Custom Firmware auf dem Router und wie man sie loswird – Fall: Orderbird

Prinzipiell habe ich nichts dagegen, wenn Firmen modifizierte Firmware auf ihre Geräte flashen, um z.B. inkorrekte Bedienung seitens des Kunden zu verhindern oder via Remote Support anbieten zu können. Solange man die Hardware nur mietet, ists voll OK. Doch im Falle von Orderbird, einem Anbieter für Software im Gastrobereich, wird das etwas anders praktiziert. Man kauft Orderbird die benötigte Hardware ab und ist dann Besitzer der modifizierten Geräte. Konkret geht es um den von Orderbird bereitsgestellten Router TP-LINK AC1750, der mit einer speziellen Firmware versehen ist. Solange der Router im Geschäft aktiv eingesetzt wird, ist alles gut. Braucht man diesen irgendwann mal nicht mehr, dann kann man den Router nicht mehr verkaufen, da sämtliche Funktionen gesperrt, Tastenkombinationen deaktiviert und IP-Adressen verankert sind. Ein Zugriff auf die bekannte Weboberfläche ist nicht möglich, genauso wenig wie ein Hardreset.

Mir lag ein solch modifizierter Router vor. Diesen habe ich wie folgt von seinen Ketten befreit:

Als erstes muss man wissen, dass die meisten TP-Link Router hardwareseitig eine Fallbackoption integriert haben, die es den Entwicklern erlaubt, Daten auf den Router zu pushen. Diese schaut im Fall des AC1750 (hier Version 2.0) so aus: Hält man den WPS/Reset Schalter gedrückt und fährt den Router dann hoch, so fragt der Router nach einer bestimmten IP Adresse und wenn diese übereinstimmt, dann nach einem bestimmten Dateinamen. Also musste ich meinem Fall herausfinden, was sich der Router wünscht, um ihm seinen Wunsch zu erfüllen.

Dazu wurden sämtliche Netzwerkverbindungen getrennt und der Port 1 des Routers direkt am Rechner angeschlossen. Daraufhin habe ich Wireshark – eine Software, die den Datenaustausch über eine bestimmte Schnittstelle protokolliert – installiert (+ Ethernet Adapter ausgewählt), der Router über die Tastenkombo „WPS/Reset + On/off“ gebootet und mir die Aufzeichnungen angeschaut. Aus diesen geht hervor, dass der Router nach folgender IP fragt:

192.168.0.66 > „ARP: Who has 192.168.0.66?“

– Das ist für diese Baureihe typisch und auch im Netz nachzulesen.

Im nächsten Schritt konfiguriere ich meinen LAN Adapter auf die IP (.66) und boote den Router erneuert, um mir im Protokoll ausgeben zu lassen, nach welcher Datei der Router fragt. Der Router erkennt meinen Rechner anhand der IP und wünscht dich eine Datei mit dem Namen:

„ArcherC7v2_tp_recovery.bin“

– Alles klar! Mit einer so benannten Datei muss ich ihn also füttern, damit er einen Update/Recovery-Vorgang initiiert. Gut.

Jetzt hätte ich die Möglichkeit eine modifizierte Firmware einzuspielen oder eben die originale Herstellerfirmware mit den Werkseinstellungen. Zweitere besorge ich mir auf der Webseite des Herstellers und benenne sie in den vom Router gewünschten Dateinamen. Jetzt fehlt nur noch ein TFTP Client, um den Datentransfer zu bewerkstelligen. An dieser Stelle empfehle ich diese Software, da sie schlank ist und bei mir sofort funktioniert:

http://tftpd32.jounin.net/tftpd32_download.html

Nach der Installation von TFTP wählt man in der Einstellung „Current Directory“ den Speicherort, an dem sich die umbenannten Firmware Datei befindet, aus und unter „Server interfaces“ die Netzwerkkarte mit der vorkonfigurierten IP Adresse „192.168.0.66“. Das Programm ist nun im Standbymodus und wartet auf eine Anfrage nach der entsprechenden Datei über die entsprechende Adresse. Nun bootet man den Router ein weiteres Mal mit der „WPS/Reset + On/off“-Kombination, hält den WPS/Reset-Button solange gedrückt, bis der TFTP Client eine Fortschrittsanzeige anzeigt. Ist der Vorgang mit 100% markiert, bedeutet es, dass der Router nun die neue Firmware „aufgesaugt“ hat und den Recoveryvorgang initiiert. Intern entpackt er die Datei, checkt die Prüfsumme und die Versionierung und flasht die neue Firmware.

Die modifizierte Firmware ist nun überschrieben und die originale Firmware ist auf dem Router drauf. Nun lässt sich der Router mit den Standardoptionen (Adresse: 192.168.0.1 + admin/admin) ansteuern und die Weboberfläche kann zur Konfiguration genutzt werden. In diesem Zustand entspricht der Router einem neu erworbenen Gerät und kann nun an Interessenten verkauft werden.

Läuft.

Veröffentlicht am
Kategorisiert in Technik

6 Kommentare

  1. Hallo
    das ist eine sehr schöne Anleitung.
    Ich versuche das ganze gerade mit einem WDR3600. Ich bin auch bis zum letzten Schritt gekommen. Aber der Router holt sich die Firmware nicht vom Laptop. Kann bei WireShark auch keine Fehlermeldungen finden.
    Haben Sie vielleicht eine Idee an was es liegen könnte?

    Viele Grüße

    1. Moin, danke. Eine Ferndiagnose ist kaum möglich. Ich vermute, es scheitert an dem TFTP Client? Ist dieser korrekt konfiguriert, sprich Netzwerkadapter ist korrekt ausgewählt sowie die Datei? Gibts ggf. vergessene Portrestriktionen? Viel Erfolg!

  2. Hallo,
    vielen Dank für die Antwort. Es scheint wirklich nur an der Firewall gelegen zu haben. Hat also jetzt beim WDR3600 auch wunderbar geklappt!

    Viele Grüße und weiter so!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.