关于校园网路由器一些设置的问题

2017-10-14 22:40:53 +08:00
 ech0x

背景

学校最近启用了由锐捷设计但 SAM+系统,替代了原来的拨号上网设置。现在每一个学生号都绑定了一个设备 mac 地址并只允许一个设备上网,且强制要求将路由器设置为 AP,导致手机与电脑无法同时上网。但如果不将路由器设置为 AP,一个路由器下所以设备固然不再需要重复认证,但会不时提示“检测到你的代理上网设置,现已禁止上网”,并拒绝登录一段时间,且这封禁时间会不断延长。

已有设备

一台刷了潘多拉(OpenWrt)的路由器

问题

有没有办法能做到路由器下的所有设备只需验证一次就可以同时上网,而且不会被查出“检测到你的代理设置,现已禁止上网”?

5921 次点击
所在节点    宽带症候群
28 条回复
LGA1150
2017-10-14 23:36:09 +08:00
有几种方式检测共享上网:
TTL 值(经过路由器后 TTL 减 1 )
User-Agent
路由器 WAN 口 MAC 地址

一个个排除下
weikai
2017-10-14 23:53:01 +08:00
mentoHust ?
iAcn
2017-10-15 01:06:40 +08:00
共享上网的我这儿是做了 dhcp snooping
Hardrain
2017-10-15 07:02:46 +08:00
@LGA1150 TTL 那个要额外注意

之前对付某高校不明厂商的认证,发现就是通过 TTL

用路由器的"MAC 地址克隆"对付了 MAC 地址检测
所有明文的 HTTP 走$$

最后发现是通过 TTL 检测
ech0x
2017-10-15 07:55:01 +08:00
@weikai 不不不,这个不需要专门下客户端验证,只需要网页验证,所以不需要 mentoHust。
johnniang
2017-10-15 08:00:02 +08:00
有这样一种方案,在现在搭建 shadowsocks 服务器,然后电脑开热点,手机全程使用 ss,这样就检测不出来了。

结论,检测的是 http 请求的 User-agent
ech0x
2017-10-15 08:34:48 +08:00
@LGA1150
@Hardrain
@johnniang
我现在觉得奇怪的一点是,两个寝室同样的网络设置,我们寝室出现封禁的情况明显要少。
现在我的 iPhone 通过有线连 macbook 上网,却从来没出现过这个问题。
mac 地址是每次登录后绑定的
ech0x
2017-10-15 08:36:59 +08:00
@LGA1150
@Hardrain
@johnniang
我觉得是检测 User-agent 可能性比较大
vinew
2017-10-15 09:35:42 +08:00
索性号召大家把网销了,寝室一起搞个 99 一个月的那种 4G 无限流量套餐,然后 openwrt 外接 4G 无线上网卡。让学校自己玩去。XD
ech0x
2017-10-15 09:54:32 +08:00
@vinew 电信有 19 元的校园不限量,但是还是有最高 40G 的限制。。。
smallfount
2017-10-15 10:13:22 +08:00
在绑定 MAC 的情况下?如果一切按照学校的要求,那么没提交的 MAC 的那个设备还能认证上网不?
coderfox
2017-10-15 11:14:04 +08:00
@ech0x #10 你可以搞很多张叠加啊。
xratzh
2017-10-15 11:38:48 +08:00
锐捷 eportal ?我校是宽带无线同时允许一设备,手机 58 套餐可 20M,每月 30G 校内,50G 无线网卡,50Gcmcc-edu。
ech0x
2017-10-15 12:10:11 +08:00
@smallfount 嗯,是这样的,每次登录都会记录一次 mac,如果有别的设备登录就会踢掉原来的设备。
ech0x
2017-10-15 12:10:57 +08:00
ech0x
2017-10-15 12:12:40 +08:00
@coderfox 一个寝室 4 个人,加起来一共 140G,我们现在办得移动,送了一年的 100M,140G 不够用的呀
xratzh
2017-10-15 12:22:51 +08:00
@ech0x 就那个呀
ech0x
2017-10-15 14:11:26 +08:00
@xratzh 😂好吧,感觉最近很多学校都上了这个。。。
ovear
2017-10-15 15:16:14 +08:00
深信服 IDS,UA 检测,通过行政手段解决比较靠谱,比如说打电话给 1000 号,找到跟负责对接你们学校的电信客服经理,然后找他说这件事,他会跟网络中心帮你取消限制的,如果不行就工信部。
技术细节我之前贴有发一些,可以参考一下。
ovear
2017-10-15 15:17:20 +08:00
@ovear 1000 号->10000 号
检测方法还有一个劫持 http,做了一个机器特征识别,也在之前的帖子里,解决方法是屏蔽劫持包就好

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/397683

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX