和校园网斗智斗勇的日子(第六辑)
前情回顾:
和校园网斗智斗勇的日子
和校园网斗智斗勇的日子(第二辑)
和校园网斗智斗勇的日子(第三辑)
和校园网斗智斗勇的日子(第四辑)
和校园网斗智斗勇的日子(第五辑)
乡长说:"兔子们,今天的饭狗吃了,大家都使大喇叭!"
新校区的日子
林林总总花了一个多星期时间,终于搬到了另一个校区然后笔者喜提钱包丢失需要补办大批证件
对于我们这批『那位来客』,学校给我们安排了由教师公寓改造成的学生宿舍(我们入住的是八人间,客厅五床房间三床),总的来说还是有好有坏
坏处当然就是卫浴用品不太均衡,原本给教师的单身汉宿舍塞进来六个单身汉以及两个现充,浴室和厕所不分离的设计多多少少会带来些问题。阳台也小了些,再加上近段时间『清明时节雨纷纷』,衣服根本不干,只能被迫挂入室内用空调吹——以及预计明天到货的干衣机,也许能派上用场。
不过好处嘛....除了房间里安静一些——他们在外面群雄争霸(嗯,三国杀)的时候笔者也可以安静睡会——之外,还有就是本文的重点:可以提供稳定的有线接口
无限的有线
旧校区的空口灾难问题其实非常严重,想想就是,一个宿舍一个AP,密密麻麻的2.4G/5G设备。原来的大喇叭网因为有线接入方式被拔线了,只能用无线,速度(和时不时的严重超时)问题都困扰着笔者。现在来到新校区,这个问题自然也不存在了,非常舒服
不过,既然这里本来是教师宿舍,后来被改造了,那么在这个宿舍里,自然也就存在两个有线口:
房间里的百兆网口
这个网口,原本估计预计是给住在这里的教师放桌子放电脑用的,能用,但是只通了百兆。不确定是里面只接了四根线(尤其是考虑到,86面板上有两个网口,不排除一根超五类破开成两根四芯电缆用的可能性),还是因为楼层的汇聚交换机是百兆机,笔者没有深究
初步检测,接上去能拿到一个172的内网地址,走锐捷客户端认证。因为只有百兆口,笔者并没有采用这个接口
客厅锐捷AP的四个千兆口
这个是笔者最后决定采用的网口,DHCP分配10.50.0.0/16
的IP范围,同样是采用锐捷客户端认证
学校用的是AC+AP的方式,各个AP都可以受到控制。根据笔者的了解,学校应该是把AP的无线网络,以及AP上接口的有线网络,划分到了不同的VLAN中,因此就出现了无线可以web认证,有线必须客户端认证的情况
当然,这也意味着,学校其实网开一面,给我们留下了有线口认证.....兴许这也是某种『F12招前端』?
笔者尝试了一下客户端认证,但是不出意外地,得到了请禁用IP为x.x.x.x的网卡的提示,并被迅速踢下线
Mentohust:变成美露莘的龙蜥
变成美露莘的龙蜥,是给那维莱特的礼物
Mentohust,是给『那位来客』的礼物
禁止多网卡的用意很明显,防止你共享网络。但是很多情况下多网卡的存在是有合理理由的,比如说,我们『计院』的,需要用到虚拟机,一开就是五六张虚拟网卡(就VMWare那个VMNet)。客户端这个限制,自然带来了很大的麻烦
学校用的锐捷客户端是4.9x版本的,界面古朴得要死。服务端下发的策略中,开启了客户端多网卡检测,但是没有开启客户端防破解,同时保留了对旧版客户端的兼容,这就给mentohust的成功部署打下了基础
笔者的软路由是Debian,找到x86版本的deb包之后直接dpkg安装即可。学校几乎没有做特别限制,原版mentohust不做任何修改,仅填入用户名密码就可以直接登录上网
原版配置中,有这么一行:
DhcpScript=dhclient
但是笔者实测发现,这个选项有概率会改变你路由器内网接口的IP地址,导致路由器失联。经查看日志发现,dhclient给eth0(笔者设置为内网口)申请了新的地址,覆盖了手动设定。因此,如果你碰到了内网网口IP乱跳的情况,不妨把这句配置改掉,用一个别的程序替代一下就是了
DhcpScript=echo "111"
UDP_53:此路不通
配置好了之后发现,ping外网IP可以通,但是ping域名无法取得解析。改用dig命令检查,发现学校屏蔽了对外网UDP_53的访问,导致自定义DNS地址失效
至于为什么要这么干,笔者猜测,可能是为了阻止学生通过UDP53(包括UDP 53/67/68)搭隧道绕过认证去上网(对于『听话的』用户,就会用锐捷客户端分配的DNS地址,不影响),不过这波AOE范围有点太大了
嘛,问题解决也容易,ADGuardHome里面设置tcp://223.5.5.5
就可以了,TCP_53还是可以用的,ADG会帮忙转换为UDP53的
校园大内网
今日有课,到机房检查,发现机房可以通过直接敲内网地址(笔者为了方便,DDNS到了一个域名上)的方式访问到宿舍机器,这当然是极好的,校内互访延迟2ms,干些啥都方便
不过,学校内网为了安全起见,肯定会有些限制(比如为了避免类似永恒之蓝之类的事情,会封掉445端口,避免SMB漏洞)。因此笔者并没有直接用,而是先连接到了宿舍机器的VPN,然后再访问自己的内网,就可以绕过很多限制。
因为同是内网,直接用PPTP就可以了,虽然说PPTP很不安全,学校应该还不至于有解密PPTP流量的能力,反正总比直接GRE要好(
大家都使大喇叭
现在来说说题图
题图是笔者收齐了最后一个舍友的『大喇叭费』的聊天记录
大喇叭网(也就是整个宿舍内网的名字)上联口(出外网)带宽只有100-120Mbps(上下对等),但是依然撑起来了全宿舍八个人的上网需求
舍友宁可用小带宽的大喇叭网,而不是每个人用自己的校园网账号而独享对等网,这就导出了一个很反直觉的结论:人们不在乎你网络有多快,只知道你的网络不用登录,且『不卡』
即使是在今天,『不卡』的标准其实也很低,甚至有个结论:一个人平时需要的带宽,大概也就是10Mbps。就这么一点带宽,就足够用来看1080P视频了,至于打游戏听音乐聊微信刷抖音什么的就更不在话下
与此同时,如果一个网络又要登录又要验证,还时不时掉线,还要求你大改系统设置(卸掉虚拟网卡),我想,估计也不是那么受人欢迎罢......
写在最后
笔者的键盘又又又又没电了,这篇博文全程是靠两根手指打出来的,现在酸的要死
赶紧结束罢
(完)