本文将分享一些校园网的白嫖思路（WireGuard / SoftEther VPN Server基于 UDP 53 端口的 VPN 三层白嫖、Socks 5 白嫖+科学上网二合一的四层白嫖），也就是不花一分钱就和一般用户一样使用校园网。

2023/2/23: 更新各平台配置NAT命令和L2TP方法，并根据先前在评论区的答复介绍可以直接放弃的一些不可行的思路

下面列出的思路均要求使用一个校园网的服务器作为中转，因此，需要能够在不需要付费、认证后就能上网的网络环境（一般为办公区或实验室网络）下放一个电脑（树莓派也行）；或者有任意学校服务器的使用权。

整体思路就是找个在学校里面地方搭个服务器中转流量

原理：UDP 53 是 DNS 协议所用端口，由于门户（Portal）认证为了实现 HTTP 劫持跳转到登录页面，必须使得浏览器能够正常地进行 DNS 解析，因此在不认证、不付费的情况下也会放行 UDP 53 端口的流量。

特点：不需要校园网认证，不需要购买校园网，不需要校园网账号。此外由于 VPN 自带加密，因此可以克服开放 Wi-Fi 网络通信完全不加密的缺陷。

下面所列出的两个思路均是三层（IP）级的 VPN 方法，可以转发所有三层报文，因此支持 ICMP 协议（可以用ping）。

注意：使用 UDP 53 端口需要所在网络没有DNS劫持的问题，如果你所在的网络存在DNS劫持（例如，OpenWRT的DHCP/DNS下的”DNS重定向”功能就是DNS劫持），则该方法会失败。

我特别推荐此方案。WireGuard 是几乎无状态的VPN协议，切换网络零感知，不需要重新连接VPN，对于经常睡眠-唤醒的电脑特别有用。睡眠唤醒后可以立刻上网。此外 WireGuard 在 Linux 和 Windows 操作系统上均是纯内核态的实现，性能极其高。

方法：搭建一个 wireguard 服务端，然后端口监听在 53 上

搭建 Linux 服务端的教程很多，一键包也很多。但若要搭建 Windows 服务端，请一定要阅读我之前的这篇文章。

缺点：搭建确实有些复杂，另外配置文件对于不懂计算机网络的人来说实在是晦涩难懂

这是我在实现 WireGuard 方案前所使用的一个方案，此方案比 实现思路1：WireGuard 要差一些，主要体现在有状态、连接耗时长，从睡眠中唤醒后要等大约 30 秒才能可以上网。

优点：比 WireGuard 部署简单。如果不一定必须使用 53 端口的话，客户端不需要安装任何软件即可开始使用（SoftEther VPN Server 同时实现了 L2TP/OpenVPN/SSTP 协议）。

方法：搭建一个 SoftEther VPN Server 服务端，然后如下图所示：

注意一个坑：不要使用 SecureNAT！SoftEther VPN 的 SecureNAT 基于桥接实现，并不是直接使用本机网络做 NAT，这会导致服务端 802.1X 认证对客户端无效，也就是说客户端连上 VPN 后还得再登录一个校园网账号！这个问题我建议的解决方法有二：

对于Linux，设置Tap网卡的NAT命令如下：假设 eno1np0 为你的物理上网网卡，tap_sevpn 为SoftEther VPN Server虚拟网卡

对于 Linux：这样就可以通过NAT上网了，但是你还会发现Softether只是设置了NAT，但不会给用户分配 IP 地址，请继续这样配置：注意按红框操作，注意网关地址和SecureNAT网卡IP地址不同。注意只开DHCP不开虚拟NAT。最后配完再开启securenat

思路3仍然使用 SoftEther VPN Server（因为官方的服务器软件实在是太难用了），不同的是，我们不是使用 SoftEther 的 VPN over DNS 功能，而是点击上图的 OpenVPN / MS-SSTP 设置 ，把 OpenVPN 端口修改为 53

OpenVPN性能不怎么好，纯用户态实现。

裸L2TP性能也很好，毕竟也是内核级实现。思路3仍然使用 SoftEther VPN Server（因为官方的服务器软件实在是太难用了），需要注意，校园网可能不允许 GRE 或 IPSec，导致常规L2TP/IPSec无法使用，因此我推荐使用不加密的裸 L2TP。裸 L2TP 客户端在 Windows 上配置方法如下：

通常来说关掉证书验证、不输入预共享密钥(PSK)、禁用加密的 L2TP/IPSec就是裸L2TP。Android 和 IOS 不支持裸 L2TP。OpenWRT 的 L2TP 默认就是裸 L2TP，不需要特别的操作。

前提条件：即使没有购买校园网，学校也给你分配了校园网账号，只是登录这个校园网账号并不能上网，但是仍可以连通局域网网段（10.0.0.0/8，172.20.0.0/12, 192.168.0.0/16）内的服务器。（已知卓智-锐捷方案正是如此）

这个方案就是上面所列出的三个方案换个端口。

前提条件：即使没有购买校园网，学校也给你分配了校园网账号，只是登录这个校园网账号并不能上网，但是仍可以连通局域网网段（10.0.0.0/8，172.20.0.0/12, 192.168.0.0/16）内的服务器。（已知卓智-锐捷方案正是如此）

优点：白嫖-梯子 二合一，白嫖后就自动科学上网。不像上面的方案，如果服务器本身没有设置 TUN/TAP 级别的全局代理，对于 Android 这种只能同时运行一个 VPN 的操作系统，白嫖就不能科学上网，科学上网就不能白嫖。

缺点：是四层代理，因此不支持 ICMP 协议（不能用ping，ping返回的都是代理软件生成的虚假结果）

这种方法简单粗暴，打开你服务器上的代理软件，直接选上 “允许来自局域网的连接” 就行。以 Clash for windows 为例：

然后客户端使用任意支持裸 socks5 代理的软件上网即可（例如 V2rayN）

缺点：与服务器的通信完全明文不加密。

与搭建一个科学上网服务器的方法完全一样，不再赘述。需要注意的是 V2ray 不支持真正意义上的 UDP。

与非 UDP 53 端口四层白嫖具有同样的优点，但是使用 UDP 协议来封装，因此能跑在 53 端口上。

通常使用 KCP 协议来将 TCP 流量封装为 UDP 流量。根据你要封装的协议，有以下实现方法，请点击链接查看：

PPTP：PPTP 依赖 GRE 隧道，然而 GRE 协议很可能被封了。以我所在的学校校园网为例，只允许 TCP/UDP/ICMP，其他协议一律无法使用。

IKEv2：依赖 IPSec。可能被封了。

SSTP：虽然SEVPN自带，但是基于 HTTPS+TCP，网速极其堪忧。

GRE/IPIP/VXLAN/MPLS：需要两端都是静态 IP，在校园网白嫖的实际生产环境不可行。

转载请遵守 CC BY-NC-SA 4.0 协议并注明来自：校园网白嫖思路分享：局域网中转-不花钱、不认证、高速上网（禁止采集站转载）