这是一个创建于 3532 天前的主题,其中的信息可能已经有所发展或是发生改变。
以前我也发帖问过相关的事情,感想V友分享自己的经验
但我觉得目前进入了一个怪圈,没办法彻底解决这个问题。
目前我们学校只能办电信的宽带,但是必须在协议上加上“承诺不使用路由”。而且上网必须安装电信的客户端(f-young.cn),这个客户端会破坏系统的NAT功能,检测常见的网络连接共享软件,并使用其特殊的协议进行拨号。
A.技术方面,折腾破解,包括破解路由,电脑上装网络分享软件,暂时能用,但电信的客户端会不时更新,破解需要不停地跟进。
使用破解路由出现过明显的人为网络故障。
客户端本身似乎也不是很稳定,周围同学反映莫名其妙地没法拨号的也很多,尤其是mac平台,客户端经常无法使用。
B.如果向工信部申诉,看网上的说法,不能用路由貌似算不上理由。《互联网接入服务规范》没提这事儿。
电信倒好像会拿一个红头文件(貌似是《教育部共青团中央关于进一步加强高等学校网络管理工作的意见》)当挡箭牌,说这是管理所需。
目前看似可用的理由就两个:
1.(可能是因客户端稳定性导致的)网络质量差,连不上,掉线时有发生,尤其是mac平台。
2.协议上好像没提到过上网终端的操作系统,但客户端不支持Linux,导致Linux无法使用宽带服务。
不知道强制不兼容算不算……
貌似投诉能取得的最好结果就是和电信和解,相互妥协,比如电信提供被广泛兼容的、无需电信客户端的PPPoE账号。但貌似电信仍然有权力禁止用户共享网络——即使电信给了不强制要求客户端的账户,也有可能分析流量,进行干扰——不知道实际上会不会碰到这个问题……
C.周围很多同学都对电信的所作所为感到不满,但是……貌似也做不了什么其他的事情了……很多同学都认为电信是和学校有利益关系的,而我们在人屋檐下,不得不低头……
求建议……
但我觉得目前进入了一个怪圈,没办法彻底解决这个问题。
目前我们学校只能办电信的宽带,但是必须在协议上加上“承诺不使用路由”。而且上网必须安装电信的客户端(f-young.cn),这个客户端会破坏系统的NAT功能,检测常见的网络连接共享软件,并使用其特殊的协议进行拨号。
A.技术方面,折腾破解,包括破解路由,电脑上装网络分享软件,暂时能用,但电信的客户端会不时更新,破解需要不停地跟进。
使用破解路由出现过明显的人为网络故障。
客户端本身似乎也不是很稳定,周围同学反映莫名其妙地没法拨号的也很多,尤其是mac平台,客户端经常无法使用。
B.如果向工信部申诉,看网上的说法,不能用路由貌似算不上理由。《互联网接入服务规范》没提这事儿。
电信倒好像会拿一个红头文件(貌似是《教育部共青团中央关于进一步加强高等学校网络管理工作的意见》)当挡箭牌,说这是管理所需。
目前看似可用的理由就两个:
1.(可能是因客户端稳定性导致的)网络质量差,连不上,掉线时有发生,尤其是mac平台。
2.协议上好像没提到过上网终端的操作系统,但客户端不支持Linux,导致Linux无法使用宽带服务。
不知道强制不兼容算不算……
貌似投诉能取得的最好结果就是和电信和解,相互妥协,比如电信提供被广泛兼容的、无需电信客户端的PPPoE账号。但貌似电信仍然有权力禁止用户共享网络——即使电信给了不强制要求客户端的账户,也有可能分析流量,进行干扰——不知道实际上会不会碰到这个问题……
C.周围很多同学都对电信的所作所为感到不满,但是……貌似也做不了什么其他的事情了……很多同学都认为电信是和学校有利益关系的,而我们在人屋檐下,不得不低头……
求建议……
第 1 条附言 · 2015-03-14 13:09:19 +08:00
LZ能想到的两个反抗方向:
1.技术
首先要绕过客户端的限制
第二,NAT共享网络后,有没有办法把网络层的特征彻底抹掉?
如果是应用层检测,我觉得无解(VPN等会造成延迟增大等问题,还需要自己解决服务器问题)
2.集体表达诉求
总觉得这条路很狗血……而且似乎风险挺大
1.技术
首先要绕过客户端的限制
第二,NAT共享网络后,有没有办法把网络层的特征彻底抹掉?
如果是应用层检测,我觉得无解(VPN等会造成延迟增大等问题,还需要自己解决服务器问题)
2.集体表达诉求
总觉得这条路很狗血……而且似乎风险挺大
第 2 条附言 · 2015-03-21 15:57:10 +08:00
南京航空航天大学有学生向工信部投诉无果后,决定在微博反映此事
一位同学写了一篇长微博,反映目前的情况
http://weibo.com/p/1001603821103083593078
#反对电信霸王条约# 成为热门话题,并获得@新浪江苏 的关注,@新浪江苏 一度将有关微博置顶。
目前,南航学生代表已经与电信派出的代表谈判过,电信方面承诺一周内给结果。
一位同学写了一篇长微博,反映目前的情况
http://weibo.com/p/1001603821103083593078
#反对电信霸王条约# 成为热门话题,并获得@新浪江苏 的关注,@新浪江苏 一度将有关微博置顶。
目前,南航学生代表已经与电信派出的代表谈判过,电信方面承诺一周内给结果。
 |
1
CupTools 2015-03-14 04:21:09 +08:00
跑虚拟机。
Internet -> Host -> Virtual Machine -> NAT in side Virtual Machine 三层NAT |
 |
2
aheadlead 2015-03-14 07:11:14 +08:00 via iPhone
我已经试过这些了
工信部 江苏通管委 商务部 中纪委 cctv焦点访谈 南京市长热线 当然废品电信的总经理热线都打过了的 |
|
3
aheadlead 2015-03-14 07:11:44 +08:00 via iPhone
电信业界毒瘤
|
|
4
aheadlead 2015-03-14 07:12:29 +08:00 via iPhone
还准备给3.15晚会打电话 不过已经晚了
|
|
5
aheadlead 2015-03-14 07:12:55 +08:00 via iPhone
我们要不要弄个wiki 专门提供举报破解服务
|
 |
6
iamsad3508 2015-03-14 07:35:56 +08:00 via Android
试试在360杀毒的沙箱里运行看怎么样?或者到随身wifi论坛里找校园客户端解决方案
|
 |
7
zts1993 2015-03-14 07:51:03 +08:00 via Android
又是南京电信校园宽带。。。
|
 |
8
chenhui7373 2015-03-14 07:59:45 +08:00
思路:用机房IP做代理。
|
 |
9
ouqihang 2015-03-14 08:21:17 +08:00 via Android  1
@CupTools 没那么简单,人家的客户端会检测虚拟网卡,VMware要依赖虚拟网卡,一开即断网。
建议楼主在客户端上下功夫,把检查共享的功能去掉。 |
 |
10
cnkuner 2015-03-14 08:38:06 +08:00 via Android
多找点同学去反映啊,虽然蛇鼠一窝。
还有,提前把这些情况告诉准备报考的学弟,做做好事。 |
 |
11
wy315700 2015-03-14 08:52:16 +08:00
貌似是中央要求,要求学生上网一人一号
|
 |
12
messyidea 2015-03-14 08:54:43 +08:00
我这边是闪讯。。拨号的时候前面会加几个特殊字符,不过好在有人破解了,以前有心跳现在不知道为什么心跳没了,所以现在可以用着路由器拨号,应该能撑到毕业
|
 |
13
VYSE 2015-03-14 09:20:00 +08:00 via Android
原来有家防火墙是带nat功能,没有虚拟网卡,楼主可以找下,当时我是nat服务死活打不开找的,不过不免费要找路子
|
 |
14
yaoye0o 2015-03-14 09:20:06 +08:00 via Android
还好我学校没强制一人一号。不过想来也快了
|
 |
15
Koell 2015-03-14 09:26:56 +08:00
这东西莫名其妙的给你来一个驱动蓝屏,我遇到过一次。
|
 |
16
dslwind 2015-03-14 09:30:12 +08:00 via Android
打电话给电信客服,说你的电脑是水果机,用不了拨号软件
|
 |
17
liberize 2015-03-14 09:44:00 +08:00
以前在学校的时候也是这样,天天打电话给电信,说我用的是 linux,没有客户端,后来他们就把加密关掉了(估计是加了白名单),然后就可以用系统拨号上网了。
后来用另外一个账号,用虚拟机跑了个 xp,在里面跑客户端,共享给外面的 linux/mac,然后在 linux/mac 开无线共享,这样全寝室都可以上网了。 |
 |
18
zwzmzd 2015-03-14 09:44:22 +08:00 via Android
lz你们那边包月多少钱?
|
 |
19
reeco 2015-03-14 09:46:50 +08:00 via iPhone
我的帐号原来一直破解的,一年之后,发现帐号能直接用路由器了
|
 |
20
Bitex 2015-03-14 09:51:42 +08:00 via iPhone
抓包,自己写一个拨号客户端。再怎么更新无非也只是PPPoE拨号罢了。
我宿舍用的是联通201宽带,差不多的情况。我写了个拨号客户端,可以参考: https://github.com/7bitex/Carousel |
 |
21
myywin 2015-03-14 09:52:42 +08:00 via Android
同南京路过。。。。。
|
 |
23
falcon05 2015-03-14 10:19:03 +08:00 via iPhone
在一台电脑加网卡有线或者无线,搭建NAT服务器或者AP,用客户端拔号后共享给其他电脑用,当年对付dr.com我就是这样的搞的。现在可以考虑用树莓派2来搭,可以上win10
|
 |
24
zhjits 2015-03-14 10:21:14 +08:00
杭州电信表示同蛋疼……
我们这里有个巨丑无比还会弹广告的闪讯客户端,还会检测虚拟机或者虚拟网卡,强制覆盖安装一个奇怪版本不可用的 WinPcap 驱动导致无法抓包。在 OS X 上面它甚至安装了一个 kext……我真的没法信任它。 |
|
25
falcon05 2015-03-14 10:22:29 +08:00 via iPhone
不过看来楼主遇到的客户端比dr.com更流氓……
|
 |
26
Glisten 2015-03-14 11:25:14 +08:00 via Android
电信业界毒瘤
|
 |
27
8748 2015-03-14 11:32:46 +08:00 via iPhone
重庆netkeeper路过,一样蛋疼
|
 |
28
songjiaxin2008 2015-03-14 11:33:58 +08:00 via iPhone
楼主,南京电信的话,推荐你搞个Openwrt,我自己刷了一个,用了一年多很安逸 。我打过无数电话给10000说我是linux用户,电信的经理打电话给我说没有客户端对不起。但我知道淘宝有卖不用客户端拨号的账号,学校老师用的那种。
|
 |
29
Henrybsbhp 2015-03-14 11:41:06 +08:00 via iPhone
@Koell 当年我们学校也只能用电信网,客户端拨号不支持 Mac 不说,我 Windows 7 64 位也是造成蓝屏,电话投诉半天,过了半个月才有客户端更新解决这问题。
|
 |
30
9hills 2015-03-14 11:59:41 +08:00
现在电子设备这么多,一人五六个。。。不过有的学校可以办理校外宽带,还好一些
|
 |
31
stillwaiting 2015-03-14 12:13:11 +08:00
当年用闪讯客户端,同样限制,拨号会时候会根据时间在账号上添加一些字符串等等。。。不过后来破解了。。。
|
 |
32
freehehe 2015-03-14 12:16:32 +08:00
天翼校园客户端?WiFi共享大师看看吧我们学校基本都用这个开无线http://wifi.ggsafe.com/
|
 |
34
acess OP @songjiaxin2008 已刷,但是会碰到人为网络故障
|
|
35
acess OP |
 |
37
jacy 2015-03-14 12:32:30 +08:00
客户端拨号后强行结束,然后网络连接里会有个拨号连接,断开重播能看到经加密后的用户名,把此用户名放路由器上即可。估计这个用户名和我们这一样,前面有回车换行符,不过我已经解决了,tp-link和opwnert都可以用。
|
|
38
acess OP |
 |
40
AlterNever 2015-03-14 13:02:17 +08:00 1
我们学校是联通垄断,上网必须用锐捷客户端。猎豹WIFI刚出的时候,把锐捷破解了。后来联通妥协了,退一步让我们能开WIFI共享软件,但是只能连接一部无线设备,连接多了会掉
|
|
41
acess OP @AlterNever 看来不止电信这样
你也许可以在找个openwrt的路由,连上电脑开的热点做WAN,或者插USB网卡,用双网卡接路由WAN口,再弄一层NAT,设备都从路由后面上网 |
 |
42
billlee 2015-03-14 13:48:16 +08:00 1
@acess 现在确实有共享检测,以前用 MITM 可以解决私有 CHAP 的问题,现在已经不够了,所以最佳方案是
1)打 10000 号说 linux 不能上网 2)工信部网站投诉 linux 不能上网 3)等电信的人来联系你解决 |
 |
43
Satelli 2015-03-14 13:50:05 +08:00
给学校网络中心提交了一个使用 Mac 无法使用客户端的申请,然后被分到了另外一个组别里 :) 都不用手动设定 IP 的,直接 DHCP,跟其他同学网段完全不一样。路由器克隆一下 MAC 地址就好了。
|
|
45
billlee 2015-03-14 14:03:30 +08:00 1
@acess 我上星期试了,目前还行。
关于抹去特征的问题,我觉得用 iptables REDIRECT ,然后用应用空间转发(类似 ss-redir 的工作方式)应该可以对 TCP 连接抹去传输层和网络层的特征,现在还在试验中。 |
|
46
acess OP @billlee iptables REDIRECT,握手……
我试过dante,但是貌似容易爆内存,我不太会调这个东西 ss效果貌似不错,但我的路由CPU太渣,CPU占用明显升高,而且我还没把ss-server放在路由上…… 我还没用PPPoE有线宽带测试ss,我是用一个android手机连上ChinaNet热点,然后在手机上启动ss-server测试的。加密选的RC4(反正流量出去就明文了)。 |
 |
49
hjc4869 2015-03-14 14:23:01 +08:00
买个4G卡。
|
 |
50
zhuziyi 2015-03-14 15:12:11 +08:00
幻境拨号器。
|
|
51
AlterNever 2015-03-14 16:53:36 +08:00
@acess 额,我已经毕业了。在外实习之前是用猎豹,等我们回学校答辩,就被在校的同学告知能随便用共享软件了
|
 |
52
Sunnyyoung 2015-03-14 16:53:54 +08:00
小蝴蝶客户端路过= =
|
 |
54
luoqeng 2015-03-14 18:05:29 +08:00
|
|
56
acess OP |
 |
57
1ychee 2015-03-14 20:29:26 +08:00
推荐使用 Connectify 进行热点共享,可能会有奇迹。当年我们网店这个软件 90% 的销量都是来自于学生,你就知道中国校园对学生的压榨有多狠了。。。
http://item.taobao.com/item.htm?&id=21311759912 |
 |
58
PPTing 2015-03-14 20:32:53 +08:00
同楼主一样。。。跟工信部投诉了也没用
|
|
59
acess OP @zhengkejian0 你投诉的理由?不能用路由?
|
 |
60
wlh 2015-03-14 21:03:26 +08:00
没见过教育网的锐捷有多恶心吧?
|
 |
62
patr0nus 2015-03-14 21:06:40 +08:00 2
@acess 我是在 pppd 中加的几个 hook,
https://github.com/patr0nus/ppp/commit/295271873dbab52d034641be5cc6389718049e5f。 然后把攻击写成一个 plugin https://github.com/patr0nus/chap-forwarder |
 |
63
SuujonH 2015-03-14 21:14:41 +08:00
我们以前是依靠破解客户端,因为我们发现不更新也可以使用~
你可以考虑网线插电脑上,然后打开wifi共享,把LAN口网卡的网络共享给wifi。 不过笔记本得一直开着,有点伤。 买个派? |
|
64
billlee 2015-03-14 22:15:57 +08:00 1
@patr0nus 这个 reset 好像是触发后就会持续大概 2 小时。从来不用路由器的账号,是没有出现过 reset 问题的。
|
 |
65
funCoder 2015-03-14 23:42:33 +08:00 1
深表同情。
不过我校也是要专用的客户端才能上网,而且只有Windows客户端才能拨宽带,Linux客户端只能用校园网,OS X用户只能用网页版客户端上校园网。 不过我们学校的校园网比较奇葩,校园网/电信宽带/移动宽带/联通宽带用的都是同一条网线。 我发现Windows客户端宽带拨号用的也是PPPOE,但是在PPPOE拨号之前会先给校园网认证服务器发送一个数据包,数据包内容有本机MAC、宽带用户名、要拨号的运营商、数据校验码。 8863包经过各级交换机转发到达一个网关,网关检查是否存在MAC和宽带运营商对应的记录,如果有,则转发到该运营商的局端。 然后、然后,我自己实现了一个和Windows版客户端功能一样的OpenWRT版客户端,在调用pppd拨号前先发一个包来选择运营商。弄些二手无线路由器刷进去在学校卖。 结果,客户全是老师来着。。。。。。 现在找了个学校的服务器,准备把选择运营商这部分接入微信公众平台 有兴趣的话欢迎勾搭聊聊天 [email protected] |
 |
66
Reficul 2015-03-15 00:50:55 +08:00 via Android
|
|
67
Reficul 2015-03-15 00:53:46 +08:00 via Android
|
|
69
acess OP @Reficul 我加过TTL,无效
连IPID模块都弄了,无效 黑箱啊黑箱…… 也许是timestamp,这个我不懂,TCP有timestamps,linux下可以关掉,但是IP层有没有、其他协议有没有就不知道了。我也不知道能不能把它去掉。 |
|
72
aheadlead 2015-03-15 06:50:05 +08:00 2
我觉得我们要弄一个wiki出来 把所有实验的记录 全部科学的记录下来 这样就方便研究学习
|
 |
73
taresky 2015-03-15 07:50:11 +08:00 via iPhone
找女朋友、租房子、百兆独享
|
 |
76
Panglong 2015-03-15 11:24:59 +08:00
去年cctv已经曝光过成都高校的电信宽带无法共享,最终不了了之
|
|
77
acess OP @Panglong 你说的是消费主张的“我的网络为什么不能共享”吗?那期节目猎豹参与了。
如果能上315晚会,估计效果会好些,但我觉得很难指望上这个…… |
|
78
acess OP @Reficul 有同学去协商了,拿到了无需客户端的账户,但还是动态密码,而且牺牲了一半下行带宽(上行倒是提升了,从严重不对等变成对等了)
|
 |
80
bzq2810 2015-03-15 12:54:10 +08:00 via iPhone
用破解路由器就好了,我们宿舍就是这样的。
|
 |
81
Taosky 2015-03-15 15:54:38 +08:00 1
@zhengkejian0 是时候买个路由器了
|
|
82
Taosky 2015-03-15 15:55:31 +08:00
vbox 内拨号设置共享网络可以实现交换机网络 共享
|
|
83
acess OP @Reficul 他不太会玩电脑,买了一个macbook,装上了客户端。客户端表现出极烂的兼容性,基本没有可以用的时候。
然后他打电话把电信的人叫来了,不知道怎么说的(其实他已经装上双系统windows了,电信居然没叫他重启到windows),然后折腾了一下,给上级打了电话,然后……他的账户用客户端反而拨不上了,用标准的PPPoE可以拨号了。 |
|
87
acess OP @Reficul 老办法,一个设备有线连上路由,同时放在信号好的地方,用这个设备wifi连上ChinaNet,其他设备躲到路由后面。随便哪台设备在网页上登录就都可以上网。
因为用的是不限时的账号,我登上后一般还会倒腾一下(先断网,或者F12),关掉网页,但不注销登录。 看起来电信没在这搞共享检测 有线动不动RST,伤不起…… |
|
89
Reficul 2015-03-16 00:24:32 +08:00 via Android
@acess
RST我是用shadowsocks绕过的,国内vps我有个Azure的试用,所以问题不大。反正也就一个网页,不要求延迟。 话说你试过楼上中间人攻击的方案了咩?我编译是编译好了,不过还没试。貌似还要架设个PPPoE服务器在openwrt里面,这段时间实在没时间折腾。。。该死的考试= = |
 |
90
Septembers 2015-03-16 05:54:11 +08:00
|
|
91
Reficul 2015-03-18 10:59:27 +08:00
http://pan.baidu.com/s/1wacEy
那个ROM是你给的那个Repo编译出来的,另外两个是楼上patr0nus的Repo编译出来的。 我703没第二个插口没法测试,要测试得下礼拜回家拿155r。 LZ有空测试下? |
|
93
acess OP @Reficul 我也是703n,但我有USB网卡
我也用给你的那个repo编译出了package,还没测试 另外你也可以测试的,天翼客户端可以无线连接,用的协议和有线一样。你可以再开一个热点来当第二个网口,唯一的网口连上墙上的网口 |
|
95
acess OP @Reficul 我只是试过在openwrt上新建一个AP,桥接到br-lan,插着电信网线的网口也被桥接到br-lan。这样电脑用wifi连上新开的热点,用客户端的无线连接可以拨上。
这样说,DHCP和PPPoE明显是可以共存的。 @billlee 还是太菜……不知道具体应该如何使用?谢谢分享 日志: Wed Mar 18 11:48:33 2015 daemon.notice pppd[25492]: preparing to request CHAP proxy Wed Mar 18 11:48:33 2015 daemon.notice pppd[25492]: requesting CHAP proxy Wed Mar 18 11:48:33 2015 daemon.warn chap-proxy[25458]: NO requests Wed Mar 18 11:48:33 2015 daemon.info pppd[25492]: CHAP authentication failed: UserName_Err Wed Mar 18 11:48:33 2015 daemon.err pppd[25492]: CHAP authentication failed |
|
96
billlee 2015-03-20 13:30:59 +08:00 1
|
|
97
acess OP @billlee 谢谢
但好像在我这还是不能用。 我尝试着给自己电脑上的的openwrt源码打patch,然后编译,我只安装了编译出的这四个包: chap-proxy_0.1.1-1_ar71xx.ipk ppp_2.4.7-2_ar71xx.ipk ppp-mod-pppoe_2.4.7-2_ar71xx.ipk rp-pppoe-server_3.11-1_ar71xx.ipk 既然/etc/config/network里PPP那段有option auto '0',那么开机时openwrt不会启动这个连接。 电脑拨号后,会被路由拒绝,但是,connect_script没被执行 strace -f -p看chap-proxy根本没反应。 openwrt日志: Fri Mar 20 18:07:12 2015 daemon.info pppoe-server[3825]: Session 3 created for client aa:bb:cc:dd:ee:ff (10.开头的IP地址) on br-lan using Service-Name '' Fri Mar 20 18:07:12 2015 daemon.notice pppd[3825]: pppd 2.4.7 started by root, uid 0 Fri Mar 20 18:07:12 2015 daemon.info pppd[3825]: Using interface ppp0 Fri Mar 20 18:07:12 2015 daemon.notice pppd[3825]: Connect: ppp0 <--> /dev/pts/0 Fri Mar 20 18:07:12 2015 daemon.notice pppd[3825]: Modem hangup Fri Mar 20 18:07:12 2015 daemon.notice pppd[3825]: Connection terminated. Fri Mar 20 18:07:12 2015 daemon.info pppd[3825]: Exit. Fri Mar 20 18:07:12 2015 daemon.info pppoe-server[3346]: Session 3 closed for client aa:bb:cc:dd:ee:ff (10.开头的IP地址) on br-lan Fri Mar 20 18:07:12 2015 daemon.info pppoe-server[3346]: Sent PADT Fri Mar 20 18:07:12 2015 daemon.warn pppoe-server[3346]: PADT for session 3 received from aa:bb:cc:dd:ee:ff; should be from 00:00:00:00:00:00 |
|
99
acess OP @billlee
我自己找的原因了,是pppoe-server的问题,因为还没等CHAP连接就提前断了(Sent PADT)。 改一下/etc/default/pppoe-server就好了 OPTIONS="-k -T 60 -N 100 -L 10.2.1.1 -R 10.2.1.2 -C MyRouter -I wlan0-2" 给wlan0-2配置静态IP和DHCP服务器,这样电脑就可以连接wlan0-2对应的热点(显示“受限”),然后客户端无线连接,就可以看见chap-proxy在工作了。 目前openwrt上用来拨号的账号还是自己填进去的,而不是中间人攻击拿到的。但目前不同账号的前缀好像还不一样,我是自己抓包确定的。 暂时没有用实际的用户名、密码测试,但看起来应该能用了。 |
Select Language