近期看到大家在讨论宽带拨号方式由 PPPoE 改变为了 IPoE,很多朋友在光猫桥接后无法通过路由器拨号上网。尽管我所在地区运营商(河南电信、联通与移动)依旧是 PPPoE 方式上网,但我确实挺好奇 IPoE 这个技术,所以今天去翻了一下文档,发现其实就是带有附加选项的 DHCP 。
IPoE 认证技术基于 DHCP + option60 + option82。用户终端向 BRAS 发送一条带有 option60 选项的 DHCP Discovery 报文,BRAS 将这个报文添加 option82 字段后转交给 DHCP Server ,DHCP Server 依据这些信息向 AAA 识别用户权限,下发指定的 IP 地址和配置。
需要注意的是,AAA 认证时使用的 Username 是:MAC 地址 @option60 。这意味着我们的账号信息与 MAC 地址绑定,因此需要将外网接口的 MAC 地址设置为你的光猫的 MAC 地址。
在 IPoE 中,DHCP 的 option60 选项携带的是用于区分业务类型的字符串,如“IPTV”,“VoIP”等,也许可以在光猫设置中寻找到; option82 选项是用户的线路信息,由 BRAS 自动添加,不需要用户自己配置。
总结以上内容,作为想要光猫桥接、让路由器拨号以获取网络完全控制权的 IPoE 用户来说,一个可行的方案是:
1.查找当前光猫中用于上网的业务类型,如“INTERNET”、“INET”之类的,将其填入 DHCP Client 的 option60 中。
2.将连接外网的接口的 MAC 地址设置为光猫背板贴的 MAC 地址。
3.将 DHCP Client 应用到外网接口上,抛弃光猫吧!
这些操作在 RouterOS 中是技术可行的,但在普通的消费级路由器里很难完成,主要是因为消费级产品不支持指定 DHCP option 的值。OpenWRT 也可以完成这个操作Set DHCP Option。
本文只是技术可行性探讨,由于我所在的地区没有推进 IPoE ,所以我也无从试验,希望能给大家一点思路参考,毕竟,我也是个想要完全控制自己家庭网络,不希望运营商的光猫给我多叠一层 NAT 的卑微用户~
1
weiyan OP 这是电信的,移动似乎不需要这么麻烦,直接能获取 v6 地址然后来个 4in6 tunnel
|
2
Damn 2023-02-06 23:06:49 +08:00 via iPhone
标准的 option60 当然好说,就怕跟 IPTV 一样加密,只能通过 wireshark 之类抓包,option 设置成 hex ,对付 IPTV 简单,光猫不好抓包。。
|
3
weiyan OP @Damn 目前来看并没有加密的需要(我也只是猜想),毕竟 IPTV 加密是由于内容付费的需要,上网协议应该没有这个必要。
同时我看一些朋友的贴子里有说拨号密码,那个也是通过在 option 里加字段进行验证,但是什么字段就不清楚了。 可惜我这边还没有推进 IPoE ,要不然就能动手试试了 |
4
weiyan OP 我挺喜欢 IPoE 的,因为“优雅”哈哈哈哈哈
已经厌倦了 PPPoE ,希望 IPoE 今年年内能推行到我这里,有时间玩一玩 |
5
weiyan OP 一个题外话,我办理了电信的商宽,1000M 下 200M 上,说是动态公网 IP ,实测只要不主动重新拨号,就不会强制下线换 IP 。
![PPPoE]( https://imgur.com/a/HatXfoQ) 之前联通动态公网 IP 是会两三天强制重拨一次的 |
8
zmcity 2023-02-07 09:58:54 +08:00
抛弃光猫是用猫棒代替光猫?
|
9
datou 2023-02-07 11:30:56 +08:00
消费级设备支持 IPoE 不是很正常么?
我有个日版 12 年产的老 buffalo 路由器就支持 IPoE 认证 |
10
weiyan OP @zmcity 用猫棒感觉是最合适的,或者是屏蔽了 tr069 服务的光猫,有 tr069 服务运营商可以随时下发新的配置覆盖掉自己改的桥接
|
11
weiyan OP @datou 就国内厂商来说,消费级产品几乎只支持 PPPoE 拨号,没有推出过 IPoE 支持,因为国内三大运营商主要使用的还是 PPPoE 认证,也许之后 IPoE 普及后会有系统更新推送吧。
日本用 IPoE 似乎比较流行,支持 IPoE 的消费级产品自然就很多了 |
12
MikuM97 2023-02-07 14:45:55 +08:00 8
正常的逻辑,IPOE 认证之后,光猫在桥接模式下,用户端设备只需要发起正常的 DHCP 请求即可,光猫应该负责给用户端发起的 DHCP 请求添加 option60 ,再转发给局端设备。
事实上,从已经实施 IPOE 认证的地区来看,除开移动那种 4in6 隧道之外,其它运营商的光猫,基本在 IPOE 下面都不支持桥接模式,强行在光猫上给你加一层 NAT ,同时 option60 的值还加密,使用国产商密算法,计算用到的密钥是通过 TR069 通道从局端获取的,这样之前 IPTV 通过抓包获取 option 的方式也完全行不通了。 近年来运营商对于桥接的容忍度越来越低了,基本都在想办法更多的控制用户的内网,引导家庭用户把网关上收到光猫上来。也许这是为了下一步推销增值服务,收集用户信息,加强管控做准备吧。例如国际加速、游戏加速、内网设备网速限制或者上网时间管理,后面都是可以单独拿出来卖钱的。例如 PCDN 管控,之前都是整条宽带关停,网关在光猫上的话,也许后面就能做到针对单个设备限速或者封禁,更精确灵活。同时也能更方便地收集用户内网信息,例如你的 PS5 刚前脚刚入网,后脚就打电话给你推销游戏加速业务,甚至根据你的内网终端数量收费,等等,细思极恐! 当然,就和二十年前的星空极速客户端一样,如果大规模实施,应该会有对应的破解方案出来,毕竟原理简单,光猫固件的逆向难度应该也比桌面端要低,我们拭目以待吧。 |
13
mzliangjianjun 2023-02-07 20:25:04 +08:00 via iPhone
@weiyan 多少钱一个月
|
14
weiyan OP @mzliangjianjun 299 ,附带的手机卡每月 150g 流量 1500 分钟通话
|
15
77ShiORi 2023-02-08 00:49:18 +08:00 1
要是按#12 所分析的那样,我觉得精准限制内网和收集用户内网信息反而是最大的坏处。
|
16
weiyan OP @77ShiORi 不过受限于光猫端成本与孱弱的性能,以及日后千兆及以上带宽的普及,对内网流量进行分析与阻止大概率还是无法推行的,最多屏蔽部分目的 ip 或收集用户信息。
不过也足够令人讨厌了,听说过目前移动光猫就内置了类似信息收集的插件。 这也是我拒绝使用运营商光猫的一个原因 |
21
skyoojaa 2023-10-31 10:18:44 +08:00
所以,如果我搞个华为的 3700 或者 5700 ,是否就可以把光纤接到交换机,不用运营商拨号了。然后在用自己的 WiFi 路由进行使用。而 IPTV 这些应该可以通过 vlan 下放什么的。
|