V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
tr0uble
V2EX  ›  程序员

在公司通过共享 wifi 上网会被提示“移动终端访问被拒绝”,怎么破?

  •  
  •   tr0uble · 2017-07-17 10:35:35 +08:00 · 10259 次点击
    这是一个创建于 2446 天前的主题,其中的信息可能已经有所发展或是发生改变。

    公司有上网行为管理的东西,一些网站上不了,平时还能通过 ss 绕过去。

    4G 流量快要用光了,办公又要用微信,而且不提供 wifi,自己买了个无线网卡,试了各种软件发现用不了,有没有晓得怎么绕过这个行为管理的老哥?

    第 1 条附言  ·  2017-07-17 19:32:04 +08:00
    经过各位老哥指点:
    现在的情况是:
    公司台式 ip:172.30.1.2,上面有我的 ss 代理,在 1080 端口
    windows7 建立 ap,ip 是 192.168.175.1

    iphone 连接上这个 ap,分配到 192.168.175.2,然后把 http 代理手动设置为 172.30.1.2:1080

    可以绕过,就是很慢,有没有解决办法
    48 条回复    2017-07-18 12:56:59 +08:00
    des
        1
    des  
       2017-07-17 11:18:29 +08:00 via Android
    pc 版微信
    pine
        2
    pine  
       2017-07-17 11:25:40 +08:00
    什么样的公司啊,跟公司说啊,一个无线路由器也不值多少钱,一般只要不是太过分,公司都会提供一个比较宽松的环境,不过作为个人来讲,我都是公私分开的,自己私人微信也不愿意用公司网络,公司微信找各种理由不用自己手机。
    weiyichen2011
        3
    weiyichen2011  
       2017-07-17 11:36:45 +08:00
    通过 MAC 来识别的?
    Famio
        4
    Famio  
       2017-07-17 11:40:22 +08:00
    深信服,才会有移动终端访问被拒绝。
    Famio
        5
    Famio  
       2017-07-17 11:41:37 +08:00
    补 4L,对于没权限又想绕出去,只能买包烟给 IT 了
    mazyi
        7
    mazyi  
       2017-07-17 12:07:31 +08:00 via iPhone
    手机连上共享出来的 wifi 之后,立刻打开全局代理,所有的流量通过 ss 走,这样理论上识别不出来移动设备的流量,可以正常使用。
    以及别人的手机连了也会崩以及电脑连接说不定也会崩有一个叫做多设备禁止连接。
    chinuno
        8
    chinuno  
       2017-07-17 12:13:50 +08:00 via Android
    emmm。在我们公司遇到过,原因是,我 chrome 里面改了下 ua 成 iPhone 的,然后就出提示断网了
    Famio
        9
    Famio  
       2017-07-17 12:14:46 +08:00
    @mazyi 太小看深信服了,人家又不是靠流量来判断的。自有一套认证体系,给允许的终端发送授权,类似白名单。
    jarlyyn
        10
    jarlyyn  
       2017-07-17 12:15:27 +08:00
    这问题不是应该加 4g 流量么?
    Haos
        11
    Haos  
       2017-07-17 12:17:19 +08:00 via Android
    一般是深信服作为网桥设备,软件是一般是行不通的,设法能搞到 ac 的权限才行吧
    UnknownR
        12
    UnknownR  
       2017-07-17 12:23:03 +08:00 via iPhone   ❤️ 1
    包头标识检测吧,你买个无线网卡,走的还是公司路由和网关,既然没无线路由器,肯定是把移动平台的一些标识都 deny 掉了,一般国内公司都会提供免费 wifi,但是如果不提供的话肯定是有原因的,要么让你专注工作,要么怕个人设备被攻击,殃及内网。看公司规模,不大的话松松 IT,让他给你放行,他们会有权限,要么就买自己的流量卡或者设备,毕竟公司网是工作用的,有 Wi-Fi 需求但公司小气不给装的话,那还是趁早走吧
    tr0uble
        13
    tr0uble  
    OP
       2017-07-17 13:46:13 +08:00
    看到隔壁讨论日租卡加移动 wifi 的,心里开始种草了
    mortal
        14
    mortal  
       2017-07-17 13:51:41 +08:00
    LZ 你不会是我们公司的吧…= =
    目前我是这样用…拿一个 openWRT 之类的路由器接入内网,使用 Redsocks2,全局走你的 SS socks5 端口。
    mazyi
        15
    mazyi  
       2017-07-17 13:54:36 +08:00 via iPhone
    @Famio 楼主又没说是深信服的东西,并且行为管理也是可以用 ss 绕过的,可以基本判断就是用 ua 做的控制。如果你认为一定要给 it 塞烟那也没有办法,毕竟我司 it 不抽烟。
    Famio
        16
    Famio  
       2017-07-17 14:02:01 +08:00
    @mazyi 塞烟只是一个说法,隐喻找 IT 帮忙。
    @tr0uble 楼主是不是这个东西。
    tr0uble
        17
    tr0uble  
    OP
       2017-07-17 14:03:28 +08:00
    @Famio 就是这个啊,深信服这么屌的吗
    mrhuiyu
        18
    mrhuiyu  
       2017-07-17 14:05:47 +08:00
    恩,我司有安装,运维答:这是根据 UA 来定的。一旦识别到默认将你所有流量定义为手机流量,虚拟网卡。
    怎么破解,倒是不难,看公司具体情况,
    1、直接找 it 看看能不能给你加白名单,就是你计算机 ip。之后你就可以使用虚拟网卡。
    2、找个能正常上网的电脑,开一个代理,然后代理过去就行了。
    akrf
        19
    akrf  
       2017-07-17 14:06:35 +08:00 via Android
    手机 wifi 可以设置代理,用台式机 ss 提供的代理地址不就行了
    Famio
        20
    Famio  
       2017-07-17 14:09:40 +08:00
    @tr0uble 我再付个图,给楼上大神们研究下如何绕。
    mrhuiyu
        21
    mrhuiyu  
       2017-07-17 14:10:07 +08:00
    @tr0uble
    大概就是这个。
    [Imgur]( )
    tr0uble
        22
    tr0uble  
    OP
       2017-07-17 14:12:25 +08:00
    @Famio 但是我用 vbox 虚拟机做 nat 上网,就不会识别为两个设备吗
    tr0uble
        23
    tr0uble  
    OP
       2017-07-17 14:15:21 +08:00
    @akrf 假如我本地连接 ip 是 172.30.1.2,手机共享 wifi dhcp 获得地址是 192.168.1.2,手机代理设置哪个 172.30.1.2:1080 还是 192.168.1.1:1080.
    Famio
        24
    Famio  
       2017-07-17 14:19:11 +08:00
    @tr0uble 不,能识别到,只是后台有一个配置来控制终端数量,这个阀值由 IT 控制的。如果超过这个阀值,那就会被封,假如 IT 允许你有两台终端,那你物理机+一台 VM 做了 nat,是不会被封锁的。
    torbrowserbridge
        25
    torbrowserbridge  
       2017-07-17 14:20:37 +08:00 via Android
    原来你们公司也有类似的玩意儿
    diydry
        26
    diydry  
       2017-07-17 14:44:30 +08:00
    这东西。跟管网络的商量下吧
    yan5990853
        27
    yan5990853  
       2017-07-17 14:45:02 +08:00   ❤️ 1
    找 IT 帮忙开个洞是最省事的,真心不建议自己折腾。
    行为管理设备的共享检测能力决定了绕过难度,如果是大厂想绕过就很难了。
    说说我用过的行为管理设备的共享检测方式给你参考下。

    1.时钟漂移 这个有点高端,与物理时钟有关;
    2.TTL 不同系统 TTL 不同;
    3.IP 轨迹 主要是针对 windows 系统;
    4.应用特征 识别协议,比如 http 头。
    goodan
        28
    goodan  
       2017-07-17 15:01:46 +08:00
    喜欢 v2 这样的氛围。。在其他平台发布帖子肯定几百年都没任何结果。
    ovear
        29
    ovear  
       2017-07-17 15:13:09 +08:00   ❤️ 1
    深信服很简单绕啊
    绕这个不是作为各大高校生存必备技能么。。
    他的 IDS 主要分为两部分
    UA 检测,HTTP 劫持
    UA 检测就是检测 Windows 里面的版本,还有移动设备的版本。超过的话就给你断断网
    HTTP 劫持,就是首次访问单 HOST 会被劫持到一个 1.1.1.2 的 IP (我校是设置的这个),就是针对于 PC 做一个指纹,我之前反编译了他的代码。
    发现就是通过 JavaScript 判断下系统版本,然后调入一个 flash,然后进行像是字体啥的分析,然后提交上去。
    这个更简单了,屏蔽 TTL=127 的包,同时这个也可以绕过,深信服的旁路截断,只要网速够快,是可以绕过断网策略的。
    )至于怎么彻底绕过断网策略就不在这说了,请到 github 上搜索。
    深信服对于 TTL 的检测不是很严格,路由开不开都没事

    所以破解方法出来了
    如果深信服设置了,允许 2 台设备的话,你理论上可以使用任意一个类型的手机(Android/iOS)+所有电脑
    如果允许 3 台设备的话,你可以使用两种类型的手机+所有电脑
    如果只允许 1 台
    请选择在主机上面做 HTTP 代理,强制修改 HTTP HEADER,或者用 SS 代理出去。这两种方法各有利弊。

    联动
    https://www.v2ex.com/t/302993#reply2
    https://www.v2ex.com/t/315149#reply1

    顺便
    @Famio
    Famio
        30
    Famio  
       2017-07-17 15:17:54 +08:00
    @ovear 666
    akrf
        31
    akrf  
       2017-07-17 16:18:10 +08:00 via Android   ❤️ 1
    @tr0uble 目测都行,可以在手机上试试。另外如果是 pac 的话,服务器地址是 127 本地地址,需要手动改成 172 的内网地址。
    dianxin
        32
    dianxin  
       2017-07-17 18:18:44 +08:00
    好像是可以 静态 IP 上网。挂个 360wifi ?
    tr0uble
        33
    tr0uble  
    OP
       2017-07-17 19:18:14 +08:00
    @ovear 我在 iphone 连接 wifi 时设置 http 代理为 ss 的代理,但我这个服务器国外的,有什么办法加速吗
    ovear
        34
    ovear  
       2017-07-17 19:21:05 +08:00
    @tr0uble 换国内的。。搭个 SS 在家之类的。。
    tr0uble
        35
    tr0uble  
    OP
       2017-07-17 19:22:00 +08:00
    @akrf 我在 iphone 连接 wifi 时设置 http 代理为台式电脑的 ss 代理,但我这个服务器国外的,有什么办法加速吗
    tr0uble
        36
    tr0uble  
    OP
       2017-07-17 19:25:43 +08:00
    @ovear 请选择在主机上面做 HTTP 代理,强制修改 HTTP HEADER,这个 http 代理的软件有什么推荐的吗?
    tr0uble
        37
    tr0uble  
    OP
       2017-07-17 19:30:28 +08:00
    现在的情况是:
    公司台式 ip:172.30.1.2,上面有我的 ss 代理,在 1080 端口
    windows7 建立 ap,ip 是 192.168.175.1

    iphone 连接上这个 ap,分配到 192.168.175.2,然后把 http 代理手动设置为 172.30.1.2:1080

    可以绕过,就是很慢
    ovear
        38
    ovear  
       2017-07-17 21:13:37 +08:00
    @tr0uble SQUID 可以
    akrf
        39
    akrf  
       2017-07-17 21:27:36 +08:00 via Android
    @tr0uble 换一台国内的服务器当 ss 代理呗
    pynix
        40
    pynix  
       2017-07-17 21:30:07 +08:00
    离职
    autoxbc
        41
    autoxbc  
       2017-07-18 00:55:48 +08:00
    用自己家里的路由器做 ss 跳板
    bin456789
        42
    bin456789  
       2017-07-18 01:53:19 +08:00 via Android
    共享 wifi 应该是走 nat 的,居然能被检测到?
    建议下载个能换成 pc ua 的浏览器试试
    kokutou
        43
    kokutou  
       2017-07-18 07:46:21 +08:00 via Android
    额,办公要用微信却不给 wifi ???
    报销话费吗?
    报销-->换个套餐,电信现在 50 块买 1 送 5=6 个 G 流量。。。
    不报销?-->离职
    sunsulei
        44
    sunsulei  
       2017-07-18 09:27:16 +08:00
    我们这边需要代理 ip 才能上网,有些国内网站会被拦截,办法是装 proxifier,ss,规则判断走 ss 绕一下再回 proxifier 出去,同时也翻了墙...
    sunsulei
        45
    sunsulei  
       2017-07-18 09:34:22 +08:00   ❤️ 1

    开了两个 ss,一个跳国内,一个墙外.
    tr0uble
        46
    tr0uble  
    OP
       2017-07-18 09:52:44 +08:00
    @sunsulei 大概了解了,接下来要找个家庭网络或国内服务器建 ss 服务器
    nodeath
        47
    nodeath  
       2017-07-18 10:40:18 +08:00
    安卓手机可以用 usb 供网
    DevNet
        48
    DevNet  
       2017-07-18 12:56:59 +08:00
    以前公司我是管类似这事的,其实做这样的限制真的很无聊。。。。现在公司的行为管理就拿来做个限速和带宽管理,不限代理,不限数量
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   948 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 21:02 · PVG 05:02 · LAX 14:02 · JFK 17:02
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.