如果你记忆力好，有条命令，直接一键在注册表添加小鹤双拼

我用的 singbox ，花了大概一周时间从头学习，然后自己手撸规则，把自己访问的网站都定制成了规则集，精确分流，目前用着很舒服。我也是 pve ，创建了 openwrt 的 lxc 容器做旁路由，因为是 x86 ，所以无脑 tun 模式，这个旁路由完全可以换成任意 linux 发行版。

@Puteulanus 我去搜了下，看起来还不错，查了下它的 IPQ8072ADMIPS 分数比联发科 MT9786A 高了不到 2000 分，确实更强一点，但是也没高多少，不过这个设计我喜欢，四四方方，天线内置。

@52acca 没 usb 这个确实挺伤的，不敢装太多东西，我几年前的 newifi3 虽然处理器垃圾但是能插 usb ，前段时间给它装了 singbox 但是死活启动不了，而且没有报错日志，找了半天问题，结果发现是内置存储太小（ 30M 可用），插了个 U 盘上去扩充 overlay ，然后立马就运行起来了。

@q000q000 那挺好的

@tulongtou 没搜到

@WizardLeo 嗯，可能是我想太多了，block 个 quic 流量就行了，其它的不管了。

@jqtmviyu 谢谢，p 核还没用过，不过貌似挺好，我了解了解

@shannon404 谢谢，我看看

@crac 谢谢，我看看。

谢谢，我试试。

@gentrydeng 不是的，所谓的 dns 泄漏说的是泄漏自己的真实 ip ，ecs 只是定义个 ip 段，而且可以随意定义，那不算泄漏。他说的就是我一开始的做法，也是官方的做法，也就是 realip 的做法，按照官方做法是可以避免 dns 泄漏的，问题是这种方法为了解决 dns 泄漏，选择直接 block 掉加密 dns 请求，导致一些只允许 doh/dot 请求的程序出现问题。

@WizardLeo 这就是官方的做法，也是我一开始的做法，也就是 realip ，但是这种做法为了解决 dns 泄漏，采用了类似如下做法：
{
"type": "logical",
"mode": "or",
"rules": [
{
"port": 853
},
{
"network": "udp",
"port": 443
}
],
"outbound": "block"
},
也就是说把所有程序发出的加密 dns 请求全都 block 掉，只让 53 端口通过，这种方法会导致一些只使用加密 dns 请求的程序出现问题，这就是我一开始说的后台日志有大量的 block 。

感谢大家，因为是路由器用，Linux 系统还是挺适合 Tproxy 模式的，所以决定暂时先用 Tproxy 了，Tun 的话等等以后版本优化再看。

@ETiV 感谢！原来如此！

顺便说下那个 Oms 是 0ms ，我截图然后识图直接复制的，只是识别错了，请无视。

低功耗 CPU 的天花板是 J4125 。
从那以后就无了，特别 N100 标 6W 就是刷流氓，实际使用一下子能飙到 25W

感谢大家的建议，arm 是排除了，看下来如果不想折腾，不装虚拟机，搞个 CPU 强的硬路由就行了，现在的硬路由也不像几年前那么差了，加解密性能还行，破解一下终端然后装个 singbox 就行了。
再说下我的想法吧，反正不管硬路由还是软路由，就老老实实做路由的事，强烈建议把路由和虚拟机什么的分开，如果真想折腾这些，单独用另一个机器装 pve 或者 esxi ，随便折腾，这是我几年下来的心得。

@vcn8yjOogEL 感觉 arm 确实有点鸡肋，但旧 x86 裸装 openwrt 绝对够用的，没必要上 N100 ，纯浪费，发热还大。