@fighterhit 反向代理和正向代理的区别，vpn 是正向代理，内网穿透是反向代理
--
示例：80 端口是你的服务，9090 是 VPN 端口
1. 内网穿透：内网服务(80)->公网节点(80)<-用户 == 内网服务<-用户
2. VPN：内网服务(80)<-VPN 服务器(9090)<-用户 VPN 客户端
内网服务是可控的，VPN 服务器也是可控的，用户只有通过 VPN 服务器才能访问你的服务，是 VPN 在保护你的服务。
内网穿透只有你的服务可控，任何人都可以通过公网访问你的服务，你只可以在服务上做认证，如果被干掉，内网服务直接完蛋。
--
ssh 隧道转发算内网穿透，本质上内网服务把端口放在了公网节点上，你的服务是直接暴露在公网上的，没有任何保护措施，任何人都可以访问。
--

@fighterhit 内网穿透等于你直接把服务端口暴露在公网上，如果你的服务鉴权做的不好被黑了，攻击者拿到你的主机很轻松就可以在内网里横向移动，而 vpn 暴露在公网上的只有 vpn 端口，vpn 进来所有操作都是在内网保护环境下进行，攻击者首先要干掉 vpn ，才能进内网。
比较一下你觉得是主流的 vpn 协议安全还是你的服务鉴权设置的更安全？

我自己用 nat 机器 iplc 搓过沪日和广港，延迟 40ms ，wireguard 隧道+ss ，速度还行性价比落地机 3.5 刀 aws lightsail+包年转发，遇上活动包年也就几百块每月 100G 流量，整套成本每月不到 100 ，主要是自己搭找线路很困难，公网就别想了，各种伪装一上好线路也不见得延迟会有多低，上线路转发要考虑你到客户端->入口->iplc 端内->出口>落地->游戏服务器的延迟，这一套组合拳下来，不说价格延迟，折腾也够折腾了，便宜的东西不保证 sla 只能当玩具，稳定的 5M 转发每月 1t 就好几千一个月，而且还不能切出口。

@dexlee2020 水星没记错也是普联的子品牌，主打性价比用料比 tp 还次一点，买过水星的路由器只能说一言难尽。

@kongmeng12 那就不清楚了，我是用国内的卡，国内的地址，手机号甚至是 GV ，也是几个月前注册成功的，目前账单正常扣款，你这是 ip 不干净，或者是用了虚拟卡？那种是秒封，发卡地和账单注册地址不一样，要么你的注册行为太像机器人了，我注册完绑了 MFA 。

国内随便注册啊，国内卡+国内信息注册，甚至国内的中文营销邮件都来了，tg 上基本都是卖给机场当月抛用，自己用自己注册一个不就完了

ipv6 异地组网，穿墙已经玩很久了，目前能完全管理 ipv6 的设备还是很少，目前 nat 用着，有防火墙好统一管理，需要公网地址的设备单独划 vlan ，目前没什么问题，也没有什么性能问题，至少目前没有遇到，亚太路由目前就 CMI 去香港能直连，其他的电信联通去 azure ，aws ，akamai 日本新加坡的一些段偶尔可以直连，其他的全部去美国，要么去日本 ntt 新加坡反复横跳，国内开 ipv6 也不会出现什么网站打不开的问题了，几大互联网厂商基本都支持了双栈，日常用没什么问题，有一些犄角旮旯的功能还是 v4 only 。

@Tiller https://www.cloudflarestatus.com/

其实 all in one 有一个非常稳定的主路由都没有啥问题了，目前用 Rb5009+ESXI 虚拟化 Openwrt ，很稳定，也懒的折腾了，分流就靠 wireguard 根据 ip 段分流就完事了，大道至简，我倒是一开始是 x86 Openwrt+交换机，到偏稳定的爱快+openwrt ，再到 all in boom(爱快和 openwrt 各种东西塞在一台机器里)，最后到现在 Rb5009+ESXI 摆烂，你说稳吗？目前非常稳，经历过几次断电也没有遇到过服务自启动失败的，不得不说 routeros 太稳定了，只要不作死瞎写规则搞失联，都稳的一批。

刚准备说 edge🐕都不用，嗯？我的 chrome 怎么变成这种样子了？它甚至设置的样式都没统一
新版
https://i.imgur.com/XmT00vc.png
https://i.imgur.com/2cHMvvG.png
未更新
https://i.imgur.com/hzgm7HJ.png
https://i.imgur.com/O8cEmQZ.png

@danie 这些行为以前都是 GFW 在做，这个顶多算功能下放用户端，直接在源头掐断，以后也更趋向不给用户任何自定义的空间，比如 fttr ，让运营商直接接管你的网络。

https://i.imgur.com/ssIuaY0.png
这个产品列表，专门搞流量分析的。

Yubikey 不就行，也带 TOTP ，随便找一个能安装 yubico authenticator 的设备就可以存取 code ，也可以用 U2F ，完全符合你的要求，而且这玩意挺耐造不需要充电，防止彻底丢了，把 recovery codes 打印出来不就完事了。

https://i.imgur.com/O1Fxiqe.jpg
靠谱的不便宜，便宜的不靠谱

@LittleState 海外除了路由比较烂，现在没有任何审计策略，除了 google ，facebook 一些主流厂商的 ipv6 的地址是直接被阻断的，cloudflare 的 warp ipv6 2606:4700::/32 这段 ip 部分地区 udp 阻断，其他的没有任何限制，wireguard 和 ss 这些非常明显的协议可以随便跑。

@asia3 不需要有 ipv6 地址，wireguard 本身是支持双栈的，你可以在隧道内使用 ipv6 和 ipv4 ，两端有一个可以被路由的 ipv6 地址就可以了，隧道依然是运行在 ipv4 上的啊

你的需求是通过 wireguard 访问 ipv6 源的 iptv ，隧道连接通过 ipv4 ，隧道内可以双栈，那 wireguard 两端配个 ipv6 地址就可以了