PCEVA,PC绝对领域,探寻真正的电脑知识

标题: 求推荐可设置TTL值的路由 [打印本页]

---

作者: StormBolt    时间: 2017-1-8 10:02
标题: 求推荐可设置TTL值的路由


一如既往地先提出背景，先确定问题确实是问题，方案是有效方案

背景：
公司网络原来虽然绑定MAC地址，但使用无线网卡ICS共享上网/360随身wifi等AP原理的方法可共享上网；

问题：
现AP类已无法上网，一接上连电脑本机都无法上，提示检测到共享多个设备

分析：
1、原绑MAC，AP可破，现在不可，判断为IP+MAC双重绑定，支持克隆MAC的普通路由可解决
2、因为网管询问过本角落一个小交换机的情况，可能在此基础再增加了TTL值限制，但此种限制方式应为直接弃包，不知网管提示禁止的情况是否属于这种，此处存疑，为作万全准备，仍判断为TTL+1可解决
3、打印机在上级，具体不知道拓扑图，但原来网段是不同的，却能直接打印，应为上级路由/交换机已作相应处理，判断私加下级路由不会造成影响

方案研究中，也请各位推荐，要求：
1、一个可支持MAC克隆、TTL值设置的无线路由，刷机也可
2、经历过苹果设备兼容问题，BCM芯片优先
3、价钱便宜，失败成本低，成功则可小范围复制该方案，考虑本坛的人员情况，不作太低的要求。。。可以推荐型号，我自己淘二手，但洋垃圾最好

---

作者: vicdoo    时间: 2017-1-8 12:10
我这上周一网管也直接封杀了门户，购物，股票类的网站，只有百毒和其他小网站可以上！好在后来领导自己说让我OA 申请开通了，这样的领导真好！！

---

作者: StormBolt    时间: 2017-1-8 12:17

vicdoo 发表于 2017-1-8 12:10
我这上周一网管也直接封杀了门户，购物，股票类的网站，只有百毒和其他小网站可以上！好在后来领导自己说让 ...

我这有类似的行为管理，挂个翻墙可以破，关键是现在限制wifi，公司又不提供，对工作/偷懒都造成不便

---

作者: vicdoo    时间: 2017-1-8 12:24

StormBolt 发表于 2017-1-8 12:17
我这有类似的行为管理，挂个翻墙可以破，关键是现在限制wifi，公司又不提供，对工作/偷懒都造成不便 ...

挂VPN 确实可以破，但是速度受影响！

---

作者: vicdoo    时间: 2017-1-8 12:26

StormBolt 发表于 2017-1-8 12:17
我这有类似的行为管理，挂个翻墙可以破，关键是现在限制wifi，公司又不提供，对工作/偷懒都造成不便 ...

如果在台式机上再加一个网卡，通过桥接不知道可不可行

---

作者: StormBolt    时间: 2017-1-8 12:31

vicdoo 发表于 2017-1-8 12:26
如果在台式机上再加一个网卡，通过桥接不知道可不可行

不行，我这是笔记本，有线+无线就是两个网卡，虽然可以两者桥接，但要给手机做热点，必须通过无线网卡的一个虚拟连接，这个连接和有线网点右键没有出现“桥接”项，不可桥接

---

作者: XXHJACK    时间: 2017-1-8 13:07
网管一般不会以设置ttl值来限制设备上网的。你试试将无线网卡共享后通过有线代理上午，如可以就不是ttl限制。你只需要随便找个路由做个nat就行了。但是鉴于你是公司使用建议你直接找领导汇报要求打开无线管控这些比较好。网管也没有理由再封你的。要不然以后使大杀器了就真的永远都被限制了。

---

作者: StormBolt    时间: 2017-1-8 13:21

XXHJACK 发表于 2017-1-8 13:07
网管一般不会以设置ttl值来限制设备上网的。你试试将无线网卡共享后通过有线代理上午，如可以就不是ttl限制 ...

谢谢建议，无线共享+代理这个代理是啥，不正是和原来的在有线连接中勾选将Internet共享给无线一样做法？

另外万一失败会封禁10小时，要找网管解封就不好了，再者找了一下能改TTL的似乎真不好找，决定先30块钱淘个洋垃圾网件3400，V1/V2/V3哪个好？


公司通过行政路径解决的希望看来不大

---

作者: XXHJACK    时间: 2017-1-8 13:28

StormBolt 发表于 2017-1-8 13:21
谢谢建议，无线共享+代理这个代理是啥，不正是和原来的在有线连接中勾选将Internet共享给无线一样做法？
...

1.是的，就是用wifi做热点通过有线共享出去。这只是通过简单的设置检查线路的拓扑结构而已，除非解包，分析包否者是不会造成限制上网的，如果是解包分析包啥玩意都没用。
2.3400v1是分体设计发热较大。v2和v3基本一模一样。这三个型号第三方固件你就别想了，老老实实原厂。
3.行政途径看似希望最小，但是确是最能成功和最稳当的做法。

---

作者: StormBolt    时间: 2017-1-8 13:33

XXHJACK 发表于 2017-1-8 13:28
1.是的，就是用wifi做热点通过有线共享出去。这只是通过简单的设置检查线路的拓扑结构而已，除非解包，分 ...

1、这个共享internet的方法是已经不行了，是否说明解决无望
2、原厂也可，本来就对网件满意
3、大公司可能是吧，跟大公司过来的领导学过一阵子，这种逻辑可以理解，我们这小公司，我倒是愿意在技术手段失败后一试

---

作者: XXHJACK    时间: 2017-1-8 13:35

StormBolt 发表于 2017-1-8 13:33
1、这个共享internet的方法是已经不行了，是否说明解决无望
2、原厂也可，本来就对网件满意

是的！在总出口端已增加分析包的设备或打开了分析包的功能。

---

作者: StormBolt    时间: 2017-1-8 13:59

XXHJACK 发表于 2017-1-8 13:35
是的！在总出口端已增加分析包的设备或打开了分析包的功能。

谢谢！我再找一天下班重新确认下是否真的如此，晚上够他封10小时的

另有一点不明白就是这种Internet共享的拓扑下，虚拟网卡提供给手机的那个192.168.137.x的地址，在公司内网是能ping到手机的，是否意味着这个ip暴露了我的手机，而这样加个路由做NAT，把无线设备挡在下级不正能解决吗？

再有就是虚拟机是什么情况，用VMware虚拟一个XP，里面网卡MAC和物理网卡是不同的，采用桥接模式，采用克隆MAC及IP跟宿主同样设置的做法，可以上网，是否可认为Vmware的桥接协议层相当于一个内部的软路由了，这个情况能说明什么吗

---

作者: Akula    时间: 2017-1-8 14:32

XXHJACK 发表于 2017-1-8 13:28
1.是的，就是用wifi做热点通过有线共享出去。这只是通过简单的设置检查线路的拓扑结构而已，除非解包，分 ...

3400的第三方多得很。不过LZ的问题多半是因为IT部门用了上网行为管理路由，简单地自己加个路由改个TTL啥的肯定是没啥用的

---

作者: XXHJACK    时间: 2017-1-8 15:59

Akula 发表于 2017-1-8 14:32
3400的第三方多得很。不过LZ的问题多半是因为IT部门用了上网行为管理路由，简单地自己加个路由改个TTL啥的 ...

多是多，没有一个能稳定。。。。。。。。。。可能v1会好点。

---

作者: XXHJACK    时间: 2017-1-8 16:01

StormBolt 发表于 2017-1-8 13:59
谢谢！我再找一天下班重新确认下是否真的如此，晚上够他封10小时的

另有一点不明白就是这种Internet共享 ...

按道理来说这个属于桥接模式的和vm里的桥接一样但是为什么一个行一个不行就不清楚了，你确认下你vm是桥接还是nat？如果说你的192.168.137.x这个地址在整个公司网段里没有的话可能是主端丢弃了vlan。你看下你vm里分配的ip地址。

---

作者: StormBolt    时间: 2017-1-8 16:26

XXHJACK 发表于 2017-1-8 16:01
按道理来说这个属于桥接模式的和vm里的桥接一样但是为什么一个行一个不行就不清楚了，你确认下你vm是桥接 ...

ICS(interet connection sharing)共享按我理解应为部分桥接，即只桥接Internet，有别于两个网卡框起来点“桥接”的那种桥接

VM确实是桥接，这里详细说明下，VM里面我没用无线去试，实际和宿主用的是同一块有线网卡，MAC/IP全部设成相同，这时里外都能上网，那么如何区分收到的数据给宿主还是给VM，此处我认为这个名为“VMware Bridge Protocol”的协议实际上做了一个NAT的工作，只是它的工作效果是“桥接”

---

作者: XXHJACK    时间: 2017-1-8 16:37

StormBolt 发表于 2017-1-8 16:26
ICS(interet connection sharing)共享按我理解应为部分桥接，即只桥接Internet，有别于两个网卡框起来点 ...

你vm里的mac/ip用桥接模式设置得和物理机一样啊！那只是做了个应用数据发送而已。

---

作者: StormBolt    时间: 2017-1-8 16:45

XXHJACK 发表于 2017-1-8 16:37
你vm里的mac/ip用桥接模式设置得和物理机一样啊！那只是做了个应用数据发送而已。

...

明白了，我先用NAT模式来测试一下

---

作者: StormBolt    时间: 2017-1-11 09:48

XXHJACK 发表于 2017-1-8 16:37
你vm里的mac/ip用桥接模式设置得和物理机一样啊！那只是做了个应用数据发送而已。

...

经试验vm的NAT模式可以上网，但是由于不能穿透到上级网络，无法访问和宿主同一级的其他电脑/共享打印机，这个上路由实战时，将电脑设置dmz能否解决？还是需要手动设置路由表？

---

作者: Poyet1967    时间: 2017-1-11 11:49
公司也有类似行为管理，手机已经放弃了买流量。真心没精力和他们搞下去

---

作者: XXHJACK    时间: 2017-1-11 13:25

StormBolt 发表于 2017-1-11 09:48
经试验vm的NAT模式可以上网，但是由于不能穿透到上级网络，无法访问和宿主同一级的其他电脑/共享打印机， ...

将路由设置为你电脑的mac和ip就行了。你们网管使用的是丢弃vlan的做法限制上网的。

---

作者: StormBolt    时间: 2017-1-11 16:22

XXHJACK 发表于 2017-1-11 13:25
将路由设置为你电脑的mac和ip就行了。你们网管使用的是丢弃vlan的做法限制上网的。
...

就是说访问上级的打印机也没有问题？

---

作者: XXHJACK    时间: 2017-1-11 16:24

StormBolt 发表于 2017-1-11 16:22
就是说访问上级的打印机也没有问题？

下访上肯定不会有问题的。但是如果主端丢弃了vlan的话你试试手动固定ip或者端口！

---

作者: StormBolt    时间: 2017-1-14 14:02

XXHJACK 发表于 2017-1-11 16:24
下访上肯定不会有问题的。但是如果主端丢弃了vlan的话你试试手动固定ip或者端口！
...

弄好了，但是qq微信仍然被禁，有解不……


更新：安卓机没有被禁这两个应用，水果只禁这两个，其他一切正常，水果的apns也正常

DNS换过，用电脑共享再挂翻墙帮手机代理，这时可上fb 油管等，但QQ微信依然不行

---

作者: XXHJACK    时间: 2017-1-14 20:30

StormBolt 发表于 2017-1-14 14:02
弄好了，但是qq微信仍然被禁，有解不……

确定是出口部分用了应用识别的设备了，而且这个设备的应用识别能力还很烂。。。。有可能是使用应用端口识别的方法，这个基本无解，只能做vpn出去

---

作者: StormBolt    时间: 2017-1-14 20:46

XXHJACK 发表于 2017-1-14 20:30
确定是出口部分用了应用识别的设备了，而且这个设备的应用识别能力还很烂。。。。有可能是使用应用端口识 ...

应该不是端口，因为安卓手机可以上啊，苹果/安卓上QQ、微信的端口总不能不一样吧？

然后用电脑挂翻墙了，对于手机来说不就是VPN而且还是全局的，这样都上不了，还有其他方式的代理可行？有无具体方法或思路？我实在没招了

---

作者: XXHJACK    时间: 2017-1-14 21:18

StormBolt 发表于 2017-1-14 20:46
应该不是端口，因为安卓手机可以上啊，苹果/安卓上QQ、微信的端口总不能不一样吧？

然后用电脑挂翻墙了 ...

肯定是啊！端口应用中限定那种能过这个端口其它就不能用了。这个无解的必须你手机vpn。他分析了你的数据包。

---

作者: StormBolt    时间: 2017-1-16 11:29

XXHJACK 发表于 2017-1-14 21:18
肯定是啊！端口应用中限定那种能过这个端口其它就不能用了。这个无解的必须你手机vpn。他分析了你的数据 ...

仔细观察了下，水果qq死绝，微信可发文字信息，不可发图，可朋友圈，来信息不会提示，但退到桌面可由水果推送服务器推送

挂socks5全局代理无效

还有救不

---

作者: 909648183    时间: 2017-1-16 14:03

StormBolt 发表于 2017-1-16 11:29
仔细观察了下，水果qq死绝，微信可发文字信息，不可发图，可朋友圈，来信息不会提示，但退到桌面可由水果 ...

shadowsocks 加SSR混淆应该可以搞定，即ShadowsocksR，但你买的或者自己搭的SS服务器需要支持SSR混淆

SSR混淆的一个很大作用就是突破这种公司内部应用识别流量封锁

---

作者: XXHJACK    时间: 2017-1-16 14:15

StormBolt 发表于 2017-1-16 11:29
仔细观察了下，水果qq死绝，微信可发文字信息，不可发图，可朋友圈，来信息不会提示，但退到桌面可由水果 ...

基本无救了！

---

作者: StormBolt    时间: 2017-1-16 17:24

909648183 发表于 2017-1-16 14:03
shadowsocks 加SSR混淆应该可以搞定，即ShadowsocksR，但你买的或者自己搭的SS服务器需要支持SSR混淆

SSR ...

试了，混淆打开就断流，应该是服务器不支持

总觉得自己搭时间和费用不如买成品划算，有支持ssr的服务区推荐吗

---

作者: 909648183    时间: 2017-1-16 17:50

StormBolt 发表于 2017-1-16 17:24
试了，混淆打开就断流，应该是服务器不支持

总觉得自己搭时间和费用不如买成品划算，有支持ssr的服务区 ...

我用的这个

http://kingss.win/

有免费试用套餐

---

作者: 909648183    时间: 2017-1-16 18:52

StormBolt 发表于 2017-1-16 17:24
试了，混淆打开就断流，应该是服务器不支持

总觉得自己搭时间和费用不如买成品划算，有支持ssr的服务区 ...

另外注意选择SSR参数设置

SSR有很多可选设置，但服务器不一定都支持

---

作者: StormBolt    时间: 2017-1-16 20:10

909648183 发表于 2017-1-16 18:52
另外注意选择SSR参数设置

SSR有很多可选设置，但服务器不一定都支持

这两天才开始接触shadowsocks，以前都是用xx-net，这个只能http代理，实在了解不深

目前我用PC给水果做代理，做法是：
1、APMSerV在PC端建立一个本地http站点，上面放一个PAC文件，内容写入通过局域网调用PC做Socks代理的代码，然后水果机的wifi http代理设成自动，指向这个PAC，这一步不做的话，水果机就只能http代理
2、ShadowSocks/R在PC端建立代理，开放局域网访问，这样就能响应水果机过来的sock5代理需求，但目前跟同事借的ss服务却不能ssr混淆


请问你知不知道，水果机上的客户端，是否支持ssr混淆，可以的话，我用电脑调试成功后去买你推荐这个了，不然PC端浪费流量也减慢速度

话说你推荐这个太便宜了

---

作者: 909648183    时间: 2017-1-16 20:45

StormBolt 发表于 2017-1-16 20:10
这两天才开始接触shadowsocks，以前都是用xx-net，这个只能http代理，实在了解不深

目前我用PC给水果做代 ...

Wingy 1.1.4版本已上线，已支持SSR（protocol: verify_sha1；obfs http_simple、tls1.2_ticket_auth）

兼容性： 需要 iOS 10.0 或更高版本。与 iPhone、iPad 和 iPod touch 兼容。

https://itunes.apple.com/cn/app/wingy-proxy-for-http-s-socks5/id1178584911?mt=8


注意这个软件是免费的，别下载到收费版的同名软件了

---

作者: 909648183    时间: 2017-1-16 20:54

StormBolt 发表于 2017-1-16 20:10
这两天才开始接触shadowsocks，以前都是用xx-net，这个只能http代理，实在了解不深

目前我用PC给水果做代 ...

注意SSR参数设置，我推荐的这个只支持较简单的混淆
不过我不确定Wingy客户端是否支持auth_sha1_v2

支持SSR 混淆（2016.10.17更新）时间: 2016-10-17 16:36:43 作者: 管理员

---

• "protocol（协议）": "auth_sha1_v2",
  "obfs（混淆）": "http_simple",
  使用ssr客户端的用户可以使用这两个参数
  部分地区有加速效果，具体自行测试
  也可以不用，就是默认的origin plain
  
  
  

---

作者: StormBolt    时间: 2017-1-16 21:03

909648183 发表于 2017-1-16 20:54
注意SSR参数设置，我推荐的这个只支持较简单的混淆

支持SSR 混淆（2016.10.17更新）时间: 2016-10-17 16: ...

谢谢，plain的话应该就没有突破封锁的效果了

水果那个软件竟然要ios10!!

你推荐那个网站上面有shadowroket及surge，搜索引擎显示shadowrocket支持ssr，可以试试

---

作者: 909648183    时间: 2017-1-16 21:11

StormBolt 发表于 2017-1-16 21:03
谢谢，plain的话应该就没有突破封锁的效果了

水果那个软件竟然要ios10!!

意思是PC的SSR客户端默认不启用混淆而已，origin plain就是和原始SS客户端一样不启用混淆，需要手动设置启用
有人测试过，可以破解某些企业防火墙针对SS协议的封锁

---

作者: StormBolt    时间: 2017-1-17 18:41

909648183 发表于 2017-1-16 21:11
意思是PC的SSR客户端默认不启用混淆而已，origin plain就是和原始SS客户端一样不启用混淆，需要手动设置启 ...

已试用，突破限制失败，放弃……

---

作者: XXHJACK    时间: 2017-1-18 20:17
其实你们公司的限制都算温柔的了！有些公司必须认证，而且权限限制非常严格的，比如严格规定不允许使用qq传输文件和信息，你用什么方法都出不去。

---

作者: StormBolt    时间: 2017-1-18 22:23

XXHJACK 发表于 2017-1-18 20:17
其实你们公司的限制都算温柔的了！有些公司必须认证，而且权限限制非常严格的，比如严格规定不允许使用qq传 ...

限制是合理的，但如果公司真有料再来做这个事会比较合适

关键是公司首先没料，其次限制不是出于保密目的，要说防偷懒吧，完全不偷是假的，全在偷懒的估计也懒得思考如何突破封锁

再就是手段略逗，以前USB是热熔胶封住的，盗版软件不封禁其联网验证，也不买正版，被厂商抓住了就让人卸载，再象征性买几套，比如100个盗版副本，就要买6.70个授权，这很符合国情

---

作者: XXHJACK    时间: 2017-1-19 13:35

StormBolt 发表于 2017-1-18 22:23
限制是合理的，但如果公司真有料再来做这个事会比较合适

关键是公司首先没料，其次限制不是出于保密目的 ...

你是国有企业吧。。。。。。。。。。是的化可以理解！

---

欢迎光临 PCEVA,PC绝对领域,探寻真正的电脑知识 (https://bbs.pceva.com.cn/)

Powered by Discuz! X3.2