求推荐可设置TTL值的路由

一如既往地先提出背景，先确定问题确实是问题，方案是有效方案

背景：
公司网络原来虽然绑定MAC地址，但使用无线网卡ICS共享上网/360随身wifi等AP原理的方法可共享上网；

问题：
现AP类已无法上网，一接上连电脑本机都无法上，提示检测到共享多个设备

分析：
1、原绑MAC，AP可破，现在不可，判断为IP+MAC双重绑定，支持克隆MAC的普通路由可解决
2、因为网管询问过本角落一个小交换机的情况，可能在此基础再增加了TTL值限制，但此种限制方式应为直接弃包，不知网管提示禁止的情况是否属于这种，此处存疑，为作万全准备，仍判断为TTL+1可解决
3、打印机在上级，具体不知道拓扑图，但原来网段是不同的，却能直接打印，应为上级路由/交换机已作相应处理，判断私加下级路由不会造成影响

方案研究中，也请各位推荐，要求：
1、一个可支持MAC克隆、TTL值设置的无线路由，刷机也可
2、经历过苹果设备兼容问题，BCM芯片优先
3、价钱便宜，失败成本低，成功则可小范围复制该方案，考虑本坛的人员情况，不作太低的要求。。。可以推荐型号，我自己淘二手，但洋垃圾最好

我这上周一网管也直接封杀了门户，购物，股票类的网站，只有百毒和其他小网站可以上！好在后来领导自己说让我OA 申请开通了，这样的领导真好！！

vicdoo 发表于 2017-1-8 12:10
我这上周一网管也直接封杀了门户，购物，股票类的网站，只有百毒和其他小网站可以上！好在后来领导自己说让 ...

我这有类似的行为管理，挂个翻墙可以破，关键是现在限制wifi，公司又不提供，对工作/偷懒都造成不便

StormBolt 发表于 2017-1-8 12:17
我这有类似的行为管理，挂个翻墙可以破，关键是现在限制wifi，公司又不提供，对工作/偷懒都造成不便 ...

挂VPN 确实可以破，但是速度受影响！

StormBolt 发表于 2017-1-8 12:17
我这有类似的行为管理，挂个翻墙可以破，关键是现在限制wifi，公司又不提供，对工作/偷懒都造成不便 ...

如果在台式机上再加一个网卡，通过桥接不知道可不可行

vicdoo 发表于 2017-1-8 12:26
如果在台式机上再加一个网卡，通过桥接不知道可不可行

不行，我这是笔记本，有线+无线就是两个网卡，虽然可以两者桥接，但要给手机做热点，必须通过无线网卡的一个虚拟连接，这个连接和有线网点右键没有出现“桥接”项，不可桥接

网管一般不会以设置ttl值来限制设备上网的。你试试将无线网卡共享后通过有线代理上午，如可以就不是ttl限制。你只需要随便找个路由做个nat就行了。但是鉴于你是公司使用建议你直接找领导汇报要求打开无线管控这些比较好。网管也没有理由再封你的。要不然以后使大杀器了就真的永远都被限制了。

XXHJACK 发表于 2017-1-8 13:07
网管一般不会以设置ttl值来限制设备上网的。你试试将无线网卡共享后通过有线代理上午，如可以就不是ttl限制 ...

谢谢建议，无线共享+代理这个代理是啥，不正是和原来的在有线连接中勾选将Internet共享给无线一样做法？

另外万一失败会封禁10小时，要找网管解封就不好了，再者找了一下能改TTL的似乎真不好找，决定先30块钱淘个洋垃圾网件3400，V1/V2/V3哪个好？


公司通过行政路径解决的希望看来不大

StormBolt 发表于 2017-1-8 13:21
谢谢建议，无线共享+代理这个代理是啥，不正是和原来的在有线连接中勾选将Internet共享给无线一样做法？
...

1.是的，就是用wifi做热点通过有线共享出去。这只是通过简单的设置检查线路的拓扑结构而已，除非解包，分析包否者是不会造成限制上网的，如果是解包分析包啥玩意都没用。
2.3400v1是分体设计发热较大。v2和v3基本一模一样。这三个型号第三方固件你就别想了，老老实实原厂。
3.行政途径看似希望最小，但是确是最能成功和最稳当的做法。

XXHJACK 发表于 2017-1-8 13:28
1.是的，就是用wifi做热点通过有线共享出去。这只是通过简单的设置检查线路的拓扑结构而已，除非解包，分 ...

1、这个共享internet的方法是已经不行了，是否说明解决无望
2、原厂也可，本来就对网件满意
3、大公司可能是吧，跟大公司过来的领导学过一阵子，这种逻辑可以理解，我们这小公司，我倒是愿意在技术手段失败后一试

StormBolt 发表于 2017-1-8 13:33
1、这个共享internet的方法是已经不行了，是否说明解决无望
2、原厂也可，本来就对网件满意

是的！在总出口端已增加分析包的设备或打开了分析包的功能。

XXHJACK 发表于 2017-1-8 13:35
是的！在总出口端已增加分析包的设备或打开了分析包的功能。

谢谢！我再找一天下班重新确认下是否真的如此，晚上够他封10小时的

另有一点不明白就是这种Internet共享的拓扑下，虚拟网卡提供给手机的那个192.168.137.x的地址，在公司内网是能ping到手机的，是否意味着这个ip暴露了我的手机，而这样加个路由做NAT，把无线设备挡在下级不正能解决吗？

再有就是虚拟机是什么情况，用VMware虚拟一个XP，里面网卡MAC和物理网卡是不同的，采用桥接模式，采用克隆MAC及IP跟宿主同样设置的做法，可以上网，是否可认为Vmware的桥接协议层相当于一个内部的软路由了，这个情况能说明什么吗

XXHJACK 发表于 2017-1-8 13:28
1.是的，就是用wifi做热点通过有线共享出去。这只是通过简单的设置检查线路的拓扑结构而已，除非解包，分 ...

3400的第三方多得很。不过LZ的问题多半是因为IT部门用了上网行为管理路由，简单地自己加个路由改个TTL啥的肯定是没啥用的

Akula 发表于 2017-1-8 14:32
3400的第三方多得很。不过LZ的问题多半是因为IT部门用了上网行为管理路由，简单地自己加个路由改个TTL啥的 ...

多是多，没有一个能稳定。。。。。。。。。。可能v1会好点。

StormBolt 发表于 2017-1-8 13:59
谢谢！我再找一天下班重新确认下是否真的如此，晚上够他封10小时的

另有一点不明白就是这种Internet共享 ...

按道理来说这个属于桥接模式的和vm里的桥接一样但是为什么一个行一个不行就不清楚了，你确认下你vm是桥接还是nat？如果说你的192.168.137.x这个地址在整个公司网段里没有的话可能是主端丢弃了vlan。你看下你vm里分配的ip地址。

XXHJACK 发表于 2017-1-8 16:01
按道理来说这个属于桥接模式的和vm里的桥接一样但是为什么一个行一个不行就不清楚了，你确认下你vm是桥接 ...

ICS(interet connection sharing)共享按我理解应为部分桥接，即只桥接Internet，有别于两个网卡框起来点“桥接”的那种桥接

VM确实是桥接，这里详细说明下，VM里面我没用无线去试，实际和宿主用的是同一块有线网卡，MAC/IP全部设成相同，这时里外都能上网，那么如何区分收到的数据给宿主还是给VM，此处我认为这个名为“VMware Bridge Protocol”的协议实际上做了一个NAT的工作，只是它的工作效果是“桥接”

StormBolt 发表于 2017-1-8 16:26
ICS(interet connection sharing)共享按我理解应为部分桥接，即只桥接Internet，有别于两个网卡框起来点 ...

你vm里的mac/ip用桥接模式设置得和物理机一样啊！那只是做了个应用数据发送而已。

XXHJACK 发表于 2017-1-8 16:37
你vm里的mac/ip用桥接模式设置得和物理机一样啊！那只是做了个应用数据发送而已。

...

明白了，我先用NAT模式来测试一下

XXHJACK 发表于 2017-1-8 16:37
你vm里的mac/ip用桥接模式设置得和物理机一样啊！那只是做了个应用数据发送而已。

...

经试验vm的NAT模式可以上网，但是由于不能穿透到上级网络，无法访问和宿主同一级的其他电脑/共享打印机，这个上路由实战时，将电脑设置dmz能否解决？还是需要手动设置路由表？

公司也有类似行为管理，手机已经放弃了买流量。真心没精力和他们搞下去