旁路由和 ipv6 兼容很成问题。建议有 v6 刚需的情况下换成主路由使用，或者 v4 和 v6 场景分开（二级路由）
和梯子本身支持不支持双栈关系不是那么大，根本原因是 v4 和 v6 的网关是没关系的，dns 的获取途径有多种（ dhcp ，ra ，etc ），解析结果是分开的（ a ，aaaa ），旁路由要兼容 v6 的话你得把各种 v6 网关都指过去还要避免收到主路由的 ra

然后在梯子那里把所有去墙外的 v6 都 reject 掉就行了，客户端会自动用 v4 尝试。

@milkman155
这种看着有可能是单向绕路，也就是联通到电信走北京，电信回联通直接在本地解决

我现在的实现是这样的：
基础的还是白名单+ip 分流+自建递归
+黑名单直接用 1111 解析的
然后每天在 gww （宽带出口）上收集来自递归服务器的访问 udp 53 端口的请求
夜里解析这些域名，然后动态扩充白名单。

这些累积的白名单目前是 3 个月校对一次

基本逻辑还是那个：有任何一层权威在墙内的就算墙内域名。
实际上遇到过的问题：有些域名在 dnspod 或者 ali 上，但是只能通过海外访问，这些就得手工配置了……

有公网 ip 直接 wireguard/openvpn 回家
用一般的梯子也可以
然后所有流量直接从家里出，顺便过墙

@basncy
@huihuilang

所以主路由的话方便很多，可以卡住 v6 流量上策略
下发真实地址或者 fd 开头的地址都可以，也可以直连 v6 直出/过梯子走转发或者 nat66
甚至可以下面不开 v6 但是给梯子开

最后说个旁路由无论如何解决不了的：多线

@basncy
搞复杂的策略显然还是上主路由靠谱啊，我家除了 coturn 这些都在主路由上实现了
旁路由开 v6 ，反正我是想不出来除了 nat66 以外的方法

@lihaohenqiang
你说的后半段是指家用吗……家用能长时间高负载，pcdn 也不行吧？
以及，完全想不出来正常家用环境能小包跑满带宽的
现在六百块买个 n100 ，跑满千兆梯子+pppoe 都毫无压力

最后，主路由设计好照样有折腾空间。当然，no zuo no die 。

旁路由并没有不稳定，而是旁路由结构比主路由还要复杂，驾驭旁路由需要的网络知识更多
当然，如果真的能完美驾驭旁路由的水平，除非一些极端特殊情况，几乎都直接上主路由了

@XXOO133 @xyz3210

20 年前互联互通是网络结构和技术不行，属于与地斗
现在的互联互通是运营商和 pcdn 一起搞的，属于与人斗

我隐约记得 20 年前南京电信的家宽限制流量每月 60GB
领先了 20 年
谁有印象？

运营商推出了省间结算打击 pcdn ，pcdn 使用跨省调度进行回击。
这下把跨网互联直接橄榄了，我必须说，这波操作 666
恢复跨网结算吗？这可比跨省结算难多了，毕竟跨省结算都是一个（集团）公司，大老板一声令下就可以搞了。
跨网……哼哼哼，最要命的是看起来上面是支持 pcdn 的，至少是不反对。

@fisherfisher
现实的问题是：本来出墙是境外 ip （ v4 ）的，然后 webrtc 却能拿到一个 2408 的中国联通 local ip （出墙 v6 被我扔黑洞了；或者有必要出的话 nat66 ）
并不是害怕他连进来，如果害怕的话会在各种环节使用防火墙
p.s. 我管理 v4 v6 映射表在路由器上跑了个程序，ip mon nei 收集和维护对应关系

@whathappen 确实是这样的。
@qwvy2g 现在的 pon 的话 普遍下行是广播（可以理解为 cdma ），上行是 tdma……


举个例子。门口有个大爷，没事儿就喊：
张三，李四跟你说 xxxxx……
王二胖，赵小花跟你说 yyyyyy……
有消息他就一直不停地喊，没消息就歇会儿。
王二胖听到自己的消息呢，就记下来；听到不是给自己的，就装作没听见。

王二胖也想给赵小花回话，他也扯着嗓子喊呗？
大爷，告诉赵小花，xxxxxx……
可是不巧，这时候对面楼上的张三也在喊，大爷，俺找李四，说 xxxxx……
结果呢？大爷说，我谁也听不清。

本来说，张三和王二胖你们协调一下呗？可是张三有意见，说王二胖在对面楼上，距离比大爷还远，跟他协调，还不如直接找大爷了。大爷像一想也是，那么就做了个规定，说张三你只能在每小时的第一分钟喊，王二胖在每小时的第二分钟喊……
这样大家轮流喊，就不会搞乱了。

所以实际上会发现，这种场合下，从外界给大爷更多信息让大爷喊不过来是有一点可能的；但是想让张三王二胖累死大爷……那可是相当困难了。

pcdn 的出现，本质上就是对企业带宽价格远远高于家用带宽的一次市场化纠错，也可以理解为新技术对既有秩序的挑战。
我当然知道，p2p 本身并不是什么新技术，p2p 传输直播流至少有 20 年历史了。但不同的是，当时应对的是技术问题，现在应对的是成本问题，不同的使用场景。有利益，就会有不管什么道上的“商人”出现；双轨制的时候，就会有人游走在两者之间——这就是市场。

然后是限制。要我说，你猜为什么运营商不去针对 pcdn 的运营方？为什么不封锁他们的调度服务器？
当没有限制的时候，大家众生平等。当彻底限死的时候，大家众生平等。当处于两者之间的时候，专业选手会非常有利，甚至最专业的选手可以在众多无辜群众受伤的时候全身而退。对，这就是所谓“代价”，或者反过来说，专业者的竞争优势。

合规问题。如果说拿钱（豆子）的 pcdn 还或许有那么一点点道理（存疑）的话，各种软件为自家服务的 p2p 传输又要怎么处理。流量考核，省间结算，可是一样的哦。用户有任何问题吗？甚至可能是无辜的。对于那些体量特别大的软件运营方，如果大面积强制给一般用户开启 p2p ，逼着用户在自己的软件和运营商之间二选一，会发生什么？互相伤害的时候，确信运营商能取得胜利吗？

溢出伤害。你有你的政策，我自然有对策。刷别人的 cdn ，刷别人的下载站，甚至刷境外的东西。不管主观意愿是否如此，把事情闹大，这就是结果。那些人当然做得不对，但是为什么会变成这个样子呢？

压力管理。上面的大人物是不会管这么多的。他们只想维持自己公司的利益，维持 idc 的收入罢了。这没什么奇怪的，甚至说很正当。但是管理的手段是什么？压力传导，层层分解，制定离谱的考核。反正真正的大户抓不到，甚至都不想抓。但是压力来了，也只能做做样子，找一些“代价”罢了。无辜的基层人员，也只是疲于奔命罢了——当然，还有承担无辜用户的怒火。

pcdn 可以输很多次，但是运营商只能输一次。到此，对抗下去，运营商已经不可能最终胜利。要我说，不如坐下来谈一谈，调动各种关系，尝试做出妥协，争取时间，慢慢解决根本问题。至少不至于付出那么大代价，至少不至于闹到到处 AOE ，至少不至于闹到民怨沸腾。

熟悉的场景，类似的故事，是否还历历在目？

利益声明：本人个人从未运行过 pcdn 服务（被不知情打包在各 app 里的 p2p 服务不在此列），工作和 pcdn 无关，偶尔使用 bt 。月上行不超过 500G 。

@terrancesiu 对，我现在是双线，以前用联通地址往下分，移动出去的话就 snpt 。某一天换成 fd 试试了，两边 snpt

@piero66 墙内家宽接 asn 不现实，要用地址的话也没必要，偷一段就是了，更隐私，而且有生之年不会分出去。

@allin1 不是所有东西都能装扩展……或者说基本上只有 pc 能装扩展。

@zwy100e72 webrtc 能同时拿到内部和外部地址。一个有点现实的场景就是，墙外网页能直接拿到墙内 v6 。当然，如果访问个墙内接口也能拿，但是那就是针对性的了。

至于防火墙，我个人是不爱开，虽然开起来也很容易，但是这种东西除非实在守不住……还是让设备通达比较好。

@kenneth104 感谢回复。
> a1 ，隐私有啥问题，或者说有啥隐私？
webrtc leak ，特别是某不作恶的公司干掉 webrtc 选项以后
> a2 ，ban 掉外网 v6 ，就不会对外 P2P
(d)不考虑
> a3 ，自动获取 v6+ddns
a3 这个 ddns 没难度啊，复杂的网络指的是……我的另一个帖子那种程度。
相反，在 b3 做 ddns 需要算一下（我用算的，所有 ddns 托管在路由器上）
a3 的实际问题，简单的说就是，局域网内同时有真地址和 fd 地址，在边界处做 snpt/dnpt ，实际上没过边界的话不可以互相访问，ddns 解析到在自己家的公网也不行。解决起来也不困难，内部访问根本不需要走 ipv6 。

不是难道还有打算二层直通的吗
交换机和路由器……
算了
请个网工吧，请不要和网工抢饭碗

看你的小鸡的线路
感觉最近联通亚太优质线路比较少

对于 tcp 和 udp ，ip6tables 可以实现和 iptables 一样的 nat 。
对于 http 类服务，根据需求，还可以选择 http 代理的模式做反向代理。
以及，建议还是用不同的域名区分不同的服务，毕竟就算是 ipv4 ，也可以用 host 区分（ http 服务），就算不同的域名也可以加端口。