这是一个创建于 3876 天前的主题,其中的信息可能已经有所发展或是发生改变。
以前我也发帖问过相关的事情,感想V友分享自己的经验
但我觉得目前进入了一个怪圈,没办法彻底解决这个问题。
目前我们学校只能办电信的宽带,但是必须在协议上加上“承诺不使用路由”。而且上网必须安装电信的客户端(f-young.cn),这个客户端会破坏系统的NAT功能,检测常见的网络连接共享软件,并使用其特殊的协议进行拨号。
A.技术方面,折腾破解,包括破解路由,电脑上装网络分享软件,暂时能用,但电信的客户端会不时更新,破解需要不停地跟进。
使用破解路由出现过明显的人为网络故障。
客户端本身似乎也不是很稳定,周围同学反映莫名其妙地没法拨号的也很多,尤其是mac平台,客户端经常无法使用。
B.如果向工信部申诉,看网上的说法,不能用路由貌似算不上理由。《互联网接入服务规范》没提这事儿。
电信倒好像会拿一个红头文件(貌似是《教育部共青团中央关于进一步加强高等学校网络管理工作的意见》)当挡箭牌,说这是管理所需。
目前看似可用的理由就两个:
1.(可能是因客户端稳定性导致的)网络质量差,连不上,掉线时有发生,尤其是mac平台。
2.协议上好像没提到过上网终端的操作系统,但客户端不支持Linux,导致Linux无法使用宽带服务。
不知道强制不兼容算不算……
貌似投诉能取得的最好结果就是和电信和解,相互妥协,比如电信提供被广泛兼容的、无需电信客户端的PPPoE账号。但貌似电信仍然有权力禁止用户共享网络即使电信给了不强制要求客户端的账户,也有可能分析流量,进行干扰不知道实际上会不会碰到这个问题……
C.周围很多同学都对电信的所作所为感到不满,但是……貌似也做不了什么其他的事情了……很多同学都认为电信是和学校有利益关系的,而我们在人屋檐下,不得不低头……
求建议……
但我觉得目前进入了一个怪圈,没办法彻底解决这个问题。
目前我们学校只能办电信的宽带,但是必须在协议上加上“承诺不使用路由”。而且上网必须安装电信的客户端(f-young.cn),这个客户端会破坏系统的NAT功能,检测常见的网络连接共享软件,并使用其特殊的协议进行拨号。
A.技术方面,折腾破解,包括破解路由,电脑上装网络分享软件,暂时能用,但电信的客户端会不时更新,破解需要不停地跟进。
使用破解路由出现过明显的人为网络故障。
客户端本身似乎也不是很稳定,周围同学反映莫名其妙地没法拨号的也很多,尤其是mac平台,客户端经常无法使用。
B.如果向工信部申诉,看网上的说法,不能用路由貌似算不上理由。《互联网接入服务规范》没提这事儿。
电信倒好像会拿一个红头文件(貌似是《教育部共青团中央关于进一步加强高等学校网络管理工作的意见》)当挡箭牌,说这是管理所需。
目前看似可用的理由就两个:
1.(可能是因客户端稳定性导致的)网络质量差,连不上,掉线时有发生,尤其是mac平台。
2.协议上好像没提到过上网终端的操作系统,但客户端不支持Linux,导致Linux无法使用宽带服务。
不知道强制不兼容算不算……
貌似投诉能取得的最好结果就是和电信和解,相互妥协,比如电信提供被广泛兼容的、无需电信客户端的PPPoE账号。但貌似电信仍然有权力禁止用户共享网络即使电信给了不强制要求客户端的账户,也有可能分析流量,进行干扰不知道实际上会不会碰到这个问题……
C.周围很多同学都对电信的所作所为感到不满,但是……貌似也做不了什么其他的事情了……很多同学都认为电信是和学校有利益关系的,而我们在人屋檐下,不得不低头……
求建议……
第 1 条附言 2015-03-14 13:09:19 +08:00
LZ能想到的两个反抗方向:
1.技术
首先要绕过客户端的限制
第二,NAT共享网络后,有没有办法把网络层的特征彻底抹掉?
如果是应用层检测,我觉得无解(VPN等会造成延迟增大等问题,还需要自己解决服务器问题)
2.集体表达诉求
总觉得这条路很狗血……而且似乎风险挺大
1.技术
首先要绕过客户端的限制
第二,NAT共享网络后,有没有办法把网络层的特征彻底抹掉?
如果是应用层检测,我觉得无解(VPN等会造成延迟增大等问题,还需要自己解决服务器问题)
2.集体表达诉求
总觉得这条路很狗血……而且似乎风险挺大
第 2 条附言 2015-03-21 15:57:10 +08:00
南京航空航天大学有学生向工信部投诉无果后,决定在微博反映此事
一位同学写了一篇长微博,反映目前的情况
http://weibo.com/p/1001603821103083593078
#反对电信霸王条约# 成为热门话题,并获得@新浪江苏 的关注,@新浪江苏 一度将有关微博置顶。
目前,南航学生代表已经与电信派出的代表谈判过,电信方面承诺一周内给结果。
一位同学写了一篇长微博,反映目前的情况
http://weibo.com/p/1001603821103083593078
#反对电信霸王条约# 成为热门话题,并获得@新浪江苏 的关注,@新浪江苏 一度将有关微博置顶。
目前,南航学生代表已经与电信派出的代表谈判过,电信方面承诺一周内给结果。
 | 1 CupTools 2015-03-14 04:21:09 +08:00 跑虚拟机。 Internet -> Host -> Virtual Machine -> NAT in side Virtual Machine 三层NAT |
 | 2 aheadlead 2015-03-14 07:11:14 +08:00 via iPhone 我已经试过这些了 工信部 江苏通管委 商务部 中纪委 cctv焦点访谈 南京市长热线 当然废品电信的总经理热线都打过了的 |
| 3 aheadlead 2015-03-14 07:11:44 +08:00 via iPhone 电信业界毒瘤 |
| 4 aheadlead 2015-03-14 07:12:29 +08:00 via Phone 还准备给3.15晚会打电话 不过已经晚了 |
| 5 aheadlead 2015-03-14 07:12:55 +08:00 via iPhone 我们要不要弄个wiki 专门提供举报破解服务 |
 | 6 iamsad3508 2015-03-14 07:35:56 +08:00 via Android 试试在360杀毒的沙箱里运行看怎么样?或者到随身wifi论坛里找校园客户端解决方案 |
 | 7 zts1993 2015-03-14 07:51:03 +08:00 via Android 又是南京电信校园宽带。。。 |
 | 8 chenhui7373 2015-03-14 07:59:45 +08:00 思路:用机房IP做代理。 |
 | 9 ouqihang 2015-03-14 08:21:17 +08:00 via Android  1 @CupTools 没那么简单,人家的客户端会检测虚拟网卡,VMware要依赖虚拟网卡,一开即断网。 建议楼主在客户端上下功夫,把检查共享的功能去掉。 |
 | 10 cnkuner 2015-03-14 08:38:06 +08:00 via Android 多找点同学去反映啊,虽然蛇鼠一窝。 还有,提前把这些情况告诉准备报考的学弟,做做好事。 |
 | 11 wy315700 2015-03-14 08:52:16 +08:00 貌似是中央要求,要求学生上网一人一号 |
 | 12 messyidea 2015-03-14 08:54:43 +08:00 我这边是闪讯。。拨号的时候前面会加几个特殊字符,不过好在有人破解了,以前有心跳现在不知道为什么心跳没了,所以现在可以用着路由器拨号,应该能撑到毕业 |
 | 13 VYSE 2015-03-14 09:20:00 +08:00 via Android 原来有家防火墙是带nat功能,没有虚拟网卡,楼主可以找下,当时我是nat服务死活打不开找的,不过不免费要找路子 |
 | 14 yaoye0o 2015-03-14 09:20:06 +08:00 via Android 还好我学校没强制一人一号。不过想来也快了 |
 | 15 Koell 2015-03-14 09:26:56 +08:00 这东西莫名其妙的给你来一个驱动蓝屏,我遇到过一次。 |
 | 16 dslwind 2015-03-14 09:30:12 +08:00 via Android 打电话给电信客服,说你的电脑是水果机,用不了拨号软件 |
 | 17 liberize 2015-03-14 09:44:00 +08:00 以前在学校的时候也是这样,天天打电话给电信,说我用的是 linux,没有客户端,后来他们就把加密关掉了(估计是加了白名单),然后就可以用系统拨号上网了。 后来用另外一个账号,用虚拟机跑了个 xp,在里面跑客户端,共享给外面的 linux/mac,然后在 linux/mac 开无线共享,这样全寝室都可以上网了。 |
 | 18 zwzmzd 2015-03-14 09:44:22 +08:00 via Android lz你们那边包月多少钱? |
 | 19 reeco 2015-03-14 09:46:50 +08:00 via iPhone 我的帐号原来一直破解的,一年之后,发现帐号能直接用路由器了 |
 | 20 Bitex 2015-03-14 09:51:42 +08:00 via iPhone 抓包,自己写一个拨号客户端。再怎么更新无非也只是PPPoE拨号罢了。 我宿舍用的是联通201宽带,差不多的情况。我写了个拨号客户端,可以参考: https://github.com/7bitex/Carousel |
 | 21 myywin 2015-03-14 09:52:42 +08:00 via Android 同南京路过。。。。。 |
 | 23 GG668v26Fd55CP5W 2015-03-14 10:19:03 +08:00 via iPhone 在一台电脑加网卡有线或者无线,搭建NAT服务器或者AP,用客户端拔号后共享给其他电脑用,当年对付dr.com我就是这样的搞的。现在可以考虑用树莓派2来搭,可以上win10 |
 | 24 zhjits 2015-03-14 10:21:14 +08:00 杭州电信表示同蛋疼…… 我们这里有个巨丑无比还会弹广告的闪讯客户端,还会检测虚拟机或者虚拟网卡,强制覆盖安装一个奇怪版本不可用的 WinPcap 驱动导致无法抓包。在 OS X 上面它甚至安装了一个 kext……我真的没法信任它。 |
| 25 GG668v26Fd55CP5W 2015-03-14 10:22:29 +08:00 via iPhone 不过看来楼主遇到的客户端比dr.com更流氓…… |
 | 26 Glisten 2015-03-14 11:25:14 +08:00 via Android 电信业界毒瘤 |
 | 27 8748 2015-03-14 11:32:46 +08:00 via iPhone 重庆netkeeper路过,一样蛋疼 |
 | 28 songjiaxin2008 2015-03-14 11:33:58 +08:00 via iPhone 楼主,南京电信的话,推荐你搞个Openwrt,我自己刷了一个,用了一年多很安逸 。我打过无数电话给10000说我是linux用户,电信的经理打电话给我说没有客户端对不起。但我知道淘宝有卖不用客户端拨号的账号,学校老师用的那种。 |
 | 29 Henrybsbhp 2015-03-14 11:41:06 +08:00 via iPhone @Koell 当年我们学校也只能用电信网,客户端拨号不支持 Mac 不说,我 Windows 7 64 位也是造成蓝屏,电话投诉半天,过了半个月才有客户端更新解决这问题。 |
 | 30 9hills 2015-03-14 11:59:41 +08:00 现在电子设备这么多,一人五六个。。。不过有的学校可以办理校外宽带,还好一些 |
 | 31 stillwaiting 2015-03-14 12:13:11 +08:00 当年用闪讯客户端,同样限制,拨号会时候会根据时间在账号上添加一些字符串等等。。。不过后来破解了。。。 |
 | 32 freehehe 2015-03-14 12:16:32 +08:00 天翼校园客户端?WiFi共享大师看看吧我们学校基本都用这个开无线http://wifi.ggsafe.com/ |
 | 34 acess OP @songjiaxin2008 已刷,但是会碰到人为网络故障 |
| 35 acess OP |
 | 37 jacy 2015-03-14 12:32:30 +08:00 客户端拨号后强行结束,然后网络连接里会有个拨号连接,断开重播能看到经加密后的用户名,把此用户名放路由器上即可。估计这个用户名和我们这一样,前面有回车换行符,不过我已经解决了,tp-link和opwnert都可以用。 |
| 38 acess OP |
 | 40 AlterNever 2015-03-14 13:02:17 +08:00 1 我们学校是联通垄断,上网必须用锐捷客户端。猎豹WIFI刚出的时候,把锐捷破解了。后来联通妥协了,退一步让我们能开WIFI共享软件,但是只能连接一部无线设备,连接多了会掉 |
| 41 acess OP @AlterNever 看来不止电信这样 你也许可以在找个openwrt的路由,连上电脑开的热点做WAN,或者插USB网卡,用双网卡接路由WAN口,再弄一层NAT,设备都从路由后面上网 |
 | 42 billlee 2015-03-14 13:48:16 +08:00 1 @acess 现在确实有共享检测,以前用 MITM 可以解决私有 CHAP 的问题,现在已经不够了,所以最佳方案是 1)打 10000 号说 linux 不能上网 2)工信部网站投诉 linux 不能上网 3)等电信的人来联系你解决 |
 | 43 bsfx2 2015-03-14 13:50:05 +08:00 给学校网络中心提交了一个使用 Mac 无法使用客户端的申请,然后被分到了另外一个组别里 :) 都不用手动设定 IP 的,直接 DHCP,跟其他同学网段完全不一样。路由器克隆一下 MAC 地址就好了。 |
 | 45 billlee 2015-03-14 14:03:30 +08:00 1 @acess 我上星期试了,目前还行。 关于抹去特征的问题,我觉得用 iptables REDIRECT ,然后用应用空间转发(类似 ss-redir 的工作方式)应该可以对 TCP 连接抹去传输层和网络层的特征,现在还在试验中。 |
| 46 acess OP @billlee iptables REDIRECT,握手…… 我试过dante,但是貌似容易爆内存,我不太会调这个东西 ss效果貌似不错,但我的路由CPU太渣,CPU占用明显升高,而且我还没把ss-server放在路由上…… 我还没用PPPoE有线宽带测试ss,我是用一个android手机连上ChinaNet热点,然后在手机上启动ss-server测试的。加密选的RC4(反正流量出去就明文了)。 |
![hjc4869](https://cdn.v2ex.com/avatar/c63e/9d88/67176_normal.png?m=1731559576") | 49 hjc4869 2015-03-14 14:23:01 +08:00 买个4G卡。 |
 | 50 zhuziyi 2015-03-14 15:12:11 +08:00 幻境拨号器。 |
| 51 AlterNever 2015-03-14 16:53:36 +08:00 @acess 额,我已经毕业了。在外实习之前是用猎豹,等我们回学校答辩,就被在校的同学告知能随便用共享软件了 |
 | 52 Sunnyyoung 2015-03-14 16:53:54 +08:00 小蝴蝶客户端路过= = |
 | 54 luoqeng 2015-03-14 18:05:29 +08:00 |
| 56 acess OP |
 | 57 1ychee 2015-03-14 20:29:26 +08:00 推荐使用 Connectify 进行热点共享,可能会有奇迹。当年我们网店这个软件 90% 的销量都是来自于学生,你就知道中国校园对学生的压榨有多狠了。。。 http://item.taobao.com/item.htm?&id=21311759912 |
 | 58 PPTing 2015-03-14 20:32:53 +08:00 同楼主一样。。。跟工信部投诉了也没用 |
| 59 acess OP @zhengkejian0 你投诉的理由?不能用路由? |
 | 60 wlh 2015-03-14 21:03:26 +08:00 没见过教育网的锐捷有多恶心吧? |
 | 62 patr0nus 2015-03-14 21:06:40 +08:00 2 @acess 我是在 pppd 中加的几个 hook, https://github.com/patr0nus/ppp/commit/295271873dbab52d034641be5cc6389718049e5f。 然后把攻击写成一个 plugin https://github.com/patr0nus/chap-forwarder |
 | 63 SuujonH 我们以前是依靠破解客户端,因为我们发现不更新也可以使用~ 你可以考虑网线插电脑上,然后打开wifi共享,把LAN口网卡的网络共享给wifi。 不过笔记本得一直开着,有点伤。 买个派? |
| 64 billlee 2015-03-14 22:15:57 +08:00 1 @patr0nus 这个 reset 好像是触发后就会持续大概 2 小时。从来不用路由器的账号,是没有出现过 reset 问题的。 |
 | 65 funCoder 2015-03-14 23:42:33 +08:00 1 深表同情。 不过我校也是要专用的客户端才能上网,而且只有Windows客户端才能拨宽带,Linux客户端只能用校园网,OS X用户只能用网页版客户端上校园网。 不过我们学校的校园网比较奇葩,校园网/电信宽带/移动宽带/联通宽带用的都是同一条网线。 我发现Windows客户端宽带拨号用的也是PPPOE,但是在PPPOE拨号之前会先给校园网认证服务器发送一个数据包,数据包内容有本机MAC、宽带用户名、要拨号的运营商、数据校验码。 8863包经过各级交换机转发到达一个网关,网关检查是否存在MAC和宽带运营商对应的记录,如果有,则转发到该运营商的局端。 然后、然后,我自己实现了一个和Windows版客户端功能一样的OpenWRT版客户端,在调用pppd拨号前先发一个包来选择运营商。弄些二手无线路由器刷进去在学校卖。 结果,客户全是老师来着。。。。。。 现在找了个学校的服务器,准备把选择运营商这部分接入微信公众平台 有兴趣的话欢迎勾搭聊聊天 [email protected] |
 | 66 Reficul 2015-03-15 00:50:55 +08:00 via Android |
| 67 Reficul 2015-03-15 00:53:46 +08:00 via Android |
| 69 acess OP @Reficul 我加过TTL,无效 连IPID模块都弄了,无效 黑箱啊黑箱…… 也许是timestamp,这个我不懂,TCP有timestamps,linux下可以关掉,但是IP层有没有、其他协议有没有就不知道了。我也不知道能不能把它去掉。 |
| 72 aheadlead 2015-03-15 06:50:05 +08:00 2 我觉得我们要弄一个wiki出来 把所有实验的记录 全部科学的记录下来 这样就方便研究学习 |
 | 73 taresky 2015-03-15 07:50:11 +08:00 via iPhone 找女朋友、租房子、百兆独享 |
 | 76 Panglong 2015-03-15 11:24:59 +08:00 去年cctv已经曝光过成都高校的电信宽带无法共享,最终不了了之 |
| 77 OP @Panglong 你说的是消费主张的“我的网络为什么不能共享”吗?那期节目猎豹参与了。 如果能上315晚会,估计效果会好些,但我觉得很难指望上这个…… |
| 78 acess OP @Reficul 有同学去协商了,拿到了无需客户端的账户,但还是动态密码,而且牺牲了一半下行带宽(上行倒是提升了,从严重不对等变成对等了) |
 | 80 bzq2810 2015-03-15 12:54:10 +08:00 via iPhone 用破解路由器就好了,我们宿舍就是这样的。 |
 | 81 34 2015-03-15 15:54:38 +08:00 1 @zhengkejian0 是时候买个路由器了 |
| 82 34 2015-03-15 15:55:31 +08:00 vbox 内拨号设置共享网络可以实现交换机网络 共享 |
| 83 acess OP @Reficul 他不太会玩电脑,买了一个macbook,装上了客户端。客户端表现出极烂的兼容性,基本没有可以用的时候。 然后他打电话把电信的人叫来了,不知道怎么说的(其实他已经装上双系统windows了,电信居然没叫他重启到windows),然后折腾了一下,给上级打了电话,然后……他的账户用客户端反而拨不上了,用标准的PPPoE可以拨号了。 |
| 87 acess OP @Reficul 老办法,一个设备有线连上路由,同时放在信号好的地方,用这个设备wifi连上ChinaNet,其他设备躲到路由后面。随便哪台设备在网页上登录就都可以上网。 因为用的是不限时的账号,我登上后一般还会倒腾一下(先断网,或者F12),关掉网页,但不注销登录。 看起来电信没在这搞共享检测 有线动不动RST,伤不起…… |
| 89 Reficul 2015-03-16 00:24:32 +08:00 via Android @acess RST我是用shadowsocks绕过的,国内vps我有个Azure的试用,所以问题不大。反正也就一个网页,不要求延迟。 话说你试过楼上中间人攻击的方案了咩?我编译是编译好了,不过还没试。貌似还要架设个PPPoE服务器在openwrt里面,这段时间实在没时间折腾。。。该死的考试= = |
 | 90 Septembers 2015-03-16 05:54:11 +08:00 |
| 91 Reficul 2015-03-18 10:59:27 +08:00 http://pan.baidu.com/s/1wacEy 那个ROM是你给的那个Repo编译出来的,另外两个是楼上patr0nus的Repo编译出来的。 我703没第二个插口没法测试,要测试得下礼拜回家拿155r。 LZ有空测试下? |
| 93 acess OP @Reficul 我也是703n,但我有USB网卡 我也用给你的那个repo编译出了package,还没测试 另外你也可以测试的,天翼客户端可以无线连接,用的协议和有线一样。你可以再开一个热点来当第二个网口,唯一的网口连上墙上的网口 |
| 95 acess OP @Reficul 我只是试过在openwrt上新建一个AP,桥接到br-lan,插着电信网线的网口也被桥接到br-lan。这样电脑用wifi连上新开的热点,用客户端的无线连接可以拨上。 这样说,DHCP和PPPoE明显是可以共存的。 @billlee 还是太菜……不知道具体应该如何使用?谢谢分享 日志: Wed Mar 18 11:48:33 2015 daemon.notice pppd[25492]: preparing to request CHAP proxy Wed Mar 18 11:48:33 2015 daemon.notice pppd[25492]: requesting CHAP proxy Wed Mar 18 11:48:33 2015 daemon.warn chap-proxy[25458]: NO requests Wed Mar 18 11:48:33 2015 daemon.info pppd[25492]: CHAP authentication failed: UserName_Err Wed Mar 18 11:48:33 2015 daemon.err pppd[25492]: CHAP authentication failed |
| 96 billlee 2015-03-20 13:30:59 +08:00 1 |
| 97 acess OP @billlee 谢谢 但好像在我这还是不能用。 我尝试着给自己电脑上的的openwrt源码打patch,然后编译,我只安装了编译出的这四个包: chap-proxy_0.1.1-1_ar71xx.ipk ppp_2.4.7-2_ar71xx.ipk ppp-mod-pppoe_2.4.7-2_ar71xx.ipk rp-pppoe-server_3.11-1_ar71xx.ipk 既然/etc/config/network里PPP那段有option auto '0',那么开机时openwrt不会启动这个连接。 电脑拨号后,会被路由拒绝,但是,connect_script没被执行 strace -f -p看chap-proxy根本没反应。 openwrt日志: Fri Mar 20 18:07:12 2015 daemon.info pppoe-server[3825]: Session 3 created for client aa:bb:cc:dd:ee:ff (10.开头的IP地址) on br-lan using Service-Name '' Fri Mar 20 18:07:12 2015 daemon.notice pppd[3825]: pppd 2.4.7 started by root, uid 0 Fri Mar 20 18:07:12 2015 daemon.info pppd[3825]: Using interface ppp0 Fri Mar 20 18:07:12 2015 daemon.notie pppd[3825]: Connect: ppp0 <--> /dev/pts/0 Fri Mar 20 18:07:12 2015 daemon.notice pppd[3825]: Modem hangup Fri Mar 20 18:07:12 2015 daemon.notice pppd[3825]: Connection terminated. Fri Mar 20 18:07:12 2015 daemon.info pppd[3825]: Exit. Fri Mar 20 18:07:12 2015 daemon.info pppoe-server[3346]: Session 3 closed for client aa:bb:cc:dd:ee:ff (10.开头的IP地址) on br-lan Fri Mar 20 18:07:12 2015 daemon.info pppoe-server[3346]: Sent PADT Fri Mar 20 18:07:12 2015 daemon.warn pppoe-server[3346]: PADT for session 3 received from aa:bb:cc:dd:ee:ff; should be from 00:00:00:00:00:00 |
| 99 acess OP @billlee 我自己找的原因了,是pppoe-server的问题,因为还没等CHAP连接就提前断了(Sent PADT)。 改一下/etc/default/pppoe-server就好了 OPTIOnS="-k -T 60 -N 100 -L 10.2.1.1 -R 10.2.1.2 -C MyRouter -I wlan0-2" 给wlan0-2配置静态IP和DHCP服务器,这样电脑就可以连接wlan0-2对应的热点(显示“受限”),然后客户端无线连接,就可以看见chap-proxy在工作了。 目前openwrt上用来拨号的账号还是自己填进去的,而不是中间人攻击拿到的。但目前不同账号的前缀好像还不一样,我是自己抓包确定的。 暂时没有用实际的用户名、密码测试,但看起来应该能用了。 |
Select Language