求推荐可设置TTL值的路由

一如既往地先提出背景，先确定问题确实是问题，方案是有效方案

背景：
公司网络原来虽然绑定MAC地址，但使用无线网卡ICS共享上网/360随身wifi等AP原理的方法可共享上网；

问题：
现AP类已无法上网，一接上连电脑本机都无法上，提示检测到共享多个设备

分析：
1、原绑MAC，AP可破，现在不可，判断为IP+MAC双重绑定，支持克隆MAC的普通路由可解决
2、因为网管询问过本角落一个小交换机的情况，可能在此基础再增加了TTL值限制，但此种限制方式应为直接弃包，不知网管提示禁止的情况是否属于这种，此处存疑，为作万全准备，仍判断为TTL+1可解决
3、打印机在上级，具体不知道拓扑图，但原来网段是不同的，却能直接打印，应为上级路由/交换机已作相应处理，判断私加下级路由不会造成影响

方案研究中，也请各位推荐，要求：
1、一个可支持MAC克隆、TTL值设置的无线路由，刷机也可
2、经历过苹果设备兼容问题，BCM芯片优先
3、价钱便宜，失败成本低，成功则可小范围复制该方案，考虑本坛的人员情况，不作太低的要求。。。可以推荐型号，我自己淘二手，但洋垃圾最好

vicdoo 发表于 2017-1-8 12:10
我这上周一网管也直接封杀了门户，购物，股票类的网站，只有百毒和其他小网站可以上！好在后来领导自己说让 ...

我这有类似的行为管理，挂个翻墙可以破，关键是现在限制wifi，公司又不提供，对工作/偷懒都造成不便

vicdoo 发表于 2017-1-8 12:26
如果在台式机上再加一个网卡，通过桥接不知道可不可行

不行，我这是笔记本，有线+无线就是两个网卡，虽然可以两者桥接，但要给手机做热点，必须通过无线网卡的一个虚拟连接，这个连接和有线网点右键没有出现“桥接”项，不可桥接

XXHJACK 发表于 2017-1-8 13:07
网管一般不会以设置ttl值来限制设备上网的。你试试将无线网卡共享后通过有线代理上午，如可以就不是ttl限制 ...

谢谢建议，无线共享+代理这个代理是啥，不正是和原来的在有线连接中勾选将Internet共享给无线一样做法？

另外万一失败会封禁10小时，要找网管解封就不好了，再者找了一下能改TTL的似乎真不好找，决定先30块钱淘个洋垃圾网件3400，V1/V2/V3哪个好？


公司通过行政路径解决的希望看来不大

XXHJACK 发表于 2017-1-8 13:28
1.是的，就是用wifi做热点通过有线共享出去。这只是通过简单的设置检查线路的拓扑结构而已，除非解包，分 ...

1、这个共享internet的方法是已经不行了，是否说明解决无望
2、原厂也可，本来就对网件满意
3、大公司可能是吧，跟大公司过来的领导学过一阵子，这种逻辑可以理解，我们这小公司，我倒是愿意在技术手段失败后一试

XXHJACK 发表于 2017-1-8 13:35
是的！在总出口端已增加分析包的设备或打开了分析包的功能。

谢谢！我再找一天下班重新确认下是否真的如此，晚上够他封10小时的

另有一点不明白就是这种Internet共享的拓扑下，虚拟网卡提供给手机的那个192.168.137.x的地址，在公司内网是能ping到手机的，是否意味着这个ip暴露了我的手机，而这样加个路由做NAT，把无线设备挡在下级不正能解决吗？

再有就是虚拟机是什么情况，用VMware虚拟一个XP，里面网卡MAC和物理网卡是不同的，采用桥接模式，采用克隆MAC及IP跟宿主同样设置的做法，可以上网，是否可认为Vmware的桥接协议层相当于一个内部的软路由了，这个情况能说明什么吗

XXHJACK 发表于 2017-1-8 16:01
按道理来说这个属于桥接模式的和vm里的桥接一样但是为什么一个行一个不行就不清楚了，你确认下你vm是桥接 ...

ICS(interet connection sharing)共享按我理解应为部分桥接，即只桥接Internet，有别于两个网卡框起来点“桥接”的那种桥接

VM确实是桥接，这里详细说明下，VM里面我没用无线去试，实际和宿主用的是同一块有线网卡，MAC/IP全部设成相同，这时里外都能上网，那么如何区分收到的数据给宿主还是给VM，此处我认为这个名为“VMware Bridge Protocol”的协议实际上做了一个NAT的工作，只是它的工作效果是“桥接”

XXHJACK 发表于 2017-1-8 16:37
你vm里的mac/ip用桥接模式设置得和物理机一样啊！那只是做了个应用数据发送而已。

...

明白了，我先用NAT模式来测试一下

XXHJACK 发表于 2017-1-8 16:37
你vm里的mac/ip用桥接模式设置得和物理机一样啊！那只是做了个应用数据发送而已。

...

经试验vm的NAT模式可以上网，但是由于不能穿透到上级网络，无法访问和宿主同一级的其他电脑/共享打印机，这个上路由实战时，将电脑设置dmz能否解决？还是需要手动设置路由表？

XXHJACK 发表于 2017-1-11 13:25
将路由设置为你电脑的mac和ip就行了。你们网管使用的是丢弃vlan的做法限制上网的。
...

就是说访问上级的打印机也没有问题？

XXHJACK 发表于 2017-1-11 16:24
下访上肯定不会有问题的。但是如果主端丢弃了vlan的话你试试手动固定ip或者端口！
...

弄好了，但是qq微信仍然被禁，有解不……


更新：安卓机没有被禁这两个应用，水果只禁这两个，其他一切正常，水果的apns也正常

DNS换过，用电脑共享再挂翻墙帮手机代理，这时可上fb 油管等，但QQ微信依然不行

XXHJACK 发表于 2017-1-14 20:30
确定是出口部分用了应用识别的设备了，而且这个设备的应用识别能力还很烂。。。。有可能是使用应用端口识 ...

应该不是端口，因为安卓手机可以上啊，苹果/安卓上QQ、微信的端口总不能不一样吧？

然后用电脑挂翻墙了，对于手机来说不就是VPN而且还是全局的，这样都上不了，还有其他方式的代理可行？有无具体方法或思路？我实在没招了

XXHJACK 发表于 2017-1-14 21:18
肯定是啊！端口应用中限定那种能过这个端口其它就不能用了。这个无解的必须你手机vpn。他分析了你的数据 ...

仔细观察了下，水果qq死绝，微信可发文字信息，不可发图，可朋友圈，来信息不会提示，但退到桌面可由水果推送服务器推送

挂socks5全局代理无效

还有救不

909648183 发表于 2017-1-16 14:03
shadowsocks 加SSR混淆应该可以搞定，即ShadowsocksR，但你买的或者自己搭的SS服务器需要支持SSR混淆

SSR ...

试了，混淆打开就断流，应该是服务器不支持

总觉得自己搭时间和费用不如买成品划算，有支持ssr的服务区推荐吗

909648183 发表于 2017-1-16 18:52
另外注意选择SSR参数设置

SSR有很多可选设置，但服务器不一定都支持

这两天才开始接触shadowsocks，以前都是用xx-net，这个只能http代理，实在了解不深

目前我用PC给水果做代理，做法是：
1、APMSerV在PC端建立一个本地http站点，上面放一个PAC文件，内容写入通过局域网调用PC做Socks代理的代码，然后水果机的wifi http代理设成自动，指向这个PAC，这一步不做的话，水果机就只能http代理
2、ShadowSocks/R在PC端建立代理，开放局域网访问，这样就能响应水果机过来的sock5代理需求，但目前跟同事借的ss服务却不能ssr混淆


请问你知不知道，水果机上的客户端，是否支持ssr混淆，可以的话，我用电脑调试成功后去买你推荐这个了，不然PC端浪费流量也减慢速度

话说你推荐这个太便宜了

909648183 发表于 2017-1-16 20:54
注意SSR参数设置，我推荐的这个只支持较简单的混淆

支持SSR 混淆（2016.10.17更新）时间: 2016-10-17 16: ...

谢谢，plain的话应该就没有突破封锁的效果了

水果那个软件竟然要ios10!!

你推荐那个网站上面有shadowroket及surge，搜索引擎显示shadowrocket支持ssr，可以试试

909648183 发表于 2017-1-16 21:11
意思是PC的SSR客户端默认不启用混淆而已，origin plain就是和原始SS客户端一样不启用混淆，需要手动设置启 ...

已试用，突破限制失败，放弃……

XXHJACK 发表于 2017-1-18 20:17
其实你们公司的限制都算温柔的了！有些公司必须认证，而且权限限制非常严格的，比如严格规定不允许使用qq传 ...

限制是合理的，但如果公司真有料再来做这个事会比较合适

关键是公司首先没料，其次限制不是出于保密目的，要说防偷懒吧，完全不偷是假的，全在偷懒的估计也懒得思考如何突破封锁

再就是手段略逗，以前USB是热熔胶封住的，盗版软件不封禁其联网验证，也不买正版，被厂商抓住了就让人卸载，再象征性买几套，比如100个盗版副本，就要买6.70个授权，这很符合国情