@pcxys #25 可以看看华为官方三层交换机对接路由器等三层设备示例，傻瓜交换机其实就是个 hub ，无脑泛洪数据帧，平常拓扑当成网线看就行。
https://support.huawei.com/enterprise/zh/doc/EDOC1000069491/43b427f7

@pcxys 交换机对接的时候中间都是 acess 接口配置不同 vlan 其实是能通的，例如两台分别 access vlan 2 和 acess vlan 3 并起 svi ，ping 的 icmp 包从 vlan2 的交换机出去会剥离 vlan2 的 tag ，而后在进入 vlan3 交换机时打上 vlan3 的 tag 就能到达 svi ，反之亦然。但是一般而言不推荐这么做，建议按照标准使用 trunk 模式并放行需要的 vlan 即可

你要在华为交换机上面写到 192.168.10.0/24 的回程路由，下一跳是 192.168.10.254
傻瓜交换机是会将数据帧原封不动泛洪到每个端口的，所以就算有 vlan tag 也问题不大，工厂里很多人喜欢乱接傻瓜交换机，就容易出广播风暴，如果能去除建议去除傻瓜交换机，这玩意只适合非常简单的家用拓扑

能不能改桥接，是不是只能 fttr ，有没有双栈动态公网 https://i.imgur.com/io2SM1h.png ，没有我宁愿用现在的套餐

你可以试试四核全给软路由看测速是否达标，如果是的话那就是 cpu 性能相关问题，不是的话那应该是网卡的问题了。不过 pve 下的 n5105 使用 host 核心模式并直通 wan 和 lan 的网卡，openwrt 开启 shortcut 软件加速，测速 1200mbps 一般也就在 25%到 30%浮动，你可以参考下。

@Kale adgh 其实有分流功能，可以指定某个域名用哪个 dns 服务器解析，不过整理起来有点麻烦

nslookup 和 ping 看一下解析的什么地址、能否 ping 通，如果地址正确说明防火墙配置有问题

@shenjinpeng 按照流程图来看，主流域名应该是 geostie:cn 中的域名，其他的域名境内境外并发解析（即不考虑 dns 泄露问题），命中国内 ip 就接受境内解析结果，命中国外 ip 则不采用。其实调用阿里腾讯 dns 解析之前应该先用 gfwlist 判断是否是必定被阻断的境外域名，是的话直接发送远端效率会更高。

国内公共 dns 只有阿里腾讯部分支持 ecs 吧，其他的是完全不支持

@GotKiCry #9 我认为你并没有搞明白 dns 泄露是怎么造成的，建议看这个帖子 https://linux.do/t/topic/162090 以及 clash meta 官方手册 https://wiki.metacubex.one/config/dns/diagram/
以 clash 为例，fakeip 和 redirhost 解析的行为其实是一致的，对于一个未定义规则的域名（例如常用的 ipleak.net dns 泄露检测网站的域名），clash 内核会将域名同时发送给境内和境外 dns 服务器进行解析并得到一个无污染的解析结果用以发起连接，而 dns 泄露往往发生在这个阶段。
如果你搭建的 mosdns 带 dns 防泄漏分流功能，那么你的代理软件完全不需要考虑 dns 的事情，配置 mosdns 为代理软件上游 nameserver 即可，所有的请求交给上游处理，clash 只负责发起连接。至于 fakeip ，个人认为完全没有必要为了一点点性能去使用 fakeip ，clash meta 的 redirhost 性能并不差且对内网无副作用。

@Earsum #7 以 clash 为例，clash redirhost 模式完全可以做到 dns 防泄漏，只需要在 Nameserver-Policy 自定义以下规则：
"geosite:cn,apple,private,steam,onedrive":
- "tls://223.5.5.5"
- "tls://1.12.12.12"
而 nameserver 填写境外 dns 即可。

dns 防泄漏是把国内的域名扔给国内解析，国外的域名扔给国外解析，这样对于境内 dns 提供商而言，只能看到你境内的 dns 请求。甚至有的人还需要不同的服务走不同的节点，例如 paypal 走美国原生节点，那 paypal 就需要从美国原生节点发起 dns 请求而不能单纯用香港或者新加坡的 IP ，否则可能会被风控，但是这种需求对于个人用户很少见。
fakeip 解决的是 dns 请求速度的问题，因为会立马返回一个假 ip 给用户终端，代价就是可能的内网 dns 污染，不过本来没污染也上不去 gfwlist 网站所以对于境内而言区别不太大。

geosite:cn 传给阿里 or 腾讯解析，剩余全 dot 甩给境外节点查询

@mezi04 #36 可能是我没描述清楚，在 fakeip 模式下“不开启”绕过中国大陆功能的情况下，谷歌服务是正常的，因为 services.googleapis.cn 域名请求会进入 clash 内核并匹配规则发送往远端解析为境外地址，此时可以正常更新；但是 fakeip 模式下“开启”绕过中国大陆功能，会导致 services.googleapis.cn 域名请求无法到达 clash 内核并在本地 dns 解析为 cn 地址，导致无法更新。本来为了避免绕过中国大陆功能导致的此类问题，有设计一个黑名单机制，就是黑名单中的域名被强制发往 clash 内核，但这个功能似乎在 fakeip 模式下失效了( https://github.com/vernesong/OpenClash/issues/3700)。因此光是加规则可能还不够，要么在本地 dns 上游搭建 adgh 重写 dns ，要么就需要关闭绕过中国大陆选项，但前者需要 dns 套娃，后者可能会导致 clash 内核崩溃时本地 dns 被 fakeip 污染的问题

@mezi04 openclash 开启 faleip 模式并启用绕过大陆 ip 功能就会导致类似问题，在绕过黑名单中加入上述域名依然不会进入 clash 内核处理，github 上面这个 issue 很久了，但是作者似乎一直没有修。

不喜欢折腾用 passwall 系或者更简单的 ssrp 系就行了，在我看来 openclash 算是在自定义强和用户友好之间达到了一个权衡。而且我除了手贱频繁切换 redirhost 和 fakeip 模式以外没有玩崩过一次 openclash ，不知道不稳定这个结论是怎么得出的。

感谢开源分享

看到 fttr 和云宽带直接 passhttps://i.imgur.com/io2SM1h.png

有趣的拓扑，硬路由，软路由同时接到光猫拨号？恕我直言，没见过这么玩的