关于校园网路由器一些设置的问题

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

已注册用户请登录

这是一个创建于 2384 天前的主题，其中的信息可能已经有所发展或是发生改变。

背景

学校最近启用了由锐捷设计但 SAM+系统，替代了原来的拨号上网设置。现在每一个学生号都绑定了一个设备 mac 地址并只允许一个设备上网，且强制要求将路由器设置为 AP，导致手机与电脑无法同时上网。但如果不将路由器设置为 AP，一个路由器下所以设备固然不再需要重复认证，但会不时提示“检测到你的代理上网设置，现已禁止上网”，并拒绝登录一段时间，且这封禁时间会不断延长。

已有设备

一台刷了潘多拉(OpenWrt)的路由器

问题

有没有办法能做到路由器下的所有设备只需验证一次就可以同时上网，而且不会被查出“检测到你的代理设置，现已禁止上网”？

路由器

上网

设置

设备

28 条回复 • 2017-10-16 19:58:42 +08:00

LGA1150

2017-10-14 23:36:09 +08:00 via Android

有几种方式检测共享上网：
TTL 值（经过路由器后 TTL 减 1 ）
User-Agent
路由器 WAN 口 MAC 地址

一个个排除下

weikai

2017-10-14 23:53:01 +08:00 via Android

mentoHust ？

iAcn

2017-10-15 01:06:40 +08:00 via Android

共享上网的我这儿是做了 dhcp snooping

Hardrain

2017-10-15 07:02:46 +08:00

@LGA1150 TTL 那个要额外注意

之前对付某高校不明厂商的认证，发现就是通过 TTL

用路由器的"MAC 地址克隆"对付了 MAC 地址检测
所有明文的 HTTP 走$$

最后发现是通过 TTL 检测

ech0x

2017-10-15 07:55:01 +08:00 via iPhone

@weikai 不不不，这个不需要专门下客户端验证，只需要网页验证，所以不需要 mentoHust。

johnniang

2017-10-15 08:00:02 +08:00 via Android

有这样一种方案，在现在搭建 shadowsocks 服务器，然后电脑开热点，手机全程使用 ss，这样就检测不出来了。

结论，检测的是 http 请求的 User-agent

ech0x

2017-10-15 08:34:48 +08:00

@LGA1150
@Hardrain
@johnniang
我现在觉得奇怪的一点是，两个寝室同样的网络设置，我们寝室出现封禁的情况明显要少。
现在我的 iPhone 通过有线连 macbook 上网，却从来没出现过这个问题。
mac 地址是每次登录后绑定的

ech0x

2017-10-15 08:36:59 +08:00

@LGA1150
@Hardrain
@johnniang
我觉得是检测 User-agent 可能性比较大

vinew

2017-10-15 09:35:42 +08:00 via iPhone

索性号召大家把网销了，寝室一起搞个 99 一个月的那种 4G 无限流量套餐，然后 openwrt 外接 4G 无线上网卡。让学校自己玩去。XD

ech0x

2017-10-15 09:54:32 +08:00

@vinew 电信有 19 元的校园不限量，但是还是有最高 40G 的限制。。。

smallfount

2017-10-15 10:13:22 +08:00

在绑定 MAC 的情况下?如果一切按照学校的要求,那么没提交的 MAC 的那个设备还能认证上网不?

coderfox

2017-10-15 11:14:04 +08:00 via Android

@ech0x #10 你可以搞很多张叠加啊。

xratzh

2017-10-15 11:38:48 +08:00

锐捷 eportal ？我校是宽带无线同时允许一设备，手机 58 套餐可 20M，每月 30G 校内，50G 无线网卡，50Gcmcc-edu。

ech0x

2017-10-15 12:10:11 +08:00

@smallfount 嗯，是这样的，每次登录都会记录一次 mac，如果有别的设备登录就会踢掉原来的设备。

ech0x

2017-10-15 12:10:57 +08:00

@xratzh 我们是 http://www.ruijie.com.cn/cp/yyxt-yygl/samx

ech0x

2017-10-15 12:12:40 +08:00

@coderfox 一个寝室 4 个人，加起来一共 140G，我们现在办得移动，送了一年的 100M，140G 不够用的呀

xratzh

2017-10-15 12:22:51 +08:00

@ech0x 就那个呀

ech0x

2017-10-15 14:11:26 +08:00 via iPhone

@xratzh 😂好吧，感觉最近很多学校都上了这个。。。

ovear

2017-10-15 15:16:14 +08:00

深信服 IDS，UA 检测，通过行政手段解决比较靠谱，比如说打电话给 1000 号，找到跟负责对接你们学校的电信客服经理，然后找他说这件事，他会跟网络中心帮你取消限制的，如果不行就工信部。
技术细节我之前贴有发一些，可以参考一下。

ovear

2017-10-15 15:17:20 +08:00

@ovear 1000 号->10000 号
检测方法还有一个劫持 http，做了一个机器特征识别，也在之前的帖子里，解决方法是屏蔽劫持包就好

Alakes

2017-10-15 16:31:37 +08:00

我猜你是武大...

kmahyyg

2017-10-15 19:07:57 +08:00 via Android

歪个楼，我校深蓝简直良心

flyfishcn

2017-10-15 20:00:09 +08:00

@kmahyyg 温馨提示：深澜一样有防代理共享方案。你们学校没开而已。

ech0x

2017-10-15 20:37:53 +08:00 via iPhone

@Alakes 没有啦😂，只是个渣二本

ech0x

2017-10-15 20:41:34 +08:00 via iPhone

@ovear 工信部是最后的选项了。。。

hfenger

2017-10-15 22:21:21 +08:00

工信部真不管校园网

hfenger

2017-10-15 22:22:37 +08:00

建议你去恩山找帖子现成的方案一找一大叠

iwtbauh

2017-10-16 19:58:42 +08:00 via Android

你这够好的了，我这破移动校园宽带就必须用客户端登录，动态用户名，关键问题是不给 Linux 客户端，反馈无果还拒绝给静态用户名，win 客户端还有反虚拟机，没法桥接网络，你这样的话简直我梦想中的啊！！
你这解决方法
1。ttl 动手脚
2。http 流量统一劫持修改 ua （不过这样对手机用户就不太好了）或者直接禁掉 http 流量，如果有人有 http 业务让他走公网中的 ss 之类
在路由器建 ss 服务器是无法对抗 ua 检测的，但能对抗 ttl