'y a rien quand le PC est branché sur le routeur ? Sinon en essayant la plage 169.254.0.0/16 avec le masque 255.255.0.0 vu que c'est un client en DHCP et qu'il n'apparait pas dessus ?
Je sais qu'il est possible de flasher par TFTP si c'est un DD-WRT, la table ARP permettrait de le retrouver, mais si c'est vraiment brické et qu'il n'y a aucun accès réseau possible, il faudra utiliser le JTAG comme l'a dit Nico
C'est justement sur le forum DD-WRT que j'ai trouvé la procédure avec Putty en SSH ou TFTP.
Donc : pas d'adresse MAC du routeur dans la table arp et bien entendu pas de réponse au ping.
Je cherche pour le JTAG
-
J'espère que tu arrivera à le réparer car c'est du bon matos, ça serait dommage de le jeter...
Au pire tu peux toujours récupérer les deux antennes :P
A priori pas de raisons, on s'en est déjà sorti d'un brick de WDR3600. Par contre de mémoire y a un peu de soudure à faire pour le JTAG.
-
Vraiment non, pas poubelle. Il y a forcèment un moyen de s'en sortir, en bidouillant certainement mais il y a moyen de s'en sortir.
-
Sans passer par JTAG il y aurai un moyen de s'en sortir avec ce type de matériel, ce qui éviterai de faire des soudures.
Trop compliqué pour moi.
Je crois que je vais mettre une annonce du genre "donne pour pièces ..."
-
Il n'y a pas un bouton "reset" sur ce truc ?
Je sais, c'est une question con :)
-
Si le problème vient du firmware, le bouton reset va pas servir à grand chose malheureusement... On peut toujours essayer, il se situe entre l'antenne droite et le switch jaune
Par contre selon la version du routeur, la disposition de l'électronique à l'intérieur peut varier, et donc il faut pas se louper pour les soudures.
Perso j'ai la version 1.5 (LEDs vertes)
wdr3600 :
(http://nsa38.casimages.com/img/2015/06/20/150620021418958874.jpg)
Il n'y a pas un bouton "reset" sur ce truc ?
Je sais, c'est une question con :)
J'ai essayé toutes les manipulations possibles pour faire entrer le routeur en mode maintenance : méthode 30/30/30, appui long, appui rapide au démarrage, ...
Donc le bouton reset, oui il y en a un, et il est incrusté dans mon doigt.
Et rien n'a fonctionné.
EDIT : moi c'est la version 1.4, LED vertes aussi
-
J'ai trouvé une photo de l'intérieur, malheureusement en 1.1 (LED bleues), l'emplacement JTAG semble être juste à droite du chipset Atheros central (qui est à la verticale du port ethernet bleu) et le JTAG porte l'inscription J1 donc ça peut être que ça...
A voir si c'est pareil que sur ton modèle.
(https://lafibre.info/images/materiel/20506_tp-link_tl-wdr3600.jpg)
Sinon c'est un très bon routeur, faut quand même essayer de le bricoler on sait jamais, j'imagine que la garantie est soit dépassée ou annulée par le flashage
Je ne vais pas m’amuser à souder, je continue à chercher un moyen de le débricker mais si je ne trouve pas je le donnerai.
La garantie est dépassée mais pas annulée car toujours des firmwares officiels de TP-LINK
-
Sans passer par JTAG il y aurai un moyen de s'en sortir avec ce type de matériel, ce qui éviterai de faire des soudures.
Je ne connais pas trop ce truc, tu as un lien ?
Je crois que je vais mettre une annonce du genre "donne pour pièces ..."
Bah si tu abandonnes, fais signe ;).
-
Le JTAG permet de reflasher la flash memory quand plus rien est possible, j'ai sauvé un déco SAT comme ca, un plantage pendant un update, avec le JTAG tu lui remet son firmware directement dans la l'eeprom.
Ca necessite de maitriser un minimum l'électronique, mais pas tres compliqué.
-
Après plusieurs essais / recherches, impossible de débricker mon routeur sans jouer du fer à souder.
Je le donne donc.
L'idéal serait de venir le chercher.
Avis aux intéressés !
-
Un JTAG c'est pas bien compliqué c'est 4 fils a connecter au moterboard, le pbs est que quand il y a un conneteur pour ca, c'est pas normalisé entre les equipements...
Il te faut une image de la flash (ca peux se recupèrer par le port JTAG sur un fonctionel)
Un PC avec un port RS232 (XP de préférence)
Le soft qui sert a flasher.
Voila celui que j'ai construit pour mon deco sat qui restatait en mode "marmotage" boot impossible.
(https://lafibre.info/images/materiel/201506_jtag_1.jpg)
Je reconais que si tu maitrise pas trop l'electronique, vaut mieux trouver qqun qui le fait pour toi, si tu habitait pas si loin je t'aurais bien donné un coup de main.
-
Personne intéressé ?
Je crois bien qu'il va finir à la poubelle
-
Le soucis est juste de trouver un autre router fonctionel pour récupèrer le contenu de l'eprom, c'est pas 4 soudures qui me font peur, mais je sais pas ou trouver ce qu'il faut lui injecter...
-
Je serais bien intéressé mais pas sur Limoges ^^.
Dans tous les cas, quitte à le jeter, autant s'entraîner à souder :-).
Mais sinon y'a peut-être un moyen d'accéder au flash via TFTP (juste après le boot).
Plus d'infos ici (http://wiki.openwrt.org/toh/tp-link/tl-wdr3600#tftp_auto_recovery_in_revision_15) :
Pour récupérer le firmware (http://www.tplink.com/en/download/TL-WDR3600_V1.html#Firmware).
Edit: lien
-
Oui si tu arrive jusqu'a la fin du boot tout est pas perdu, maintnant si le boot ne démarre plus (ce que j'ai eu sur mon déco sat, toutes les led allumées sans aucune réaction) pas d'autre choix que reflasher l'eprom au JTAG et ensuite faire la bonne mise a jour par le port RJ45, mais pour ca faut un OS fonctionel, sinon sa marche pas.
-
Je ne comprends pas qu'il n'y ait pas un bouton repartir sur le "firmware usine"!
-
Je ne comprends pas qu'il n'y ait pas un bouton repartir sur le "firmware usine"!
C'est pas prévu que un equipement se retrouve avec sa flash memeory inutilisable.... c'est bien sur techniquement possible mais ca necessite une 2eme eprom et quand ont sait que les couts sont calculés au strict minimum, on va pas trouver cette fonctionalité pour demain.
Meme sur un PC si ton bios est mort, tu as pas 36 solutions pour en remettre un frais.
J'ai vu ca sur des serveurs haut de game HP, ou tu as un jumper a placer pour copier une rom de backup dans la flash, mais bon on peut pas comparer un server a 5000€ avec un router a 50€ :)
Sur ce genre de server un update se fait jamais sur la primary flash mais sur la secondaire, et tu fais le switch a la fin si tout c'est bien passé, et si vraiment tout est corrompu tu as le dernier recoure de copier le boot, apres c'est JTAG ou changement du motherboard, ca m'est jamais arrivé sur un equipment pro de tout perdre
Sur les bay de disc Netapp, Hitachi, Emc et autres tu as meme 2 cartes CPU, si une est morte, il passe sur la 2eme, tout est concu pour ne pas avoir de SPOF, un upgrade est jamais fait sur les 2 cartes simultanèment.
-
Personne intéressé ?
Je crois bien qu'il va finir à la poubelle
Si rien ne marche et que t'as le courage d'aller à La Poste, je te paie les frais de port ;).
-
Il y a Gigabyte qui propose sur beaucoup de cartes mères le DualBIOS, pour démarrer sur un UEFI de secours avec un jumper, en cas d'OC loupé et de PC qui se met en sécurité avant de pouvoir entrer dans le BIOS par exemple, ou de flashage de l'UEFI raté.
Pour l'anecdote, ma centrale de commande de mon circuit de trains intégré aussi un firmware de secours. C'est pas si rare de mon point de vue.
-
J'ai vu ca sur des serveurs haut de game HP, ou tu as un jumper a placer pour copier une rom de backup dans la flash, mais bon on peut pas comparer un server a 5000€ avec un router a 50€ :)
Sur ce genre de server un update se fait jamais sur la primary flash mais sur la secondaire, et tu fais le switch a la fin si tout c'est bien passé, et si vraiment tout est corrompu tu as le dernier recoure de copier le boot, apres c'est JTAG ou changement du motherboard, ca m'est jamais arrivé sur un equipment pro de tout perdre
Je pensais en gros à ça, mais en version "low cost", c'est pas possible?
-
Ca se fait pas car 99% des utilisteurs d'un router ne savent meme pas ce que c'est un serveur tftp, alors meme avec un petit switch qui te copie un boot secteur d'une rom dans la flash, apres faut arriver jusqu'au bout de la procédure, mais comme ca été dit, sur cerain PC ca existe dans le matos grand public.
-
Le soucis est juste de trouver un autre router fonctionel pour récupèrer le contenu de l'eprom, c'est pas 4 soudures qui me font peur, mais je sais pas ou trouver ce qu'il faut lui injecter...
L'image de l'eeprom est peut-être contenue dans le fichier d'archive de mise à jour, téléchargeable depuis le site officiel.
-
une piste:
sur mon routeur linksys wrt610n-v2 je me suis retrouvé plusieurs fois dans ce cas:
routeur qui ne répond plus à rien
envoie de fichier tftp qui est bugué sur ce routeur (il envoi mais ne flash pas...)
pour le récupérer il faut le démonter et faire un court circuit entre deux pattes d'une des puces au démarrage!
la tu as une interface qui se lance en te proposant un envoi de fichier à flasher
je ne sais pas si il existe un système similaire avec ton routeur!
-
Ben oui si ta flash est morte tu as meme plus acces au tftp, et trouver une image de l'éprom, pas évident, on te fournit des firmware que tu peux charger si tu arrive jusqu'a la fin du boot, par le port serie ou lan, mais faut encore arriver jusqu'a cette étape.
Un firmware OS est pas un dump d'éprom, c'est pas utilisable.
Il y a des excellent soft pour JTAG:
(https://lafibre.info/images/materiel/201506_jtag_2.png)
(https://lafibre.info/images/materiel/201506_jtag_3.png)
Mais encore faut il avoir un modele fonctionel sous la main pour l'extraire, ou que le vendeur te fournisse le binaire, ce qui qui jamais le cas.
-
Il existe 3 type de jtag :
- certains sont déjà au format RS-232 : il suffit de brancher un câble + connecteur série sur les connecteurs.
- certains nécessitent un petite puce pour adapter les signaux pour le RS-232
- certains sont chiffrés et nécessite du matériel qui déchiffre le chiffrement de constructeur (donc un matériel fourni par le constructeur)
Voici une photo d'un jtag de cette dernière catégorie :
(https://lafibre.info/images/materiel/201506_jtag_4.jpg)
(https://lafibre.info/images/materiel/201506_jtag_5.jpg)
-
Sur un petit routeur comme le WDR3600, de marque chinoise, a mon avis c'est par du RS232 tout simple et sans chiffrement. C'est pas du matos cisco et d'autres du même genre, ou bien un truc fermé comme une xbox (pour les connaisseurs ::))
Par contre j'ai lu quelque part que les signaux dans le JTAG pourraient fonctionner avec une prise parallèle ? (prise qui disparait des ordinateurs récents mais il y a parfois un connecteur interne sur la carte mère donc ça peut être pratique)
Une prise parallèle, il faut de nombreux fils, c'est le principe...
Au moins 8 fils de donnés + 8 fils de masse + x fils pour je ne sais quoi comme le sens de la communication...
Tu vois la différence entre une nappe PATA et SATA...
-
Oui mais justement, ici on envoie des données depuis le PC pour flasher l'eprom du routeur, donc la prise // est conçue pour ça, il y a de nombreux fils de données qui envoient les infos à l'imprimante, donc on peut par exemple contrôler l'état logique pour allumer des leds, et donc pourquoi pas flasher l'eprom avec le logiciel qui va bien. Les broches 2 à 9 sont uniquement réservées pour l'envoi de données.
Exemple, tiré de google images (truc en chinois)
(http://www.kumouse.com/wp-content/uploads/2010/08/tp_410_460_20PIN_jtag.jpg)
Et oui je vois la différence, mais il y a bien du multiplexage pour le SATA, donc il faut le contrôleur qui va bien. En // apparemment ça pourrait marcher mais la photo c'est qu'un exemple au hasard, pas spécifiquement pour le WDR3600.
C'est curieux car on retrouve une partie TTL avec 4 soudures comme sur la photo du WDR3600, et une autre série d'entrées qui utilisent la prise //.
En fait celui que j'ai construit c'est juste un circuit 74HC244 qui adapte les niveaux, il est concu pour un port parallele, c'est normalisé, sauf le pinout qui est pas identique sur tous les motherboard, et certain ont un connecteur, d'autre juste les trous et il faut souder un connecteur, ou directement les 5 fils necessaire.
Ensuite tu choisis le bon modele de memoire flash dans le soft et tu envoi le dump.
-
Hello guys,
Sur ce routeur, ne vous fatiguez pas à essayer de faire fonctionner le port JTAG, il est désactivé dans le soft.
Par contre, il y a un autre moyen qui fonctionne dans 99% des cas et est beaucoup plus simple.
Il y a un port série RS-232 classique sur la carte du routeur qui permet d'accéder à une console locale, il suffit de souder des picots dans les empreintes prévues sur le PCB et d'utiliser un petit adaptateur USB / RS-232 TTL trouvable sur ebay pour quelques euros.
Il existe deux types de mises à jour de firmware là dessus : firmware seulement (8,126,464 octets), firmware + bootloader (plus lourd).
Si c'est une mise à jour du premier type, c'est facile à rattraper : tu soudes le port série et tu accèdes au bootloader (U-Boot) qui te permettra de reflasher entièrement le routeur via TFTP. Je l'ai déjà fait sur ce modèle précis après une fausse manip, ça se fait bien.
Si c'est une mise à jour du deuxième type... Il faut prier pour que le bootloader soit toujours opérationnel, mais la procédure est identique.
Si le bootloader est HS : attaquer directement par l'EEPROM, mais c'est moins facile et pas méga documenté.
Plein d'infos ici : http://wiki.openwrt.org/toh/tp-link/tl-wdr3600
-
Ben le JTAG est une connection physique sur le cpu et l'eprom, comment tu peux la desactiver ?
Le but d'un JTAG est bien d'acceder les composants sans le moindre firmware installé, non ?
-
Ouaip. Il sert entre autres à flasher le soft en usine quand tu n'as rien en mémoire.
Le truc, c'est que la plupart des microcontrôleurs, SoC ou autres FPGA offrent la possibilité de le désactiver.
Il peut y avoir plusieurs raisons de le faire, entre autres parce que les broches du port peuvent être utilisées pour faire autre chose.
Sur l'AR9344 (le SoC de ce routeur), il suffit de mettre le bit DISABLE_JTAG dans le registre GPIO_FUNCTION à 1 et paf, plus de JTAG.
Pour une EEPROM, c'est plutôt via SPI que tu vas lui parler.
-
Je suis par sûr de comprendre.
Tu veux dire que la mémoire a été remplie avant le montage sur la carte, et que le machin n'est donc pas re-programmable sans tout dé-souder?
-
Probablement que la memoire est remplie au JTAG et ensuite tu desactive l'acces sur le CPU, c'est comme ca que je le comprend, mais je savais pas que ca se faisait, j'ai en tout cas jamais vu un equipment avec son JTAG desactivé, c'est juste scier la branche sur laquelle tu es assis... mais effectivement pas impossible.
Maintenant faut aussi penser que avec un JTAG tu récupère aussi le contenu de la flash, ca peux gèner certain contructeur qui veulent pas se faire dumper leur microcode pour différente raisons, ca empechera pas qqun de dessouder l'éprom pour la copier sans JTAG.
Par contre la flash interne au CPU, si tu la protège, la effectivement ca devient tres difficile a la lire, crtain CPU ont un fusible qu'il font cramer apres la programation, donc plus d'acces une fois programé, tu execute le programme mais tu le dump pas.
-
Probablement que la memoire est remplie au JTAG et ensuite tu desactive l'acces sur le CPU, c'est comme ca que je le comprend, mais je savais pas que ca se faisait, j'ai en tout cas jamais vu un equipment avec son JTAG desactivé, c'est juste scier la branche sur laquelle tu es assis... mais effectivement pas impossible.
Donc la mémoire doit être programmée avant le montage sur la carte?
Maintenant faut aussi penser que avec un JTAG tu récupère aussi le contenu de la flash, ca peux gèner certain contructeur qui veulent pas se faire dumper leur microcode pour différente raisons, ca empechera pas qqun de dessouder l'éprom pour la copier sans JTAG.
En effet soignons sérieux, l'espionnage industriel ne s'arrête pas à un désoudage de composant. On est vraiment chez guignol là.
-
Si rien ne marche et que t'as le courage d'aller à La Poste, je te paie les frais de port ;).
Merci pour toutes ces infos, cela pourra surement servir aux membres su forum.
Perso je n'ai pas l'envie / le temps de me lancer là-dedans.
Bien sur que je peux aller à La Poste ==> MP pour type d'envoi et adresse.
-
Je pense que les memoires sont programée avant montage, le JTAG est super efficace mais tres lent, quand il faut 15 minutes pour prgrammer une flash, ca va pour un particulier qui doit faire un recovery mais dans un processus industriel ca doit couter trop cher.
Et qqun qui veux vraiment recupèrer du code, malgré toutes les protections c'est mission impossible de le proteger.
-
J'ai envoyé le routeur à Nico
-
Hello Guys,
Pour la postérité voici comment j'ai débrické le routeur.
1. Essai sans démonter le routeur
Ces routeurs ont un mécanisme permettant de récupérer le firmware en cas de flash raté.
Normalement, le routeur doit automatiquement tenter de récupérer une image valide via TFTP.
Pour ce faire, un petit coup de WireShark.
(http://www.ernestocorp.eu/lafibre/Wireshark.jpg)
Dommage. Il ne se passe absolument rien, il va falloir ouvrir la bête.
2. En démontant.
Commençons par faire sauter les quatre vis.
(http://www.ernestocorp.eu/lafibre/Dosrouteur.jpg)
Ensuite, on déclipse le dessus du routeur et nous voici face au PCB de la bête.
On y remarque le port JTAG, inutile sur ce modèle car désactivé ainsi que le port RS232.
(http://www.ernestocorp.eu/lafibre/PCB.jpg)
Soudons donc le port RS-232.
(http://www.ernestocorp.eu/lafibre/PCB_RS232.jpg)
Et branchons-y un adaptateur USB - RS232 (TTL).
ATTENTION : TTL indique les niveaux logiques [0;5V]. Le RS-232 au cul d'un PC a des niveaux logiques de [-9;+9V].
NE SURTOUT PAS BRANCHER UN PORT SERIE ORDINAIRE LA DESSUS.
(http://www.ernestocorp.eu/lafibre/PCB_Console.jpg)
D'une manière générale, la sortie et l'entrée standards sont redirigées sur le port série.
Cela permet simplement d'avoir un terminal local, bien pratique.
Avec un émulateur de terminal (PuTTY), cela donne ça :
(http://www.ernestocorp.eu/lafibre/ConsoleBrick.jpg)
Le kernel est naze, ça ne risque pas de démarrer. Par contre, le bootloader est un U-Boot tout ce qu'il y a de plus classique et il a l'air de bien fonctionner.
Autrement dit, il est possible d'obtenir un shell directement via le bootloader.
Cool. Je peux causer au routeur maintenant. Il est temps d'y brancher un câble Ethernet.
Je lui donne une IP fixe.
Je lui indique l'adresse d'un serveur TFTP installé au préalable sur ma machine (TFTPd32 est pas mal pour ça sous Windows).
Je lui demande d'aller gauler le firmware stocké sur le serveur.
Je lui efface sa flash
Je la remplis de nouveau avec un nouveau firmware.
(http://www.ernestocorp.eu/lafibre/Console.jpg)
Reboot.
Et bim.
(http://www.ernestocorp.eu/lafibre/Debrick.jpg)
Pour les détails : http://wiki.openwrt.org/fr/toh/tp-link/tl-wdr3600
-
Merci pour les photos :)
-
Vraiment merci pour ce tuto, ca va surement servir a d'autre personnes dans la meme galère.
-
Vous aurez donc noté que je me suis un peu fait aider ;).
Merci pour le tuto en tout cas, si ça peut en aider...
-
On peux encore trouver le TFTP server de CISCO ici, http://www.oldversion.com/windows/download/cisco-tftp-server-1-1