إنتقل إلى المحتوى الرئيسي

دليل استخدام خدمة Tsinghua (بشكل أساسي لمستخدمي Linux)

ستركز هذه المقالة على تعليمات استخدام بعض خدمات Tsinghua على أجهزة Linux، بما في ذلك الخوادم البعيدة.

ودليل التنشيط لنظام التشغيل Windows 10 في الحرم الجامعي

DNS/NTP

166.111.8.28
166.111.8.29
2402:f000:1:801::8:28
2402:f000:1:801::8:29

وفقًا لتوصيات شبكة الحرم الجامعي، عند تكوين DNS وNTP، يجب عليك على الأقل استخدام الخدمات التي توفرها شبكة الحرم الجامعي.

حاليًا، يمكن استخدام DNS الذي توفره شبكة الحرم الجامعي فقط داخل شبكة الحرم الجامعي، ولا يمكن ضمان عمل DNS الآخر.

SSLVPN

لا يوجد عميل PULSE SECURE على جهاز Linux. بالإضافة إلى استخدام WEB VPN، يمكنك أيضًا استخدام openconnect للاتصال بـ Tsinghua VPN.

إذا كان نظام دبيان، بما في ذلك أوبونتو، فيمكنك استخدامه

$ apt-get install openconnect

إذا كان Arch Linux، يمكنك استخدامه

$ pacman -S openconnect

قم بتثبيت هذا البرنامج. بالنسبة للتوزيعات الأخرى، يرجى مراجعة المصادر المقابلة بنفسك.

بعد التثبيت استخدم

$ openconnect --juniper https://sslvpn.tsinghua.edu.cn

عندما يكون البروتوكول المحدد هو Juniper، لن يتم تعيين عنوان IPv6 للعميل. إذا تم تغييره إلى Pulse Connect Secure، فيمكنه الحصول على عنوان IPv6. يجب أيضًا تحديد UserAgent للحصول على مسارات IPv6 بشكل صحيح، وإلا ستتم محاولة توجيه كل حركة مرور IPv6 إلى VPN.

استخدم الطريقة التالية للحصول على عنوان IPv6 والتوجيه بشكل صحيح (تحديدًا 2402:f000::/32):

openconnect --protocol=pulse https://sslvpn.tsinghua.edu.cn --useragent Pulse-Secure/9.1.11.6725

بعد إدخال حسابك وكلمة المرور الخاصة بك، سوف تكون متصلاً بشبكة الحرم الجامعي ويمكنك الوصول إلى الخدمات داخل الحرم الجامعي (INFO/USEREG).

ومن الجدير بالذكر أن حركة المرور غير المرتبطة بجامعة تسينغهوا لا تزال تُرسل وفقًا للمسار الأصلي. يختلف هذا السلوك عن ذلك الموجود في Windows. (شهادة الطلب على هذه السلعة)

مصادقة الإنترنت

المعرفة الأساسية بشبكة الحرم الجامعي

清华大学校园网使用简介 (نظرًا لانتهاء صلاحية رابط ترقية صفحة الويب، يرجى الرجوع إلى 备份 على هذا الموقع)

准入上网使用说明 (هذا الموقع备份)

清华大学校园网有线局域网用户准入系统使用说明(问与答) (نظرًا لانتهاء صلاحية رابط ترقية صفحة الويب، يرجى الرجوع إلى 备份 على هذا الموقع)

الوثيقة أعلاه طويلة جدًا ولا أريد قراءتها: هناك خطوتان للوصول إلى الإنترنت على شبكة الحرم الجامعي، إحداهما الوصول والأخرى الوصول.

عندما لا يكون هناك وصول ووصول، يمكن للجهاز فقط تنفيذ الأمر ping 166.111.8.28 و2402:f000:1:801::8:28، إذا كان لديك عناوين v4 وv6 المقابلة. العناوين الأخرى في الحرم الجامعي غير متوفرة.

بالنسبة لـ IPv4، عندما يكون هناك وصول ولكن لا يمكن الوصول، يمكن للجهاز اختبار اتصال الجهاز الموجود داخل الحرم الجامعي، ولكن لا يمكنه اختبار اتصال الجهاز خارج الحرم الجامعي، أي أنه لا يمكنه الوصول إلى الشبكة الخارجية. فقط عندما يكون هناك إذن بالدخول والخروج، يمكن للجهاز الاتصال بالشبكة الخارجية.

بالنسبة لـ IPv6، يحتوي الإصدار 6 فقط على خطوة القبول. مع القبول، يمكنك الاتصال بالشبكة الخارجية.

بالنسبة للأجهزة التي تتمتع بإمكانية الوصول إلى الطبقة الثانية (شبكة سكن Zijing، والشبكة اللاسلكية للمبنى التعليمي، وبعض شبكات الأقسام)، يتم ربط مصادقة v4 ومصادقة v6، أي أنه عند قبول v4، يتم قبول v6 أيضًا في نفس الوقت. بالنسبة للأجهزة التي تتمتع بإمكانية الوصول إلى الطبقة 3 (شبكات بعض الأقسام)، يجب قبول الإصدارين 4 و6 بشكل منفصل.

Tsinghua-Secure يستخدم نظام مصادقة مختلف.

مصادقة سطر الأوامر المصادقة التلقائية

راجع ملخص أدوات المصادقة في utils.md.

المرجع أدناه GoAuthing

مصادقة سطر الأوامر

ينفذ البرنامج سبع وظائف رئيسية، وهي

auth-thu auth # v4准入
auth-thu deauth # 解除v4准入
auth-thu auth -6 # v6准入
auth-thu deauth -6 # 解除v6准入
auth-thu login # v4准出
auth-thu logout # 解除v4准出
auth-thu online # 保持机器在线

يمكن للمستخدمين العاديين وضعه في الدليل الرئيسي الخاص بهم واستخدامه كأداة لسطر الأوامر لتلبية معظم احتياجات المصادقة.

مشكلة معروفة: بعد أن يمرر المستخدم auth-thu auth -C (الإدخال فقط) ويتصل بـ auth-thu login (الخروج فقط)، سيفشل الخروج.

المصادقة التلقائية

بالنسبة لمسؤولي النظام، قد تكون هناك حاجة للخوادم لتنفيذ المصادقة التلقائية.

بعد تنزيل الملف، يرجى وضعه في الدليل المقابل (مثل /usr/local/bin). وفي الوقت نفسه، ضع ملف التكوين في دليل معقول ويمكنك استخدامه.

لتحقيق إخراج دقيق تلقائي، تحتاج إلى وضع goauthing.service أو goauthing@.service المرفق ضمن المجلد /etc/systemd/system/، وضبط المحتوى المقابل ليطابق مسار ملف البرنامج وملف التكوين، استخدم

$ systemctl enable goauthing.service

ابدأ الخدمة المقابلة لتحقيق غرض المصادقة التلقائية. إذا كنت تريد تخزين معلومات الحساب في الدليل الرئيسي للمستخدم بدلاً من /etc، فيمكنك الرجوع إلى goauthing@.service.

إذا كنت تريد تنفيذ القبول التلقائي لـ v6، فيرجى الرجوع إلى goauthing6.service وgoauthing6@.service. إذا كنت تريد فقط القبول التلقائي للإصدار 4، فأنت بحاجة إلى تغيير auth في goauthing.service إلى auth -C وحذف السطر login.

إذا كان أي شخص حزم هذا، يرجى العلاقات العامة. الحزمة auth-thu-bin موجودة حاليًا في AUR (الحزمة auth-thu قديمة).

مصادقة الخادم البعيد

(من تجربة المؤلف، لدى userreg تعليقات أقل حول نجاح وفشل الدخول والخروج. يوصى باستخدام مصادقة سطر الأوامر وصفحات الويب، واستخدام userreg فقط كلوحة حالة)

في بعض الخوادم، لا يمكنك استخدام متصفح لفتح net.tsinghua.edu.cn للمصادقة. يمكنك فقط استخدام [命令行工具](### 命令行认证 自动认证) أو "مصادقة الوصول" لتحقيق الوصول.

لمصادقة الوكيل، تحتاج إلى معرفة عنوان IPv4 الخاص بالخادم أولاً، على شكل 166.111.x.x أو 59.66.x.x أو 101.x.x.x. ثم افتح قسم usereg.tsinghua.edu.cn "الوصول إلى مصادقة الوكيل" واملأ عنوان IP للوصول. أثناء القبول، يمكنك اختيار ما إذا كنت تريد تشغيل الوصول.

بالنسبة لبعض الأجهزة ذات الوصول ثلاثي الطبقات، إذا كنت تريد الوصول إلى الإصدار السادس، فيمكنك أيضًا تحقيق الوصول في "مصادقة وكالة الوصول".

بالنسبة لبعض الخوادم التي لديها حق الوصول ولكن ليس لديها حق الوصول، يمكنك استخدام "الاتصال بعناوين IP الأخرى" لتحقيق الوصول.

وفيما يتعلق بقضايا الدخول والخروج، العلاقات العامة هي موضع ترحيب.

With regard to the performance of IPv4 and IPv6 as they enter and exit, as well as the performance of two/three floors of the school, welcome PR

مصادقة صفحة ويب الخادم البعيد

في بعض الأحيان تكون المعلومات الموجودة في usereg غير دقيقة. إذا كان لا يزال بإمكانك تسجيل الدخول إلى الجهاز باستخدام ssh في الوقت الحالي، بالإضافة إلى "مصادقة سطر الأوامر" المذكورة سابقًا، فيمكنك أيضًا استخدام الخيارات عند تسجيل الدخول.

ssh -D <port> host

بهذه الطريقة، سيتم إنشاء وكيل SOCKS5 بمنفذ <port> محليًا. إذا كنت تستخدم هذا الوكيل في المتصفح، فيمكنك تحقيق مصادقة صفحة الويب كالمعتاد.

على وجه الخصوص، من المهم ملاحظة أنه لا يمكنك الوصول مباشرة إلى auth4/auth6 للمصادقة (راجع الأسئلة والأجوبة). تحتاج إلى الوصول إلى auth4/auth6 من خلال الانتقال السريع للحصول على ac_id الصحيح. بشكل عام، يمكنك الوصول إلى المعلومات/التعلم/تسجيل الدخول للقفز، أو يمكنك القفز عبر 3.3.3.3 و[3:3:3::3]. يعد الأخير حلاً أكثر ملاءمة للمستخدمين الذين لديهم وصول ثلاثي الطبقات للوصول إلى auth6.

تسينغهوا الآمنة

إذا كانت بيئة داخل الحرم الجامعي، فاتصل أولاً بـ Tsinghua-Secure无线网使用指南 للدخول إلى usereg.tsinghua.edu.cn. بعد تسجيل الدخول، قم بتعيين كلمة المرور المستخدمة بواسطة Tsinghua-Secure في 自注册及修改口令处. لا يلزم أن تكون كلمة المرور هذه هي نفس كلمة مرور المعلومات.

مدير الشبكة

بعد الإعداد، يمكنك استخدام NetworkManager للاتصال بشبكة Wifi. يمكنك الرجوع إلى وثائقه 清华大学无线校园网 802.1x 认证登录客户端配置说明 (هذا الموقع 备份)

نموذج التكوين /etc/NetworkManager/system-connections/Tsinghua-Secure.nmconnection هو كما يلي

[connection]
id=Tsinghua-Secure
uuid=44638cf4-782e-4aaa-9ab9-f7a7e68de54c
type=wifi
permissions=
timestamp=1661836652

[wifi]
mac-address-blacklist=
mode=infrastructure
seen-bssids=30:7B:AC:09:BF:EB;30:7B:AC:09:DD:8B;30:7B:AC:09:EF:CB;30:7B:AC:0A:18:2B;30:7B:AC:40:7F:CC;30:7B:AC:40:80:AC;30:7B:AC:40:A0:8A;30:7B:AC:65:0D:2B;30:7B:AC:65:22:6B;30:7B:AC:67:A5:4A;30:7B:AC:67:ED:8A;30:7B:AC:67:F5:8A;30:7B:AC:67:FC:4A;30:7B:AC:67:FC:59;30:7B:AC:92:ED:0C;30:7B:AC:93:08:8A;30:7B:AC:93:0F:CC;30:7B:AC:93:1D:6C;30:7B:AC:93:1D:7A;30:7B:AC:93:2B:2C;30:7B:AC:93:32:2C;30:7B:AC:93:33:2C;30:7B:AC:98:C0:CA;30:7B:AC:98:C1:0C;30:7B:AC:98:C1:CA;30:7B:AC:98:C5:6A;30:7B:AC:98:C8:0A;70:D9:31:23:AF:D2;94:28:2E:3F:ED:CA;94:28:2E:40:0E:CA;A8:58:40:5A:66:B2;A8:58:40:5B:7A:D2;A8:58:40:D5:D1:12;A8:58:40:D5:D3:22;A8:58:40:D5:D3:32;A8:58:40:D6:03:F2;A8:58:40:D6:25:F2;A8:58:40:D6:3C:F2;A8:58:40:D6:3F:52;A8:58:40:D6:44:B2;A8:58:40:D6:45:72;A8:58:40:D6:97:12;A8:58:40:D7:14:D2;
ssid=Tsinghua-Secure

[wifi-security]
key-mgmt=wpa-eap

[802-1x]
eap=peap;
identity=<username>@tsinghua
password=<redacted>
phase2-auth=mschapv2

[ipv4]
dns-search=
method=disabled

[ipv6]
addr-gen-mode=eui64
dns-search=
ignore-auto-dns=true
method=auto
token=::114:514:1919:810

[proxy]

يعمل نموذج التكوين هذا على تمكين IPv6 فقط ويحصل على لاحقة محددة (يُرجى اختيار اللاحقة بنفسك لتجنب تعارض العناوين)، ويستخدم identity من identity لضمان عدم إشغال الحصة النسبية.

يجب إيلاء اهتمام خاص إذا كنت تستوفي الشروط الثلاثة التالية في نفس الوقت:

  1. NetworkManager يستخدم الواجهة الخلفية wpa_supplicant
  2. استخدام الإصدار 3.0.0 والإصدارات الأحدث من openssl
  3. التوزيعة المستخدمة لا تحتوي على wpa_supplicant تحمل علامة 修复 tls 1.0/1.1 连接的 patch (تم التأكيد حاليًا على أن Ubuntu لديه تصحيح، لكن NixOS ليس لديه تصحيح)

إذن قد لا يتمكن NetworkManager من الاتصال بـ Tsinghua-Secure لأن اتصال tls 1.0 معطل. في هذه الحالة هناك حلان، يمكن حل أحدهما:

  1. قم بترقية NetworkManager إلى 1.41.5-dev وما فوق، وللدقة، تأكد من تضمين 这个 commit. أضف سطرًا phase1-auth-flags=32 (tls-1-0-enable في NetworkManager) إلى القسم [802-1x] في ملف التكوين أعلاه. يتوافق هذا الخيار مع 0x20، الذي تم تحويله إلى رقم عشري 32، ولم يتم تسجيل علاقة التحويل هذه حاليًا في المستند، لذلك ليس هناك ضمان بأن الرقم 32 سيكون صالحًا دائمًا. هناك طريقة أكثر ضمانًا وهي ضبط 802-1x.phase1-auth-flags يدويًا على tls-1-0-enable باستخدام nmcli.
  2. قم بتطبيق التصحيح المذكور أعلاه على wpa_supplicant الخاص بك.

wpa_supplicant

يمكنك أيضًا استخدام wpa_supplicant لإكمال اتصال wifi المقابل. قم بتثبيت wpa_supplicant، وقم بتحرير /etc/wpa_supplicant/wpa_supplicant-nl80211-XXXX.conf، حيث XXXX هو اسم بطاقة الشبكة المحلية، ثم أدخل التكوين التالي

ctrl_interface=/var/run/wpa_supplicant
update_config=1

network={
        ssid="Tsinghua-Secure"
        proto=RSN
        key_mgmt=WPA-EAP
        pairwise=CCMP
        eap=PEAP
        identity="username"
        password="password"
        # 使用 3.0.0 及以上版本的 openssl,同时发行版没有打上相应 patch 的话(参见上一节),tls 1.0/1.1 会被默认禁用,无法连接 Tsinghua-Secure。下面这行可以解除禁用
        phase1="tls_disable_tlsv1_0=0"
        phase2="auth=MSCHAPV2"
        priority=9
}

من بينها، username وpassword هي المعلومات المقابلة لحسابك الخاص. ثم أدخل

$ systemctl enable --now wpa_supplicant-nl80211@XXXX.service

أنت جاهز للاتصال.

ملاحظة: تمت المساهمة في هذا التكوين بواسطة orv.

com.iwd

نظرًا لمشكلة شهادة Tsinghua-Secure (يبلغ طول p في dhparams 1024 فقط، وهو لا يتوافق مع Linux 内核的 1536 长度需求)، ويعتمد iwd على أداة تشفير kernel، فلا يمكن الاتصال بالاستخدام الافتراضي لـ iwd.

يوفر NickCao dhack 内核模块 وتصحيحات الأدوات (أدناه) لهذا الغرض؛ يقوم الأول بتنفيذ التصحيح عن طريق اختطاف الرموز المقابلة، ويقوم الأخير مباشرة باستبدال المعلمات الموجودة في الكود المصدري عندما يقوم Nix ببناء حزمة البرنامج. يمكن للمستخدمين بناء حباتهم وأدواتهم الخاصة عن طريق القياس.

iwd.override {
  ell = ell.overrideAttrs (_: {
    postPatch = ''
      substituteInPlace ell/tls-suites.c \
        --replace 'params->prime_len < 192' 'params->prime_len < 128'
    '';
  });
}

وبالإضافة إلى ذلك، التكوين هو على النحو التالي

[Security]
EAP-Method=PEAP
EAP-Identity=<username>
EAP-PEAP-Phase2-Method=MSCHAPV2
EAP-PEAP-Phase2-Identity=<username>
EAP-PEAP-Phase2-Password=<passwd>
[Settings]
AutoConnect=true

تسينغهوا - طريقة تسجيل الدخول الآمنة فقط داخل الحرم الجامعي

لقد لاحظنا أن عنوان IPv4 الذي تم الحصول عليه بعد الاتصال بـ Tsinghua-Secure سيدخل تلقائيًا إلى جدول الصادر المسموح به، والذي قد يشغل الأجهزة الصادرة الحالية في ظروف غير متوقعة.

بعد الاختبار، وجد أنه إذا كان اسم المستخدم المستخدم عند تسجيل الدخول هو "username@tsinghua" (على سبيل المثال، lh14@tsinghua)، فإن سلوك تسجيل الدخول هو نفس "تسجيل الدخول داخل الحرم الجامعي فقط". في هذه الحالة، الإصدار 4 لديه حق الوصول فقط، والإصدار 6 لديه حق الوصول والخروج.

بعد استخدام هذه الطريقة للمصادقة، يمكن استخدام اختبار المؤلف للمصادقة من خلال "net.tsinghua.edu.cn"، ولكن السلوك مختلف على الشبكة السلكية.

مناقشة حول خصائص شبكة الحرم الجامعي

عزل الطبقة الثانية/عزل اكتشاف الجيران

الميزة الرئيسية لشبكة الحرم الجامعي هي عزل الطبقة الثانية/عزل اكتشاف الجيران. بالنسبة للإصدار 4، فهو الأول؛ بالنسبة للإصدار 6، فهو الأخير. تم تصميم هذه الآلية للأمان، ولكنها غير ملائمة للعديد من المطورين/المستخدمين.

تقوم هذه الميزة بشكل أساسي بتقسيم مجال البث عن طريق المحول الأساسي بحيث يكون هناك عميل وبوابة واحدة فقط في نفس مجال البث.

IPv4

عندما يتم تعيين عنوان IP لنا ​​مثل 59.66.130.xx/24، إذا أردنا الاتصال بـ 59.66.130.yy/24، فقد نجد أننا غير قادرين على الاتصال. لاحظ أن هذين الاثنين موجودان في /24، أي طبقة ثانية. في هذه الحالة، ستكتشف الآلتان بعضهما البعض من خلال ARP، لكن في ظل بعض الآليات في المدرسة، لا يمكن لـ ARP العمل.

في هذه الحالة، تحتاج إلى إضافة المسارات التالية على كلا الجهازين.

ip r a 59.66.130.0/24 via 59.66.130.1
ip r a 59.66.130.1 dev eth0

يجب تعديل المعلمات المقابلة وفقًا للوضع الفعلي.

IPv6

لا يواجه IPv6 الخاص بـ Bauhinia هذه المشكلة لأن عنوانه هو /128.

عندما نكون تحت Tsinghua-Secure، سنقوم بتخصيص العناوين من خلال SLAAC، أي أن عناوين الجميع موجودة تحت نفس /64. عندما نريد التواصل مع بعضنا البعض، نحتاج إلى اكتشافهم من خلال NDP. بسبب بعض آليات شبكة الحرم الجامعي، قد لا ينجح برنامج NDP.

في هذه الحالة، تحتاج إلى إضافة المسارات التالية على كلا الجهازين

ip r a 2402:f000:2:b801::/64 via fe80::xxxx dev wlan0

يجب تأكيد المعلمات وفقًا للحالة الفعلية. الأول هو البادئة /64، والتي يمكن كتابتها بالإشارة إلى العنوان الذي تم الحصول عليه أو بالإشارة إلى RA. والثاني هو عنوان LL الخاص بالبوابة، وهو نفس العنوان المعروض في المسار الافتراضي. والثالث هو بطاقة الشبكة اللاسلكية.

حجب المنفذ المنخفض

وفقًا لوثيقة "مقدمة الاستخدام" السابقة، يقوم IPv4 بحظر المنافذ من 0 إلى 1024 ومن 8000 إلى 8100 و3389 و9100. بالإضافة إلى ذلك، ولأسباب معروفة، تم أيضًا حظر المنافذ 1080 و4781 و7890.

بدءًا من خريف عام 2022، سيحظر IPv6 الجزء المنخفض من المنفذ.

IP ديناميكي

بالنسبة لعنوان IP الديناميكي، يمكننا استخدام DDNS لحلها. يقدم كبار المزودين مثل DNSPod وdns.he.net وcloudflare هذه الخدمة.

بأخذ dns.he.net كمثال، قم أولاً بإضافة سجل A/AAAA واختر استخدام DDNS. بعد إنشائه، قم بإنشاء رمز تحديث مميز بعلامة T. نكتب البرنامج النصي التالي

#!/bin/sh
curl -4 "https://domain.example.com:T@dyn.dns.he.net/nic/update?hostname=domain.example.com"

لاحظ أن الرمز هو حرف T فيه. تعديل المعلمات المتبقية حسب الحاجة.

واستخدم cron لتنفيذ البرنامج النصي بشكل دوري، مثلاً كل خمس دقائق. يمكنك الرجوع إلى الأمر https://crontab.guru/ للحصول على شرح مفصل.

لاحقة IPv6 الثابتة أو عنوان IPv6 القصير

نحن نعلم أنه بموجب SLAAC (الشائع في Tsinghua-Secure)، يمكن للعميل تحديد آخر 64 بت من عنوان IPv6. في هذا الوقت، يمكننا تكوين لاحقة ثابتة أو حتى لاحقة قصيرة. إذا كان الجهاز موجودًا في موقع واحد فقط، فيمكن اعتبار البادئة ثابتة تقريبًا (يتطلب التحقق).

(Tucao: الرمز المميز عبارة عن مجموعة من الأدوات التي لم يتم ذكرها تقريبًا في المعايير، وهناك عدد قليل من المستندات (هناك عدد قليل من المستندات لـ IPv6)، ولا يزال شيئًا متخصصًا للغاية؛ بعد كل شيء، من يحتاج إلى لاحقات ثابتة؟ بدلاً من استخدام لاحقات ثابتة للتواصل بين الأجهزة في نفس الشبكة الفرعية (نعم، لا توجد عناصر توجيه مع لاحقات فقط، لذلك تحتاج دائمًا إلى إضافة بادئة إلى جهاز آخر في الشبكة)، فمن الأفضل تكوينها عنوان خاص ثابت)

عادةً ما يكون IPv6 الذي تم تعيينه لنا أكثر تعقيدًا نظرًا لاستخدام EUI64 أو ملحقات الخصوصية. بالنسبة إلى EUI64، يمكن العثور على الحقل ff:fe في العنوان.

يمكننا تكوين اللاحقة الثابتة من خلال iproute2 أو الحزمة التقليدية. من فضلك جوجل لاستخدام هذا الأخير، وطريقة الأول موضحة هنا.

ip token set ::114:514:1919:810/64 dev wlan0

قبل تشغيل هذا الأمر، نحتاج إلى ملاحظة أننا بحاجة إلى إيقاف تشغيل forwarding لبطاقة الشبكة (أثناء التكوين، يمكن تشغيل إعادة التوجيه بعد التكوين)، وفتح accept_ra وautoconf، وإيقاف تشغيل وظيفة v6 لعملاء dhcp الآخرين.

(Tucao: على الرغم من أن dhcpcd هو عميل dhcp، إلا أنه يتولى أيضًا SLAAC، وهو أمر مزعج للغاية. وفقًا للتقاليد، ما عليك سوى فتح accept_ra وautoconf، وستقوم نواة Linux تلقائيًا بتكوين عنوان v6. إذا تم استخدام forwarding=1، فسنحتاج إلى استخدامه accept_ra=2)

sysctl net/ipv6/conf/wlan0/accept_ra=1
sysctl net/ipv6/conf/wlan0/autoconf=1
sysctl net/ipv6/conf/wlan0/forwarding=0

الرجاء استبدال بعض معلمات الأمر أعلاه حسب الحاجة. يمكننا وضع الأمر أعلاه في البرنامج النصي لبدء التشغيل لتكوين الرمز المميز تلقائيًا.

حاول الحصول على عنوان IPv4 أو IPv6 محدد

أنت متسامح مع طلبات الحصول على عناوين محددة في طلبات DHCP (تختلف مصطلحات الإصدارين v4 وv6 ولم يتم ذكرها بشكل صارم).

تكوين dhcpcd

interface enp3s0
request 59.66.190.254
ia_na 64:1a:ff:ff/2402:f000:4:3:888:1926:8:17

تم تحرير بعض المعلومات في التكوين، يرجى الرجوع إلى صفحة الدليل وبيئة الشبكة الفعلية للتكوين.

مرفق أدناه بعض السجلات لاستكشاف عملية تفعيل هذا التكوين. يعتقد المؤلف أنه لا يمكن استخدام هذا التكوين إلا بعد انتهاء عقد الإيجار القديم أو استباق العنوان القديم.

Apr 02 07:00:21 Zenith dhcpcd[497]: enp3s0: IAID 64:1a:ff:ff
Apr 02 07:00:22 Zenith dhcpcd[497]: enp3s0: soliciting a DHCP lease (requesting 59.66.190.254)
Apr 02 07:00:22 Zenith dhcpcd[497]: enp3s0: offered 59.66.190.254 from 166.111.8.9
Apr 02 07:00:22 Zenith dhcpcd[497]: enp3s0: probing address 59.66.190.254/24
Apr 02 07:00:22 Zenith dhcpcd[497]: enp3s0: confirming prior DHCPv6 lease
Apr 02 07:00:32 Zenith dhcpcd[497]: enp3s0: failed to confirm prior DHCPv6 address
Apr 02 07:00:32 Zenith dhcpcd[497]: enp3s0: adding default route via fe80::9629:2fff:fe37:xxxx
Apr 02 07:00:33 Zenith dhcpcd[497]: enp3s0: ADV 2402:f000:4:3:888:1926:8:17/128 from fe80::9629:2fff:fe37:xxxx
Apr 02 07:00:34 Zenith dhcpcd[497]: enp3s0: REPLY6 received from fe80::9629:2fff:fe37:ffff
Apr 02 07:00:34 Zenith dhcpcd[497]: enp3s0: adding address 2402:f000:4:3:888:1926:8:17/128

IPv6 لشبكة الأقسام (الوصول إلى الطبقة 3)

بعض شبكات الأقسام عبارة عن شبكات حرم جامعي ذات وصول ثلاثي الطبقات، ويتم تكوين SLAAC في الشبكة.

بعد تكوين بعض الأجهزة (مثل الإعدادات الافتراضية لنظام التشغيل Windows وبعض إعدادات Linux الافتراضية) باستخدام ملحقات الخصوصية، ستستمر عناوين IPv6 الخاصة بها في التغيير في بيئة SLAAC. نظرًا لأن قبول المدرسة يعتمد على عناوين IPv6، فإن المظهر المحدد هو فقدان الوصول بعد استخدام auth6 للوصول إلى IPv6 لفترة من الوقت، وتحتاج إلى تسجيل الدخول إلى auth6 مرة أخرى.

تتمثل إحدى الطرق في إيقاف تشغيل عنوان IPv6 المؤقت الخاص (يمكنك البحث في Google عن المعلومات ذات الصلة)، والطريقة الأخرى هي استخدام عميل القبول التلقائي، مثل خدمة goauthing6.service التابعة لـ auth-thu المذكورة أعلاه.

غير متوافق مع RFC DHCPv6

لن يتعرف خادم DHCPv6 الخاص بمدرستك على معرفات DUID معينة ولن يستجيب لطلبات DHCP هذه. حتى بعد أن أبلغت المدرسة عن المشكلة وحاولت المدرسة إقناع الشركة المصنعة بإصلاحها، ظلت المشكلة قائمة.

وفقًا للمصادر ذات الصلة، لا يتم التعرف إلا على نوع DUID Type 1، أي DUID-LLT. طريقة التكوين المقابلة لـ dhcpcd موضحة أدناه.

افتح أولاً duid في /etc/dhcpcd.conf، وتأكد من عدم فتح clientid. ثم نتحقق من الملفات التالية

$ cat /var/lib/dhcpcd/duid
00:01:00:01:26:53:6d:9d:ff:ff:ff:ff:ff:ff:ff

إذا كان يبدأ بـ 00:01، فإنه يشير إلى DUID-LLT، وإلا (أو الملف غير موجود) فيجب تغييره إلى التنسيق أعلاه. وفي الوقت نفسه، تحتاج إلى التحقق مما إذا كان ff:ff:ff:ff:ff:ff الأخير هو عنوان MAC الخاص ببطاقة الشبكة ذات الصلة. إذا لم يكن الأمر كذلك، فأنت بحاجة إلى تغييره إلى العنوان المقابل.

تحديث كشف الاختبار أنه ليس لدينا أي فكرة عن كيفية عمل DHCPv6 الخاص بمدرستك. كيف يعمل هو ميتافيزيقي تماما. يمكن استخدام بعضها في حالة تشغيل Anonymize، بينما تفشل بعض المحاولات حتى في حالة تشغيل Anonymize.

للاطلاع على بعض التجارب، يرجى الرجوع إلى https://pwe.cat/zijing-dhcpv6/

لقد وجدت المحاولات الأخيرة أن استخدام إصدار أحدث من systemd-networkd يمكن أن يحصل على العنوان بشكل ثابت.

إذا لم تكن هناك حركة مرور لمدة 30 دقيقة، فسوف تفقد إمكانية الوصول.

وفقًا لـ "تعليمات الوصول إلى الإنترنت" المذكورة سابقًا، عندما لا يستخدم الكمبيوتر الشبكة لفترة طويلة (30 دقيقة حاليًا)، سيقوم نظام المصادقة بإغلاق اتصال الشبكة الخاص به؛ إذا لزم الأمر، يمكن للخادم تنفيذ الأمر ping.tsinghua.edu.cn مرة واحدة كل 10 دقائق. (انتهت الصلاحية)

غير قادر على الخروج بدقة بعد فقدان الخروج الدقيق

قد تفشل بعض الأجهزة التي تعمل لفترة طويلة في الاتصال بالشبكة خارج الحرم الجامعي. في هذه الحالة، قد يحاول العديد من الطلاب التصدير الدقيق في userreg أو سطر الأوامر، لكنهم يجدون أن التصدير الدقيق غير ناجح. في userreg، حتى إذا تم عرض الجهاز في قائمة التصدير الدقيقة، فلا يمكن الوصول إلى الشبكة خارج الحرم الجامعي من الجهاز. نعتقد أن هذه مشكلة في مزامنة الحالة لبعض الأجهزة الموجودة على شبكة الحرم الجامعي.

أحد الحلول الممكنة لهذه المشكلة هو تسجيل الخروج أولاً، ثم الدخول والخروج. قد يؤدي ذلك إلى تحديث حالة بعض الأجهزة في المدرسة، حتى يكون الخروج ناجحًا. يلاحظ! تسجيل الخروج عملية خطيرة للغاية! قد تواجه انقطاع اتصال SSH وتفقد الاتصال بجهازك بشكل دائم! يرجى تشغيلها بعد الفهم الكامل لمعنى هذه العملية ومعرفة كيفية استعادة الوصول بعد تسجيل الخروج!

غير قادر على الخروج بعد القبول (فقط بعد تسجيل الدخول في الحرم الجامعي)

لقد ذكرنا أعلاه طريقة تسجيل الدخول داخل الحرم الجامعي فقط في Tsinghua. توجد أيضًا حلول تسجيل الدخول داخل الحرم الجامعي المقابلة في سطر الأوامر (يرجى التحقق من المعلمات ذات الصلة) وصفحة الويب (مربع الاختيار داخل الحرم الجامعي فقط على واجهة الوصول). ومع ذلك، لاحظ بعض الطلاب أنه بعد تسجيل الدخول فقط في الحرم الجامعي، فشل تسجيل الدخول من خلال net.tsinghua.edu.cn، وفشل تسجيل دخول المستخدم. مثل المشكلة المذكورة أعلاه، يجب أن تكون هذه أيضًا مشكلة تتعلق بحالة أجهزة معينة، ولا يوجد حل حاليًا.

عندما لا يُسمح بذلك، يمكن للأجهزة الأخرى تنفيذ الأمر ping، لكن لا يمكنها استخدام ssh.

يتم تحديد عدم القدرة على استخدام ssh من خلال السياسة المسبقة (راجع "تعليمات نظام وصول مستخدم الشبكة السلكية لشبكة الحرم الجامعي بجامعة تسينغهوا (أسئلة وأجوبة)" في قسم أساسيات شبكة الحرم الجامعي في هذا الفصل)

يتم تحديد القدرة على تنفيذ الأمر ping أيضًا من خلال السياسة المسبقة، لكن هذا غير موثق؛ أي أن حزم رد ICMP مسموح بها عند عدم قبولها.

قرص سحابة تسينغهوا

يوصى باستخدام عميل Linux في seafile.com/download بدلاً من العميل الطرفي، لأن العميل الطرفي يتطلب كلمة مرور مستقلة. تختلف كلمة المرور هذه عن كلمة المرور INFO ولا يمكن الحصول عليها، لذا لا يمكنك تسجيل الدخول من خلال عميل الوحدة الطرفية.

نظرًا لأنه لا يوصى بتثبيت البرنامج يدويًا، يرجى استخدام مدير الحزم للحصول على البرنامج المقابل. بالنسبة لمستخدمي Arch Linux، فإن عميل Linux هو

pacman -S seafile-client

بدلاً من pacman -S seafile، هذه الحزمة هي العميل الطرفي. بالنسبة للتوزيعات الأخرى، يرجى العثور على الحزم المقابلة بنفسك.

باستخدام العميل الطرفي

يدعم العميل الطرفي استخدام الرمز المميز للمزامنة بعد الإصدار 8.0.4. يمكنك العثور على مصدر بنية AMD64 لمعظم الإصدارات في install_linux_client. إذا كان رقم الإصدار seafile أو seafile-cli في مدير الحزم الذي تستخدمه أقل من 8.0.4، فيمكنك تثبيته والرجوع إلى طريقة استبدال بعض الملفات لاحقًا، أو يمكنك تجميع أحدث إصدار يدويًا مباشرةً.

احصل على الرمز المميز

قم بتسجيل الدخول إلى Tsinghua Cloud Disk في المتصفح. يجب أن يكون seahub_auth في ملف تعريف الارتباط بنمط 用户名(学号@tsinghua.edu.cn)@Token، والفقرة الأخيرة هي الرمز المميز. الرمز المميز لكل حساب فريد ولن تنتهي صلاحيته.

بعد أن يتمكن seaf-cli من العمل بشكل طبيعي، يمكنك استخدام سطر الأوامر لإجراء عمليات المزامنة.

seaf-cli init -d ~
seaf-cli start
seaf-cli sync -l <library-id> -s https://cloud.tsinghua.edu.cn -d <place-directory> -T <token>
seaf-cli desync -d <existing-folder>

استبدل بعض الملفات لتنفيذ تسجيل الدخول إلى الرمز المميز

يتواصل seaf-cli بشكل أساسي مع seaf-daemon من خلال pysearpc، وبالتالي فإن الإصدار الأدنى من seafile في معظم المصادر الافتراضية للتوزيعات سيعمل بشكل جيد بمجرد استبدال seaf-cli. فيما يلي طريقة بسيطة لتنفيذ تسجيل الدخول إلى الرمز المميز عن طريق استبدال seaf-cli بعد تثبيت عميل الوحدة الطرفية.

git clone https://github.com/haiwen/seafile
cd seafile
cp app/seaf-cli /usr/bin/seaf-cli
chmod +x /usr/bin/seaf-cli
cp -r python/seafile $(python3 -m site --user-site)

ترجمة العميل الطرفي

للتعرف على عملية التجميع المحددة، يرجى الرجوع إلى build_seafile، ولكن هناك بعض النقاط التي يجب ملاحظتها:

  • قم بتنزيل وتجميع أحدث كود المصدر أو أحدث إصدار في كل مستودع
  • يمكنك تجاهل الجزء ccnet في المستند، وقد اختفى المستودع ولا توجد تبعيات ذات صلة.
  • هناك احتمال أن تفشل عملية التصنيع. يمكنك تجربتها عدة مرات.
  • إذا أبلغ seaf-cli عن خطأ بعد اكتمال التثبيت، على سبيل المثال، No module named 'seafile'، فيمكنك الرجوع إلى القسم السابق لنسخ حزمة seafile يدويًا

يحذر Chrome من أن الملفات التي تم تنزيلها خطيرة

قد يكون سبب هذه الظاهرة هو العملية الغريبة التي قام بها طلاب Qiaoqiu، والتي تسببت في قيام Chrome بوضع علامة على اسم مجال Tsinghua Cloud Disk، وبعد ذلك سيتم تذكير جميع تنزيلات الملفات بأنها قد تكون خطيرة ومحظورة.

يرجى تجاهل هذا التذكير. بالطبع، إذا قمت بتنزيل ملف رائع حقًا، فيرجى التحقق منه بنفسك.

ISATAP (متوقف)

حاليا، الخدمة متوقفة.

المرجع ipv6.tsinghua.edu.cn. يوجد أيضًا AUR 包 thu-isatap كمرجع.

في الوقت الحالي، يمكن لمستخدمي IPv4 العامين داخل الحرم الجامعي فقط استخدام هذه الخدمة، وليس أولئك الموجودين خارج الحرم الجامعي. لاحظ أن 166.111.21.1 عنوان IP هذا لن يستجيب لحزم ping.

احصل على IPv6 المرتبط بـ PT

نظرًا لأنه يمكنك الحصول على عنوان IP العام للحرم الجامعي باستخدام SSLVPN في المنزل، يمكنك استخدام ISATAP للحصول على عنوان Tsinghua IPv6 لتحقيق وظيفة PT، والتي لن تتم مناقشتها بالتفصيل هنا.

تفعيل وين 10

استخدم هذا الأمر ضمن Linux للحصول على تعليمات cmd ذات الصلة

$ dig -t TXT win10.harrychen.xyz +short

أو استخدامها تحت ويندوز

cmd> nslookup -q=TXT win10.harrychen.xyz

ثم قم بتنفيذ البرنامج النصي أثناء الاتصال بـ sslvpn للتنشيط

تنزيلات نظام التشغيل والبرامج الأصلية

لها

قم بزيارة https://its.tsinghua.edu.cn وقم بتسجيل الدخول للحصول على طريقة تنزيل البرامج الأصلية مثل Win10، وبرامج مكافحة الفيروسات، وWPS، وMS Visio، وMS Visual Studio، وMATLAB، وما إلى ذلك.

التونة

تفضل بزيارة https://mirrors.tuna.tsinghua.edu.cn وانقر للحصول على رابط التنزيل.

قطاع IP داخل الحرم الجامعي

يوجد 6/16 في المدرسة، يرجى الرجوع إلى https://bgp.he.net/AS45576

; 重要校园服务基本位于此网段,例如主页
; 机房也常用该网段
; 此网段还可在教学楼、图书馆获取
166.111.0.0/16
; 常用于机房与院系网
101.5.0.0/16
101.6.0.0/16
; 紫荆,C 楼等学生区,以及南部居民区
59.66.0.0/16
; 无线网(两个 /16 还不够用呢)
183.172.0.0/16
183.173.0.0/16
; 内部使用(大概是供路由器等网络基础设施使用)
118.229.0.0/20

يستخدم الإصدار 6 بشكل عام 2402:f000::/32، وتستخدم بعض المناطق 2001:250:200::/48 (معهد أبحاث الإنترنت). توجد فقرة 2001:da8:200::/48 ولكنها غير مستخدمة.