终于要结束了。就是不知道运营商让利了没有。

WARNING: Your certificate has expired!
你证书过期了
这种证书通常都是自签的，重签一个就行，可以签十年的
（然而之前我自签的十年证书也过期一次了）

开好转发服务
网关指过来就得了
经典旁路由结构

ipv6 大成功好吗
对普通人来说最大的用途就两个
p2p 和过墙
至于一般服务访问，用 v4 也没差
但是早期有一些地方 icmpv6type2 没有正确处理，导致出现了关 v6 更好的说法
至于墙外，多个 ip 多条路，反正也是可以主动选 ip 的是吧
去哪儿都直连当我没说

@gordengan ddns 的问题，还有一种解决方案，需要暴露公网的设备多设定一个私网固定 v6 地址，然后在路由器上做 snpt/dnpt 。这样可以根据 prefix 和私网地址算出来对应的公网 ip 。我是这么做的。

最前面是 dnsmasq ，做分流：
白名单送运营商 dns
黑名单送 8888 或者 1111
不知道的送递归
然后递归是 bind ，根据 ip 路由表自动分流

想不泄漏 dns 又能墙内外分流的话，我是不知道其他办法了

看着像是广州联通靠近京广干线上的 dns 污染。

用运营商 ip 段的话，只能 nat ，或者其等效手段（包括但不限于，nat66 ，snpt ，netmap ，七层代理）
根本原因是，你的局域网 ip 段是运营商分给你的，而这些 ip 不可能（通常也不被允许）从其他地方发出去，发往这些 ip 段的数据包更是只会通过运营商还给你。

配置多段 ip 多路由+策略可行吗？理论上可行，但是带来的问题可能远远比收益要多。例如，配置困难，无法处理复杂规则，梯子故障时难以处理等等。

最后，不要恐惧 nat 。那东西挺好用的，真的。特别是没条件 bgp 的时候。

@unpay mss 在一边搞就行了
iptables -A FORWARD -i $dev -p tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1401:1500 -j TCPMSS --set-mss 1400
iptables -A FORWARD -o $dev -p tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1401:1500 -j TCPMSS --set-mss 1400
双向设置 mss

出口得有健康检查和自动切换的啊，有故障就自动切下一个
这和主路由还是旁路由还是客户端没关系

如果考虑端口的话，traceroute 的端口是会变的，甚至没有端口（ icmp ），所以匹配不到很正常
如果可能的话去抓包

@churchmice 当然不是一个东西，但是这里的场景是 arp 引导某个 ip 去某个主机，类似路由的功能。

@CloudyKumori 怎么可能，ai 写不出这种和主流不同的容易挨骂的东西（笑）

这个内容是在正经讲台上面向 100+观众讲过的。

就像把大象装冰箱里一样，实际上要以某个 ip 通信，只要三个步骤：
1. 别人把到这个 ip 的数据包发给你
2. 系统能处理这些数据包（例如正确转给上层应用程序）
3. 你能以这个 ip 为源地址把返回的数据包发回去
是不是很简单？

vlan 是有利弊，不过我自己实践的话还是有必要用，因为在一定情况下可以简化配置。
好处：
* 结合 ap 的 ssid ，将不同策略的东西丢进不同的 vlan ，例如国产 iot 和 bt 不需要走梯子
* 可以指定个别 vlan 去个别特殊出口，如“北美直通车”
* 个别 vlan 可以自定义 ipv6 ，例如针对 iot 的不给 v6 ，默认 vlan 的 fd 开头私有地址，针对 bt 的下发特定 wan 口的 pd 地址（以及对应的路由）

坏处：
* 配置稍微有点麻烦，不过比起在同 vlan 配置不同策略那是简单多了
* 如果需要在交换机上做个别 vlan 的 access 口，需要交换机支持不说，时间长了有插错的风险

现状是除了默认还用了 3 个 vlan 。虽然除了自定义 v6 其他都已经在默认 vlan 实现。

上面那个是给公司网关的。
至于自己回家，那方法可就多了，比如开个 wireguard 连回去，可以指定部分路由（如全量 ipv4 ）走 wireguard 。

iptables -t nat -I POSTROUTING -o xxx -p udp --dport 53 -j MASQUERADE --to-ports 60000-60100
iptables -t nat -I POSTROUTING -o xxx -p tcp --dport 443 -j MASQUERADE --to-ports 60000-60100

万一好用呢

@pkoukk 中国有 ipv4 根的镜像。关键是 com 的管理权限在 v 手里。换 cn 哪怕 top 呢，也不至于这样。
至于改某个顶级域，top 烂成那样，也只是整改，不会马上出问题。

至于中国有根服务器这事情有点风险，因为 gfw 有域名污染，虽然理论上可以让根服务器不过墙，但是之前出过污染影响外国的事情，大家心理还是不舒服的。

确保有权限
ip -6 r s t 0
因为有很多张路由表

北京联通 132+北京移动 88