OpenWrt “破解“校园网共享，误区以及大致方向以及解决思路

有很多人问我校园网应该怎么破解，要步入新学期了非常多的人开始考虑这个问题，这里说的破解其实就是说共享网络

因为很多学校他就限制仅手机或者仅电脑&手机。这是不合理的，首先就不说在宿舍用智能家居了，就连多一个 Pad 就很难上网。

为什么说 OpenWrt 不是万能药，首先 OpenWrt 光国内版本就非常多

其次技术博弈非常卷，你今天弄了我明天封掉这个方法，而且软件配置起来让很多小白用户摸不清头脑

要搞定这个所谓的破解无论是从成本还是沉默成本上都无法估计，今年可以用明年说不定学校就换设备了，换服务商你搞毛。所以在折腾的时候就应该意思到这一点，而且如果要实现自动化验证，你可以先搜索一下你所在的院校之前有没有人折腾过，有就可以直接复用测试一下，不行就托一个哥们给你搞一个 ChatGPT 写一个脚本

如果你使用的 CatWrt 整校园网的疑惑，可以加我们的群，希望我的教程和经历可以帮助到广大学子

加群方式：https://www.miaoer.net/posts/blog/guide

武大教程：https://www.miaoer.net/posts/network/whu-openwrt-authentication

校园网

1. 联网方式

这里要从联网方式说起

PPPoE，拨号上网
DHCP，也就是自动获取地址，这个可能比较普遍
VPN
私有拨号协议，基于 PPPoE 魔改的很少见也很少有解决方法
802.11x 也就是需要在联网输入账户密码进行验证，而不是仅输入密码

如果是 PPPoE 拨号的学校可以说很少见，学校也很好！👍

也就是说我们需要将刷好 OpenWrt 路由器放在所有需要共享网络的设备前面充当路由器角色，当然不是你随便买一个路由器就可以的。

这里当然也有通过 WIFI 联网的，因为没有网线接口，本篇教程以宿舍带有有线网络为准。

2. 验证方式

每个学校都不一样，服务商也不一样而不同

手机 APP（不是浏览器可以打开的）
WEB 验证（浏览器可以打开，并且登录）
电脑软件

这里验证可以在 OpenWrt 上通过复制 MAC 地址并且用 Python3 写一个验证脚本执行，想要写一个的可以参考我之前发布的博客

如果是手机 APP 验证你可以尝试通过小黄鸟抓包

如果是网页，可以用电脑浏览器打开 F12 找到网络选项卡，一边登录抓请求并复制 BASH 命令，稍作修改放在路由器里面请求。（不修改大概率不能用）

然后把内容截下来交给 ChatGPT 或者其他什么 AI 让他帮你写一个，如果是简单的直接用 sh 脚本或者 bash 脚本就可以解决了。这一步会劝退很多人，因为验证的 URL 通常不会太简单。

3. 检测方法

常见的检测共享网络的方法，比较常见就是前三个，这些可以在 OpenWrt 上很方便的解决：

TTL 字段 (可以判断你是 Windows 还是路由器常用的 Linux 系统)
HTTP 浏览器 User-Agent (HTTPS 不会因为 TLS 加密了)
时钟偏移
Flash Cookie 检测（本篇没介绍，没有实战过）
IPv4 包头文件
DPI 深度包检测

引用：关于某大学校园网共享上网检测机制的研究与解决方案

还有一些基础的例如 IP 地址以及 MAC 地址，检测方法因学校而异

搞起来

在安装组件前请务必先更新索引文件 opkg update 以便你所以 opkg install 不会出现问题！

^{^1}

这里我可以光明正大的推荐我的 CatWrt 固件了，囊括了本期博客的所有内容

我历史博客里面制作了非常多关于软件源的使用方法

包括

下面这个是可以下载 CatWrt 固件的集合链接👇

^{^2}

当然 CatWrt 并不是完美解决的，比如软件的安装需要联网，如果路由器搞完验证可以临时访问软件源，可以正常安装。

如果是离线的你可能想尽办法把我们的工具（Cattools）和 IPK 文件拉下来手动安装，部署好环境后再联网！

在自己电脑或服务器部署 CatWrt 软件源，使用 Caddy 部署

大致流程

调试流程：进行验证 > 发现检测（掉线）> 逐次增加对策 > 直到无误

对策流程：安装需要的插件&依赖 > 配置插件或脚本 > 添加防火墙规则（可能插件自带规则）> 直到无误

安装流程：配置软件源 > 如离线( > 手机使用 USB 热点&本地搭建软件源) > 下载插件或脚本 > 使用 SFTP 传输到路由器（&插件上传到路由器）> 赋权脚本（如没有脚本不需要）> 执行测试

克隆 MAC 地址

如果你的网络需要，比如锐捷验证还可能需要克隆 IP 地址/MAC 硬件地址给 OpenWrt，以达到 MAC 扫描的时候不是路由器厂商导致封禁，或者非常用设备导致的问题。

Windows: 设置 - 网络 - 以太网/Wi-Fi
OpenWrt(CatWrt): 网络 - 接口 - wan(修改) - 一般配置 - 高级设置 - 重设 MAC 地址

Tip: 每一个正规厂商出厂的设备有且唯一的 MAC 地址，你可以打开手机 APP 带有无线 MAC 扫描的应用查看附近的路由器是什么牌子

NTP

CatWrt 默认开启 NTP，如果你是别的固件可能需要开启才可以避免时间偏移检测

系统 - 系统 - 时间同步

启用 NTP 客户端
作为 NTP 服务器提供服务
候选 NTP 服务器

ntp1.aliyun.com
ntp.tencent.com
ntp.ntsc.ac.cn
time.ustc.edu.cn

好像还需要添加防火墙规则，这里需要自己找一下，需要添加防火墙规则的应该还有 Flash 检测，这里我没碰到，所以没写。

UA2F

可以在 OpenWrt 中处理 HTTP 不加密的流量 UA，避免检测

opkg install ua2f luci-app-ua2f

Tip: 因为这里的 UA2F luci 是新出的，你也可以不使用 luci

^{^3}

UA2F
UA 测试网站 1 http://ua-check.stagoh.com
UA 测试网站 2http://ua.233996.xyz

TTL 跃点

需要安装以下组件

opkg install iptables-mod-ipopt kmod-ipt-ipopt

系统 - 防火墙 - 自定义把这个插入，重启防火墙即可修改 TTL

⚠️ 部分系统不包含自定义防火墙，相关解决方法可以自行搜索，本博客按照 Lean 系 OpenWrt 操作（LEDE/CatWrt/QWRT）

iptables -t mangle -A POSTROUTING -j TTL --ttl-set 64

这里的 64 就是 Windows 常用的，128 就是 Linux 和 MAC 常用的跃点

引用：校园网多设备检测绕过

UA3F

这个方法依赖 SOCK5 代理的软件，比如😺 Clash，对机器性能有要求，如果只是使用 SOCK5 可能要求会比较低，如果做了 UA2F 可以不用这个

opkg install curl libcurl luci-compat
# CatWrt 不需要 luci-compat 
export url='https://blog.sunbk201.site/cdn' && sh -c "$(curl -kfsSl $url/install.sh)"
service ua3f reload