1
dangyuluo 2021-12-18 07:06:54 +08:00
想知道是怎么检测的,通过 NAT 后不都表现为一台主机发起的请求么?还是说检测主机名。。哪个学校呀
|
2
dangyuluo 2021-12-18 07:07:29 +08:00
OR 检测机器的 MAC 地址然后和已知的路由器生产厂商比对?
|
3
swulling 2021-12-18 07:17:31 +08:00 via iPhone 1
|
4
swulling 2021-12-18 07:19:36 +08:00 via iPhone
基本上检测方法都是靠分析 IP 或者 TCP 协议特征
所以你只需要在外面找一个中转,把所有流量都包一层就行了。你用的解决方案我觉得没问题 |
5
crazydd OP @dangyuluo 据说 user agent 啥的,国内关键词是网络尖兵,也不知道国外这种检测的供应商是谁;某虚假的 QS Top10 学校(野鸡
|
7
mengyx 2021-12-18 08:16:20 +08:00 via Android
一般靠检查 http 流量的 user agent 。
一般设备连接上网络后,会发一个 http 请求到公网服务器检测是否需要登录。 如果用的是 openwrt ,可以试试 https://github.com/CHN-beta/xmurp-ua |
8
delpo 2021-12-18 09:29:08 +08:00
@swulling 我感觉如果只是 tcp 时间戳检测的话,直接在路由器跑个 v2ray 透明代理,出口全部 freedom 是不是就可以绕过检测了?因为这样一来所有的出站 tcp 连接都是 v2ray 建立的
|
9
quzard 2021-12-18 09:43:27 +08:00 via Android
买台 vps ,搭 ss 全局流量代理。在国外就不要 v2 了。ss➕bbr 就好,性能高
|
10
sagaxu 2021-12-18 09:50:35 +08:00 via Android 1
自己的网络自己的多个设备用也算共享?走法律途径,请律师告物业。
|
11
lqcc 2021-12-18 09:53:38 +08:00
为什么啊?就一个网口,那多个设备怎么办?物业的目的是啥?
|
12
wjm2038 2021-12-18 09:57:08 +08:00 via Android
如果是学校可能是因为安全原因,你这个路由器被外部人员链接了之后就可能进入学校内网了。最好不要作死。。
|
13
Biggoldfish 2021-12-18 09:59:12 +08:00
https://www.v2ex.com/t/169892
TTL 也要改一下 |
14
LLaMA2 2021-12-18 10:00:01 +08:00
如果一个 LAN 口,且上游自动 DHCP 分配 IP 的话,接上个多口的 switch,是可以多个设备同时使用啊。
|
15
litmxs 2021-12-18 10:03:28 +08:00 via Android 1
在法治国家不如试试法律手段?
|
16
abc612008 2021-12-18 10:10:11 +08:00
啥学校 wifi 都不给啊。eduroam 也没有吗。
|
17
Senorsen 2021-12-18 10:23:29 +08:00 1
看到没人说 MTU ,想提醒下,普通路由器设备出网,MTU 会减一,所以运营商很好判断。另外不同设备( Windows 128 / 其他一般 64 )也比较容易被判断。
OpenWrt 可以在防火墙自定义规则里加个 iptables ,统一改写 MTU 为 64 这样。 可能还会有另外的检测方法,深度包检测之类的,不过成本肯定高更多。 “学校宿舍的物业也禁止使用路由器,禁止网络共享。说是目前在架设检测系统,要检测出来的对象负担检测费用” 不知道是哪个国家,这条是写在协议里的吗,真的合法吗?运营商给你提供网络,顶多有“个人自用”的合约要求吧,在物理上不突破运营商限速限额的情况下正常使用,不应该有其他的限制条件。。 |
18
Senorsen 2021-12-18 10:24:33 +08:00
哦我傻了,上边想说的是 TTL ,不是 MTU ……
上边已经有兄弟说过 TTL 了,那无视我吧 |
23
crazydd OP @Biggoldfish 谢谢老板
|
24
crazydd OP @Biggoldfish 用户路由器挂了 PPTP VPN 后上级路由还能看到设备的 TTL 吗?
|
25
Rheinmetal 2021-12-18 10:52:29 +08:00
宿舍有 4g 么?
|
26
Rheinmetal 2021-12-18 10:55:43 +08:00
或者一步到位 starlink 卫星锅
|
27
JensenQian 2021-12-18 11:17:52 +08:00 via Android
或者换个思路,自己 vps 不用买,整个 openwrt 路由器,然后再去上面放 cloudflare warp,warp 内地用不了,海外用的了
|
28
IvanLi127 2021-12-18 11:20:41 +08:00
我感觉楼主的方案好像有点不对劲,你的 PPTP 服务器不应该放在宿舍里嘛?
|
29
learningman 2021-12-18 11:27:12 +08:00
User-Agent 识别的话,试试 https://github.com/Zxilly/UA2F
|
30
jiangyang123 2021-12-18 12:44:03 +08:00
为啥不直接接个交换机?
|
31
crazydd OP @jiangyang123 那上级设备岂不是就看到这个物理 port 上接着多个 MAC 地址-->罚款
|
32
Buges 2021-12-18 13:17:08 +08:00 via Android
nat 设备可以随意 mangle 包,理论上没有可靠的方式检测。
最简单的方法还是开个四层代理,并且把其他流量都 drop 掉。 |
34
jiangyang123 2021-12-18 14:58:25 +08:00
@crazydd #31 不会吧 这宿舍也太小气了
|
35
jiangyang123 2021-12-18 14:58:54 +08:00
直接问问管理方,你有两台电脑怎么办好了
|
36
delpo 2021-12-18 15:18:31 +08:00
@swulling 我的意思不是用 VPN 加密流量,而是所有流量都由一个进程发出,大概就是下图的意思
<a href="https://sm.ms/image/w6zpgscuOETjMFX" target="_blank"><img src="https://s2.loli.net/2021/12/18/w6zpgscuOETjMFX.png" ></a> 之所以说要用 v2ray 是因为好像只有这个支持透明代理+流量直接出站,有点类似于 ssh 的-D 模式 这样一来好处就是所有出站的 tcp 连接都是 v2ray 发出的,应该不会对外暴露出传输层及以下层的多设备特征 坏处就是没法对应用层程序行为进行隐藏,比如说如果有 http 的 UA 检测就不能用这个方法进行绕过 |
37
yankebupt 2021-12-18 18:48:21 +08:00
连 ipv6 都没有,好惨......
一人一个上网身份 id 的监视出国么... 除了必须的 bulk 流量,视频什么的,其他的直接 sim 卡啊...... |
38
swulling 2021-12-18 22:03:14 +08:00 via iPhone
|
39
swulling 2021-12-18 22:05:03 +08:00 via iPhone
|
41
SunBK201 2021-12-19 09:13:10 +08:00 1
https://www.notion.so/sunbk201public/OpenWrt-f59ae1a76741486092c27bc24dbadc59
具体怎么解决,还要看 ISP 是用了什么检测手段 |
42
SunBK201 2021-12-19 09:16:48 +08:00
如果仅仅是 TTL 的话,直接 iptables -t mangle -A POSTROUTING -j TTL --ttl-set 64 就可以解决
|