买数据库
这个肉眼看就是蜂窝，整个 223.104 全是各地移动的出口
p.s. 蜂窝和家宽的 mtu 差挺多的

其实早期只需要规划好用电还是用光（我用电）
然后 1G 还是 2.5G 还是 10G 以后都能升级（光也是类似的情况）
因为墙里的线是难以更换的，但是一个交换机是很容易更换的

之后就是交换机，我用的是网管交换机（ tl-sg2008mp ），但是现在都是当傻瓜交换机用
为啥？线插多了就乱了，即使我有标签有配线架
能不用 access 口解决的就别用，vlan 倒是可以，反正智能家居都在 wifi 上，给不同的 ssid 就是了
就算我家房子小也可以上两个 ap ，这不就自然互备了嘛（实际上 ap 也没坏过）

软件层面，我是坚定的核心路由器主义，路由器就是路由器，唯一主路由，其他东西尽量放到其他设备上
要开 docker 路由上指静态下去，bgp 就算了（因为还是需要手工配 peer ，也没地方飘）
墙内不过梯，即使是 dae 也不愿意过（我做的时候还没有 dae ）
梯子故障有监控有降级

至于很多故障，emmm
网线没办法，开发商/装修队的锅，根本没法处理，监控发现了又能如何，我选择眼不见为净。
交换机坏了可以换一个，但是我现在还放着一个没上电的交换机（好的），啥都没发生过。
个人以为有的时候不用为了每年一次或者更低频率的故障设计那么复杂的方案，特别是硬件故障。

p.s.我家是双线的，至于详细的方案我发过。

才 38 天，只要不重联，半年甚至一年都不会变

终于要结束了。就是不知道运营商让利了没有。

WARNING: Your certificate has expired!
你证书过期了
这种证书通常都是自签的，重签一个就行，可以签十年的
（然而之前我自签的十年证书也过期一次了）

开好转发服务
网关指过来就得了
经典旁路由结构

ipv6 大成功好吗
对普通人来说最大的用途就两个
p2p 和过墙
至于一般服务访问，用 v4 也没差
但是早期有一些地方 icmpv6type2 没有正确处理，导致出现了关 v6 更好的说法
至于墙外，多个 ip 多条路，反正也是可以主动选 ip 的是吧
去哪儿都直连当我没说

@gordengan ddns 的问题，还有一种解决方案，需要暴露公网的设备多设定一个私网固定 v6 地址，然后在路由器上做 snpt/dnpt 。这样可以根据 prefix 和私网地址算出来对应的公网 ip 。我是这么做的。

最前面是 dnsmasq ，做分流：
白名单送运营商 dns
黑名单送 8888 或者 1111
不知道的送递归
然后递归是 bind ，根据 ip 路由表自动分流

想不泄漏 dns 又能墙内外分流的话，我是不知道其他办法了

看着像是广州联通靠近京广干线上的 dns 污染。

用运营商 ip 段的话，只能 nat ，或者其等效手段（包括但不限于，nat66 ，snpt ，netmap ，七层代理）
根本原因是，你的局域网 ip 段是运营商分给你的，而这些 ip 不可能（通常也不被允许）从其他地方发出去，发往这些 ip 段的数据包更是只会通过运营商还给你。

配置多段 ip 多路由+策略可行吗？理论上可行，但是带来的问题可能远远比收益要多。例如，配置困难，无法处理复杂规则，梯子故障时难以处理等等。

最后，不要恐惧 nat 。那东西挺好用的，真的。特别是没条件 bgp 的时候。

@unpay mss 在一边搞就行了
iptables -A FORWARD -i $dev -p tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1401:1500 -j TCPMSS --set-mss 1400
iptables -A FORWARD -o $dev -p tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1401:1500 -j TCPMSS --set-mss 1400
双向设置 mss

出口得有健康检查和自动切换的啊，有故障就自动切下一个
这和主路由还是旁路由还是客户端没关系

如果考虑端口的话，traceroute 的端口是会变的，甚至没有端口（ icmp ），所以匹配不到很正常
如果可能的话去抓包

@churchmice 当然不是一个东西，但是这里的场景是 arp 引导某个 ip 去某个主机，类似路由的功能。

@CloudyKumori 怎么可能，ai 写不出这种和主流不同的容易挨骂的东西（笑）

这个内容是在正经讲台上面向 100+观众讲过的。

就像把大象装冰箱里一样，实际上要以某个 ip 通信，只要三个步骤：
1. 别人把到这个 ip 的数据包发给你
2. 系统能处理这些数据包（例如正确转给上层应用程序）
3. 你能以这个 ip 为源地址把返回的数据包发回去
是不是很简单？

vlan 是有利弊，不过我自己实践的话还是有必要用，因为在一定情况下可以简化配置。
好处：
* 结合 ap 的 ssid ，将不同策略的东西丢进不同的 vlan ，例如国产 iot 和 bt 不需要走梯子
* 可以指定个别 vlan 去个别特殊出口，如“北美直通车”
* 个别 vlan 可以自定义 ipv6 ，例如针对 iot 的不给 v6 ，默认 vlan 的 fd 开头私有地址，针对 bt 的下发特定 wan 口的 pd 地址（以及对应的路由）

坏处：
* 配置稍微有点麻烦，不过比起在同 vlan 配置不同策略那是简单多了
* 如果需要在交换机上做个别 vlan 的 access 口，需要交换机支持不说，时间长了有插错的风险

现状是除了默认还用了 3 个 vlan 。虽然除了自定义 v6 其他都已经在默认 vlan 实现。

上面那个是给公司网关的。
至于自己回家，那方法可就多了，比如开个 wireguard 连回去，可以指定部分路由（如全量 ipv4 ）走 wireguard 。

iptables -t nat -I POSTROUTING -o xxx -p udp --dport 53 -j MASQUERADE --to-ports 60000-60100
iptables -t nat -I POSTROUTING -o xxx -p tcp --dport 443 -j MASQUERADE --to-ports 60000-60100

万一好用呢