@wike 可以
我是这么做的：
一条宽带用一个/64 做 SLAAC ，另一个宽带也拿一段/64 ，在出口上做 SNPT
但是连入的时候，需要在网关上做 conntrack ，否则可能出现回程 ip 不对的情况

夸张如我也就用了 4 个/64……
顺便说，dhcpv6-pd 本身有个 prefix-length hint 的，当然如果填太夸张服务端不会接受就是了。
一般来说运营商侧都不会主动只给/64 。

nat4 和 nat4 也是不一样的
linux 内核实现的 nat 的话，默认情况下会尽量保持 nat 后的源端口和之前的源端口一致
这样的话，就有很多文章可以做，甚至 tcp 都有机会连得上

就算端口有变化，只要端口是可预测的，都可能被成功打洞

@fuchaofather 各大自有营业厅均可办理

如果“其他设备都是通的”，盲猜一个 nuc 设置了“只允许局域网访问”，然后你的 wg 不在同一个局域网网段
但是有一个问题，除了路由器和 nuc 以外的其他设备呢？如果其他设备也不通，那可能是路由设置错误，比如没有回程路由，和 wg 的 allowedip 没有添加内网网段之类的。
如果仍然解决不了，抓包看看。
wg 是加密的 vpn ，运营商做不到只阻断里边特定的连接。

不是弱密码并且补丁都打了的情况下，问题不大。

@bclerdx 因为抢答不了 302 ，证书过不去。当然，RST 也是一种抢答。

20 块的包是真公网，也允许连入（除了特殊端口）
先检查你是不是用了 80/443 这种端口，可以换一个五万多的端口试试

珍爱数据，远离 O**。
盒子坏了是小事，这东西它坏盘。
倒是有些 S**牌的盒子，用了 10 年了吧，还能用……

@nkloveni 那不就是当年林**搞的方案嘛……那个当然简单，但是对后面就不友好了，以及，感情上早就受够了。还有就是 udp 的话对某些应用不友好。

管连入连接：
iptables -t nat -A PREROUTING -i wan1 -j CONNMARK --set-xmark 0x1
iptables -t nat -A PREROUTING -i wan2 -j CONNMARK --set-xmark 0x2
……
mark 贴回去：
iptables -t mangle -A PREROUTING -i br0 -m conntrack --ctdir REPLY -j CONNMARK --restore-mark
然后 ip ru 加 fwmark 路由表就好。

为了搞类似的需求早年放弃了 openwrt 改成自己做……
不过或许现在的 openwrt 也能支持了才对？
需要 conntrack 。说白了就是来自 192.168.31.xx 端口 6xxx 的回包的路由得对得上才行。
基本想法是对来自各 wan 的连入连接给打 connmark ，出去的时候在根据 connmark 选路由表。

可能需要在挂载点变动后重新 cd 进去一下

@strp 我不知道他们配置如何，但是这种业务的话好一点的配置单机每秒好几万请求做得到，甚至瓶颈会卡在建立连接上而不是查询
这些 trace 数据对 ipip 自己也是很有用的，按理说本质上是互惠共赢的东西才对

至于大厂购买 如果不续费肯定是没的更新 但是之前拿到的数据能不能用还是要看合同 如果合同里没写明白也不能叫嫖吧 而且大厂有自己的收集渠道
如果说厂商的口碑的话，emmmmm

还记得很多很多年前 qqwry 这种东西都随便下载的，好多大厂也有库的接口免费用，现在怎么成这样了？
思来想去，只有“钱”的嫌疑是最高的。

反正是跑，不如法院起诉了。其实送到法院，运营商也就解套了。

大学报相关专业系统地学习
然后在各种遵守协议的环境中实践
然后在各种不太遵守协议的环境中实践
然后在各种无视协议的环境中实践

@YGBlvcAK
IX 虚拟交换（自动调度、分流），并提供服务（ AC ，各种用途的 DNS ，etc ）
LAN 用于接入普通设备
WAN 用于调度两条宽带
TUN 各种连出 VPN
XC VPN 、IoT 和主网络的交叉互联，为了做策略而独立出现的网段
VPN 不同形式的连入 VPN
IoT 用于接入境内的物联网设备
有空的话考虑说说我家网络设计，感觉就是……有点过于复杂了……

除 IoT 外都是双栈。

从 15 年左右开始用 centos 做主路由，仔细设计+各种 netns 互联还是挺舒服的，修改非核心功能也不容易整体断网
那时候 docker 还没有这么流行，不过后来也接了 docker ，很方便

搞这玩意儿有个坑，就是会越来越复杂，因为总想折腾，有需求就想加个功能，有的时候没有现成的软件或者用着不爽就自己造。。。
结果现在光内网 ip 就用了 7 个/24 。。。