Por dentro do roteador Wi-Fi D-LINK DSL2740e

Jefferson,

18 de setembro de 2015,

CPU: RTL8676S
ADSL: RTL8271B
Wi-Fi: RTL8192ER
Flash: MXIC 25L3206E 32Mbit (4MB)

Note que não existem chips visíveis de RAM. Esta deve estar incluída no interior do RTL8676S. Na parte de baixo da placa só existe o botão de reset.

Apesar do chip de flash ser de 4MB, é possível que o modem só possa fazer uso de 2MB. Veja comentários sobre o comando “show version” neste texto.

A flash é SPI 3.3V. Deve ser possível ler/gravar em qualquer gravador que possa ser configurado para SPI 3.3V 4MB

A porta serial do DSL2740e já tem header soldado. Parâmetros 115200 8N1.

O uso desta porta serial é discutido neste outro post.

Texto recebido pela serial em roteadores com firmware corrompido:

--------------------------------- Start to decompress! Booting Press 'ESC' to enter BOOT console... Ext. phy is not found. Boot from NOR/SPI flash support multicast tool time out ...... Decompress file... uncompress fail try secondfailed! (c)Copyright Realtek, Inc. 2012 Project RTL8676S LOADER (LZMA) Version 00.01.02a-rc (Apr 24 2014 13:41:19) <RTL867X> -----------------------------------

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

---------------------------------
Start to decompress!
Booting
Press 'ESC' to enter BOOT console...
Ext. phy is not found.
Boot from NOR/SPI flash
support multicast tool
time out ......
Decompress file... uncompress fail
try secondfailed!
(c)Copyright Realtek, Inc. 2012
Project RTL8676S LOADER (LZMA)
Version 00.01.02a-rc (Apr 24 2014 13:41:19)
<RTL867X>
-----------------------------------

O texto sugere que o firmware está corrompido. Como espantosamente não existe firmware disponível online para esse aparelho, eu vou tentar transplantar o firmware usando um “doador sadio”. Isso eu já comecei a discutir em outro post.

Comandos da porta serial

Resultado do comando Info:

<RTL867X>info (c)Copyright Realtek, Inc. 2012 Project RTL8676S LOADER (LZMA) Version 00.01.02a-rc (Apr 24 2014 13:41:19) <RTL867X>BootLine: file MAC Address [0]: 00:23:79:11:22:33 Entry Point: 0x80000000 Load Address: 0x80000000 Application Address: 0x9FC10000 Flash Size: 16M Memory Configuration: ROW:4K COL:512 Bank:4Banks MII Selection: 0 (0: Int. PHY 1: Ext. PHY) UART is enabled <RTL867X>

1
2
3
4
5
6
7
8
9
10
11
12
13
14

<RTL867X>info
(c)Copyright Realtek, Inc. 2012
Project RTL8676S LOADER (LZMA)
Version 00.01.02a-rc (Apr 24 2014 13:41:19)
<RTL867X>BootLine: file
MAC Address [0]: 00:23:79:11:22:33
Entry Point: 0x80000000
Load Address: 0x80000000
Application Address: 0x9FC10000
Flash Size: 16M
Memory Configuration: ROW:4K COL:512 Bank:4Banks
MII Selection: 0 (0: Int. PHY 1: Ext. PHY)
UART is enabled
<RTL867X>

Note que o roteador afirma que o tamanho da flash é “16M”. Isso seriam 16Mb ou 16MB? Isso é respondido pelo comando “show version” do shell.

Para entrar no “shell”.

Espere o roteador terminar o boot. Tecle ENTER e o prompt responderá com “username:”

OBS.: A cada x segundos o roteador pode interromper você com informações de status, ignore e continue digitando como se nada tivesse acontecido.

Você vai digitar as mesmas credenciais usadas para entrar na administração do modem. Por exemplo, no caso do modem GVT:

ENTER

admin [ENTER]

gvt12345 [ENTER]

O prompt mudará para

$

Neste ponto você já pode dar um monte de comandos para o modem. Mas para entrar no “shell” digite

sh [ENTER]

O prompt mudará para (o texto exato pode mudar de acordo com o firmware instalado):

ADSL#

Neste ponto você está no shell e diversos outros comandos estão disponíveis, incluindo “show version”

ADSL#show version Application Version: DSL_2740E_1.00_BG_20150228 Build Date:   Feb 28 2015 10:15:46 SDK Version:            SDK V1.1.1 Build Date: Hardware Version:            8671x MAC Address:     EC:22:80:XX:XX:XX SysUpTime:                0 0:2:20 Serial Number:       QX4S1EBXXXXXX ManufacturerOUI:            001195 Manufacturer:               D-Link ModelName:               DSL-2740E Description:      ADSL SoHo Router ProductClass:            DSL-2740E CPU Speed:              448.92 Mhz Flash Memory:                   2M RAM Memory:                    16M ADSL#

1
2
3
4
5
6
7
8
9
10
11

ADSL#show version
Application Version: DSL_2740E_1.00_BG_20150228 Build Date:   Feb 28 2015 10:15:46
SDK Version:            SDK V1.1.1 Build Date:
Hardware Version:            8671x MAC Address:     EC:22:80:XX:XX:XX
SysUpTime:                0 0:2:20 Serial Number:       QX4S1EBXXXXXX
ManufacturerOUI:            001195 Manufacturer:               D-Link
ModelName:               DSL-2740E Description:      ADSL SoHo Router
ProductClass:            DSL-2740E CPU Speed:              448.92 Mhz
Flash Memory:                   2M
RAM Memory:                    16M
ADSL#

Note duas coisas importantes:

RAM Memory:                    16M

1	RAM Memory: 16M

16MB de RAM – Não faz sentido ser 16Mbit porque 2MB de RAM é muito pouco, então eu assumo que “show version” se refere a BYTES. Como a RAM desse modem é embutida no SOC, esse parece ser o único modo de descobrir quanta RAM tem o modem.

Flash Memory:                   2M

1	Flash Memory: 2M

2MB de flash – Ora… mas o chip não é de 16Mbit (4MB)? Se pegarmos a saída do comando info, que menciona “16M”, o único modo são de interpretar a bagunça parece ser que o comando “info” se refere a megabit, o comando “show version” a megabyte e o DSL2740e está artificialmente restrito a usar apenas 2MB de flash. Isso confere com o fato de que os firmwares do DSL2740e, incluindo os compatíveis como Netis e TotoLink, tem sempre menos de 2MB.

18 comentários

Artur - 1 Comentário

18/09/2015 at 11:44 · Responder

Ótimo post! Esse modelo é da operadora ou foi comprado no varejo? Esse roteador é usado pela GVT e também é vendido no varejo mas a D-Link não fornece o firmware em seu site. A versão V1 parece ser uma coisa exclusiva do nosso Brasil-il-il. No site do Irã e Emirados existe um modelo 2740 “U” que até possui a versão V1 mas não creio que o firmware seja compatível com a versão tupiniquim. Se essa sua versão for retail seria bacana disponibilizar o firmware para testar no modelo capado da GVT!
Lucas-10 - 3 Comentários

18/09/2015 at 17:23 · Responder

No link abaixo (fórum) tem o firmware alternativo da TOTOLink para esse modem.
http://adrenaline.uol.com.br/forum/threads/atualizando-firmware-do-modem-dsl-2740e-desbloqueio.577958/

Você consegui subir o FW com o comando tftp do bootloader.
- Jefferson - 6.465 Comentários
  
  18/09/2015 at 18:32 · Responder
  
  Eu não tentei ainda o tftp porque o modem não dá qualquer sinal de que as portas LAN estejam funcionando. Testei todas as quatro. Entretanto eu posso ativar um servidor tftp e tentar “às cegas”, supondo que o roteador no estado que está seja capaz de enxergar um endereço na faixa 192.168.0.x
Lucas-10 - 3 Comentários

18/09/2015 at 18:51 · Responder

Se você digitar “help” após o vai aparecer as opções de comando.
Ex. tftp [ip] [server ip] [file name]
A faixa de IP pode ser 192.168.x.x desde que o server e cliente estejam no mesmo subnet.
- Jefferson - 6.465 Comentários
  
  18/09/2015 at 19:41 · Responder
  
  Essa parte eu já sabia. Só não sabia o que definir para [ip].
  
  Mas eu consegui. Eu explico tudo aqui.
Fabio Alexandre - 1 Comentário

15/11/2015 at 20:46 · Responder

Já tentou extrair os arquivos do firmware do modem?
Utilizo o binwalk, mas no firmware desse modelo ele não mostra tudo o que tem, apenas o conteúdo de algumas paginas compactadas com LZMA e algumas imagens, nada de elf, firmware header, ou squashfs que é o que eu queria analisar. Acredito que as outras informações estejam com o cabeçalho faltando header, por isso o binwalk não as encontra…
E como não consegui extrair os ELF também não consegui nada com o IDA Pro.
Também não encontrei muita informação de como esse processador RTL8676S lê as informações do firmware, para saber como o arquivo é montado.
Já viu/fez algo nesse sentido?

E parabéns pelas informações que tem compartilhado.
- Jefferson - 6.465 Comentários
  
  15/11/2015 at 23:21 · Responder
  
  Eu fiz uma tentativa, mas como meu conhecimento de *nix é limitado quando não deu certo eu deixei para lá. E minha habilidade com o IDA também é limitada. Eu só usei quando fazia firmware customizado para DivX player e ainda assim eu só mexia na parte 8051 do código. ARM ainda é um mistério para mim.
Sam - 2 Comentários

16/11/2015 at 23:35 · Responder

Amigo fiz a conexao pela porta com1 e no putty e no outros quando ligo o modem o prompt do putty fica com caracteres estranhos nao aparece como na sua descrição. A pergunta é
Liguei só o GND, TX E RX é obrigatorio ligar o 3.3v? E onde ligo na porta com1?
- Jefferson - 6.465 Comentários
  
  16/11/2015 at 23:42 · Responder
  
  E a velocidade? Você configurou conforme está escrito no texto?
Sam - 2 Comentários

19/11/2015 at 7:29 · Responder

Eu li todo o texto só agora encontrei a velocidade. Assim que chegar em casa vou tentar outra vez. Muito obrigado. Sucesso..
Diogo - 1 Comentário

25/01/2016 at 10:49 · Responder

Oi Jefferson, obrigado por compartilhar seus conhecimentos conosco, desculpa eu estar te perturbando aqui. É o seguinte, possuo um Modem TD5136v2 da Oi e a Technicolor (Thomson/Speedtouch) não disponibiliza nenhum firmware desse equipamento, mesmo solicitando diretamente a eles não consegui obter o arquivo sobre a alegação de que é fornecido em comodato e as operadoras são responsáveis por eles. Enfim possuo 2 e pretendo fazer um dump de um com firmware mais atual para outro, ele é assim por dentro:
http://i.imgur.com/mN3h84b.jpg

CPU: RTL8676
ADSL: RTL8271B
Wi-Fi: RTL8192CE
Flash: Macronix 25L12835F

Gostaria de contar com sua ajuda se possível, vou usar um cabo USB com chip Prolific que usei uma vez para recuperar um TPLINK, porém dessa vez quero ver se consigo fazer um backup e gerar um FW para ser usado no outro modem.
- Jefferson - 6.465 Comentários
  
  30/01/2016 at 20:31 · Responder
  
  Lamento mas não posso ajudar nisso.
Vander - 1 Comentário

23/11/2016 at 10:26 · Responder

bom dia, Jefferson: essas ligacões na serial seriam = gnd com gnd, rx com rx ou tx com tx ou rx no tx e tx no rx como flash em alguns receptores de tv…pois não estou conseguindo acessar o modem…não desisto nunca vou tentando aqui…abraço obrigado pelo post…e conhecimento..
- Jefferson - 6.465 Comentários
  
  23/11/2016 at 18:10 · Responder
  
  Salvo observação em contrário em qualquer um de meus posts, quando eu escrevo “TX” estou marcando de onde “saem” dados. E onde escrevo “RX” é onde “entram” os dados. Ou seja: o óbvio. E isso é tudo o que é preciso saber. Eu só poderia afirmar para você “ligue TX com TX” se eu conhecesse também o dispositivo que você está plugando no modem e soubesse se ele está com os terminais corretamente identificados. Como é impossível para mim ter essa informação, é impossível saber daqui como você deve ligar aí.
Álvaro Antônio - 1 Comentário

25/11/2016 at 17:44 · Responder

Como eu faço para abrir meu modem 2740? :/ Não achei nenhum parafuso nele, e também, como eu conecto essa porta serial no meu computador? (quero recuperar o firmware corrompido) PS: Desculpe se burlei alguma regra de participação sem perceber, é a primeira vez que eu vejo seu blog e (óbvio) que comento aqui.
Weverton - 1 Comentário

26/01/2018 at 7:58 · Responder

Bom dia, pesquisei a madrugada inteira sobre o aparelho procurando um modo de resolver meu problema ainda sem sucesso, porem ao que parece tive sorte em econtra-lo! ao que parece, vc é o mais versado no assunto!!! utilizo o dispositivo na casa de um cliente que vira e meche esta alterando a senha do wifi, porem o mesmo reseta para os padrões de fábrica toda vez, oque pra mim é ruim em diversos pontos. recentemente consegui setar algumas configurações como padrão de fabrica pelo telnet e quando o aparelho é resetado elas voltam como eu deixei, porem algumas configurações como por exemplo o usuário padrão do roteador ou mesmo algumas acls eu não consigo editar… poderia me dar uma luz??? outra coisa, pensei em criar uma pagina de configuração assim como a da ctbc que existe no aparelho e substitui-la com a da minha preferencia. pode me auxiliar a concluir deste projeto?
Marcelo Antônio - 1 Comentário

24/11/2018 at 11:16 · Responder

Bom Dia.

Você fala sobre a conexão via porta serial, e até aponta para um link que supostamente teria o esquema para montar esse cabo, no entanto não vi onde está esse esquema. Meu roteador liga, acende os leds de power (piscando) e wi-fi, porém não consigo conectar mesmo via lan. o Firware foi atualizado para o ND300. Estava funcionando perfeitamente até que resetei 2 vezes e não consigo mais acesso ao mesmo para reconfigurar. Como proceder?
- Jefferson - 6.465 Comentários
  
  24/11/2018 at 11:54 · Responder
  
  Eu escrevi esse texto três anos atrás e pelo que pude apurar relendo algumas partes em nenhum momento eu sugeri dar o esquema para o cabo. O texto linkado explica como usar a porta mas presume que você tenha um adaptador serial TTL e saiba usá-lo. Hoje em dia é mais fácil e barato adquirir um pronto que montar um.