我的 ISP 设置传入数据包的 TTL,使得它在我的设备上(路由器之后)始终为 TTL=1。
他们这样做是为了让最终用户无法添加另一个路由器并重新共享连接。但这也导致我无法在 WSL2 中使用互联网。WSL2 创建了一个虚拟 LAN 接口来访问互联网。
经过一番探索,我发现当我使用 wireguard 时,WSL2 可以获得互联网,我可以从我的电脑重新共享互联网,而且 TTL 值更高。
现在我的问题是这怎么可能呢?
我的路由器不知道所述数据包已发送到 wireguard 服务器。因此,从 wireguard 服务器返回的数据包在我的路由器上将具有 TTL=2,就像任何其他数据包一样。然后我的 PC 将获得 TTL=1 的数据包,就像任何其他数据包一样。但是该数据包的 TTL 为何高于 1?数据包可以“包装”吗?例如,传入数据包的 TTL=1,到达我的 wireguard 接口,但在被 wireguard 接口解包后,它会获得一个新的 TTL。有关此“包装”的任何资源也将有所帮助。
是的,这种包装(通常称为“隧道”)实际上是 WireGuard 的目的,或者实际上是几乎所有 VPN 软件1的目的。它使 VPN 的网络接口可以拥有对外部网络不可见的 IP 地址——而且由于 TTL 是 IP 的一部分,因此通过扩展,也可以拥有对外部网络不可见的 TTL。
WireGuard 实际上不会改变数据包的原始 TTL;相反,它会生成一个具有两个TTL(一般是两个 IP 标头)的数据包,即来自“ovh.net”的原始“内部”标头和来自 WireGuard 服务器的“外部”标头。通过 VPN 软件发送数据包会导致它生成一个在原始数据包上带有额外 IP 标头的新数据包,反之亦然。(对于 WireGuard,还有额外的 UDP 和 WG 标头,但这有点偏离主题;直接 IP-in-IP 也同样可能。)
就您而言,您的 ISP 只能更改外部标头的 TTL,而不能更改来自 ovh.net 的内部标头。因此,当操作系统收到包装的 WireGuard UDP 数据包(TTL=1)时,WireGuard 会将其解开,并将内部的原始 ICMP Echo 数据包(TTL=45)重新注入操作系统,并在其中显示为 ping 响应。
可以使用 Wireshark 来直观地检查这一点;它无法看穿 WireGuard 的加密,但可以看穿未加密的隧道类型,例如 GRE 或 IP-in-IP - 请查看一些收集的示例捕获。
1(“SSH 隧道”和浏览器集成 VPN 除外;这两者实际上都是更高层的代理,因此它们不直接处理 TTL。术语“隧道”仍然适用于它们,但含义稍微广泛一些,即把一种协议放在另一种同一层协议内,一般来说——例如“HTTP 内的 HTTP”或“SSH 内的 HTTP”——而不是像 WireGuard 那样具体地说是“IP 数据包内的 IP 数据包”。)