@jqtmviyu 谢谢，p 核还没用过，不过貌似挺好，我了解了解

@shannon404 谢谢，我看看

@crac 谢谢，我看看。

谢谢，我试试。

@gentrydeng 不是的，所谓的 dns 泄漏说的是泄漏自己的真实 ip ，ecs 只是定义个 ip 段，而且可以随意定义，那不算泄漏。他说的就是我一开始的做法，也是官方的做法，也就是 realip 的做法，按照官方做法是可以避免 dns 泄漏的，问题是这种方法为了解决 dns 泄漏，选择直接 block 掉加密 dns 请求，导致一些只允许 doh/dot 请求的程序出现问题。

@WizardLeo 这就是官方的做法，也是我一开始的做法，也就是 realip ，但是这种做法为了解决 dns 泄漏，采用了类似如下做法：
{
"type": "logical",
"mode": "or",
"rules": [
{
"port": 853
},
{
"network": "udp",
"port": 443
}
],
"outbound": "block"
},
也就是说把所有程序发出的加密 dns 请求全都 block 掉，只让 53 端口通过，这种方法会导致一些只使用加密 dns 请求的程序出现问题，这就是我一开始说的后台日志有大量的 block 。

感谢大家，因为是路由器用，Linux 系统还是挺适合 Tproxy 模式的，所以决定暂时先用 Tproxy 了，Tun 的话等等以后版本优化再看。

@ETiV 感谢！原来如此！

顺便说下那个 Oms 是 0ms ，我截图然后识图直接复制的，只是识别错了，请无视。

低功耗 CPU 的天花板是 J4125 。
从那以后就无了，特别 N100 标 6W 就是刷流氓，实际使用一下子能飙到 25W

感谢大家的建议，arm 是排除了，看下来如果不想折腾，不装虚拟机，搞个 CPU 强的硬路由就行了，现在的硬路由也不像几年前那么差了，加解密性能还行，破解一下终端然后装个 singbox 就行了。
再说下我的想法吧，反正不管硬路由还是软路由，就老老实实做路由的事，强烈建议把路由和虚拟机什么的分开，如果真想折腾这些，单独用另一个机器装 pve 或者 esxi ，随便折腾，这是我几年下来的心得。

@vcn8yjOogEL 感觉 arm 确实有点鸡肋，但旧 x86 裸装 openwrt 绝对够用的，没必要上 N100 ，纯浪费，发热还大。

@z7356995 嗯，这种理论上是最方便的，信号不受影响的同时还能科学上网，就是不知道有没有断流的情况？

@Jiubia 好的，感谢分享。

@totoro625 嗯，而且貌似现在的某些硬路由 CPU 都比 arm 软路由强了，貌似真的没必要了。

@zhixiao 嗯，明白，n100 不考虑了，裸装也浪费性能，而且貌似是 ddr5 ，还得重新配内存，ddr4 的话我这里有好几个拿来就能用。

@zhlssg 不装了 pve 了，虚拟机折腾够了，就实体机运行 openwrt ，纯软路由。

最终归宿是原版。我和你差不多，一开始用别人的，后来自己编译，再后来用 ImmortalWrt ，直到在 PVE 上开 lxc 容器出错，(上面有人提到也有解决办法)，就去 issue 看出错原因，了解完前因后果，果断换原版，瞬间一切正常，除了把 dnsmasq 换成 dnsmasqfull ，其它什么都没动，就只装了 singbox ，目前完美运行中，最重要的是简单干净占用低，还能跟着原版更新，回过头看，之前用过那些 luci 插件再也不想碰了。

@maxus 本地解析的话我这里早都墙完了，那就是我理解错了，这里说的远程 dns 只是访问外网时的请求的 dns ，不是远程服务器解析的 dns ，我最近在搞 singbox ，还以为这个和 singbox 一样可以通过代理在远程服务器上解析。我的谷歌 doh/dot 本地解析早不能用了，你那里的 doh 还能用已经不错了。