先说结论：
建议存一份，方式可以是 2FA 管理软件自己备份，或自己导出备份。方便跟换设备或手机丢失的时候可以及时恢复。甚至考虑 2FA 管理 app 同时使用多个的，相当于多配一把钥匙。

目前在用的方案：
- 密码库用 ：Enpass(闭源商业），数据纯本地，用自己的 Onedrive 多端自动加密同步
- 2FA 用：2FAS （开源） iOS 版，数据纯本地，APP 里可选 iCloud 同步，可选加密或者非加密导出后自己存在任何地方，需要时也可以导回去。
- 根账户不负责任何密码管理和 2FA 管理工作

解释下：
- 从安全的角度来说，密码库和 2FA 应该隔离，当然现在很多密码管理软件从便利角度自带 2FA 管理，但这其实也就失去了 2FA 的意义。纯图方便了。
- 2FA 的管理和根账户不混在一起。我是从 Google authenticator 迁到 2FAS 的。原因是，如果出现了小概率根账户被爆的的情况，2FA 等于也交出去了彻底失控。


但这些全看个人需求和用况，上面的哥们用了 10 年也 ok ，对吧。

安全和便利是互斥的，这个平衡点得每个人自己去找。

刚知道 google 的 Doh 可以这样配置：

https://8.8.8.8/dns-query

那么就完全不需要 default-nameserver 了。

@icaolei @xpn282

有个地方我可能没有说明白，ipv6: true 有两处，一个是全局的，一个是 dns 项里的。

dns 里的默认是 true 。全局的好像也是，而且一般 app 会在 GUI 里有开关控制，它们的区别是：

-全局的 ：是否处理 ipv6 流量
-dns 里的 ：是否丢弃 AAAA

这 2 个任意一个改为 false ，就会无法使用 ipv6 进行网络访问，可以通过 https://ipw.cn/测试。这个根据自己的需求来。如果你没有 ipv6 就建议关掉。 有 ipv6 的话想用就开，比如有些网络电视用的是 ipv6 地址。

回到 DNS 优化的问题：
除了 DNS 配置项目问题，规则才是关键。因为 dns 优化的核心是要避免本地进行“不必要的 DNS 解析”，使用 Fake-ip 就是一种策略，还有一个策略就是要在规则里，尽量避免使用 IP 规则，如果有，也建议放在排序的后面，并且加上 no-resolve 。

这样，就避免（减少）了一次或多次为了匹配规则而进行的 DNS 请求。

@xpn282 @shuiguomayi @icaolei

这是一个可用的简单配置：

dns:
enable: true
prefer-h3: true
listen: :1053
enhanced-mode: fake-ip
fake-ip-range: 28.0.0.1/8
fake-ip-filter:
- "*"
- "+.lan"
- "+.local"
nameserver:
- https://101.101.101.101/dns-query
- https://1.1.1.1/dns-query
nameserver-policy:
"geosite:cn,private":
- https://223.5.5.5/dns-query#h3=true
- https://223.6.6.6/dns-query#h3=true

解释一下：
- IPv6 我之前一直是 true ，最近打算关掉试一试，因为看到有说法是这个打开后有时候会影响上网体验。待验证。
- prefer-h3: true 要打开，这个对于支持 http3 的 Doh 会启动并发查询，如果对方支持，速度更快，那就起飞
- nameserver 部分没有开强制 h3 ，原因是，这部分请求会出去，而出国的 udp 通常可能体验不好，默认并发即可。
- policy 部分，增加了#h3=true ，让国内的域名解析强制开启 http3 的 Doh （目前阿里是支持的），理论上可以起飞。
- 去掉了 default-nameserver ，因为下面的请求地址用的都是 ip ，不是域名，不需要再解析了。

另外就是，enhanced-mode 这部分到底怎么用我还没搞清楚，fake-ip 部分是我最近加上去的。我不是在网关上用，就是客户端上用。所以我不知道有没有用。或者说有没有负作用。目前也是测试待验证。

以上。

@zx900930 试一试 remotely save 插件？

我记得几年前都可以自己注册然后充值的。现在不可以了么？得去买号？

你去小红书找收山姆茅台的人，那些人都是懂哥。应该能鉴定。也愿意收。

如果你是联通，其实用便宜点的机器一样很顶。联通使用 Racknerd 选 DC02 ，晚高峰也可以跑满带宽。一年只需十几刀。

不错，但每次写完后都搞一遍，感觉麻烦。

这里也分享下我的做法：我的笔记内容和博客站点是 2 个 Obsidian Vault ，分开管理，分开的原因：

1 、笔记内容较为私密，我自己都是用 remotely save+Onedrive 同步和备份，而 Hugo 站点内容通常都是公开的（当然也可以私密 repo 管理），为了发布本身就在 Github ，没必要混在一起多同步一份。

2 、后面方便内容做鉴权，这是另外一个话题了。


这样分开后，管理就很纯粹简单：

1. 博客图片都是用图床（笔记也都是用图床），这样就不存在什么 MD 文件的关联资料，MD 文件就是自己一个文件，纯粹。写博客或者笔记的时候，直接将图片在文章中粘贴，就自动上传图床返回并替换为 MD 图片链接。用到的插件和软件
- image auto upload plugin 添加图床配置
- pigo （或者 piglist 或 upic ）管理图床
- 图床是 CF R2 免费

2. 使用 Obsdian 自带的模板功能，做一个新文章的模板（里面有文章元数据），指定新文章创建路径为 content/post 目录
3. 站点内容用 Git 管理，远程仓库直接连接到 Cloudflare Pages ，我本地 push 之后，那边就自动拉取并 build 站点内容并发布。



配置需要一些精力，但配置好后，就特别简单了,可谓一劳永逸：现在写作发布只需要：

1. Obsidian 打开 Hugo 站点仓库，创建一篇文章（已自动在 Content 目录)
2. 插入模板（就是填充元数据），修改标题，即 tag 等等内容，开始写作
3. 写完后 在 Obsidian Git 插件里点 3 个按钮（ Stage ALL + Commit + Push)
4. 等大概 10-20 秒后，网站就已经更新了。

欢迎讨论。

@ffxrqyzby 有个概念没搞懂。有 IPv6 了，是就可以不依赖其他任何工具直连？（两个电脑互相使用对方的 IPv6 地址访问），还是说有 IPv6 了还是得需要工具，比如用 tailscale ，但直连的成功率高？

@gentrydeng 我当初自己改桥接就动了一个设置，删了原来那个 internet 连接，重建了一个 ipv6 和 v4 双栈桥接网络。其他没动过。



刚刚按其他帖子说法 和你上面的回复，我重新进入光猫，把这两个关掉

基本设置-lan 配置-RA 配置-“O”选项关掉保存。
基本设置-lan 配置-DHCPv6-“DHCP 服务”选项关掉保存。

重启光猫，然后路由改 Native ，正常了。现在 IPv6 终于彻底正常了。感谢！虽然我不知道原理是什么。

@gentrydeng 最开始光猫也没有 v6 的。我进去设置后才有 v6 ，是不是哪里设置的不合适？我就只能用 NAT6 。 这次突然不能用 我没有改过光猫

@dabaibai 有结论了么？

@SenLief @FaiChou 有没有什么直观的办法知道是不是直连成功了？ 控制台里的 机器显示 connected 算不算？

还是说只能连接后 通过 tailscale status 或 tailscale ping xxxxx 来查看？

@whileFalse 啊？我完全不懂。请指教（救命）

@Tufutogo 啊？大哥你这是经历过什么惨痛教训么。。。

@FaiChou 我都明白了。我现在感觉槽点就是在，如果没有自建 derp ，那么“数据和流量出境”与否不可控，一不小心就过墙了，也没得选。。。。就去喝茶得不偿失了。。太可怕了。

@kenvix @SenLief @marquina @echo1937 谢谢几位老哥。
我没有 NAS 也没有 Homelab ，纯粹是尝试下新东西，我今天是第一次实际装这个东西（之前只是看大家说如何如何），装下来感觉挺牛逼的。什么都不用配置，加入网路的 2 个设备直接就能连上，我刚刚试了 MBP 数据流量 和 家里路由器后面的 PC 可以直连。tailscale status 显示 direct ，我还试了 taildrop 互发文件很快。

我大概理解了 exit node 的情况，实际上就是自己选一个节点做网关。通过这个节点出站，也就复用了这个节点本身的网路环境。

我搜了下，说是像公司内网这种 NAT 会复杂很多，才可能会需要中继才能连上。后面有机会再试一试。

目前唯一感觉奇怪的地方是：好像除了命令行 tailscale status ，UI 也没有地方显示是走了直连还是中继。（好像中继还是兜底的），这下好了，万一这一不小心 走了中继 境外中转一下被喝茶了可不麻烦了。。。

@marquina 如果不自建立境内中继的话，需要中继就走跨境中继服务器了，这种过墙会被 ban 么？或者说会被喝茶么？