"Odblokowanie" BT Home Hub 1.5

W Wielkiej Brytani mają coś na kształt LiveBox'a z Telekomunikacji Polskiej. Zwie się BT Home Hub.
W skrócie:
+ router
+ modem ADSL2+
+ wlan 802.11b/g
+ baza telefonów bezprzewodowych w standardzie DECT
+ port USB choć tylko w wersji 1.1 (12mbit/s) - print server lub udostępnianie plików w sieci
+ linux na pokładzie, choć z dobraniem się do niego jest mały problem



Cena? Za wersję BT HH 1.5 razem z telefonem BT Hub Phone 1020 na pewnym portalu aukcyjnym - 50zł + przesyłka. Generalnie taniocha niesamowita.
Przekopując Internet w poszukiwaniu sposobów jego odblokowania wychodzi na to że wersja 1.5 w przeciwieństwie do 1.0 ma zablokowany bootloader i nie umożliwia wrzucenia od razu firmware'u od bliźniaczego Thomsona 7G. Należy edytować kod bootloadera zmieniając identyfikację urządzenia z wersji "BANT-Z" na "CANT-A" a to już nie jest takie proste i stanowi barierę nie do przeskoczenia dla przeciętnego użytkownika (jeśli dla ciebie również - czytaj dalej). Cała procedura bardzo ładnie jest opisana na stronie PsiDOC.com.

Kilka dni zajęło mi kupienie części (Wolumen) i ogarnięcie jak działa lutownica... ale ogólnie wyszło całkiem nieźle.

Log:

D:\flash>brjtag -probeonly /window:1F400000

===============================================
 Broadcom EJTAG Debrick Utility v1.6r-hugebird
===============================================

Probing bus ... Done

Instruction Length set to 5

CPU running under BIG endian

CPU Chip ID: 00000110001101001000000101111111 (0634817F)
*** Found a Broadcom BCM6348 Rev 1 CPU chip ***

    - EJTAG IMPCODE ....... : 00000000100000000000100100000100 (00800904)
    - EJTAG Version ....... : 1 or 2.0
    - EJTAG DMA Support ... : Yes
    - EJTAG Implementation flags: R4k MIPS32

Issuing Processor / Peripheral Reset ... Done
Enabling Memory Writes ... Done
Halting Processor ... <Processor Entered Debug Mode!> ... Done
Clearing Watchdog ... Done
Loading CPU Configuration Code ... Skipped

Probing Flash at (Probe Address: 0x1f400000) ...
Matching Flash Chip (VenID:DevID = 017e : 1000)

*** Found a Spansion S29GL064MR4 BotB  (8MB) Flash Chip ***

    - Flash Chip Window Start .... : 1f800000
    - Flash Chip Window Length ... : 00800000
    - Selected Area Start ........ : 00000000
    - Selected Area Length ....... : 00000000



 *** REQUESTED OPERATION IS COMPLETE ***


D:\flash>brjtag -backup:custom /window:1F400000 /start:1F400000 /length:0040000

===============================================
 Broadcom EJTAG Debrick Utility v1.6r-hugebird
===============================================

Probing bus ... Done

Instruction Length set to 5

CPU running under BIG endian

CPU Chip ID: 00000110001101001000000101111111 (0634817F)
*** Found a Broadcom BCM6348 Rev 1 CPU chip ***

    - EJTAG IMPCODE ....... : 00000000100000000000100100000100 (00800904)
    - EJTAG Version ....... : 1 or 2.0
    - EJTAG DMA Support ... : Yes
    - EJTAG Implementation flags: R4k MIPS32

Issuing Processor / Peripheral Reset ... Done
Enabling Memory Writes ... Done
Halting Processor ... <Processor Entered Debug Mode!> ... Done
Clearing Watchdog ... Done
Loading CPU Configuration Code ... Skipped

Probing Flash at (Probe Address: 0x1f400000) ...
Matching Flash Chip (VenID:DevID = 017e : 1000)

*** Found a Spansion S29GL064MR4 BotB  (8MB) Flash Chip ***

    - Flash Chip Window Start .... : 1f400000
    - Flash Chip Window Length ... : 00800000
    - Selected Area Start ........ : 1f400000
    - Selected Area Length ....... : 00040000

*** You Selected to Backup the CUSTOM.BIN ***

=========================
Backup Routine Started
=========================

Saving CUSTOM.BIN.SAVED_20120124_113408 to Disk...
Done  (CUSTOM.BIN.SAVED_20120124_113408 saved to Disk OK)

bytes written: 262144
=========================
Backup Routine Complete
=========================
elapsed time: 66 seconds


 *** REQUESTED OPERATION IS COMPLETE ***


D:\flash>brjtag -backup:custom /window:1F400000 /start:1F400000 /length:0040000

===============================================
 Broadcom EJTAG Debrick Utility v1.6r-hugebird
===============================================

Probing bus ... Done

Instruction Length set to 5

CPU running under BIG endian

CPU Chip ID: 00000110001101001000000101111111 (0634817F)
*** Found a Broadcom BCM6348 Rev 1 CPU chip ***

    - EJTAG IMPCODE ....... : 00000000100000000000100100000100 (00800904)
    - EJTAG Version ....... : 1 or 2.0
    - EJTAG DMA Support ... : Yes
    - EJTAG Implementation flags: R4k MIPS32

Issuing Processor / Peripheral Reset ... Done
Enabling Memory Writes ... Done
Halting Processor ... <Processor Entered Debug Mode!> ... Done
Clearing Watchdog ... Done
Loading CPU Configuration Code ... Skipped

Probing Flash at (Probe Address: 0x1f400000) ...
Matching Flash Chip (VenID:DevID = 017e : 1000)

*** Found a Spansion S29GL064MR4 BotB  (8MB) Flash Chip ***

    - Flash Chip Window Start .... : 1f400000
    - Flash Chip Window Length ... : 00800000
    - Selected Area Start ........ : 1f400000
    - Selected Area Length ....... : 00040000

*** You Selected to Backup the CUSTOM.BIN ***

=========================
Backup Routine Started
=========================

Saving CUSTOM.BIN.SAVED_20120124_113601 to Disk...
Done  (CUSTOM.BIN.SAVED_20120124_113601 saved to Disk OK)

bytes written: 262144
=========================
Backup Routine Complete
=========================
elapsed time: 69 seconds


 *** REQUESTED OPERATION IS COMPLETE ***


D:\flash>comp
Nazwa pierwszego pliku do porównywania: CUSTOM.BIN.SAVED_20120124_113601
Nazwa drugiego pliku do porównywania: CUSTOM.BIN.SAVED_20120124_113408
Opcja:
Trwa porównywanie CUSTOM.BIN.SAVED_20120124_113601 i CUSTOM.BIN.SAVED_20120124_1
13408...
OK, pliki są identyczne

Czy porównywać kolejne pliki (T/N) ? n

D:\flash>brjtag -flash:custom /window:1F400000 /start:1F400000 /length:0040000 /
bypass /forcealign

===============================================
 Broadcom EJTAG Debrick Utility v1.6r-hugebird
===============================================

Probing bus ... Done

Instruction Length set to 5

CPU running under BIG endian

CPU Chip ID: 00000110001101001000000101111111 (0634817F)
*** Found a Broadcom BCM6348 Rev 1 CPU chip ***

    - EJTAG IMPCODE ....... : 00000000100000000000100100000100 (00800904)
    - EJTAG Version ....... : 1 or 2.0
    - EJTAG DMA Support ... : Yes
    - EJTAG Implementation flags: R4k MIPS32

Issuing Processor / Peripheral Reset ... Done
Enabling Memory Writes ... Done
Halting Processor ... <Processor Entered Debug Mode!> ... Done
Clearing Watchdog ... Done
Loading CPU Configuration Code ... Skipped

Probing Flash at (Probe Address: 0x1f400000) ...
Matching Flash Chip (VenID:DevID = 017e : 1000)

*** Found a Spansion S29GL064MR4 BotB  (8MB) Flash Chip ***

    - Flash Chip Window Start .... : 1f400000
    - Flash Chip Window Length ... : 00800000
    - Selected Area Start ........ : 1f400000
    - Selected Area Length ....... : 00040000

*** You Selected to Flash the CUSTOM.BIN ***

=========================
Flashing Routine Started
=========================
Total Blocks to Erase: 11

Erasing block: 1 (addr = 1f400000)...Done
Erasing block: 2 (addr = 1f402000)...Done
Erasing block: 3 (addr = 1f404000)...Done
Erasing block: 4 (addr = 1f406000)...Done
Erasing block: 5 (addr = 1f408000)...Done
Erasing block: 6 (addr = 1f40a000)...Done
Erasing block: 7 (addr = 1f40c000)...Done
Erasing block: 8 (addr = 1f40e000)...Done
Erasing block: 9 (addr = 1f410000)...Done
Erasing block: 10 (addr = 1f420000)...Done
Erasing block: 11 (addr = 1f430000)...Done

Entered Unlock Bypass mode->

Loading CUSTOM.BIN to Flash Memory...
Done  (CUSTOM.BIN loaded into Flash Memory OK)

=========================
Flashing Routine Complete
=========================
elapsed time: 109 seconds


 *** REQUESTED OPERATION IS COMPLETE ***


D:\flash>

Oczywiście wrzuciłem najnowszy firmware ze wspomnianej strony 7.4.1.7 (ZZGKAA7.417.bin). Od tego momentu angielski BT Home Hub myśli że jest Thomsonem Speedtouch 790.
Niestety nie jest tak różowo. Okazało się że udostępnianie plików w sieci przez USB przestało całkowicie działać. Dopiero kiedy to zauważyłem zacząłem szukać informacji na ten temat i dowiedziałem się że to normalne i nikt nie wie dlaczego tak się dzieje. Na angielskich forach ludzie po prostu są szczęśliwi że mogą mieć internet i voip na tym urządzeniu u innego dostawcy niż British Telecom...
Problem jest niestety większy niż mogłoby się z początku wydawać bowiem istniejące procedury odblokowujące dostęp do shella przez telnet opierają się się właśnie na podłączeniu pendrive'a do USB ze zmodyfikowanymi plikami. A nam jakby nie patrzeć USB odmówiło całkowicie posłuszeństwa. Telnetowanie na IP routera daje dostęp jedynie do komend CLI. Owszem do ustawień routera można się tym dobrać, niestety żadnego dodatkowego programu typu rtorrent czy serwer vpn już się nie wrzuci.
Ale to nie koniec.
Na szczęście dla was, na nieszczęście dla mnie (bo już zdążyłem tym JTAGiem stracić sporo czasu) jest jeszcze jedna, i to mniej bolesna opcja. Użytkownik o nicku john101a zmodyfikował oryginalny firmware (w sumie sam bym chętnie to zrobił ale nie mam pojęcia jak) (jeszcze... :P) umożliwiając wybranie innego niż BT dostawcy internetu, innego niż BT dostawcy voip. Co najlepsze w tym wszystkim nadal działa udostępnianie USB! Najważniejsze jest jednak to że cała procedura zmiany bootloadera staje się w tym momencie zbędna. Nie jest więc w ogóle potrzebne otwieranie urządzenia a całe jego odblokowywanie sprowadza się do zwykłej ręczniej aktualizacji.
Polecam przeczytać ten wątek na forum PsiDOC gdzie znajdziecie linki do omawianego firmware'u.

W każdym razie chciałbym przestrzec przyszłych użytkowników tego routera przed niepotrzebną ingerencją w sprzęt.

Ja sobie już daruję kombinowanie z tym urządzeniem i przymierzam się do zakupu BT Home Hub 2.0.