其实也不是大公司买账，而是技术界很多人根本就不信任大公司。这种事关安全的东西需要和用户或者其他实体没有利益冲突才行。

实际上现有的端到端加密其实是 key 到 key 的加密，只保证是发送端 key 的所有者到接收端 key 的所有者是保密的。至于怎样验证你要通信的对象的确是这个 key 的所有者，有两种普遍的模式：
1. 基于权威机构的证书，也就是 X.509 。
2. 基于面对面建立的信任网络，也就是 PGP 体系。

如果并不是同一个二层网络，只是三层互通（即设备之间需要经过路由器）的话，相互发现没有什么好的办法。如果使用常见的点对点协议通常需要内网部署一台 STUN 服务器。最直接的办法就是查看其中一台设备的 IP 然后直接连接了。

常见的正向代理协议，包含 HTTP 代理和 SOCKS5 代理，根据相应的 RFC 标准，在代理 HTTPS 流量的时候，其实是作为 TCP 传输层代理使用的。

相关的 RFC：
SOCKS5: RFC1928

的确是 yubikey 自己算的。
实际上现代的大部分包括银行卡、公交卡在内的智能卡都是自己计算加密的。

@haah 能否具体讲解下？我也是刚刚了解这个领域。

@haah
@Tyanboot 是，但是在 web 里似乎纯靠请求 STUN 服务器只能获得设备的公网 IP ，无法知道具体的 NAT 类型？
所以我想问问有没有什么网站可以直接告诉在网页里告诉我我的网络环境是哪种 NAT 类型。

找到一个有相关的介绍，但是实现的非常初步的网站： https://webrtchacks.com/symmetric-nat/
网站给的 DEMO 在： https://jsfiddle.net/5ftsd5c2/17/
但是看起来没有配相应的后端服务。

感觉这类功能还是挺实用的，要是有一个用于 debug 还是不错的。

@0o0O0o0O0o
建议在客户端配置基于源地址的策略路由。即源地址为 10.0.0.2/32 的走 wg ，源地址为其他地址 ip 的走系统原来的默认路由。

（以下假设 linux ）例如在客户端的[Interface]下增加以下内容：

PostUp = ip route add default dev %i table 10086 src 10.0.0.2
PostUp = ip rule add from 10.0.0.2 table 10086
PreDown = ip rule delete from 10.0.0.2 table 10086
PreDown = ip route delete default dev %i table 10086 src 10.0.0.2

@0o0O0o0O0o
如果客户端收到的 TCP 请求是来自源 IP （我理解你说的源 IP 应该是 1.2.3.4 ？）的话，那么就必须确保客户端将发回该源 IP 的数据包路由经过 wireguard 。如果你想避免将 wireguard 配置成默认路由（ Table = off ），那么就必须针对性的添加路由。
（以下假设 linux ）例如在客户端的[Interface]下增加以下内容
PostUp = ip route add 1.2.3.4/32 dev %i
PreDown = ip route delete 1.2.3.4/32 dev %i

如果 Table = off 的话 wg-quick 并不会自动配置回程路由，即客户端不会将目标为 10.0.0.1 的包路由通过 wireguard 传回服务器。

三种修改建议（任选其一即可）：
1. 将客户端 Address 字段前缀改为 /24 即：
Address = 10.0.0.2/24

2. 在客户端增加 post up 脚本设置 10.0.0.0/24 走 wireguard 路由

3. 如果 wg 只需要支持这一个应用，在服务端使用 NAT 后，客户端 AllowedIPs 里可以去掉 0.0.0.0/0 ， 并启用 Table = auto ，这样只会建立 10.0.0.0/24 的路由。

把 SNAT 部分的 IP 改成 10.0.0.1 应该就可以？

```
iptables -t nat -A PREROUTING -p tcp -m tcp -d 1.2.3.4 --dport 8888 -j DNAT --to-destination 10.0.0.2:8888
iptables -t nat -A POSTROUTING -p tcp -m tcp -d 10.0.0.2 --dport 8888 -j SNAT --to-source 10.0.0.1
iptables -t nat -A PREROUTING -p udp -m udp -d 1.2.3.4 --dport 8888 -j DNAT --to-destination 10.0.0.2:8888
iptables -t nat -A POSTROUTING -p udp -m udp -d 10.0.0.2 --dport 8888 -j SNAT --to-source 10.0.0.1
```

京东通信目前还有电信或联通网络的 1 元 1G 日租卡。京东有自营店铺。

觉得可能是电话系统太落后了，如果电话联通前可以提供一个 pgp 签名或 x509 证书就会比较好

@cest reddit 上官方回复 docker 是还需要几周。

“will take several weeks”

@yyingx 实际上你的所有数据都在 Sync 目录下，只要你在别的网盘上有这个目录的备份，你就可以自己把它复制回 iCloud 里，或者是在 Fog Machine 上进行编辑。

可能楼主需要一款 IP KVM 设备

iPad mini 是支持 USB-C 的，其中接入硬盘、接入有线网络都是支持的。

接入 HDMI 信号输入这部分看起来比较困难。这类功能一般用 USB 的视频采集卡来实现，相当于一个 USB 摄像头，然而这类设备似乎 iPad OS 既不支持，也没有 APP 支持。或许剩下可能的方案就是利用网络来投屏了，但好像又不太有这类硬件。


参考：
接入硬盘： https://support.apple.com/zh-cn/guide/ipad/ipad1c415e32/ipados
接入有线网络： https://9to5mac.com/2020/04/01/how-to-use-ethernet-with-ipad-usb-c-lightning/