1.如果没有预算，利旧现有的 x86 的服务器+爱快 /panabit+pppoe 或者 portal 认证可以很好的解决实名制的问题，爱快和 panabit 都具备基础的日志审计功能，包括用户上下线日志和用户网络访问日志，记得服务器的硬盘配置大一点
2.如果有预算，建议直接上深信服的上网行为管理，功能和稳定性完全不是开源方案能比的

panabit 的特征库实际上一直有在积极的更新，安装玩基础镜像后打补丁包即可，参考： https://bbs.panabit.com/thread-23213-1-1.html
最新更新的一个版本，就添加了“虚拟货币”的特征，可以尝试和爱快结合下

如果网络规模比较小，内网 IP 数小于 256 个，可以尝试下 panabit 的标准版，这个应该是最接近商用的行为管理，如果你的内网交换机支持流量镜像，还能做旁路审计。

如果网络规模大，内网 IP 数大于 256 个，那就尝试搭建开源的方案吧，例如 ElatiscSearch+Kibana+Packetbeat ，虽然无法做控制，但是可以做流量审计，也许能发现一些端倪。

重庆电信之前也一样，改了公网 IPv4 之后，IPv6 地址不下发，表现是路由器开启 IPv6 后，pppd 能和 BRAS 协商 Link-Local 地址，但是 dhcpv6 获取不到下发的前缀，只能通过 SLAAC 获取 /64 的 IPv6 地址。20 年底才开始为公网 IPv4 的用户，下发公网 IPv6 前缀了，/56 的，应该就是 Radius 服务器改模板了。目前是 IPv4 公网，IPv6 能获取到 /56 的前缀。

考虑下光猫性能问题。之前问过电信上门的装维小哥，部分型号（特别是 ZTE ）的光猫存在改桥接后，硬件转发失效的情况，也就是说转发全部走了 CPU 软件处理。这样就会导致各种奇葩故障，典型的例如改桥接后千兆宽带只能跑 500M 。
如果你的猫是桥接，也就路由拨号，可以尝试联系装维换个猫。

重庆电信，quic 协议直连能连上，速度感人，基本上不了 1w

前 AC2100 用户，刷 hiboy 的 padavan ，启用硬件 NAT+IPv6 ，完全够用。从稳定角度，建议使用 padavan ，无线驱动更稳定，较少出现断流的情况，而且可以完美开启硬件 NAT ，有限跑满千兆带宽，CPU 基本不动。

更新 实测 12 月 4 日晚上 23 点左右故障恢复

证实，早上开始 IPv4 变成内网 IP ，60 分钟断线一次，上下行都能跑 900M 左右。10000 报障后，社区装维回访说是全市范围内故障，暂无解决时间计划。账号后加 @pppoe ，公网 IPv4 回来了，但 1 小时掉线一次还是解决不了。

补充一点，方案 2 的情况下，无论是否需要 fq 的终端，都能获取 IPv6 地址，需要 fq 的终端，通过 chnroute6 ，访问国内外的 IPv6 地址能做到分流，访问国内不走代理，访问国外透明代理。

我之前玩过 Redmi ac2100 做主路由，N1 刷 openwrt 做旁路由的架构。旁路由的玩法之所以能成立，是建立在使用旁路由的终端，包括安卓手机、电视盒子等，可以自由修改 IPv4 参数，绕过主路由的 DHCP 分配机制，将网关及 DNS 指向旁路由，从而让本机发出的流量都去旁路由上走一遍，再由旁路由转发到主路由，从而旁路由上可以挟持处理经过自身流量，完成 fq 透明代理、去广告等一系列骚操作。

然而 IPv6 的出现引入了一个难题，那就是当前除 Windows 外，大部分终端对于手动配置 IPv6 参数的支持都不太好，例如小米的 MIUI ，没 root 的情况下只能通过 SLAAC 从主路由自动获取 IPv6 ，获取到的网关和 DNS 当然指向主路由，又没办法手动改，就没法把 IPv6 的流量引导到旁路由了。

当前大部分操作系统的软件和逻辑，在本地有 IPv6 地址，服务器也支持 IPv6 的情况下，IPv6 优先，IPv6 不通，再回退 IPv4 。所以你主路由打开 IPv6 之后，终端获取了主路由的 IPv6 网关地址，DNS 解析也奔着主路由过去了，这种情况相当于流量和 DNS 解析绕开了旁路由，骚操作当然就实现不了。

个人分析，可能的解决方案：
0.完全放弃 IPv6 ，主路由关闭 IPv6 相关功能即可。

1.对于使用旁路由的终端，放弃 IPv6 。曾经使用过的方案。由于目前操作系统默认都会优先使用 ipv6 的 dns 进行解析，如果仅仅只在旁路由上面的 dnsmasq 禁用 ipv6 的 4A 记录，很有可能使用旁路由的终端，dns 请求走还是通过 IPv6 走到主路由上，造成 dns 污染。因为我都主路由 AC2100 是刷过 padavan 的，因此我的方法是打开 WLAN 的访客网络，然后用 ebtables 禁用访客网络所属接口（ ra1,rai1 ）收发双向的所有 ipv6 报文转发，然行需要使用旁路由的终端连接访客网络的 ssid ，即可做到使用旁路由的终端完全获取不到 IPv6 地址及 DNS 。这个时候再手动把 ipv4 网关及 dns 全部指向旁路由即可。不使用旁路由的其它终端，连接原有主网络的 SSID ，IPv6 走主路由转发，可以正常使用 IPv6 。

2.放弃旁路由架构，使用主路由做透明代理。当前使用的方案。主路由改成 J4125 的软路由+openwrt ，AC2100 直接改成 AP 模式做无线接入，fq 软件是 passwall ，passwall 上面启用 IPv6 透明代理（ Tproxy ）。这种方案适合自建机场并且熟练使用 Linux 的用户，因为对 fq 软件里面配置的节点服务器要求比较高，节点服务器的网络必须支持 IPv6 ，不支持的话就得通过 tunnel broker 或者 cloud flare 的 warp 去弄一个 6In4 隧道，市面上购买的机场一般不具备此条件，只能代理纯 v4 。

综上，如果当前追求稳定，或者购买机场，建议 0 或者 1 ，如果自建机场，有一定 Linux 能力和网络基础，可以尝试折腾下 2 。

运营商会封锁 135 139 3389 等常用高危端口，我们使用 IDC 的互联网专线也是一样的，不止针对家宽，应该是出于防止病毒传播和僵尸网络的考虑

那个 VLAN 上面标明的 VOICE，是打电话用的，内网

重庆电信的 ChinaNet，全部是公网 IP，欢迎体验

HTTPS 流量解密，深信服 PA 都在推这个功能，这样防火墙、行为管理就能针对 https 加密的流量进行识别阻断。最好的绕过方法就是，s-s s-s-r 一类的非标准 SSL 协议加密的代理

够呛，我觉得出国还是提前在 TB 上买当地卡吧，联系用微信，说不定更好用

重庆电信，ITV 上门安装的时候，师傅会默认设置一个订购密码，如果你是真需要订购，打电话到 10000 申请重置密码即可。我觉得这种做法很好，既避免了儿童误操作，又不会影响真正需要订购的人使用订购功能。

@nullcoder 合法在你的电脑里面下个木马，各种监控各种阻断