系统专题栏目
热门教程推荐
系统下载排行榜查看: 1156|回复: 14
部分IP的web认证，在手动IP下绕过认证？
本帖最后由 IBMiK 于
09:35 编辑
部分IP的web认证，在手动IP下绕过认证？
背景介绍：
1.经常在网的，正常办公台式电脑，手动DHCP，ARP绑定“唯一”，网段10.18.0.10~90，正常上网
2.DHCP服务开启，地址池10.18.0.100~255，此网段也是WEB认证的网段
3.临时上网的终端，采用账号web认证的方式
当前路由系统版本：& & & & 2.5.9 Build_48& & & &
当前协议特征库版本：& & & & 1.9.121& & & & & &
1.临时上网终端，手动IP地址：10.18.0.81，避开了认证网段，没有WEB账号认证，依然可以上网
2.即使ARP绑定IP与MAC，DHCP静态分配，在手动IP下10.18.0.81，都可以绕过认证直接上网
对于以上的问题，有什么地的解决方案？
简单点说：ARP绑定&唯一&，不起作用！！
本帖子中包含更多资源
才可以下载或查看，没有帐号？
给您转到技术版块
楼主，您好&&先确认下是不是最新版本，如果不是，升级最新版本看下& &如果最新版本还是这样 您联系下我们企业qq：&&把您的爱快云上认证地址池截下图&&我们给您看下。
拜托技术支持02，能否把楼主问题看清楚再回答呢，你这不是浪费用户时间吗，怪不得很多用户的问题老得不到解决，都是在论坛发帖把问题不讲明白。&
一看02就没仔细看楼主的贴
给爱快多加个网卡 把你的0段和1段彻底分开就不会有这个问题了，而且在每个LAN下要设置多LAN不能互通。
我发现爱快的这些技术支持回答问题，从来不看清楚楼主的问题。
楼主，你说的WEB认证地址是192.168.1.100到200，这个是写错了，还是你就是这么填写的认证地址池？
截图出来我看下（云平台里面的这个设置）
2、临时上网终端，手动IP地址，更改地址前，是否已经WEB认证过了？
还是没有连接前，就先手动设置的IP地址，再确认一个问题，你的这个IP地址和MAC是否在ARP的“唯一”绑定里面
3、关于你截图的页面
你是先设置的“唯一”绑定后，出现的这个页面是吧
那说明，你现在的这MAC对应的IP地址应该是后面这个10.18.0.206，而不是10.18.0.180
那首先，你有使用180这个IP地址做WEB认证吗？如果有的话，那你修改IP后一样可以上网的
我晕，怎么你这高手也没看懂楼主第一个问题呢。&
1、ARP普通绑定，加“非绑定不能上网”
同时开启WEB认证，
如果你的电脑不在绑定里面，照样会出认证，认证成功上网
2、如果你设置“唯一绑定”但是不勾选“非绑定不能上网”
同时开启WEB认证，
但是，你的实际IP地址不是ARP唯一绑定的地址，照样认证上网
3、如果你设置“唯一绑定”，同时勾选“非绑定不能上网”
但是你的实际IP地址不是ARP唯一绑定的地址，
结果：不能上网，也不出认证界面
给爱快多加个网卡 把你的0段和1段彻底分开就不会有这个问题了，而且在每个LAN下要设置多LAN不能互通。
您好，个别技术支持刚刚上手，难免在处理问题的时候看的不清楚或者理解不到位。
这边会加强培训和处理支持，谢谢您的关心和批评。
给爱快多加个网卡 把你的0段和1段彻底分开就不会有这个问题了，而且在每个LAN下要设置多LAN不能互通。
可以多加网卡，但办公区分散，不能简单加网卡解决，谢谢！
本帖最后由 IBMiK 于
09:17 编辑
楼主，你说的WEB认证地址是192.168.1.100到200，这个是写错了，还是你就是这么填写的认证地址池？
截图出来 ...
按你的思路，又重新测试，结果如下：
1.认证地址池，只是举个例子，实际认证地址是10.18.0.100-10.18.0.255
2.认证前修改IP地址为非认证地址“10.18.0.81”，绕过认证；
3.IP与MAC在ARP里的“唯一”绑定“10.18.0.180”，手动IP为“10.18.0.81”，依然可以上网
本帖子中包含更多资源
才可以下载或查看，没有帐号？
Powered by↑ 点击上方“程序员VIP”关注我们& 无聊中，就跟大家探讨一下无线中继系统。纯文字能看下去 看懂的绝对高手。还有哪里考虑不周，讲错了，还请兄弟们指正。&&无线中继系统，一个很简单的概念，实际操作起来不是那么简单的。为神马呢，因为坛子里的兄弟CENG的目标太多了。有CENG单位的，有CENG邻居的，还有CENG运营商的，等等等等，总之，每种情况下，你知道的信息是不一样的，所以中继的方式也是不一样的。你可以知道你单位的路由器密码，顺便知道DNS等信息，但你知道邻居的密码吗？邻居的WPA2花100年可以PJ，运营商的网络你能PJ吗。运营商的网络在有活动的时候是免费的，中继一下没有问题，但没有活动要收费的时候呢？要有一个效果比较好的中继系统就是有诀窍的了。当然，你还是要交钱使用的，中继系统并不能让你免费。&&说“无线中继系统”，我们可能就要先来理顺一下概念。大多数兄弟还是不清楚一些术语的区别，因为用中文来说，可能意思差不多，但是用英文来说的话，那就是完全不同的概念，这些概念后期代表着一个中继系统的性能优劣，尤其是无线中继系统。与中继概念有关的网络术语有：relay，repeater，bridge，router，brouter，gateway，等等等等，我们经常可以在无线，只是说我们大家都关心的几个，那就是relay，repeater，bridge。&&看到这里，有必要说的是，也许你很熟悉无线中继系统的搭建了，但是，我保证，这里或多或少有你意想不到的内容或诀窍。继续...*话说无线中继系统有个术语，由ISO标准确定，就叫relay，这是一个大的框架，relay就用在这里了。大框架relay中包含了多种具体的中继技术，如repeater和bridge。差别在哪里呢？很简单，reapeter工作在物理层，而bridge工作在数据链路层。那么工作在网络层的中继技术叫什么呢？其中之一叫router...现在应该明白了，我们折腾的大概就在这三层上。&&repeater和bridge有什么区别呢？从实际效率上来看，越往高层，有效性越高。举个不是太恰当的例子。reapeter就像是小孩吃饭，不管爱吃不爱吃，是不是要吃的，反正先放到嘴里嚼两下，觉得不是想吃的，就吐出来扔掉。bridge呢就像有偏食的人吃饭，只吃那么几种东西，除此之外一概不吃，一概不放到嘴里。那么router呢，就好像正常人吃饭，只吃想要吃的，但也不偏食。所以说，从效率上来看，bridge高于repeater。&&从理论上来说，如果设备选用repeater模式，则设备将接收所有无线信号带来的数据，那是一组比特流，由用户计算机来区分这些数据是否是需要的。这就是物理层的特性。网络设备在repeater模式下是不能区分接收到得数据是否是需要的，因为是一组比特流。&&如果设备选用bridge模式就有区别了。bridge工作在链路层，该层上传输的是“帧”。至少，帧结构已经是可以被网络设备所辨别了，所以设备就可以决定只接收需要的“帧”，也就是说，过滤工作在无线设备上被处理了，不需要在用户计算机上来处理。所以效率更高。&&由于理论上的区别，则在实际应用中对无线设备进行的配置工作也是有区别的。这里开始需要定义一些简单的术语了，否则后面将无法区分众多的网络设备。&&首先定义“源端”。源端是将要被repeater或bridge的设备。一般是AP或无线路由器。&&其次是定义“客户端”。客户端是实施repeater或bridge的设备。一般是AP或无线路由器。&&再次是定义“终端”。这一般指你的电脑或手机等设备。&&repeater模式的配置很简单，客户端搜索到需要的无线信号直接连接就可以了。根据不同路由器提供的不同功能，客户端可以配置为使用源端的DHCP（DHCP relay模式），或者本身配置为一个DHCP服务器（DHCP server模式）。具体细节留到bridge时再说。&&为了性能，可见，选用bridge模式是最好的选择。讨论bridge从这里开始。我们还是分为下面几种情况。一、桥接（bridge）你单位的无线路由器。这个情况特别指代你是可以配置“源端”的。这种情况也是我们最常见到的配置环境。配置bridge只需要注意以下几点：1.关于MAC地址。在源端路由和客户端路由上分别配置对方的MAC地址。这是bridge链路的物理基础。2.关于SSID。在某些时候，SSID又被称为NETID。理论上，bridge不需要桥的两侧具有相同的SSID。因为客户端会扫描所有无线信道，只要找到对应的MAC地址，就会请求连接，SSID是没有作用的。在请求连接包发出去后，源端会确认这个包里面的MAC地址，如果和设置的一样，就接受这个包，否则丢弃。但情况总有例外。一些厂商出于某些其他目的，要求必须在两侧具有相同SSID。所以如果你的bridge基本都配置完成，却无法连接，试一下配置成相同的SSID。前面说了，有时候SSID会被称为NETID，再很多高端设备上会出现这个NETID。此时，设置bridge时，必须同时设置对方的NETID，也就是SSID。但注意了，这里没有要求NETID相同。这种设置要求是为了满足一个特殊的需求，称之为动态桥（dunamic bridge）。动态桥是点对多点桥接的一个子集。它表示客户端可以同时和多个源端连接，也就是客户端同时存在多条bridge链路。这个过程反过来，就是我们常见的点对多点的桥接，它表示一个源端可以同时连接多个客户端。所以，往简单了说，在源端同时配置多个桥接链路称为点对多点桥接，在客户端同时配置多条桥接链路称为动态桥接。那么同时在源端和客户端配置多条桥接链路，是不是可以称为多点对多点呢？这么无聊的事，我没去尝试过...3.关于DHCP。桥是可以连接两个不同的网段的，但如果设备比较一般的情况下，建议还是不要去尝试用桥来连接两个不同的网段。原因是这样的：如果你的无线路由器只有一个无线模块，想当然的就可以知道，你的无线模块在同一时间，要么是收，要么是发，总之不可能同时收发并举。也就是说，收和发之间，要把信道腾空出来，显而易见，效率基本打了半折。那么，你现在只有一个无线模块，你首先要给这个无线模块的端口配置一个IP地址，这个IP地址要和源端的IP地址在一个网段上，此外，为了满足桥连接两个不同网段的要求，你还要为这个无线端口配置属于客户端自己的IP地址，这个IP地址与源端不在同一个网段上，那么你只有一个无线模块，怎么可能在一个借口上配置两个IP地址呢？这就是为什么有些桥接的配置指南中提到：客户端不能开启DHCP，不能再行配置IP地址的原因。那么能做的方法只有一个，源端必须成为DHCP服务器，客户端只能成为所谓的DHCP中继设备，而你的电脑使用的IP是由源端设备分配的IP地址。所以大多数情况下，只有单个无线模块的无线路由器，你根本没得选，只要你使用桥接，就没有DHCP选项。当然，稍微好一点的客户端设备是会有两个无线模块的，那就没问题了，一个无线模块配置与源端IP地址在同一网段的IP地址，用于桥接，另一个无线模块配置另一个网段的IP地址，此时，bridge就可以连接两个不同的网段。客户端多出来的那个无线模块是可以启用DHCP的，这时候，大多数设备是可以选择DHCP模式的。常见的模式有DHCP SERVER，也就是正常的开启DHCP，还有一种是DHCP RELAY，这个就是上面说的DHCP中继。所以，一个启用了桥的客户端设备能不能启用DHCP或能不能再行配置一个IP地址段，与你的设备本身有关。4.关于“加密”。加密这个意思常见的至少包含两层意思。一层是对你收发的数据加密，一层是要禁止其他设备接入你的无线设备而加密。如果你仅仅是要防止被CENG，那么是没必要加密的，因为真正桥链路运作后，是不会广播SSID的，也是扫描不到的。此外，其他设备即使配置了相同的MAC，也是无法接入的，因为桥链路上的数据包，是带有序号标签的。所以，除非非常非常特殊的情况，桥链路是不会被CENG的。此外，如果你的设备都是具有双无线模块的设备，那么源端和客户端可以独立配置一条桥链路，你可以为这个桥的两端配置难以想象的子网掩码，没有很简单的手段可以检测到这个IP地址段。二、桥接邻居的无线路由器。这种情况通常是不可能做到得，因为你进入不了你邻居的无线路由器。所以要扩展邻居的信号，最现实的做法是reapeter。然后你就去PJ吧。可见，这一环境是很难搞的。那么，运营商的设备就要好搞的多，这就是我们下面要说的。三、桥接运营商的AP。这种情况比较复杂，要分两步。而且，需要注意的是，如果运营商WLAN热点使用的是瘦AP部署的，那么着是不可能被桥接的，因为桥接配置需要在运营商的机房里对AC进行配置。只有当热点是用胖AP部署的，才有可能做桥接。&&第一步是需要知道运营商的DHCP服务器地址。原因是你的电脑必须使用运营商分配的公网地址，才能通过运营商的RADIUS服务器的认证，所以你的客户端必须在桥接时取得运营商的DHCP服务器地址，只有通过运营商的DHCP服务器，你才能获得一个可以认证的公网IP地址。这就是说，要桥接运营商的AP，你必须使用上面所说的DHCP RELAY模式。通常情况下，你是不知道运营商的DHCP服务器地址的，这是由运营商的网络结构确定的。但是可以通过其他方法来获得运营商的DHCP服务器地址。运营商的DHCP服务器有一部分由胖AC来担任，尤其是胖AP，那么就有胖AC，比如说华为的5200G就是一种胖AC。胖AC是有IP地址的，这个IP地址会在你登陆WLAN的WEB认证界面时，在你的IE浏览器左下方的状态栏里一闪而过。如果你的电脑比较慢，你将有幸看到这个IP地址，是的，就是这个IP地址，你需要把这个IP地址填写到客户端中去。填写的位置就是远端DHCP服务器地址一栏。如果你的无线路由器是单无线模块的，那么你就有可能无法桥接运营商的AP，因为很多单模块无线路由器，在选择桥接时，就默认为DHCP RELAY模式，愚蠢的是，路由器厂家忘了让你来确定远端DHCP服务器的IP地址，而客户端本身又不能从运营商的AP上获得运营商的DHCP服务器地址。这个道理很容易想明白，因为一般情况下，运营商的AP不是一个DHCP服务器，所以AP不能给客户端一个同网段的IP，即使分配IP，也是运营商的DHCP向你的客户端分配的公网IP，这个IP根本不能用来桥接。那么运营商的AP上面的IP地址是个什么IP地址呢？这就是我们下面要讲的。&&第二步是知道运营商AP的IP。通常这个IP是个私网地址，称为管理IP，用来与公网IP相区别，公网IP可以称为业务IP。这个IP地址纯粹是为了能够接入到这个AP进行管理而设置的。一般情况下，电信的AP的管理IP，只有在电信的内网才能接入，移动的AP的管理IP，只有在移动的内网才能接入，两者是不能互通的。废话，私网地址显然不能互通。但是为了接入到这些AP，我们必须知道AP的管理IP。怎么才能知道这儿IP地址呢？所幸，这比PJWAP2要简单一些。首先还是要明确，瘦AP部署的热点，是不能知道这个AP的管理IP的，只有胖AP部署的热点才有可能知道管理IP。怎么才知道呢？最蠢的就是用穷举法。所有运营商最可能使用的管理IP都是一个B类私网地址，大概有6万多条...嘿嘿，穷举法是很累的。但所幸的是，所有的胖AP都有一个console口。如果你看到这个胖AP了，想必怎么连接到CONSOLE口就不用教了吧。对，使用超级终端，用命令行来读取AP的配置信息，包括AP的管理IP地址。什么？AP的用户名和密码？自己网上去查吧，通常情况下，AP的用户名和密码都是默认的，没有哪个运营商有这个闲心来修改所有AP的默认密码。至少就我目前所知，还没有。所以，你现在要做的就是去运营商的网站，查询最近的WLAN热点在哪里，然后就去现场勘查。通常办公楼、医院、娱乐场所等公共场合是最有可能部署的，也是所有人都能进入的。进入这些场所后，你首先要找的是什么呢？弱电井，对喽，就是弱电井。只要你在热点搜索到WLAN信号，那么就去找弱电井吧，通常情况下，AP和交换机都在那里面，当然也有可能在天花板里。如果你看到的AP只是使用的自带天线，那么这个AP的发射功率一般不会很大，大概100mW左右，如果你看到一个AP是通过馈线连接的，那么这是一个大功率AP，一般是500mW的，电信甚至有2W的，无良的电信，辐射太大鸟。然后就研究，你找到的这个AP能不能装DIY的天线，激情的天线，反正是定向的天线，然后直指你家所在的方向。记住，你可以把AP从天线上拆下来，但不能拔网线。只要网线不拔下来，无论你把AP安装到什么地方，这个AP在运营商的监控平台上是不会出告警的。大多数情况下，给这些AP加个天线是很简单的事情，通常公共热点内的物业什么的也没人管你，只把你当运营商的维护人员。这就是经验，嘿嘿。看到AP后，记下详细型号，回去百度之，谷狗之，跪求之，反正怎么也要把默认用户名和密码找出来。然后研究如何配置，尤其是二层隔离功能怎么取消。特别注意二层隔离功能怎么取消。功课做好后，回去找到AP，连上CONSOLE线，读出配置，主要就是管理IP，然后附近找找，交换机在哪里。千万不要拔了网线试图直接接入到AP。现在的AP基本都是POE交换机供电的，拔了就断电了。找到交换机后，WEB界面输入某个AP的管理IP，OK一半了。管理IP不能修改，配置桥接，取消二层隔离。然后回家，设置客户端。桥接运营商的AP麻烦是麻烦了一点，但还是有价值的。虽然桥接过来了信号，但是一个用户上网，还是要花钱。但是这也是有价值的，价值体现在被取消的二层隔离上。好了。今天就写到这里，有空再配点图来说明。现在，大家仔细去研究二层隔离吧，那是我们桥接运营商AP的一切意义所在。程序员VIP(gh_354b15f2d0b9)　
　文章为作者独立观点，不代表大不六文章网立场
gh_354b15f2d0b9深度挖掘互联网知识，程序猿任职经验分享，精选科技选文推送，深度黑客攻防知识等。热门文章最新文章gh_354b15f2d0b9深度挖掘互联网知识，程序猿任职经验分享，精选科技选文推送，深度黑客攻防知识等。&&&&违法和不良信息举报电话：183-
举报邮箱：
Copyright(C)2016 大不六文章网
京公网安备78查看: 9533|回复: 7
怎么中继Web认证的ChinaNet信号？
附近有ChinaNet信号，Web认证，DHCP分配动态公网IP，但信号很差。我有两台电脑（各自有有线和无线网卡），有两个账号。有时只需要用一台电脑，有时两台都要用。直接在电脑上用无线各自登陆认证，经常会掉线。我也有一个DIR-600，所以刷了DD-WRT希望能中继信号，两台电脑各自登陆认证
可弄了一晚上，都没中继成。请问DD里该怎么设置呢？谢谢
如果用网卡还经常掉线，信号差，估计用路由也没戏哦
路由的话就设置客户端。DHCP获得IP，然后随便输入一个网站就会跳到登陆界面了。或者用PPPOE账号和密码直接在路由上拨号~我现在想实现可以在电脑上拨号。可惜没法实现~
本帖最后由 111104 于
17:54 编辑
路由的话就设置客户端。DHCP获得IP，然后随便输入一个网站就会跳到登陆界面了。或者用PPPOE账号和密码直接在路由上拨号~我现在想实现可以在电脑上拨号。可惜没法实现~
zxbmuyu 发表于
看不太明白。路由？就是指设置为“router”而不是“gateway”吗？另外，设置为客户端后无线还能用吗？
还有，我试了下，可以在电脑上PPPoE拨号，路由器上还没试
本帖最后由 111104 于
10:05 编辑
中继成功，repeater即可，没试过repeater bridge，懒得再试了。原来一直不成功的原因是我把信道设为自动。设为客户端后无线不可用
今天再试了一下，路由上也可以PPPoE拨号
另外，我发现PPPoE拨号和Web认证分配到的IP不一样，拨号是202.x.x.x，web是27.x.x.x。不知道对计费有没影响
哎，听你们说的，什么都不是，为什么要中继使用，给我个理由先，中继了后网速会掉好多，就算电信的是11M的带宽，下来后就成5M的带宽了，用客户端使用，对带宽影响不大，用有线上网不是一样么，楼主说的可怜的，就是想省钱么，一个号通过路由2个人可上网，弱弱的说一句，不要和电信斗...
本帖最后由 111104 于
20:15 编辑
哎，听你们说的，什么都不是，为什么要中继使用，给我个理由先，中继了后网速会掉好多，就算电信的是11M的带宽，下来后就成5M的带宽了，用客户端使用，对带宽影响不大，用有线上网不是一样么，楼主说的可怜的，就是想 ...
ccyaoni 发表于
我是有一个笔记本，一个台式。笔记本直接连电信的AP不会掉线，但台式里的PCI无线网卡老是掉，所以想中继给台式用。用客户端是没问题，可我还有手机偶尔需要用wifi上网呢。。
repeater bridge试过了，分配不到IP
现在的问题是中继后，笔记本直接连电信的AP，也分不到IP了，弄了一下午，头都大了。虽然笔记本也可以连路由上网，但经过路由后开网页感觉慢了，也不想浪费了一个账号。。
看DD里面的状态，笔记本是连到了路由上，而路由是关了DHCP的，所以分不到IP。即使分到了，也是内网IP。请问DD里有什么相关设置，不让笔记本连呢？我想到的土办法就是MAC过滤，过滤掉笔记本。还有别的什么好办法吗？
LZ你直接加我QQ吧，你怎么说的这么麻烦，路由里不是可以直接拨号么，为什么要用什么电脑连电信？
Powered by查看: 5847|回复: 7
采用WEB认证方式的无线网，可以中继吗？
本帖最后由 martinqiu 于
22:47 编辑
采用WEB认证方式的无线网，可以中继吗？
现在有不少的无线网采用的是WEB认证方式，连接的时候无需密码，也可正常获得IP地址及网关，但真正要上网，需要打开浏览器，随便输入一个网址，浏览器会自动转向专门的认证网页，待输入正确的用户名和密码后，就可以正常上网。
我的问题是：这样的无线网，DD-WRT可以中继吗？有人做过吗？如何做呢？
CMCC, ChinaNet都可以, 跟中继普通信号一样. 如果是Client或者Repeater, 只需要认证一次. Bridge的, 每个客户端都有一个独立IP, 需要分别认证.
我们这边电信网通没用DOT1X 技术
用的MAC 或者客服端软件+PPPOE
我用DD-WRT + Wiwiz 做过Web认证，中继没试过，理论上应该没问题。
可以的，你找我写的帖子。楼上说需要分别认证的纯属无稽之谈。
知道什么是NAT么
不能用桥接方式，必须使用wds方式，因为桥接的ap下面的全部客户端在贝桥接的ap下都认为是桥接ap的mac地址，所以每次切换ap都被wiwiz要求认证。
可以中继，也可以桥接。
但接入的路由器，有客户接入时也要认证。
我现在就是这样。覆盖广点
貌似不错，mark
Powered by}