@gentrydeng 兄弟，你牛逼。重启路由器好了。我的是 5 年前买的小米 AX1800 ，目前和家里一个红米组了 mesh 。除了这个问题总体还挺满意的。 换一个的话，您有什么推荐呢？ 再换的话，就想选能做科学网关的了。

@yjzll 10 几天后，lan ipv6 地址突然没有了。WAN IPv6 地址还有。我什么配置都没改。这东西还能被收回的?
@gentrydeng

我没有 homelab ，但是对这个话题感兴趣，经过我搜索。有这样一个未经验证的方案：不需要你去搞内网 DNS ，全部使用 Caddy+CF 搞定（ Caddy 支持用 CF 的 DNS 进行证书挑战。）

1 、先按这个人的这个配置完成内网用域名直接进行 https 访问： https://samedwardes.com/2023/11/19/homelab-tls-with-caddy-and-cloudflare

2 、然后再按这个教程 https://caddy.community/t/caddy-with-cloudflare-tunnel/18569 ，创建外网访问的隧道，隧道设置：
- https ，转发到 1 里面给反代服务器设置的那个域名
- 设置 Origin Server Name 和 Http host Header 为那个域名

理论上，2 配置完成后，外网也用同样的域名也可以访问了。我决定支持一个服务应该是可以打，要多个服务就需要泛域名，

至于泛域名，你可以试试上面那个同学那样配，就是在 1 里面做挑战的时候给 caddy 用的域名就设置为: *.lab.yourdomain.com ,然后隧道配置里，子域名填写 *.lab 域名填写 yourdomain.com

这样理论上应该就可以支持多个服务了。Caddyfile 应该是类似这样写：

*.lab.yourdomain.com {
tls {
dns cloudflare {env.CLOUDFLARE_API_TOKEN}
}

reverse_proxy service1.lab.yourdomian.com x.x.x.x:port1
reverse_proxy service2.lab.yourdomian.com x.x.x.x:port2
reverse_proxy service3.lab.yourdomian.com x.x.x.x:port3

}

如果你是全 docker 部署的那就更简单了。放在一个 network 里，上述反代配置都不用写 ip ，直接容器名加端口。

隧道设置里，直接 https 转发到 caddy:443 。

总之要试一下，我相信肯定可以的。我没这个条件，如果你们谁尝试后有了结论，请告诉我。谢谢。

@CharleyLi 意思是只要不从我的设备列表移除。我就可以一直定位对吧？激活锁？

改不了的。

你废弃它不要用不就行了？

你先在 A （国区）号下，把 iCloud 的资源 down 回本地，然后关闭 icloud 同步。这个 icloud 上的照片。30 天之后就自动删除了
。同时，你用 B 账（其他区）登录设备，开启 icloud 同步。就可以了。

至于 A 号，30 天以后就没用了。偶尔想下载个国区 app 什么的。AppStore 登录下载就可以了。

我是 2015 款的，同样的问题。我是最近还了第三方电池。也是使用没问题，但关上盖子，基本上第二天就空了。

我做了一些搜索。得到的大概结论是这样的：mac 有 2 中休眠模式，一个是睡眠（ sleep ），一个是待机（ Hibernate/Stand-by ）。前者是耗电的，后者不会。

先说下盒盖后的逻辑，默认的情况下：
- 如果剩余电量是小于 50%，那么在盒盖睡眠 3 小时后，会进入待机。
- 如果剩余电流大于 50%，那么在盒盖睡眠 1 天后，才会进入待机状态。

而能否进入待机，还有一个条件就是：必须端口以太网、USB 、Thunderbolt 、SD 、显示器、蓝牙或其他外部连接。
我电脑之前一直插着一个 SD 卡当作扩展存储。如果上述逻辑正确，那么就是这个原因导致的。我目前先移除了 SD 卡准备测试一下。

如果不行，就需要按这个帖子里的方法，强制修改睡眠模式：
https://liam.page/2020/07/26/change-hibernatemode-to-save-battery-on-macOS/

我建议你先看看你是哪种情况，然后再决定怎么解决。

希望有后续我们都在这里交流最终结论。

经过我多天测试，在我这边的网络环境下，需要关掉 ipv6: true 和 #h3=true

上面两个任意一个打开，都会造成国内 DNS 解析缓慢。现象就是微信打开后，连接中..-> 收取中.. 要转很久很久。

全部关闭后。秒开。

prefer-h3: true 这一项还是打开了。因为有可能别的 isp 网络环境下，dns over HTTP3 会比 doH 要快。这选 true 那么下面的 dns 查询就是 dns over HTTP3 和 doH 并发 谁快用谁。我之前强制 #h3=true 就不行了。

最终配置如下：
dns:
enable: true
prefer-h3: true
listen: :1053
enhanced-mode: fake-ip
fake-ip-range: 28.0.0.1/8
fake-ip-filter:
- "*"
- "+.lan"
- "+.local"
nameserver:
- https://8.8.8.8/dns-query
- https://1.1.1.1/dns-query
nameserver-policy:
"geosite:cn,private":
- https://223.5.5.5/dns-query
- https://223.6.6.6/dns-query

@icaolei @shuiguomayi @Nin @xpn282 @BABYMETAL

@kakalt 和 apple store 账户无关了，enpass 里绑定邮箱为 pro 后，可以在其他设备的 enpass 里绑定邮箱解锁为 pro

补充下：chrome 全局有时候显示的是落地所在地，但 edge 全局也是当前所在地。

先说结论：
建议存一份，方式可以是 2FA 管理软件自己备份，或自己导出备份。方便跟换设备或手机丢失的时候可以及时恢复。甚至考虑 2FA 管理 app 同时使用多个的，相当于多配一把钥匙。

目前在用的方案：
- 密码库用 ：Enpass(闭源商业），数据纯本地，用自己的 Onedrive 多端自动加密同步
- 2FA 用：2FAS （开源） iOS 版，数据纯本地，APP 里可选 iCloud 同步，可选加密或者非加密导出后自己存在任何地方，需要时也可以导回去。
- 根账户不负责任何密码管理和 2FA 管理工作

解释下：
- 从安全的角度来说，密码库和 2FA 应该隔离，当然现在很多密码管理软件从便利角度自带 2FA 管理，但这其实也就失去了 2FA 的意义。纯图方便了。
- 2FA 的管理和根账户不混在一起。我是从 Google authenticator 迁到 2FAS 的。原因是，如果出现了小概率根账户被爆的的情况，2FA 等于也交出去了彻底失控。


但这些全看个人需求和用况，上面的哥们用了 10 年也 ok ，对吧。

安全和便利是互斥的，这个平衡点得每个人自己去找。

刚知道 google 的 Doh 可以这样配置：

https://8.8.8.8/dns-query

那么就完全不需要 default-nameserver 了。

@icaolei @xpn282

有个地方我可能没有说明白，ipv6: true 有两处，一个是全局的，一个是 dns 项里的。

dns 里的默认是 true 。全局的好像也是，而且一般 app 会在 GUI 里有开关控制，它们的区别是：

-全局的 ：是否处理 ipv6 流量
-dns 里的 ：是否丢弃 AAAA

这 2 个任意一个改为 false ，就会无法使用 ipv6 进行网络访问，可以通过 https://ipw.cn/测试。这个根据自己的需求来。如果你没有 ipv6 就建议关掉。 有 ipv6 的话想用就开，比如有些网络电视用的是 ipv6 地址。

回到 DNS 优化的问题：
除了 DNS 配置项目问题，规则才是关键。因为 dns 优化的核心是要避免本地进行“不必要的 DNS 解析”，使用 Fake-ip 就是一种策略，还有一个策略就是要在规则里，尽量避免使用 IP 规则，如果有，也建议放在排序的后面，并且加上 no-resolve 。

这样，就避免（减少）了一次或多次为了匹配规则而进行的 DNS 请求。

@xpn282 @shuiguomayi @icaolei

这是一个可用的简单配置：

dns:
enable: true
prefer-h3: true
listen: :1053
enhanced-mode: fake-ip
fake-ip-range: 28.0.0.1/8
fake-ip-filter:
- "*"
- "+.lan"
- "+.local"
nameserver:
- https://101.101.101.101/dns-query
- https://1.1.1.1/dns-query
nameserver-policy:
"geosite:cn,private":
- https://223.5.5.5/dns-query#h3=true
- https://223.6.6.6/dns-query#h3=true

解释一下：
- IPv6 我之前一直是 true ，最近打算关掉试一试，因为看到有说法是这个打开后有时候会影响上网体验。待验证。
- prefer-h3: true 要打开，这个对于支持 http3 的 Doh 会启动并发查询，如果对方支持，速度更快，那就起飞
- nameserver 部分没有开强制 h3 ，原因是，这部分请求会出去，而出国的 udp 通常可能体验不好，默认并发即可。
- policy 部分，增加了#h3=true ，让国内的域名解析强制开启 http3 的 Doh （目前阿里是支持的），理论上可以起飞。
- 去掉了 default-nameserver ，因为下面的请求地址用的都是 ip ，不是域名，不需要再解析了。

另外就是，enhanced-mode 这部分到底怎么用我还没搞清楚，fake-ip 部分是我最近加上去的。我不是在网关上用，就是客户端上用。所以我不知道有没有用。或者说有没有负作用。目前也是测试待验证。

以上。

@zx900930 试一试 remotely save 插件？

我记得几年前都可以自己注册然后充值的。现在不可以了么？得去买号？

你去小红书找收山姆茅台的人，那些人都是懂哥。应该能鉴定。也愿意收。

如果你是联通，其实用便宜点的机器一样很顶。联通使用 Racknerd 选 DC02 ，晚高峰也可以跑满带宽。一年只需十几刀。

不错，但每次写完后都搞一遍，感觉麻烦。

这里也分享下我的做法：我的笔记内容和博客站点是 2 个 Obsidian Vault ，分开管理，分开的原因：

1 、笔记内容较为私密，我自己都是用 remotely save+Onedrive 同步和备份，而 Hugo 站点内容通常都是公开的（当然也可以私密 repo 管理），为了发布本身就在 Github ，没必要混在一起多同步一份。

2 、后面方便内容做鉴权，这是另外一个话题了。


这样分开后，管理就很纯粹简单：

1. 博客图片都是用图床（笔记也都是用图床），这样就不存在什么 MD 文件的关联资料，MD 文件就是自己一个文件，纯粹。写博客或者笔记的时候，直接将图片在文章中粘贴，就自动上传图床返回并替换为 MD 图片链接。用到的插件和软件
- image auto upload plugin 添加图床配置
- pigo （或者 piglist 或 upic ）管理图床
- 图床是 CF R2 免费

2. 使用 Obsdian 自带的模板功能，做一个新文章的模板（里面有文章元数据），指定新文章创建路径为 content/post 目录
3. 站点内容用 Git 管理，远程仓库直接连接到 Cloudflare Pages ，我本地 push 之后，那边就自动拉取并 build 站点内容并发布。



配置需要一些精力，但配置好后，就特别简单了,可谓一劳永逸：现在写作发布只需要：

1. Obsidian 打开 Hugo 站点仓库，创建一篇文章（已自动在 Content 目录)
2. 插入模板（就是填充元数据），修改标题，即 tag 等等内容，开始写作
3. 写完后 在 Obsidian Git 插件里点 3 个按钮（ Stage ALL + Commit + Push)
4. 等大概 10-20 秒后，网站就已经更新了。

欢迎讨论。

@ffxrqyzby 有个概念没搞懂。有 IPv6 了，是就可以不依赖其他任何工具直连？（两个电脑互相使用对方的 IPv6 地址访问），还是说有 IPv6 了还是得需要工具，比如用 tailscale ，但直连的成功率高？