利用VPN绕过校园网认证实现上网

网络安全梯子

创建时间:2020-11-15 18:32

阅读:

利用VPN实现udp53,67,68端口绕过校园网认证上网
1. 原理分析：

利用VPN实现udp53,67,68端口绕过校园网认证上网

原理分析：

这里先重点介绍一下原理，以及使用的这几个端口。毕竟知其然不如知其所以然。
在连接到某个需要 Web 认证的网络之前（就比如连接CDTU），我们已经获得了一个内网 IP，此时，如果我们访问某个 HTTP 网站，网关会对这个 HTTP 响应报文劫持并篡改，302 重定向给我们一个 web 认证界面（所以点 HTTPS 的网站是不可能跳转到 web 认证页面的）。
而网关（或者说交换机）都默认放行 DHCP 和 DNS 报文，也就是 UDP53 与 UDP 67。有些网关甚至不会报文进行检查，这也就意味着任何形式的数据包都可以顺畅通过。
53端口：端口说明:53端口为DNS(Domain Name Server，域名服务器)服务器所开放，主要用于域名解析，DNS服务在NT系统中使用的最为广泛。通过DNS服务器可以实现域名与IP地址之间的转换，只要记住域名就可以快速访问网站。
67和68端口：67是用来接收下级客户请求分配IP 68是向客户发请求成功或失败回应。
DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）是一个局域网的网络协议，使用UDP协议工作，主要有两个用途：给内部网络或网络服务供应商自动分配IP地址，给用户或者内部网络管理员作为对所有计算机作中央管理的手段。其中UDP67和UDP68为正常的DHCP服务端口，分别作为DHCP Server和DHCP Client的服务端口。

开始搭建

服务端使用SoftEther VPN Server
- 到官网下载最新的软件包
- www.softether.org (官网被墙，我之后会把最新的软件包添加到百度云分享出来)
用ssh连接到自己的vps，先更新下并安装 gcc 等工具。
如果是Ubuntu系统，就将下面的yum换成apt即可。
```
yum update && yum upgrade
yum install -y make gcc gcc-c++
```

将自己下载的软件包上传的服务器并解压，或者使用wget进行软件包拉取并解压

wget https://www.softether-download.com/files/softether/v4.34-9745-rtm-2020.04.05-tree/Linux/SoftEther_VPN_Server/64bit_-_Intel_x64_or_AMD64/softether-vpnserver-v4.34-9745-rtm-2020.04.05-linux-x64-64bit.tar.gz

解压之后进入目录vpnserver
```
cd vpnserver/
```
编译
```
make
```
- 之后输3个1，编译成功之后
```
./vpnserver start
```
- 即可启动服务
设置密码
```
./vpncmd
```
依次 1，回车，回车(不要都按成1了)
在提示符下输入 ServerPasswordSet
- 输入管理服务器的密码。两次确定之后，按 ctrl+D退出管理。
最好将vpnsever加入到开机启动项中，这样vps重启了就不用每次都手动开启。
- vi /etc/rc.local
- 在 exit 0 之前写入 /root/vpnserver/vpnserver start

至此，服务端即配置成功

windows上管理 SoftEther VPN Server 服务

安装softether-vpnserver_vpnbridge，选择仅限管理工具安装
打开软件，点击新设置，其中设置名随便设置，主机号写服务器公网IP，密码输入刚才设置的
- 然后选择刚刚新建的设置，点击连接按钮。关闭两个窗口来到主要的管理界面。
点击管理虚拟 Hub – 管理用户，左下角的新建。输入用户名，可以使用匿名的方式认证、也可以使用账号密码、甚至是证书认证也可以。安全策略那里可以设置此用户的最大下载速度、最大上传速度。
输入用户名，和用户名对应的密码
点击虚拟NAT和虚拟DHCP服务器，再点击启用SecureNAT
点击IPsec/L2TP设置，勾选前两个启用，设置一个预共享秘钥
点击OpenVPN/MS-SSTP设置，把端口改为67，保存退出窗口后再次点进来，点击为OpenVpn Client生成配置样本文件