清華サービス利用ガイド(主にLinuxユーザー向け)
この記事では、リモート サーバーを含む、Linux マシン上の一部の清華サービスの使用手順に焦点を当てます。
キャンパス内での Windows 10 のアクティベーション ガイド
DNS/NTP
166.111.8.28
166.111.8.29
2402:f000:1:801::8:28
2402:f000:1:801::8:29
キャンパス ネットワークの推奨事項に従って、DNS と NTP を構成する場合は、少なくともキャンパス ネットワークによって提供されるサービスを使用する必要があります。
現在、学内ネットワーク内で利用できるのは学内ネットワークが提供するDNSのみであり、それ以外のDNSは動作保証しておりません。
SSLVPN
Linux マシンには PULSE SECURE クライアントはありません。 WEB VPN の使用に加えて、openconnect を使用して清華 VPN に接続することもできます。
Ubuntuを含むDebianシステムの場合は、次のように使用できます。
$ apt-get install openconnect
Arch Linux の場合は、次のように使用できます。
$ pacman -S openconnect
このソフトウェアをインストールします。その他のディストリビューションについては、対応するソースをご自身でご確認ください。
インストール後、使用します
$ openconnect --juniper https://sslvpn.tsinghua.edu.cn
指定されたプロトコルが Juniper の場合、クライアントには IPv6 アドレスが割り当てられません。 Pulse Connect Secureに変更するとIPv6アドレスが取得できるようになります。 IPv6 ルートを正しく取得するには UserAgent も指定する必要があります。指定しないと、�すべての IPv6 トラフィックが VPN にルーティングされようとします。
次の方法を使用して、IPv6 アドレスとルート (具体的には 2402:f000::/32) を正しく取得します。
openconnect --protocol=pulse https://sslvpn.tsinghua.edu.cn --useragent Pulse-Secure/9.1.11.6725
アカウントとパスワードを入力すると、学内ネットワークに接続され、学内サービス(INFO/USEREG)にアクセスできるようになります。
清華大学に関係のないトラフィックは依然として元のルートに従って送信されることに注意してください。この動作は Windows での動作とは異なります。 (本品に対する督促状)
インターネット認証
キャンパスネットワークの基礎知識
清华大学校园网使用简介 (Web ページのアップグレード リンクの有効期限が切れているため、このサイトの 备份 を参照してください)
清华大学校园网有线局域网用户准入系统使用说明(问与答) (Web ページのアップグレード リンクの有効期限が切れているため、このサイトの 备份 を参照してください)
上記の文書は長すぎるので読みたくないのですが、キャンパス ネットワークでインターネットにアクセスするには 2 つの手順があります。1 つはアクセス、もう 1 つはアクセスです。
アクセスがない場合、対応する v4 および v6 アドレスがある場合、マシンは 166.111.8.28 および 2402:f000:1:801::8:28 にのみ ping を実行できます。キャンパス内の他の住所は利用できません。
IPv4 の場合、アクセスはあるがアクセスがない場合、学内のマシンには ping できますが、学外のマシンには ping ができません。つまり、外部ネットワークにアクセスできません。出入りの許可がある場合のみ、本機は��外部ネットワークに接続できます。
IPv6 の場合、v6 にはアドミッション ステップのみがあります。入会すると外部ネットワークに接続できるようになります。
レイヤ 2 アクセスを持つマシン (紫京寮ネットワーク、教育棟無線ネットワーク、および一部の学部ネットワーク) の場合、v4 認証と v6 認証はリンクされています。つまり、v4 が許可されると、同時に v6 も許可されます。レイヤ 3 アクセスを持つマシン (一部の部門のネットワーク) の場合、v4 と v6 を個別に許可する必要があります。
Tsinghua-Secure は別の認証システムを使用します。
コマンドライン認証 自動認証
utils.md の認証ツールの概要を参照してください。
以下を参照 GoAuthing
コマンドライン認証
このソフトウェアは 7 つの主要な機能を実装しています。
auth-thu auth # v4准入
auth-thu deauth # 解除v4准入
auth-thu auth -6 # v6准入
auth-thu deauth -6 # 解除v6准入
auth-thu login # v4准出
auth-thu logout # 解除v4准出
auth-thu online # 保持机器在线
一般のユーザーは、これをホーム ディレクトリに配置し、ほとんどの認証ニーズを満たすコマンド ライン ツールとして使用できます。
既知の問題: ユーザーが auth-thu auth -C (エントリのみ) を渡し、auth-thu login (終了のみ) を呼び出した後、終了は失敗します。
自動認証
システム管理者の場合、サーバーに自動認証を実装する必要がある場合があります。
ファイルをダウンロードしたら、対応するディレクトリ(/usr/local/bin など)に配置してください。同時に、設定ファイルを適切なディレクトリに配置すると、それを使用できるようになります。
自動 正確な出力��を実現するには、添付の goauthing.service または goauthing@.service を /etc/systemd/system/ フォルダーの下に配置し、プログラム ファイルと構成ファイルのパスに一致するように対応するコンテンツを調整する必要があります。
$ systemctl enable goauthing.service
自動認証の目的を達成するために、対応するサービスを開始します。アカウント情報を /etc ではなくユーザーのホーム ディレクトリに保存したい場合は、goauthing@.service を参照してください。
v6 の自動入場を実装したい場合は、goauthing6.service および goauthing6@.service を参照してください。 v4 自動アドミッションのみが必要な場合は、goauthing.service の auth を auth -C に変更し、login 行を削除する必要があります。
誰かがこれをパッケージ化したら、PRしてください。 auth-thu-bin パッケージは現在 AUR に存在します (auth-thu パッケージは廃止されました)。
リモートサーバー認証
(作成者の経験から、usereg は、開始と終了の成功と失敗に関するフィードバックが少ないです。コマンド ラインと Web ページ認証を使用し、usereg をステータス パネルとしてのみ使用することをお勧めします)
一部のサーバーでは、認証のためにブラウザを使用して net.tsinghua.edu.cn を開くことができません。アクセスを実現するには、[命令行工具](### 命令行认证 自动认证) または「アクセス認証」のみを使用できます。
プロキシ認証の場合は、まずサーバーの IPv4 アドレスを 166.111.x.x、59.66.x.x、または 101.x.x.x の形式で知る必要があります。次に、usereg.tsinghua.edu.cn「プロキシ認証へのアクセス」セクションを開き、アクセスするための IP を入力します。入場時にアクセスをオンにするかどうかを選択できます。
3 層アクセスを備えた一部のマシンでは、v6 アクセスを実現したい場合は、「アクセス代理店認証」でアクセスを実現することもできます。
アクセス権はあるもののアクセス権がない一部のサーバーについては、「他の IP に接続」を使用してアクセスを実現できます。
参入と退出の問題については、PR を歓迎します。
オンライン入退室時とオフライン入退室時のIPv4とIPv6のパフォーマンス、学内でのレイヤ2アクセス/レイヤ3アクセスのパフォーマンスについて、広報の方を歓迎します。
リモートサーバーのWebページ認証
usereg の情報が正確でない場合があります。この時点でまだ ssh でマシンにログインできる場合は、前述の「コマンドライン認証」に加えて、ログイン時にオプションを使用することもできます。
ssh -D <port> host
このようにして、<port> をポートとして持つ Socks5 プロキシがローカルに構築されます。ブラウザでこのプロキシを使用すると、通常どおり Web ページ認証を実現できます。
特に、認証のために auth4/auth6 に直接アクセスすることはできないことに注意してください (Q&A を参照)。正しい ac_id を取得するには、jump を通じて auth4/auth6 にアクセスする必要があります。一般に、情報/学習/ログインにアクセスしてジャンプすることも、3.3.3.3 および [3:3:3::3] を経由してジャンプすることもできます。後者は、auth6 にアクセスするための 3 層アクセスを持つユーザーにとって、より便利なソリューションです。
清華セキュア
学内環境の場合は、まずTsinghua-Secure无线网使用指南に接続し、usereg.tsinghua.edu.cnに入ります。ログイン後、Tsinghua-Secure で使用するパスワードを 自注册及修改口令处 に設定します。このパスワードは、情報パスワードと同じである必要はありません。
ネットワークマネージャー
セットアップ後、NetworkManager を使用して Wifi に接続できます。そのドキュメント 清华大学无线校园网 802.1x 认证登录客户端配置说明 (このサイト 备份) を参照してください。
サンプル構成 /etc/NetworkManager/system-connections/Tsinghua-Secure.nmconnection は次のとおりです
[connection]
id=Tsinghua-Secure
uuid=44638cf4-782e-4aaa-9ab9-f7a7e68de54c
type=wifi
permissions=
timestamp=1661836652
[wifi]
mac-address-blacklist=
mode=infrastructure
seen-bssids=30:7B:AC:09:BF:EB;30:7B:AC:09:DD:8B;30:7B:AC:09:EF:CB;30:7B:AC:0A:18:2B;30:7B:AC:40:7F:CC;30:7B:AC:40:80:AC;30:7B:AC:40:A0:8A;30:7B:AC:65:0D:2B;30:7B:AC:65:22:6B;30:7B:AC:67:A5:4A;30:7B:AC:67:ED:8A;30:7B:AC:67:F5:8A;30:7B:AC:67:FC:4A;30:7B:AC:67:FC:59;30:7B:AC:92:ED:0C;30:7B:AC:93:08:8A;30:7B:AC:93:0F:CC;30:7B:AC:93:1D:6C;30:7B:AC:93:1D:7A;30:7B:AC:93:2B:2C;30:7B:AC:93:32:2C;30:7B:AC:93:33:2C;30:7B:AC:98:C0:CA;30:7B:AC:98:C1:0C;30:7B:AC:98:C1:CA;30:7B:AC:98:C5:6A;30:7B:AC:98:C8:0A;70:D9:31:23:AF:D2;94:28:2E:3F:ED:CA;94:28:2E:40:0E:CA;A8:58:40:5A:66:B2;A8:58:40:5B:7A:D2;A8:58:40:D5:D1:12;A8:58:40:D5:D3:22;A8:58:40:D5:D3:32;A8:58:40:D6:03:F2;A8:58:40:D6:25:F2;A8:58:40:D6:3C:F2;A8:58:40:D6:3F:52;A8:58:40:D6:44:B2;A8:58:40:D6:45:72;A8:58:40:D6:97:12;A8:58:40:D7:14:D2;
ssid=Tsinghua-Secure
[wifi-security]
key-mgmt=wpa-eap
[802-1x]
eap=peap;
identity=<username>@tsinghua
password=<redacted>
phase2-auth=mschapv2
[ipv4]
dns-search=
method=disabled
[ipv6]
addr-gen-mode=eui64
dns-search=
ignore-auto-dns=true
method=auto
token=::114:514:1919:810
[proxy]
このサンプル構成では、IPv6 のみを有効にし、特定のサフィックスを取得し (アドレスの衝突を避けるためにサフィックスを自分で選択してください)、identity の identity を使用してクォータが占有されていないことを確認します。
次の 3 つの条件を同時に満たす場合は、特に注意が必要です。
NetworkManagerはwpa_supplicantバックエンドを使用しますopensslのバージョン 3.0.0 以降を使用する- 使用されているディストリビューションには、修复 tls 1.0/1.1 连接的 patch でマークされた
wpa_supplicantがありません (現在、Ubuntu にはパッチがあることが確認されていますが、NixOS にはパッチがありません)
この場合、TLS 1.0 接続が無効になっているため、NetworkManager は Tsinghua-Secure に接続できない可能性があります。この場合、解決策は 2 つあり、どちらでも解決できます。
- NetworkManager を
1.41.5-dev以降にアップグレードします。正確には、这个 commit が含まれていることを確認してください。上記の構成ファイルの[802-1x]セクションに行phase1-auth-flags=32(NetworkManagerのtls-1-0-enable) を追加します。このオプションは、10 進数の32に変換された0x20に対応します。この変換関係は現在ドキュメントに記録されていないため、数値 32 が常に有効であるという保証はありません。より確実な方法は、nmcliを使用して、802-1x.phase1-auth-flagsをtls-1-0-enableに手動で設定することです。 - 上記のパッチを
wpa_supplicantに適用します。
wpa_サプリカント
wpa_supplicant を使用して、対応する Wi-Fi 接続を完了することもできます。 wpa_supplicant をインストールし、/etc/wpa_supplicant/wpa_supplicant-nl80211-XXXX.conf を編集します (XXXX はローカル ネットワーク カードの名前です)。次の構成を入力します。
ctrl_interface=/var/run/wpa_supplicant
update_config=1
network={
ssid="Tsinghua-Secure"
proto=RSN
key_mgmt=WPA-EAP
pairwise=CCMP
eap=PEAP
identity="username"
password="password"
# 使用 3.0.0 及以上版本的 openssl,同时发行版没有打上相应 patch 的话(参见上一节),tls 1.0/1.1 会被默认禁用,无法连接 Tsinghua-Secure。下面这行可以解除禁用
phase1="tls_disable_tlsv1_0=0"
phase2="auth=MSCHAPV2"
priority=9
}
このうち、usernameとpasswordがご自�身のアカウントの対応情報となります。次に入力してください
$ systemctl enable --now wpa_supplicant-nl80211@XXXX.service
接続する準備ができました。
注: この設定は orv によって提供されました。
iwd
Tsinghua-Secure の証明書の問題 (dhparams の p の長さは 1024 のみで、Linux 内核的 1536 长度需求 に準拠していない) と iwd がカーネルの暗号化ツールに依存しているため、iwd のデフォルトの使用では接続できません。
NickCao は、この目的のために dhack 内核模块 と ell ツール パッチ (下記) を提供します。前者は対応するシンボルをハイジャックすることでパッチを実装し、後者は nix がソフトウェア パッケージをビルドするときにソース コード内のパラメーターを直接置き換えます。ユーザーは、類推して独自のカーネルとツールを構築�できます。
iwd.override {
ell = ell.overrideAttrs (_: {
postPatch = ''
substituteInPlace ell/tls-suites.c \
--replace 'params->prime_len < 192' 'params->prime_len < 128'
'';
});
}
なお、構成は以下の通りです
[Security]
EAP-Method=PEAP
EAP-Identity=<username>
EAP-PEAP-Phase2-Method=MSCHAPV2
EAP-PEAP-Phase2-Identity=<username>
EAP-PEAP-Phase2-Password=<passwd>
[Settings]
AutoConnect=true
Tsinghua-Secure のみの学内ログイン方法
Tsinghua-Secure への接続後に取得された IPv4 アドレスは、許可された送信テーブルに自動的に入力され、予期しない状況で既存の送信デバイスを占有する可能性があることがわかりました。
テストの結果、ログイン時のユーザー名が「username@tsinghua」(例: lh14@tsinghua)の場合、ログイン動作は「学内ログインのみ」と同じであることがわかりました。この場合、v4 はアクセスのみを持ち、v6 はアクセスと終了を持ちます。
この方法を認証に使用した後、作成者のテストを使用して「net.tsinghua.edu.cn」を通じて認証できるようになりますが、有線ネットワークでは動作が異なります。
キャンパスネットワークの特性に関す�るディスカッション
第 2 層分離/近隣探索分離
キャンパス ネットワークの主な機能は、レイヤー 2 分離/近隣探索分離です。 v4 の場合は前者です。 v6 の場合は後者です。このメカニズムはセキュリティを考慮して設計されていますが、多くの開発者/ユーザーにとっては不便です。
この機能は基本的にコア スイッチによってブロードキャスト ドメインを分割し、同じブロードキャスト ドメイン内にクライアントとゲートウェイが 1 つだけ存在するようにします。
IPv4
59.66.130.xx/24 などの IP が割り当てられている場合、59.66.130.yy/24 に接続しようとすると、接続できない場合があります。これら 2 つは /24、つまり 2 番目の層にあることに注意してください。この場合、2 台のマシンは ARP を通じてお互いを検出しますが、学校の一部のメカニズムでは ARP が機能しません。
この場合、両方のマシンに次のルートを追加する必要があります。
ip r a 59.66.130.0/24 via 59.66.130.1
ip r a 59.66.130.1 dev eth0
実際の状況に応じて、対応するパラメータを変更する必要があります。
IPv6
Bauhinia の IPv6 ではアドレスが /128 であるため、この問題は発生しません。
Tsinghua-Secure の下にある場合、SLAAC を通じてアドレスを割り当てます。つまり、全員のアドレスが同じ /64 の下にあります。お互いに通信したいときは、NDP を通じて相手を発見する必要があります。キャンパス ネットワークのメカニズムによっては、NDP が成功しない可能性があります。
この場合、両方のマシンに次のルートを追加する必要があります。
ip r a 2402:f000:2:b801::/64 via fe80::xxxx dev wlan0
実際の状況に応じてパラメータを確認する必要があります。 1 つ目は /64 プレフィックスで、取得したアドレスを参照するか、RA を参照して書き込むことができます。 2 番目はゲートウェイの LL アドレスで、デフォルト ルートに表示されるアドレスと同じです。 3 つ目はワイヤレス ネットワーク カードです。
ポートブロッキングが少ない
以前の「使用方法の概要」ドキュメントによると、IPv4 はポート 0 ~ 1024、8000 ~ 8100、3389 および 9100 をブロックします。さらに、よく知られた理由により、ポート 1080、4781、および 7890 もブロックされます。
2022 年の秋から、IPv6 は低ポート部分をブロックします。
動的IP
動的 IP の場合は、DDNS を使用して解決できます。 DNSPod、dns.he.net、cloudflare などの主要プロバイダーがこのサービスを提供しています。
dns.he.net を例に挙げると、まず A/AAAA レコードを追加し、DDNS の使用を選択します。作成後、T とマークされた更新トークンを作成します。次のスクリプトを作成します。
#!/bin/sh
curl -4 "https://domain.example.com:T@dyn.dns.he.net/nic/update?hostname=domain.example.com"
Token はその中の T であることに注意してください。必要に応じて残りのパラメータを変更します。
また、cron を使用してスクリプトを定期的に (たとえば 5 分ごとに) 実行します。詳細な説明については、https://crontab.guru/ コマンドを参照してください。
IPv6 静的サフィックスまたは短い IPv6 アドレス
SLAAC (清華セキュアで一般的) では、IPv6 アドレスの最後の 64 ビットはクライアントによって決定できることがわかっています。現時点では、静的サフィックスまたは短いサフィックスを構成できます。マシンが 1 つの場所にのみ存在する場合、プレフィックスはほぼ固定されていると考えられます (要検証)。
(Tucao: トークンは、標準規格ではほとんど言及されていないツールのセットであり、ドキュメントもほとんどなく (IPv6 に関するドキュメントもほとんどない)、依然として非常にニッチなものです。結局のところ、静的サフィックス��を必要とする人がいるでしょうか? 同じサブネット内のマシン間の通信に静的サフィックスを使用する代わりに (そうです、サフィックスのみを持つルーティング項目はないため、ネットワーク内の別のマシンに常にプレフィックスを追加する必要があります)、その方が良いでしょう。静的プライベート アドレスを構成するには)
通常、割り当てられる IPv6 は EUI64 またはプライバシー拡張機能が使用されるため、より複雑になります。 EUI64 の場合、ff:fe フィールドはアドレスにあります。
iproute2 または従来のパッケージを通じて静的サフィックスを構成できます。後者の使い方についてはGoogleで調べてください。前者の方法はここに記載されています。
ip token set ::114:514:1919:810/64 dev wlan0
このコマンドを実行する前に、ネットワーク カードの forwarding をオフにし (構成中、構成後に転送をオンにすることができます)、accept_ra と autoconf を開き、他の dhcp クライアントの v6 機能をオフにする必要があることに注意する必要があります。
(Tucao: dhcpcd は dhcp クライアントですが、SLAAC も引き継ぎます。これは非常に面倒です。伝統によれば、accept_ra と autoconf を開くだけで、Linux カーネルが v6 アドレスを自動的に構成します。forwarding=1 が使用されている場合は、次を使用する必要があります。 accept_ra=2)
sysctl net/ipv6/conf/wlan0/accept_ra=1
sysctl net/ipv6/conf/wlan0/autoconf=1
sysctl net/ipv6/conf/wlan0/forwarding=0
必要に応じて、上記のコマンドの一部のパラメータを置き換えてください。上記のコマンドを起動スクリプトに追加して、トークンを自動的に構成できます。
特定の IPv4 または IPv6 アドレスの取得を試みます
DHCP リクエストにおける特定のアドレスのリクエストを許容します (v4 と v6 の用語は異なり、厳密には規定されていません)。
dhcpcd 構成
interface enp3s0
request 59.66.190.254
ia_na 64:1a:ff:ff/2402:f000:4:3:888:1926:8:17
構成内の一部の情報は編集されています。構成についてはマニュアル ページおよび実際のネットワーク環境を参照してください。
この構成が有効になるプロセスを調査するためのいくつかのログを以下に添付します。著者は、この構成は古いリースの期限が切れるか、古いアドレスがプリエンプトされた後にのみ使用できると考えています。
Apr 02 07:00:21 Zenith dhcpcd[497]: enp3s0: IAID 64:1a:ff:ff
Apr 02 07:00:22 Zenith dhcpcd[497]: enp3s0: soliciting a DHCP lease (requesting 59.66.190.254)
Apr 02 07:00:22 Zenith dhcpcd[497]: enp3s0: offered 59.66.190.254 from 166.111.8.9
Apr 02 07:00:22 Zenith dhcpcd[497]: enp3s0: probing address 59.66.190.254/24
Apr 02 07:00:22 Zenith dhcpcd[497]: enp3s0: confirming prior DHCPv6 lease
Apr 02 07:00:32 Zenith dhcpcd[497]: enp3s0: failed to confirm prior DHCPv6 address
Apr 02 07:00:32 Zenith dhcpcd[497]: enp3s0: adding default route via fe80::9629:2fff:fe37:xxxx
Apr 02 07:00:33 Zenith dhcpcd[497]: enp3s0: ADV 2402:f000:4:3:888:1926:8:17/128 from fe80::9629:2fff:fe37:xxxx
Apr 02 07:00:34 Zenith dhcpcd[497]: enp3s0: REPLY6 received from fe80::9629:2fff:fe37:ffff
Apr 02 07:00:34 Zenith dhcpcd[497]: enp3s0: adding address 2402:f000:4:3:888:1926:8:17/128
部門内ネットワークのIPv6(レイヤー3アクセス)
一部の学部ネットワークは3層アクセスのキャンパスネットワークとなっており、ネットワーク内にSLAACが設定されています。
一部のマシン (Windows のデフォルト設定や一部の Linux のデフォルト設定など) にプライバシー拡張機能が構成された後、その IPv6 アドレスは SLAAC 環境で引き続き変更されます。学校の入学は IPv6 アドレスに基づいて行われるため、具体的な症状としては、auth6 を使用して一定期間 IPv6 にアクセスした後にアクセスが失われ、再度 auth6 にログインする必要があるということです。
1 つの方法は、IPv6 プライベート一時アドレスをオフにすることです (Google で関連情報を検索できます)。もう 1 つの方法は、前述の auth-thu の goauthing6.service などの自動受付クライアントを使用することです。
RFC に準拠していない DHCPv6
学校の DHCPv6 サーバーは特定の DUID を認識せず、そのような DHCP 要求に応答しません。学校が問題を報告し、メーカーに修正を求めた後でも、問題は依然として存在しました。
関連情報源によると、DUID タイプ 1、つまり DUID-LLT のみが認識されます。対応する dhcpcd の設定方法は以下のとおりです。
まず、
/etc/dhcpcd.confのduidを開き、clientidが開かれていないことを確認します。次に、次のファイルを確認します「」 $ cat /var/lib/dhcpcd/duid 00:01:00:01:26:53:6d:9d:ff:ff:ff:ff:ff:ff 「」
00:01で始まる場合は DUID-LLT を示します。そうでない場合 (またはファイルが存在しない場合)、上記の形式に変更する必要があります。同時に、最後のff:ff:ff:ff:ff:ffが関連するネットワーク カードの MAC アドレスであるかどうかを確認する必要があります。そうでない場合は、対応するアドレスに変更�する必要があります。更新 テストの結果、あなたの学校の DHCPv6 がどのように機能するかわからないことが判明しました。それがどのように機能するかは完全に形而上学的です。匿名化がオンになっている場合に使用できるものもありますが、匿名化がオンになっている場合でも失敗するものもあります。
一部のエクスペリエンスについては、https://pwe.cat/zijing-dhcpv6/ を参照してください。
最近の試みにより、新しいバージョンの systemd-networkd を使用するとアドレスを安定して取得できることがわかりました。
30 分間トラフィックがないと、アクセスできなくなります。
前述の「インターネット アクセス アクセスに関する説明書」によると、コンピューターが長時間 (現在 30 分) ネットワークを使用しない場合、認証システムはネットワーク接続を切断します。 必要に応じて、サーバーは 10 分ごとに ping.tsinghua.edu.cn に ping を実行できます。 (期限切れ)
正確な出口を失った後、正確に出口できない
長時間稼働しているマシンによっては、学外ネットワークに接続できなくなる場合があります。この場合、多くの学生は usereg またはコマンド ラインで 正確なエクスポート を試みますが、正確なエクスポートが失敗することがわかります。 usereg では、正確なエクスポートリストにマシンが表示されていても、そのマシンから学外ネットワークにアクセスすることはできません。これは、キャンパス ネットワーク上の一部のデバイスのステータス同期に問題があると考えられます。
この問題に対する考えられる解決策の 1 つは、まずログアウトしてから、入って終了することです。これにより、学校内の一部のマシンのステータスが更新され、正常に終了できるようになります。知らせ!ログアウトは非常に危険な操作です。 SSH 切断が発生し、マシンとの接続が永久に失われる可能性があります。この操作の意味をよく理解し、ログアウト後のアクセスを回復する方法を知った上で操作してください。
入学後退出不可(学内ログイン後のみ)
Tsinghua-Secure のキャンパス内専用ログイン方法については上で説明しました。コマンド ライン (関連するパラメーターを確認してください) および Web ページ (アクセス インターフェイスのオンキャンパスのみチェック ボックス) には、対応するキャンパス内ログイン ソリューションもあります。しかし、一部の学生は、キャンパス内でログインしただけでは、net.tsinghua.edu.cn 経由のログインが失敗し、usereg ログインも失敗したことに気づきました。上記の問題と同様、これも特定のデバイスのステータスに問題があるはずですが、現時点では解決策はありません。
許可されていない場合、他のマシンは ping は実行できますが、ssh は実行できません。
SSH が使用できないかどうかは、事前ポリシーによって決まります (この章の「キャンパス ネットワークの基本」セクションの「清華大学キャンパス ネットワークの有線 LAN ユーザー アクセス システムの説明 (Q&A)」を参照してください)。
ping を実行できるかどうかも事前ポリシーによって決まりますが、これは文書化されていません。つまり、ICMP 応答パケットは、許可されない場合でも許可されます。
清華クラウドディスク
ターミナル クライアントには独立したパスワードが必要なため、ターミナル クライアントではなく seafile.com/download の Linux クライアントを使用することをお勧めします。このパスワードは INFO パスワードとは異なるため取得できないため、ターミナル クライアントからログインできません。
ソフトウェアの手動インストールは推奨されないため、パッケージ マネージャーを使用して対応するソフトウェアを入手してください。 Arch Linux ユーザーの場合、Linux クライアントは次のとおりです。
pacman -S seafile-client
pacman -S seafile の代わりに、このパッケージはターミナル クライアントです。他のディストリビューションについては、対応するパッケージをご自身で見つけてください。
ターミナルクライアントの使用
ターミナル クライアントは、バージョン 8.0.4 以降の同期にトークンの使用をサポートします。ほとんどのリリースの AMD64 アーキテクチャのソースは install_linux_client にあります。使用しているパッケージ マネージャーの seafile または seafile-cli のバージョン番号が 8.0.4 より低い場合は、インストールして後でいくつかのファイルを置き換える方法を参照するか、最新バージョンを手動で直接コンパイルすることができます。
トークンの取得
ブラウザで Tsinghua Cloud Disk にログインします。 Cookie 内の seahub_auth は 用户名(学号@tsinghua.edu.cn)@Token のパターンである必要があり、最後の段落はトークンです。各アカウントのトークンは一意であり、期限切れになりません。
seaf-cli が正常に実行できるようになると、コマンド ラインを使用して同期操作を実行できるようになります。
seaf-cli init -d ~
seaf-cli start
seaf-cli sync -l <library-id> -s https://cloud.tsinghua.edu.cn -d <place-directory> -T <token>
seaf-cli desync -d <existing-folder>
トークンログインを実装するためにいくつかのファイルを置き換えます
seaf-cli は基本的に pysearpc を介して seaf-daemon と通信するため、ほとんどのディストリビューションのデフォルト ソースにある seafile の下位バージョンは、seaf-cli を置き換えるだけで問題なく動作します。ここでは、ターミナル クライアントのインストール後に seaf-cli を置き換えることによってトークン ログインを実装する簡単な方法を示します。
git clone https://github.com/haiwen/seafile
cd seafile
cp app/seaf-cli /usr/bin/seaf-cli
chmod +x /usr/bin/seaf-cli
cp -r python/seafile $(python3 -m site --user-site)
ターミナルクライアントをコンパイルする
具体的なコンパイル プロセスについては、build_seafile を参照してください。ただし、注意すべき点がいくつかあります。
- 各ウェアハウスで最新のソース コードまたは最新リリースをダウンロードしてコンパイルします。
- ドキュメント内の
ccnet部分は無視できます。ウェアハウスは消えており、関連する依存関係はありません。 - make が失敗する可能性があります。あと数回試してみることもできます。
- インストール完了後に
seaf-cliがエラー (No module named 'seafile'など) を報告した場合は、前のセクションを参照して、seafileパッケージを手動でコピーできます。
Chromeはダウンロードしたファイルが危険であると警告します
この現象は、Qiaoqiu の学生の奇妙な操作によって引き起こされた可能性があります。これにより、Chrome が清華クラウド ディスクのドメイン名にマークを付け、すべてのファイルのダウンロードが危険である可能性があることが通知され、ブロックされます。
この通知は無視してください。もちろん、本当に素晴らしいファイルをダウンロードした場合は、ご自身で確認してください。
ISATAP(停止中)
現在、サービスを停止しております。
ipv6.tsinghua.edu.cn を参照してください。参考として AUR 包 thu-isatap もあります。
現在、このサービスを利用できるのは学内の公衆IPv4ユーザーのみであり、学外のユーザーは利用で�きません。 166.111.21.1 この IP は ping パケットに応答しないことに注意してください。
IPv6 にリンクされた PT を取得する
自宅の SSLVPN を使用してキャンパスのパブリック IP を取得できるため、ISATAP を使用して清華 IPv6 アドレスを取得して PT 機能を実現できますが、ここでは詳しく説明しません。
WIN10のアクティベーション
Linux でこのコマンドを使用して、関連する cmd 命令を取得します。
$ dig -t TXT win10.harrychen.xyz +short
または Windows で使用する
cmd> nslookup -q=TXT win10.harrychen.xyz
次に、sslvpn に接続しているときにスクリプトを実行してアクティブ化します。
正規のオペレーティング システムとソフトウェアのダウンロード
ITS
https://its.tsinghua.edu.cn にアクセスしてログインすると、Win10、ウイルス対策ソフトウェア、WPS、MS Visio、MS Visual Studio、MATLAB などの正規ソフトウェアのダウンロード方法が表示されます。
マグロ
https://mirrors.tuna.tsinghua.edu.cn にアクセスし、クリックしてダウンロード リンクを取得します。
学内IPセグメント
学校には 6 /16 あります。https://bgp.he.net/AS45576 を参照してください。
; 重要校园服务基本位于此网段,例如主页
; 机房也常用该网段
; 此网段还可在教学楼、图书馆获取
166.111.0.0/16
; 常用于机房与院系网
101.5.0.0/16
101.6.0.0/16
; 紫荆,C 楼等学生区,以及南部居民区
59.66.0.0/16
; 无线网(两个 /16 还不够用呢)
183.172.0.0/16
183.173.0.0/16
; 内部使用(大概是供路由器等网络基础设施使用)
118.229.0.0/20
v6 では通常 2402:f000::/32 が使用され、一部の地域では 2001:250:200::/48 (インターネット研究所) が使用されます。 2001:da8:200::/48 という段落がありますが、使用されていません。