V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ech0x
V2EX  ›  宽带症候群

关于校园网路由器一些设置的问题

  •  
  •   ech0x · 2017-10-14 22:40:53 +08:00 · 5910 次点击
    这是一个创建于 2622 天前的主题,其中的信息可能已经有所发展或是发生改变。

    背景

    学校最近启用了由锐捷设计但 SAM+系统,替代了原来的拨号上网设置。现在每一个学生号都绑定了一个设备 mac 地址并只允许一个设备上网,且强制要求将路由器设置为 AP,导致手机与电脑无法同时上网。但如果不将路由器设置为 AP,一个路由器下所以设备固然不再需要重复认证,但会不时提示“检测到你的代理上网设置,现已禁止上网”,并拒绝登录一段时间,且这封禁时间会不断延长。

    已有设备

    一台刷了潘多拉(OpenWrt)的路由器

    问题

    有没有办法能做到路由器下的所有设备只需验证一次就可以同时上网,而且不会被查出“检测到你的代理设置,现已禁止上网”?

    28 条回复    2017-10-16 19:58:42 +08:00
    LGA1150
        1
    LGA1150  
       2017-10-14 23:36:09 +08:00 via Android
    有几种方式检测共享上网:
    TTL 值(经过路由器后 TTL 减 1 )
    User-Agent
    路由器 WAN 口 MAC 地址

    一个个排除下
    weikai
        2
    weikai  
       2017-10-14 23:53:01 +08:00 via Android
    mentoHust ?
    iAcn
        3
    iAcn  
       2017-10-15 01:06:40 +08:00 via Android
    共享上网的我这儿是做了 dhcp snooping
    Hardrain
        4
    Hardrain  
       2017-10-15 07:02:46 +08:00
    @LGA1150 TTL 那个要额外注意

    之前对付某高校不明厂商的认证,发现就是通过 TTL

    用路由器的"MAC 地址克隆"对付了 MAC 地址检测
    所有明文的 HTTP 走$$

    最后发现是通过 TTL 检测
    ech0x
        5
    ech0x  
    OP
       2017-10-15 07:55:01 +08:00 via iPhone
    @weikai 不不不,这个不需要专门下客户端验证,只需要网页验证,所以不需要 mentoHust。
    johnniang
        6
    johnniang  
       2017-10-15 08:00:02 +08:00 via Android
    有这样一种方案,在现在搭建 shadowsocks 服务器,然后电脑开热点,手机全程使用 ss,这样就检测不出来了。

    结论,检测的是 http 请求的 User-agent
    ech0x
        7
    ech0x  
    OP
       2017-10-15 08:34:48 +08:00
    @LGA1150
    @Hardrain
    @johnniang
    我现在觉得奇怪的一点是,两个寝室同样的网络设置,我们寝室出现封禁的情况明显要少。
    现在我的 iPhone 通过有线连 macbook 上网,却从来没出现过这个问题。
    mac 地址是每次登录后绑定的
    ech0x
        8
    ech0x  
    OP
       2017-10-15 08:36:59 +08:00
    @LGA1150
    @Hardrain
    @johnniang
    我觉得是检测 User-agent 可能性比较大
    vinew
        9
    vinew  
       2017-10-15 09:35:42 +08:00 via iPhone
    索性号召大家把网销了,寝室一起搞个 99 一个月的那种 4G 无限流量套餐,然后 openwrt 外接 4G 无线上网卡。让学校自己玩去。XD
    ech0x
        10
    ech0x  
    OP
       2017-10-15 09:54:32 +08:00
    @vinew 电信有 19 元的校园不限量,但是还是有最高 40G 的限制。。。
    smallfount
        11
    smallfount  
       2017-10-15 10:13:22 +08:00
    在绑定 MAC 的情况下?如果一切按照学校的要求,那么没提交的 MAC 的那个设备还能认证上网不?
    coderfox
        12
    coderfox  
       2017-10-15 11:14:04 +08:00 via Android
    @ech0x #10 你可以搞很多张叠加啊。
    xratzh
        13
    xratzh  
       2017-10-15 11:38:48 +08:00
    锐捷 eportal ?我校是宽带无线同时允许一设备,手机 58 套餐可 20M,每月 30G 校内,50G 无线网卡,50Gcmcc-edu。
    ech0x
        14
    ech0x  
    OP
       2017-10-15 12:10:11 +08:00
    @smallfount 嗯,是这样的,每次登录都会记录一次 mac,如果有别的设备登录就会踢掉原来的设备。
    ech0x
        15
    ech0x  
    OP
       2017-10-15 12:10:57 +08:00
    ech0x
        16
    ech0x  
    OP
       2017-10-15 12:12:40 +08:00
    @coderfox 一个寝室 4 个人,加起来一共 140G,我们现在办得移动,送了一年的 100M,140G 不够用的呀
    xratzh
        17
    xratzh  
       2017-10-15 12:22:51 +08:00
    @ech0x 就那个呀
    ech0x
        18
    ech0x  
    OP
       2017-10-15 14:11:26 +08:00 via iPhone
    @xratzh 😂好吧,感觉最近很多学校都上了这个。。。
    ovear
        19
    ovear  
       2017-10-15 15:16:14 +08:00
    深信服 IDS,UA 检测,通过行政手段解决比较靠谱,比如说打电话给 1000 号,找到跟负责对接你们学校的电信客服经理,然后找他说这件事,他会跟网络中心帮你取消限制的,如果不行就工信部。
    技术细节我之前贴有发一些,可以参考一下。
    ovear
        20
    ovear  
       2017-10-15 15:17:20 +08:00
    @ovear 1000 号->10000 号
    检测方法还有一个劫持 http,做了一个机器特征识别,也在之前的帖子里,解决方法是屏蔽劫持包就好
    Alakes
        21
    Alakes  
       2017-10-15 16:31:37 +08:00
    我猜你是武大...
    kmahyyg
        22
    kmahyyg  
       2017-10-15 19:07:57 +08:00 via Android
    歪个楼,我校深蓝简直良心
    flyfishcn
        23
    flyfishcn  
       2017-10-15 20:00:09 +08:00
    @kmahyyg 温馨提示:深澜一样有防代理共享方案。你们学校没开而已。
    ech0x
        24
    ech0x  
    OP
       2017-10-15 20:37:53 +08:00 via iPhone
    @Alakes 没有啦😂,只是个渣二本
    ech0x
        25
    ech0x  
    OP
       2017-10-15 20:41:34 +08:00 via iPhone
    @ovear 工信部是最后的选项了。。。
    hfenger
        26
    hfenger  
       2017-10-15 22:21:21 +08:00
    工信部真不管校园网
    hfenger
        27
    hfenger  
       2017-10-15 22:22:37 +08:00
    建议你去恩山找帖子现成的方案一找一大叠
    iwtbauh
        28
    iwtbauh  
       2017-10-16 19:58:42 +08:00 via Android
    你这够好的了,我这破移动校园宽带就必须用客户端登录,动态用户名,关键问题是不给 Linux 客户端,反馈无果还拒绝给静态用户名,win 客户端还有反虚拟机,没法桥接网络,你这样的话简直我梦想中的啊!!
    你这解决方法
    1。ttl 动手脚
    2。http 流量统一劫持修改 ua (不过这样对手机用户就不太好了)或者直接禁掉 http 流量,如果有人有 http 业务让他走公网中的 ss 之类
    在路由器建 ss 服务器是无法对抗 ua 检测的,但能对抗 ttl
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5374 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 111ms · UTC 07:54 · PVG 15:54 · LAX 23:54 · JFK 02:54
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.