有人说墙再高也是可以翻出去的，但是以目前的感觉真的哪一天直接就拔线了，墙再低也越不出去。

要用firefox chrome的时候才发现被什么东西处处挡着，影响速度，影响效率，想来就生气。

不反抗就慢慢被强奸吧，痛并快乐着。

年轻不去看看外面的世界，以后就更不会去折腾了。朋友之类没什么好担心的，处久了就有了。

证书解密是有时效性的，花了大量cpu时间去解密一个一分钟前过时的信息。

一个常用软件对用户证书认证过程。至少在这个软件下面访问页面100%绿色状态。
With certificate authentication, when the connection source computer attempts to connect to the Virtual Hub it presents a user name together with an X.509 electronic certificate. The SoftEther VPN Server checks whether is correct and the connection source computer is only allowed to connect if it passes.
The connection source computer must possess certificate data and a private key (RSA private key) that corresponds to the public key in the certificate to present. Certificate data is sent from the connection source computer to the VPN Server by private key data is not transmitted. Next the VPN Server sends random number data (called challenge values) to the client. When the client receives the data, it signs it by the private key it possesses and returns the data. VPN Server verifies the signature data sent by the client using the public key in the electronic certificate initially received and makes sure that the client computer has the certificate and corresponding private key (if it can't be confirmed, user authentication fails on the spot). It subsequently checks if the certificate subsequently presented by the client matches the attributed defined for each user as user authentication data. You can select either individual certificate authentication or signed certificate authentication as the test method at this time.

softether对机器要求不高的，现在openwrt路由，树莓派之类的都好安装。

A B 公司如果不是直属关系，这种网络结构会造成安全漏洞的。如果未经网管同意还是别这样搞，省得出问题。毕竟将两个lan桥在一起，安全风险非常大。

相对安全的方式就是采用socks5代理，但是socks5代理在下载一些链接时不知道为什么没反应，就需要挂上vpn了，而且如果B公司没有网管参与的话，就必须通过反向连接的方式才能穿透nat，而这同样要求A公司具备公网ip。A公司如果也没公网ip，就需要借助vps C，A<>c<>B。

最好还是征得网管同意，不然被监控到就麻烦了。

用softether吧，文档齐全，功能无敌。
搜一下 Build a LAN-to-LAN VPN (Using L3 IP Routing)
可以实现两个不同网段通过虚拟l3 路由方式桥接在一起，然后使用静态路由。目前家里的openwrt路由就是通过tun0接口跟vps桥接在一起的，中间通过双证书加密连接。
这样的话可以直接在192.168.2.x访问192.168.3.x提供的代理服务，基本是无缝方式，然后再加个privoxy上去就可以进行黑白名单选择性代理。

为什么不问问电信搞什么动态限速。每天见国外流量下降的第一反应就是kill pppd,然后网速又飞快了，接着没速度，接着kill pppd。人家就是把用户当傻瓜。

这个天天有人问。网上比较好的就是flora pac这是个根据国内外路由表进行选择，一刀切所有的国外ip都用代理。
android下一直找不到类似兼容实现，在路由器或者windows安装privoxy，网上有个proxy.action的例子，实现根据域名黑白名单进行选择性代理。然后可以安装smartproxy proxydroid想代理就代理。这些都不关心dns问题，所有代理的解析都将通过远程socks5代理服务器进行解析。
pdnsd也可以通过设置一国内一国外dns服务器通过reject所有的国内服务器ip进行轮询解决cdn问题，不喜欢全局翻，网络容易掉。

这个没办法避免，也不知道如何避免，电信也是大量应用了缓存服务器，下载.net framework就统统的302，网上是有屏蔽的方法，但是操作以后网络更不可访问。所以习惯就好，不要把正常文件变成病毒就谢天谢地了。

没花钱，没付钱给ms的就是盗版。

早些年在路由里对360网站用dnsmasq做了屏蔽，强制所有的udp 53只能通过本地网关解析。正常情况下dns解析结果应该为0.0.0.0

结果那段时间在跟360打架的腾讯 QQ手机浏览器 竟然可以正常访问，IOS跟android的版本都可以脱离本地dnsmasq控制，正常访问360网站。不知道软件内置了什么东东。

1,所有的连接全程证书加密
2,1 ipv4 + 3 ipv6,其中两个ipv6还是第三方提供的tunnel，自从用了ipv6再也没注意到频繁的tcp reset，即便有，4个ip轮流切换看谁快。。。

经过加密的线路，明显延迟比不加密的低。最近用上ipv6确实比以往的体验不大一样，但是ipv6线路高达300ms，ipv4 160ms左右。

这fail2ban是什么东东，对扫描的人也太友好了还reject-with icmp-port-unreachable应该是直接drop。这种现象很正常的用routeos的时候，每天外网发起的扫描高达260+，扫一个封一个。。。

在一些64m路由器，终端下有nice ulimit做一些优化限制的。甚至可以选择一个时间点对内存进行释放。

玩linux就是折腾，2006年时还在玩打包，不同发行版，各自的包工具，玩得真心累。到最后还没跟对主流桌面，算了还是用windows吧，省心。
这些年都是在线更新，不大会有人再去编绎软件了，依赖是很麻烦的事情。最终选了centos,据说是商业化软件支持更好。跟动主流很重要，没时间瞎折腾，重新布署。

不知道你想干嘛。最近danted用了ipv6以后一直没配置成功，又很无奈的同时启用ssserver sslocal就为了一个socks5代理。
a ssserver
b sslocal