@thereone 双向经过一个设备的话可以用（有点复杂的） conntrack 解决。单向经过的话就没什么好办法了。

@thereone 来回路径不一致可能还是小事，端口映射确实可能会出问题：
假设内网用户是 192.168.100.200 ，主路由 192.168.100.1 ，旁路由 192.168.100.9
映射（包括各种映射）了 8888 端口到外网端口 198.51.100.100:8888 。
此时有来自 203.0.113.2 的用户访问了你的公网端口，然后他给你发了一个包。
203.0.113.2:12345->198.51.100.100:8888
进行 nat 以后，通过主路由转发到了客户机，到这里还没问题。
然后客户机需要给他回包：
192.168.100.200:8888->203.0.113.2:12345
这时候这个包首先被发送到旁路由。这个时候说不定（看策略）就被走其他路径“劫走”了，
然后可能通过 vps 的出口发给了对端的机器，对端看起来数据包是这样的：
192.0.2.33:27428->203.0.113.2:1234
这数据包哪儿来的……于是就扔掉了，通信失败。

单点故障的场合，不认为家庭环境有那么多需要热备的，要坏的话主路由一样会坏，主路由更需要热备吧……光猫也可能坏，怎么热备呢？局方给你套个 SDH 大圈圈吗……不可能的吧……连链路都只有一条的说……
虚拟链路的话……就只有一条吗……就算只有一条，主路由一样可以临时禁用（如果这是希望的结果的话）。不要默认旁路由容易坏，更不要默认特殊功能的设备就容易坏。如果设置正确、运维得当是没问题的。当然，如果是刚上手的学习阶段，还是可以用旁路由练手的。

接下来就是性能，转发性能确实比不上硬件但是在家用场合下可以忽略。2023 年了，就算还在用 j1900 ，nat 性能会成为问题吗？小包转发确实有可能会没法千兆线速，但是家庭网络您在干啥会有那么多小包？家庭网络最大的 cpu 开销，一是 pppoe ，二才是加解密。pppoe 是个跟不上时代的古董协议，特别耗费资源。再说，升级个设备其实也没多少钱，考虑下宽带费用电费可能还有其他按月计价的费用……设备成本可是可以摊销的。

透明网桥我实现过，整体上还不错但是有点其他问题，现在 broute 表都被拿掉了，以后不知道该怎么搞。可是那也是条件所限拿不到路由的时候才用的，拿得到路由的话用路由舒服多了。企业应用也一样，管理设备要串行接入网络的话要物理操作要断网，但是路由指过去的话就可以远程操作，也可以屏蔽，还可以部分应用。

至于配置方便程度就更不要说了，拿着主路由权限可以下发各种东西，你要给多少设备设置网关啊？我家的电脑×n 、手机×n 、pad 、电视、虚拟机×n ，都要一个个爬上去设置 dns 吗……我家下发的 dns 的 ip 都是一样的，但是会根据策略拉到不同的服务，返回的东西也可能不一样，这些用旁路由……不是做不到，而是，还是算了。

最后，多线上联（不同运营商多条宽带）这一条，旁路由被薄纱。

作为入门的话，旁路由或许还好啦
或者某些条件受限，比如路由器房东的 /搞坏网络会被老婆要求跪主板，那也就旁路由吧
时间长了还是主路由的好，流量自然流过，对下游设备完全透明，能实现的东西也更多
不稳定？最大的可能是操作不当，我家核心路由不停电都不重启的
性能？ n100 来一个，路由场景没有什么 hold 不住（过剩了）
至于网络分层……运行在 ip 层有什么行，完全可以。

所以，“多数用户”到底是谁啊。

最后那句倒是很同意。

@hadoop 和无公网 ip 的家宽没区别的感觉，跨网一定程度上会被 QoS

一般来说搬家搞丢了可以免费要回来吧。

@admin13579 大炮打的所谓“境外反动网站”是 github 。
以下内容转载自 wikipedia https://zh.wikipedia.org/wiki/%E5%A4%A7%E7%82%AE_(%E7%BD%91%E7%BB%9C%E6%94%BB%E5%87%BB%E5%B7%A5%E5%85%B7)


大炮的第一个目标是 GreatFire 运营的“依附的自由”相关项目， 首次攻击是对 GreatFire 运营在内容分发网络上的镜像站点，出现在 2015 年 3 月 14 日。之后 GreatFire 报告大规模的攻击出现在 3 月 17 日。对镜像站点的攻击在 3 月 25 日终止。

之后在 3 月 26 日，被 GreatFire 用于托管反审查项目的 GitHub 也受到攻击。
参见：对 GitHub 的审查和封锁 § DDoS 攻击

多次技术报告显示，对 GitHub 的攻击的方式是采用了 HTTP 劫持，通过向百度注入恶意的 JavaScript 代码，其功能是每隔 2 秒加载一次 GreatFire 或其运营的纽约时报中文网镜像站点的账号主页，以使从中国大陆以外访问百度网站及广告的流量转换为 DDoS 攻击发送至目标。对 GreatFire 运营的镜像站点也使用了了类似的方法。百度已否认自身产品存在安全问题。

这次攻击导致 GitHub 在全球范围内的访问速度下降。

根据系统状态消息页面的显示，已于 3 月 31 日停止了网络攻击，该日凌晨 0:09 （ UTC ）已经稳定。GitHub 在其 Twitter 与微博予以了证实。至此，此网络攻击共持续了五天。Google 的研究人员观测到 HTTP 劫持在 4 月 7 日终止。

世界，加钱可及——中国电信
换小鸡
用机场
买中转

家用路由等级
Level0 什么都不会，运营商光猫解决一切。
优点：简单，省心。缺点：什么都做不到。
Level1 最基本的硬路由。
优点：简单，但是不如 lv0 简单。缺点：就是没有优点。
以上为入门级别，出现问题的时候呼叫 10000/10010/10086 。
Level2 刷 openwrt 的硬路由。
优点：相对简单，容易购买，上限高，可以翻墙、可以实现部分 NAS 功能。缺点：可能面临性能不足的问题。
Level3 旁路由软路由。
优点：不怕坏，可以折腾，适合学习。缺点：网络架构不够优雅。
Level4 软路由做主路由。
优点：All in boom 。缺点：All in boom 。
Level5 自由发挥。
优点：自己研究，需要什么就自己搞。缺点：自己研究，需要什么就自己搞。

本质上是看自己需求了。
对于绝大多数只会上网的普通用户来说，Lv0 是最佳的。
对于想要翻墙的用户来说，Lv2 可能是最合适的。
对于想要学习的用户来说，Lv3 是非常适合折腾的环境，但是这种场合下恐怕会慢慢自发向 Lv4 演进。
对于想要实现一些和别人不一样的东西，做一些自己需求，并且有足够水平的才考虑 Lv5 。
至于 Lv6 ？或许自己设计硬件算 Lv6 ，还是 Lv5.5 呢？

在机器上抓包
找外边的别人 ping 你
你能收到那边过来的 ping 包
那就是公网

看看日历
过两周再看看
万一它就自己好了呢

北京联通+移动
默认路由指联通
都有公网 v4+v6 （移动要+20/月，价格合理童叟无欺）
日常无问题，出海看线路，通常是移动亚太好联通欧美好
两个都是光猫要桥接直接根师傅说后台下发
有过推销电话让提速还有推 fttr 的，都无视了……

网线退休我是不信的，光纤坏了没法自己修，网线透明胶请战（至少能撑几天）
光纤还有伤眼的潜在风险，网线……漏电？ 48vpoe 虽然理论上会电人……但是皮也没那么脆吧。
所以网线还能跑 poe ，这一点是光纤无论如何都解决不了的。
其他，光纤自己问题，就 sc lc 口，都能恶心半天的。
就不说组网了，绝大多数用户分不清接入和组网。

另外，fttr 对于不会弄但是不差钱的客户是有用的，对这个论坛的用户基本上都是负面价值。

当年北京联通割接掉公网，早上发现，直接 10010 就“您好，公网 ip ，谢谢”，然后对面“您十分钟后重新拨号即可”，然后过了 10 分钟重新拨号就回来了，相当干净没有废话。
话说现在感觉一个月 ip 没变过了……

国内家宽还能双向解析的？机房双向解析都一堆事儿……
按理说，单纯解析肯定没事
就算有 web 服务，如果对不认识的域名返回 403 或者 404 也没事
至于常见的路由器、nas 登录页有没有事，看人家心情

北京联通确实是这样的
理论上之前有一版免费的 iptv （频道少）
直到前几年收到短信加多少钱开通 cctv 3568 我才在想：哎？不是一直有这些台吗？
现在的新套餐似乎是必选 iptv 了，有的套餐是赠送

mptcp 可以不要求出口 ip 和端口相同，但是几乎找不到支持这东西的……而且 mptcp 到底算不算单线程也有的讨论。
quic 也是要求出口 ip 和端口相同的。

所以你的理解是对的，只能在二层聚合。