FIRMWARE ZYXEL P870HW51-AV2

Tricolor · 20 Octubre 2011

Recientemente me han instalado una linea vDSL de 20 Megas de Telefonica, siendo el router que me entregaron un Zyxel P870HW-51 AV 2. Despues de mi experiencia con el P660HW-D1 y de disfrutar de muchas opciones "extra" que no te ofrecen esos routers de telefonica estoy probando de poder actualizar el firmware del P870 de telefonica (z100BKA0b25) al último oficial de Zyxel (1.01(AWZ.4)C0).
A parte de la poco información relativa al tema, he visto noticias que si actualizabas al oficial el router dejaba de funcionar (eso con la ver AWZ.3 CO), por ello me pregunto si alguien ha intentado actualizar a la versión AWZ.4 C0 y le funciona.(Parece que se pueden recuperar con el sistema descrito en http://www.adslayuda.com/foro/adsl/vdsl ... 99013.html)

Otra idea que pensé sería en base a el sistema de feature bits del bootbase utilizado para los modelos P660HW-D1 con el cable de la consola con puerto en serie, haciendo copia de seguridad del bootbase.
Hasta ahora he tenido los siguientes resultados:
- La velocidad inicial es de 115200 baudios (Para teraterm)
- Al introducir el comando ATDO b0000000,4000 me surge la duda del tamaño del bootbase (b0000000,4000) porque no se que direcciones de memoria le correspode a este modelo de router.
- Probando ese comando comienza la transmision XMODEM pero no consigo recibir nunca ningun dato consiguiendo un mensaje de error. (probado cambiando el sistema de crc a chksum con el comando ATXSx)
- La información con el comando ATSH

ZLD Version : V2.05 | 12/30/2008 9:15:20
Bootbase Version : V2.05 | 12/30/2008
Vendor Name : ZyXEL Communications Corp.
Product Model : P-870HW-51A V2
ZLD ROM address : b8020000
System Type : 7
First MAC Address : C86C87xxxxE0
Last MAC Address : C86C87xxxxE5
MAC Address Quantity : 06
Default Country Code : D5
Boot Module Debug Flag : 00
FS Checksum : 25c6003d
Kernel Checksum : b8e9ca18
Main Feature Bits : C0
Other Feature Bits :
00 B1 00 00 00 00 00 00-00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00-03 41 13 00 00 00

OK

Alguna idea para seguir probando??? Quiza usar el comando ATWZa(,b,c,d,e) (write ZyXEL MAC addr, Country code, EngDbgFlag, FeatureBit, Num MAC to flash ROM) pero sin saber cual es su sintasis para modificar los feature bits.

Saludos

OGalati · 21 Octubre 2011

Hola.

Ese es un firmware en Linux, no es ZyNOS, por lo que no sé si todo funcionará igual, pero intenta con el comando
ATMP
para ver la distribución de la memoria.

Sobre el comando
ATWZ
no sirve, porque solamente escribe los Main Feature Bits, no los Other Feature Bits. Para esto necesitas el comando
ATFE
que pocos modelos lo traen. A ver si el tuyo lo acepta.

Slds.

Tricolor · 21 Octubre 2011

Estos son los comandos que me permite el router:

ATCmd> ATHE

======= Debug Command Listing =======
AT just answer OK
ATCR Clear screen
ATHE print help
ATBAx change baudrate. 1:38.4k, 2:19.2k, 3:9.6k 4:57.6k 5:115.2k
ATCMx,y,z compare memory contens from address x and y, length z
ATCPx,y,z copy memory contens from address x to y for length z
ATDUx,y dump memory contents from address x for length y
ATWBx,y write address x with 8-bit value y
ATWWx,y write address x with 16-bit value y
ATWLx,y write address x with 32-bit value y
ATRBx display the 8-bit value of address x
ATRWx display the 16-bit value of address x
ATRLx display the 32-bit value of address x
ATAG init kernel parameters
ATGO(x) run program at addr x or boot router
ATGT run Hardware Test Program
ATRTw,x,y(,z) RAM test level w, from address x to y (z iterations)
ATUBx xmodem upload bootbase
ATUR upload router firmware to flash ROM
ATU2 upload router's second firmware to flash ROM
ATLC upload router configuration file to router

< press any key to continue >
ATBR Reset to default Romfile
ATDOx,y download from address x for length y to PC via XMODEM
ATUPx,y upload to RAM address x for length y from PC via XMODEM
ATXSx xmodem select: x=0: CRC mode(default); x=1: checksum mode
ATBTx block0 write enable (1=enable, other=disable)
ATERx,y erase flash rom from block x to y
ATWFx,y,z copy data from ram addr x to flash addr y, length z
ATRFx,y,z copy data from flash addr x to ram addr y, length z
ATWNn,f,r,l copy data from addr r of ram to addr f of nand flash#n, length l
ATRNn,f,r,l copy data from addr f of nand flash#n to addr r of ram, length l
ATFKop,x,y Flash lock operation 0:Unlock/1:Lock/2:Lock status; block number from x to y
ATWMx set MAC address in working buffer
ATENx, set BootExtension Debug Flag (y=password)
ATSE show the seed of password generator
ATWZa(,b,c,d,e) write ZyXEL MAC addr, Country code, EngDbgFlag, FeatureBit, Num MAC to flash ROM
ATCB copy from FLASH ROM to working buffer
ATCL clear working buffer
ATSB save working buffer to FLASH ROM
ATBU dump manufacturer related data in working buffer
ATSH dump manufacturer related data in ROM
ATCOx set country code in working buffer
ATFLx set EngDebugFlag in working buffer

< press any key to continue >
ATSTx set ROMRAS address in working buffer
ATSYx set system type in working buffer
ATVDx set vendor name in working buffer
ATPNx set product name in working buffer
ATFEx,y,... set feature bits in working buffer
ATMP check & dump memMapTab
ATSR system reboot
ATTTx,y(,z) Test timer functions. x as interval, y as time unit (m, u), z as repeated times
ATCIx if x=1, boot from previous Image. if x=0, boot from latest Image

OK

y la información del sistema:

Copyright 2008 by ZyXEL Communications Corp.

Bootbase V2.05 | 12/30/2008 9:15:13
DRAM0 Size: 32 MB

System Memory Mapping
RAM0: 0x80000000~0x81FFFFFF (32 MB)
Bootbase: 0x80000000~0x80006A9B
Stack: 0x80006A9C~0x8000EA9B

Found EN29LV320AB at address 0xB8000000
Boot-up Bootext...

Bootext V2.05 | 12/30/2008 9:15:20
Flash Detect....
Found EON EN29LV320AB flash at memory address 0xb8000000

System Memory Mapping
Flash0: EON EN29LV320AB at 0xB8000000 (4MB; Block0~Block70)
RAM0: 0x80000000~0x81ffffff (32MB)
Bootloader: 0x80e00000~0x80e153e3
Stack: 0x80e153e4~0x80e1d3e3
Heap: 0x81c00000~0x81dfffff(free:2027520 Bytes)
Flash Temp Buffer: 0x81c00008~0x81c10007 (64KB)

Hit ESC key to stop boot-up kernel...

El comando ATMP responde no disponible y para el comando ATFE necesitaria saber la syntasis si la conoces.

OGalati · 21 Octubre 2011

Este comando es una maravilla, y es el proceso óptimo para modificar la Bootbase, que debería usarse siempre que se pueda. Ojalá estuviera en todos los modelos, y no haría falta hacer el proceso largo al que estamos acostumbrados de copiar la Bootbase, modificarla afuera y luego subirla.

Para usar el comando ATFE debes proceder así:

1- Creas un buffer de trabajo que contendrá en RAM la bootbase que está en Flash, con el comando
ATCB
Ni siquiera necesitas conocer las direcciones de memoria ni el tamaño de los bloques. El sistema sabe dónde queda cada cosa.

2- Usas el comando ATFEx,y donde x es el número de byte e y es el valor que le asignas. Lo usas tantas veces como bytes quieras cambiar, con un byte por vez. Por ejemplo

ATFE0,95 --> aquí no estoy seguro si el 0 representa al Main Feature Bits (lo que se superpondría con el cuarto parámetro del ATWZ) o al primero de los Other Feature Bits).

ATFE1,4F

ATFE2,01

etc.

3- Usas el comando
ATBU
para ver cómo te han quedado las cosas antes de grabarlas. Es similar al ATSH pero referido al Buffer de trabajo en vez de a la Flash.

4- Usas el comando
ATBT1
para habilitar la escritura en Flash del Block 0, donde va la Bootbase.

5- Usas el comando
ATSB
para grabar el Buffer de trabajo de RAM a Flash.

La pregunta fundamental aquí es si la protección contra las modificaciones funciona como siempre con los Other Feature Bits o está basada en otro tipo de bloqueo. Por ejemplo, veo el comando ATFKop,x,y que parece ser un bloqueo de la memoria Flash. Con ATFK2,1,2 podrías ver el estado de bloqueo para los dos primeros bloques.

El otro problema que se presenta es saber qué Feture Bits hay que poner.

Slds.

Tricolor · 22 Octubre 2011

Pues el FeatureBit del oficial es P-870H/HW-51A V2 5A-59, ahora se me presenta un problema... he metido el comando ATWF1 y me ha cambiado la MAC totalmente... como resultado ... ahora parece que no me conecta por WIFI (aparece, me pide la clave pero.. me dice que imposible conectar), el resto sigue operativo por RJ-45 (alguien sabe como usar el comando ATWF para devolver mi antigua MAC??)

Entonces segun tu si el featurebit es 5A-59 como lo cambiarias con el comando ATFE partiendo del segundo punto que explicabas...

OGalati · 22 Octubre 2011

No sé para qué usasste ese comando, pero es uno de los más peligrosos, y creo que la has liado. Si las direcciones de memoria que se sobreescribieron (que no conocemos) corresponden a la bootbase, posiblemente se arregle si subes una bootbase nueva. Si corresponden al firmware, se arreglará al subir un nuevo firmware.

Sobre el uso de ATFE para cambiar los feature bits, sería

ATFE0,5A
ATFE1,59

Aquí estoy usando 0 y 1 pero como te decía, no estoy seguro si hay que usar 0 y 1 o si corresponde 1 y 2. Recuerda que esto lo haces en el buffer de trabajo, y que no se modifica realmente la bootbase hasta que grabas, por lo que puedes verificar cómo te va quedando con ATBU antes de grabar, a ver si han quedado en la posición correcta. Anota antes los feature bits del firmware de Telefónica, por las dudas.

Pregunta: De dónde has obtenido los Feature Bits del oficial?

Tricolor · 22 Octubre 2011

Pues en principio de http://www.jstic.com/Newsgroup/Zyxel/Fe ... _Zyxel.txt
y de otros foros donde comprobe que eran los mismos creo recordar que del foro de openwrt.org .

OGalati · 23 Octubre 2011

Ah, sí, gracias. Ya no recordaba esa lista.
Coméntanos si puedes avanzar con eso.
Slds.

Tricolor · 25 Octubre 2011

Pues como resultado a las pruebas mis resultados han sido:

atcb
OK
ATCmd> atfe0,5a
OK
ATCmd> atfe1,59
OK
ATCmd> atbu

Main Feature Bits : C0
Other Feature Bits :
5A 59 00 00 00 00 00 00-00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00-03 41 13 00 00 00
OK
ATCmd> atbt1
OK
ATCmd> atsb
Erase block0, address 0xb8000000, length 0x2000...Done
Program block0, address 0xb8000000, length 0x2000.......

ATCmd> atsh
Main Feature Bits : C0
Other Feature Bits :
5A 59 00 00 00 00 00 00-00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00-03 41 13 00 00 00
ATCmd> atur
XModem---->upload firmware 101AWZ4C0.bin
OK

Hit ESC key to stop boot-up kernel...
Initital Ethernet:
Wait for Multiboot Service Packet...
Shutdown Ethernet:
Disabling Switch ports.
Flushing Receive Buffers...
0 buffers found.
Closing DMA Channels.

the vmlinux.lz's address is :0XB8346100
Booting from only image (0xb8010000) ...
Code Address: 0x5D000080, Entry Address: 0x0066ec00
Linux file system CRC error. Corrupted image?
Linux kernel CRC error. Corrupted image?

En resumidas cuentas he podido cambiar el Feature Bits, he subido el firmware oficial de Zyxel pero me estanco en el error del Linux Kernel CRC Error... alguna idea para seguir avanzando o si hay algun fallo en el proceso?? Puede ser el Bootbase el fallo??? o quiza hay que modificar mas feature bits....

OGalati · 25 Octubre 2011

Creo que el proceso de los Feature Bits lo ha hecho bien.
Lo que puede estar fallando es:
1- Al no ser un firmware ZyNOS tradicional sino Linux, quizás se requiera algo diferente, no solamente cambiar los Feature Bits. Me inclino por esta opción, ya que parece que la bootbase espera recibir un firmware con CRC diferente.
2- La bootbase se estropeó cuando usaste el comando ATWF.

A ver si encontramos ayuda de los linuxeros...

Tricolor · 25 Octubre 2011

OGalati dijo:
Creo que el proceso de los Feature Bits lo ha hecho bien.
Lo que puede estar fallando es:
1- Al no ser un firmware ZyNOS tradicional sino Linux, quizás se requiera algo diferente, no solamente cambiar los Feature Bits. Me inclino por esta opción, ya que parece que la bootbase espera recibir un firmware con CRC diferente.
2- La bootbase se estropeó cuando usaste el comando ATWF.

A ver si encontramos ayuda de los linuxeros...

No, para nada el problema que tuve con el ATWZ es que me cambio la MAC, ahora ya la he restablecido (me faltaba para volver a cambiar meter antes el comando ATBT) , el router vuelve a funcionar exactamente igual que el primer día por que el sistema es reversible (Modificar Feature Bit, luego subir otra vez el firm de telefonica y listo)

Tricolor · 26 Octubre 2011

Por lo visto no aparecen ideas... seguiré mirando y probando... mientras mi novia me deje..porque eso de dejarle sin internet para probar...

Saludos

Anonymous · 29 Diciembre 2011

¿Todo?

¿Subiste tambien el .rom que viene con el paquete del firmware?

Anonymous · 30 Diciembre 2011

Bueno, pues si, el de movistar es un router NO Zyxel, salvo el hardware.

El Bootloader es un uclinux que podeis ver en:

http://www.ixo.de/info/zyxel_uclinux/

Y el firmware, claro propietario de Movistar.

También podéis ver en esa url la referencia al algoritmo del cálculo de checksum, que puede hacer fallar esa carga de vmlinux (el cargador).

Sigo mirando e investigando.

¿Donde puedo encontrar el bootloader original de este router?. Estoy pensando en pillarme un Zyxel original y copiar todo el firmware.

Anonymous · 7 Enero 2012

zyxel 870 de telefonica a original?

Hola, soy nuevo en el foro y he tenido algún problemilla con el zyxel 870 de timofónica... le intenté poner el firmware original de zyxel porque necesito wds pero se me colgó y lo solucioné conectando por consola y volviendo al firmware de timofónica original.

Mi pregunta es: hay alguna manera de instalar el firmware de zyxel en un router de timofónica?

Llevo días googleando y no hay manera, incluso como dice Asmartin de encontrar una bootbase original para el zyxel.

Cualquier información o ayuda es buena...

RESIDENT · 7 Enero 2012

Re: zyxel 870 de telefonica a original?

Tornnix dijo:
Hola, soy nuevo en el foro y he tenido algún problemilla con el zyxel 870 de timofónica... le intenté poner el firmware original de zyxel porque necesito wds pero se me colgó y lo solucioné conectando por consola y volviendo al firmware de timofónica original.

Mi pregunta es: hay alguna manera de instalar el firmware de zyxel en un router de timofónica?

Llevo días googleando y no hay manera, incluso como dice Asmartin de encontrar una bootbase original para el zyxel.

Cualquier información o ayuda es buena...

Se está investigando... pero de momento no se ha conseguido.

Anonymous · 8 Enero 2012

@OGalati: No está dañada la bootbase, a mi me hace lo mismo, un CRC Error y no he ejecutado el comando ATWF.

@Tricolor: El tamaño de la bootbase no es de 16MB (4000 hexadecimal sino 27292 bytes (6A9C), como puedes leer en el arranque del router:

Bootbase: 0x80000000~0x80006A9B

Prueba con ese tamaño, y me cuentas.

Saludos

Anonymous · 9 Enero 2012

Perdon, 16KB (0x4000), frente a 27292 (0x6A9C).

He intentado volcar desde la posición 80000000, pero me sale un error de interrupción.

OGalati · 11 Enero 2012

No tenemos mucha idea de ese router.
En principio yo te recomiendo que no cambies la bootbase, sino que hagas las ediciones necesarios y subas la misma que trae.

OGalati · 15 Enero 2012

Re: CFE 1.13 instalado

asmartin dijo:
Base MAC Address : 00:19:cb:00:00:01

Esa es la MAC Address real o la has cambiado?

FIRMWARE ZYXEL P870HW51-AV2

Usuari@ ADSLzone

SUPERMORDEDOR

Usuari@ ADSLzone

SUPERMORDEDOR

Usuari@ ADSLzone

SUPERMORDEDOR

Usuari@ ADSLzone

SUPERMORDEDOR

Usuari@ ADSLzone

SUPERMORDEDOR

Usuari@ ADSLzone

Usuari@ ADSLzone

Anonymous

Guest

Anonymous

Guest

Anonymous

Guest

Administrador ★★★★★

Anonymous

Guest

Anonymous

Guest

SUPERMORDEDOR

SUPERMORDEDOR

Similar threads