@SenLief #14 没看懂，你什么路由啊，上游 DNS 基本都能设置的吧？不行你 DHCP 分配的 DNS 是 openwrt 呗。不过这样会存在单点故障。
我的主路由是 Mikrotik ，我写了脚本一直检查 openwrt 的 dns 查询是否正常，如果查询失败，会微信推送给我，并把当前的 DNS 换成运营商的 DNS 。

主路由的 DNS 充当缓存作用。即使 openwrt 炸了也不至于立刻炸。

@SenLief 主路由不支持无所谓啊，你把主路由的上游 dns 改成你的 openwrt 即可啊。

@BrightMars https://github.com/AdguardTeam/AdGuardHome/wiki/Configuration#specifying-upstreams-for-domains

应该是这里指定你的 上游 DNS 服务器是 shellclash 即可。然后 shellclash 使用 fake-ip 方案。shellclash 的 mark 文件里添加
dns_redir=已禁用
dns_no=已禁用
这两个标记。让 shellclash 在 iptables 里挟持 DNS 这样如果 AG 装在同一台 openwrt 上就不影响了。

@x66 github 上好多插件啊，smartdns 甚至用 dnsmasq 也行。

我是用大佬写的 coredns 插件，插件支持订阅网上的 clash yaml 规则。

https://github.com/charleyzhu/coredns_wormhole_plugin

但大佬没有写文档，也没有写 config 范例。得自己看代码咯~

@jdjingdian 也行，但这样就需要一张准确的国内国外路由表。我更喜欢订阅网上的域名规则，根据域名规则直接分流，手机，路由，PC 用同一套规则。

@xliao 其实没啥复杂的， 我个人感觉，有公网 IP 的情况下，zerotier 或者 tailscale 等方案更复杂，配置的东西更多。

server 端只需要拉一个容器，或者 openwrt opkg install shadowsocks-libev-server 配一下 config ，DDNS 配置一下，然后再把节点加到 qx 或者 clash 里，局域网 IP 规则写一下，就指哪打哪。如果家里有多台设备，还能做多个 server ，然后规则里写多个设备的节点。规则自动找最快的（为何这样做，有时会某个设备维护，或者重启，导致掉线的问题。）

zerotier 或许配置更简单，但要调通行星服务器，调通打洞等也需要折腾一番。

tailscale 一切都很美好，但搭建起来也不是那么简单，而且 udp 协议，需要解决 qos 或（调试 mtu ）
https://i.imgur.com/7Jq2UXy.png

其实需求主要是一个客户端能随时访问家里网络，或者指定域名能访问家里网络，客户端又不影响爬墙，不需要切换各种 APP ，这种回家方案是最最最方便的。

试想一下 如果是手机本来就要爬墙，但你想访问家里的 nas 的时候，如果 zerotier 或者 tailscale 你不是需要关掉爬墙 APP ，然后切到 VPN app 链上后再访问？这就太麻烦。

用真正的旁路由来解决，而不是将所有流量跑到旁路由。

通过 DNS 分流，让爬墙的域名获得 fake-ip 。主路由将 fake-ip 转发给旁路由，旁路由把流量封装成梯子流量。然后发回给主路由，主路由发送给梯子。

ipv6 的话，例如 bilibi.com 拿到 AAAA 记录，直接发起 ipv6 访问，就没有旁路由什么事了。

这种做法好处就是
1 、控制好 DNS 查询则控制了哪些域名直接出去，还是走梯子，比传统的使用 DHCP 根据不同 mac 分配不同网关和 DNS 来的更容易维护，获得更好的体验。因为你是根据目的域名分流。
2 、排查方便，非规则内的域名获得的都是真实的 IP 。不会导致排查时拿到了 fake-ip 影响网络排查。
3 、减轻路由压力。支持硬路由转发特性，软路由只负责爬墙流量，不会导致 PT PCDN 等业务错误的跑到梯子那边去。

这才算真正的网络上 [旁路由！！！]

旁路由：并非所有流量都从这个路由走，才叫旁路由~！

用了 ss 回家很多年。和 wg 区别就是因为他只是代理工具，只能客户端访问服务端，所以场景上没 wg 好。

但速度，可靠性，伪装性都要比 wg 好。我甚至还做过一个 frp+ss 的方案，方便我隧道到一些多层 nat 的客户上做运维。速率和体验绝对比 wg 打洞来的方便。

手机端 pc 端强大灵活的分流是 wg 客户端无法比拟的，我可以通过 ss 让指定域名的流量跑指定的节点，也可以 L3 整个端跑去指定节点，这是 wg 这种常规 vpn 客户端做不到的。

一些地方禁止 vpn 对外的场景，ss （变种版本）都能完美躲过识别（毕竟这是它设计的初衷）

所以 ss 回家我个人觉得很方便。

docker 这个是 gfw 功劳，威联通不背哈哈

协议是 icmpv6 哦

你把 AP 看成 L2 的交换设备即可。AC 只是负责管理而已，不负责数据交换（本地转发模式）

软路由就不应该把所有流量都经过它。我只会把出墙流量才转发到它这边，这样软路由就不是瓶颈。

2023 年了，该折腾好 ipv6 了。

大多说 ipv6 不稳是因为 mtu mss 的问题。排查下吧。

你就说你挂 BT 下载就好了，国内又没有说不允许 BT 。
你就说你用迅雷下载。开着不关的那种，再停你的你让他出示证据。没有就投诉到工信部。

@elioti 看来老板玩这个公司游戏很享受。

@ttgo #10 防火墙可以桥接部署，流量经过后，解包根据五元组去进行控制数据包是否放行。但还得看你这个公网 IP 是怎么分配的，如果是 PPPOE 。那就相当于你在运营商端那边操作这你肯定操作不了，所以只能把后面的路由拨号放到你这边来。然后你再通过不同网段，不同 vlan 策略路由 之类的方案来给他们分配出口路由。

写字楼 → 我们的交换机 之间加个防火墙。贵的深信服，便宜的 ikuai 。再便宜点 软路由 x86

智齿一开始是没啥的，但是他会顶你前面的大牙，顶到他们全部变形，门牙突出后再拔就晚了。

拔智齿会面瘫？

喝凉水还有可能淹死呢。正规医院拔牙有几种，传统的是直接钳子拔，还有新的方案是直接手术，把牙切成几块然后拿出来。十多分钟搞定。传统方式可能要拔很久。

14 薪是 12 个月工资按 14 个月发，这个属实是真想不到。