前言:
本文内容主要是对OpenWrt论坛的一个帖子的翻译,原帖地址:https://forum.openwrt.org/t/build-for-cisco-meraki-z1/7939
原文:LEDE firmware for Cisco Meraki Z1
原文作者:vuhuy
(如有出入请以原帖内容为准,若能看懂英文,建议先看原帖;本文仅供参考,刷机风险自担,本人概不负责)
读懂并实践本文,你可能需要在技能树中点亮以下技能:
1:基本的Windows系统与Linux系统操作;
2:基本的路由器组网知识;
3:至少拥有一个USB转TTL工具,并且会使用它;
4:必要的情况下,可能需要科学上网技能
为Cisco Meraki Z1刷入LEDE固件
操作警告:
使用和刷入自定义固件是一个细活。您可能会因此损坏您的设备,所以请务必小心操作!使用本指南和固件需要您自担风险。LEDE和我都不对您路由器可能发生的损坏负责。
关于本编译:
LEDE已经支持Cisco Meraki Z1。但是,我需要编译一个额外的initramfs映像,以用于第一次为路由器刷机。此外,此设备在OpenWRT的TOH条目不完整且具有无效链接。我就把它放在这里以防有人需要它。
软件和硬件准备:
以下列出了所需的软件和硬件及其示例
串行终端(Serial terminal):使用minicom(Linux系统),PuTTY 3 (Windows系统)或其他自己熟悉的软件。
SCP客户端(SCP client):使用scp(Linux),WinSCP 1 (Windows)或其他自己熟悉的软件。
USB TTL转换器(USB TTL converter):基于FTDI FT232RL的主板是优质廉价的USB TTL转换器(在您最喜欢的中国网店上1.5欧元)。
(译者注:USB TTL转换器,俗称USB转串行口,我用的模块用的CP2102方案,软件使用的SecureCRT)
步骤
1:下载固件映像
2:建立root访问权限
3:备份原始固件
4:刷入 initramfs 映像
5:删除存储分区
6:刷入 sysupgrade 映像
7:更新LEDE
下载固件映像
访问我的 [OneDrive][1] 以下载预编译的二进制文件。提供了基于 LEDE 17.01.4 使用默认配置编译的initramfs和sysupgrade映像。
Meraki Z1的initramfs映像LEDE网站上是没有提供下载的,您需要在这下载以能够完成LEDE固件的第一次刷入(译者注:因为要先刷initramfs才能再刷sysupgrade)。
LEDE网站会自动编译Sysupgrade映像,并可在LEDE网站上获取。从[LEDE网站][2] (目录/ ar71xx / nand / z1-squashfs-sysupgrade.tar)下载(较新的)sysupgrade映像,或使用我的 [OneDrive][3] 上的映像 。
建议使用LEDE网站提供的sysupgrade映像。Opkg可能会针对(任何)自定义sysupgrade映像上的内核依赖性失败。如果您使用的是自定义编译映像,请使用--force-depends标志忽略此项。
建立root访问权限
为了开始刷入固件,我们需要获取路由器的root访问权限。
1:关闭设备电源并拔下所有以太网电缆。
2:拆开设备。注意拆掉橡胶垫下方的四个螺钉。
3:将USB TTL转换器连接到JP1的串行UART接口。
J1 = GND(连接到USB TTL转换器的GND)
J2 = RxD(连接到USB TTL转换器的TxD )
J3 = TxD(连接到USB TTL转换器的RxD)
J4 = Vcc(不要连接,这是最靠近USB端口的跳线)
4:打开设备电源并打开USB TTL转换器的终端软件。波特率(速度)为115200。
5:按住重置按钮10-15秒,直到设备上的LED熄灭。
6:让设备启动,几分钟后在串行终端界面输入回车。它应该输出
7:检查您是否可以使用该odm help命令:
odm help
*(译注:以上内容假设您已点亮“USB TTL转换器使用”技能,并有一定电子技术常识,否则您可能难以看懂,那就不要继续了)*
8:如果路由器输出帮助文本,请跳至步骤14.否则,重复步骤5-7几次,如果路由器继续输出UNRECOGNIZED COMMAND LOGGED TO CLOUD SERVERS消息,则继续执行下一步。
9:将Z1的WAN端口连接到另一台路由器的LAN端口。此路由器还必须与Internet断开连接(拔下WAN以太网电缆)。
10:按住重置按钮10-15秒,直到设备上的LED熄灭。
11:让设备启动,几分钟后在串行终端输入回车。它应该输出。
12:通过键入odm help命令来检查是否可以使用ODM命令。
13:如果路由器输出帮助文本,请跳至步骤14.否则,如果路由器继续输出UNRECOGNIZED COMMAND LOGGED TO CLOUD SERVERS信息,请多次尝试重复步骤10-12。在这一步,odm help命令对我有用。如果您继续看到此信息,那么很遗憾,您当前版本的固件不能使用此方法获取root权限。
14:首先我们要更改设备的序列号为Q2XX-XXXX-XXXV以准备获取root权限,这是漏洞利用的一部分。如果您不知道您原来的序列号,请写下您的原始序列号。它通常印在Z1底部的标签上(或使用步骤15中的命令直接读取)。*(译者注:意思可以先用步骤15的方式读出原来的序列号,自己找个地方记下来。因为待会儿完事要重新把原来的序列号写回去,现在我们为了利用漏洞,临时先改一下序列号)*
odm serial_num write Q2XX-XXXX-XXXV
15:检查序列号是否更改为Q2XX-XXXX-XXXV。
odm serial_num read
16:如果序列号已经正确更改,请关闭设备电源并在重新打开设备电源时在电脑串行终端中按住“s”键,直到出现Busybox提示符。
Got magic key s
BusyBox v1.20.2 (2014-09-19 12:42:33 PDT) built-in shell (ash)
Enter 'help' for a list of built-in commands.
/ #
17:请依次运行以下命令获取固件的root权限。这些命令将删除路由器中一些配置文件和日志文件。如果你想保留这些文件,请复制一份!*(译者注:文中没有提供配置文件备份方式)*
/ # cd /storage/
/ # rm ./config*
/ # rm ./odm_test.log
/ # echo "serial_allow_odm true" > ./config
/ # echo "serial_access_enabled true" >> ./config
/ # echo "serial_access_check false" >> ./config
/ # echo "valid_config true" >> ./config
/ # cp ./config ./config.local
/ # exit
18:输入exit命令后,设备将继续引导。
19:将序列号更改回原始序列号。
m001122334455:/# odm serial_num write
20:您现在已经拥有root访问权限。请注意,如果您将路由器连接到互联网,您可能会再次失去root权限。
###备份原始固件
通过root权限,我们现在可以创建原始固件的备份。如果出现问题,或者您想恢复原厂固件时,可以使用它。
1:如果您使用其他路由器来获取root权限,现在请断开所有网线。
2:通过网线将电脑连接到路由器Z1上的LAN1网口。
3:重新获取路由器IP地址(提示:它是网关地址)。
4:使用串行终端设置root密码。
m001122334455:/# passwd
5:输入cat /proc/mtd命令以列出所有分区。您的分区方案可能不同,但对于mtd0到mtd4(包括mtd4)应该是相同的。
m001122334455:/# cat /proc/mtd
mtd0: 00020000 00020000 "loader1"
mtd1: 007e0000 00020000 "bootkernel1"
mtd2: 00020000 00020000 "loader2"
mtd3: 007e0000 00020000 "bootkernel2"
mtd4: 06fe0000 00020000 "ubi"
mtd5: 00020000 00020000 "origcaldata"
mtd6: 0001f800 0001f800 "board-config"
mtd7: 0087d800 0001f800 "rootfs-wired-9-144173-1-2"
mtd8: 0086a000 0001f800 "rootfs-wired-9-144173-1-1"
mtd9: 0501a800 0001f800 "storage"
mtd10: 0003f000 0001f800 "caldata"
6:为loader1通过使用cat命令来创建备份并将其存储在/storage/文件夹上。
m001122334455:/# cat /dev/mtd0 > /storage/mtd0 //译注:mtd0就是loader1分区,后面的bootkernel1对应使用mtd1,以此类推
7:使用SCP客户端检索备份。使用SCP协议建立连接,用户名为root,密码为步骤4中设置的密码。
8:当你在本地PC上检索并存储备份后,从路由器中删除备份。使用SCP客户端功能或在串行终端中使用rm命令来删除它。
m001122334455:/# rm /storage/mtd0
*(译注:作者没有给出SCP软件使用方法,因为您可以使用带GUI的软件,否则您的技能树可能不支持您学习本文内容)*
9:为bootkernel1,loader2,bootkernel2,board-config和caldata分区重复步骤6-8的操作。如果一次执行此操作,您可能会因此耗尽内存。*(译注:所以请一个一个来,避免在删除上一个备份前创建下一个备份)*
10:另外,需要备份storage分区。这是一个很大的分区,所以只需使用 SCP 将/storage/文件夹中的所有文件传输到本地PC即可。*(译注:没法用前面步骤6-8办法)*
11:要验证备份数据是否正确,请再次重复步骤6-9,并比较(例如运行checksum软件或在Linux系统中使用cmp命令)两次获取的文件结果是否相同。(译注:作者没有提供具体操作,只提供了个方法)
###刷入initramfs映像
重刷该路由器固件由两部分操作组成:刷入initramfs映像和刷入sysupgrade映像。
1:将PC连接到Z1上的LAN1端口。它应该之前已经连上了,你刚才确实已经做了备份,不是吗?
2:在本地计算机上搭建HTTP服务器以提供initramfs映像。
*(译注:作者没有给出具体操作过程,如果您之前给别的路由器刷过第三方固件,应该是会这个操作的,否则可以考虑先通过搜索引擎学习一下,或参考下一条译注。)*
3:检查您的计算机本地IP地址(提示:它的IP地址是由Z1的DHCP分配的)
4:串行终端中使用wget命令将initramfs映像下载到路由器中的/storage/文件夹中。
m00180A167ED0:/# wget http:/// -O /storage/initramfs.bin
*(译注:译者本人不是通过这种方式将映像下载到/storage/文件夹的,其实可以使用SCP软件直接上传的方式,取代上面2-4的操作。另外,您没看错,我也没翻译错,下面又出现了一个步骤4,原文中就是写了两个步骤4。这个是教您校验映像文件,您可以使用SCP软件再上传一个initramfs映像文件,改名为:initramfs2.bin,取代下面条目4中第一条命令)*
4:您可能想验证下载的 initramfs 映像。下载第二个并比较是否存在任何差异(它不应该存在差异,而cmp命令也不应该返回任何输出)。
m001122334455:/# wget http:/// -O /storage/initramfs2.bin
m001122334455:/# cmp /storage/initramfs.bin /storage/initramfs2.bin
m001122334455:/# rm /storage/initramfs2.bin
5:使用 dd 命令将下载的 initramfs 映像写入 bootkernel1 分区。
m001122334455:/storage# dd if=/storage/initramfs.bin of=/dev/mtdblock1
6:使用rm命令删除下载的initramfs映像。
m001122334455:/# rm /storage/initramfs.bin
7:使用reboot命令重新启动路由器。
m001122334455:/# reboot now
8:如果一切都正确完成,LEDE现在应该启动。检索您的计算机新的本地IP地址。**如果LEDE无法启动,请不要继续!**
*(译注:LEDE是否成功启动,是能够在串行终端中看到的回显信息的,如果您看不懂,可能您不太适合阅读本教程)*
9:串行终端中使用wget命令将initramfs映像下载到路由器中的/tmp/文件夹中。
root@LEDE:/# wget http:/// -O /tmp/initramfs.bin
10:您可能想验证下载的initramfs映像。下载第二个并比较是否存在任何差异(它不应该存在差异,而cmp命令也不应该返回任何输出)。
root@LEDE:/# wget http:/// -O /tmp/initramfs2.bin
root@LEDE:/# cmp /tmp/initramfs.bin /tmp/initramfs2.bin
root@LEDE:/# rm /tmp/initramfs2.bin
11:使用dd命令将下载的initramfs映像写入bootkernel3分区(recovery)。
root@LEDE:/# dd if=/tmp/initramfs.bin of=/dev/mtdblock3
12:使用rm命令删除下载的initramfs映像。
root@LEDE:/# rm /tmp/initramfs.bin
13:使用reboot命令重新启动路由器。
root@LEDE:/# reboot now
###删除存储分区
存储器中还有一些LEDE不使用的存储分区。我们可以在刷入sysupgrade映像之前删除它们,以释放一些空间(大约100MB)。
1:使用ubinfo命令列出所有的UBI卷。
root@LEDE:/# ubinfo -a
2:使用ubirmvol命令删除列出的UBI卷,**但board-config卷除外**。对每个UBI卷重复该命令。**永远不要删除**board-config**卷!**
root@LEDE:/# ubirmvol /dev/ubi0 -N
3:使用ubimkvol命令创建新的calibration data卷。
root@LEDE:/# ubimkvol /dev/ubi0 -N caldata -s 252KiB
4:使用ubinfo命令验证您的UBI卷。它应该显示有两个卷:board-config卷和新创建的caldata卷。
root@LEDE:/# ubinfo -a
###刷入 sysupgrade映像
接下来将为路由器刷入sysupgrade映像。刷入sysupgrade映像将重新填充calibration data卷,创建rootfs并自动展开rootfs_data到剩余的UBI可用空间。
1:将PC连接到Z1上的LAN1端口。它应该之前已经连上了,你刚才确实已经做了备份,不是吗?
2:在本地计算机上设置HTTP服务器以提供sysupgrade映像。
3:串行终端中使用wget命令将sysupgrade映像下载到路由器中的/tmp/文件夹中。
root@LEDE:/# wget http:/// -O /tmp/sysupgrade.tar
4:您可能需要验证下载的sysupgrade映像。下载第二个并比较是否存在任何差异(它不应该存在差异,而cmp命令也不应该返回任何输出)。
root@LEDE:/# wget http:/// -O /tmp/sysupgrade2.tar
root@LEDE:/# cmp /tmp/sysupgrade.tar /tmp/sysupgrade2.tar
root@LEDE:/# rm /tmp/sysupgrade2.tar
5:使用sysupgrade命令执行sysupgrade 。
root@LEDE:/# sysupgrade -v /tmp/sysupgrade.tar
6:恭喜您,您在Meraki Z1上运行LEDE!您现在可以拆除USB TTL转换器并将路由器装回外壳。
###更新LEDE
您现在可以通过执行sysupgrade命令将LEDE更新为任何更新的版本。不再需要initramfs 映像了!您可以在[LEDE网站][4]上下载Meraki Z1的新sysupgrade映像。
使用SSH访问路由器并使用wget和sysupgrade两条命令执行升级。
root@LEDE:/# wget http:/// -O /tmp/sysupgrade.tar
root@LEDE:/# sysupgrade -v /tmp/sysupgrade.tar
不要忘记调整/etc/sysupgrade.conf 告诉LEDE在升级过程中应该保留哪些设置。
###参考
https://servernetworktech.com/2016/02/pwning-the-meraki-mr18/
https://servernetworktech.com/2017/06/pwning-the-meraki-mr18-again/
https://wiki.openwrt.org/toh/meraki/z1
[1]: https://1drv.ms/f/s!As4WUgFdj-yOjKt74-epe0XbTIm8Sg
[2]: https://downloads.lede-project.org/releases/
[3]: https://1drv.ms/f/s!As4WUgFdj-yOjKt74-epe0XbTIm8Sg
[4]: https://downloads.lede-project.org/releases/