你们有没有考虑过，头像框框的背后，在云端的控制中心有一个人在默默地看着您。。。

3200 元 的 Mikrotik CCR1009-7G-1C-1S+ 可以满足您的要求。

8 个 G 口，其中 2 个 G 口可以作为 WAN 口拨号，用 PCC 做负载均衡，剩余 6 个 G 口可直接设备，不够的话还有一个 10G SFP+ 口和 千兆的 SFP 口（均需另购模块）可以接下联交换机增加端口数，通过 CHNRoutes 路由表策略性翻墙。

设备功耗 <=34w，双 PSU 电源，带主动散热风扇，不支持 PWN 温控，平均转速 6000，工作起来有一点噪音。稳定性不说了，小运营商级别的路由器。

唯一的难点：需要懂 ROS 还有 iptables

上文提到了下一代的 WIFI 协议 802.11 AD，拥有单通道 4.6GB 带宽工作在 60MHz 频段的 AD 是否就一定现在 AC 牛？未必！！！

一张图说清楚这个问题：

http://i.imgur.com/i5HQC1U.png

原文连接： https://arstechnica.com/gadgets/2016/12/802-11ad-wifi-guide-review/

现在阶段一堵承重墙可以将你的 5G AC 信号消掉 50-90%，上 AD 之后你家二哈跑到设备前就可能断网了：）
所以还需要考虑布点布线等综合因数。

高通将在 骁龙 835 平台中支持 802.11 AD 网络 http://www.qualcomm.cn/products/snapdragon/processors/835
预计 iPhone 8s 也将会开始支持 。

所以，是一步到位还是逐年更新，还是得看你的钱包和玩心有多大 ❤️

不差钱的话，就终结上 802.11 AD 吧，目前已经有两款产品上市：

TP-LINK AD7200 Talon | http://www.tp-link.com/us/products/details/cat-5506_AD7200.html
Netgear AD7200 R9000 | https://www.netgear.com/home/products/networking/wifi-routers/R9000.aspx

看好后者，因为 10G 网络的灯可以亮起来了，5K 预算有钱找，跪求 v2 的豪们开箱评测 ：）

如果想玩炫酷的 Mesh 网络，目前只有 802.11 AC

Amplifi | https://amplifi.com
Orbi | https://www.netgear.com/orbi/
eero | https://eero.com

专业覆盖解决方案，还得看 Ubiquiti | https://www.ubnt.com

介绍视频： https://www.youtube.com/watch?v=F6tn_uLz3KM
其中 Amplifi 具有最 Cool 的外形和最好的跑分性能，2.5K 预算内个人认为价比最高。

最后推荐一个专业的路由器跑分和 review 网站： https://www.smallnetbuilder.com/tools/rankers/router/view
目前 ，第一名是大家既熟悉又陌生的品牌。

真心没时间和心机操手机了，用 iPhone 的人我估计 90% 默认铃声都没换过，工具而已，折腾它干啥？

就凭 Apple 敢怼微信，微信认怂，今年继续续费。

这是好像是联通的官方网速测试入口，联通的朋友可以试试。（貌似 ActiveX ）

http://iservice.10010.com/e3/service/service_broadband.html?menuId=000400030004

1、测试是用 flash 来实现的，浏览器必须支持 flash

thisMovie("myTestA").setSpeedList($("#temp_url").val());
……
<embed ... name="myTestA" src="swf/Dashboard_cq.swf"> </embed>

2、不是所有测点都有效，可以选择同省相近测试点来测试。

结论：半成品，但是可以保持关注。

自如标配 TP-Link 确实有问题，带看的时候我在多家测试过网速，最多就能跑到 40Mbps，换自己的路由器或者直插网线，妥妥的 110Mbps。

@ovear 这个应该知道，主要是没有情怀和信仰值。

送三枚域名巨牛 x 的域名，可能是全世界最大的后门 /心跳服务器：）

time.windows.com
time.apple.com
time.android.com

@onion83 没有标准答案，尝试过 dnscrypt / Pcap_DNSProxy / Unbound + TCP 感觉都不稳定，而且莫名奇妙就卡住了，最后发现其实用非标端口 + 在 vps 上做一条 nat 轻松搞定.

dnsmasq 部分
--------------
server=/twitter.com/$IP#端口
server=/facebook.com/$IP#端口
....

ipset=/twitter.com/gfwlist
ipset=/facebook.com/gfwlist
....

VPS 部分
--------------
iptables -t nat -A PREROUTING -p udp --dport 端口 -j DNAT --to-destination 8.8.4.4:53
iptables -t nat -A POSTROUTING -j MASQUERADE

优点：
--------------
1、可继续沿用 gfwlist 的成果，定时更新。黑名单可按你指定 IP 进行解析。dnsmasq 可将解析结果灌入到 ipset 中，可以避免写死 IP 地址列表，更灵活一些。
2、盒子、服务器上不需要再维护第二个代理或加密程序，无客户端、无服务器端效率理论最高.
3、dig twitter.com @$IP -p <端口> 即可调试

缺点：
--------------
1、所有包转发均明文，如果流量一大有可能会 DIP 封杀。（对策：多 IP ／多端口?）
2、某些运营商／边缘网关有可能已经做 QOS 或已经开始 DIP，例如：北京联通访问阿里云 hkb 的 udp 非标端口会有 30%的 timeout （主观感受被 drop ），但是南方电信却 100%正常，两者 ping 值均正常。

结论：
--------------
网络、设备环境不同，还得看实际场景和体验。

刚好前段时间研究过这个问题，木桶效应，最终 MTU 会已最小值 B 为准，也就是说 A 的 数据包会在 B 路由器中产生了 DF，数据包传输分了两次效率会低。

原理这篇文章讲得非常清楚： http://packetlife.net/blog/2008/aug/18/path-mtu-discovery/ 可参考。

建议默认设置，让路由器之间通过 PMTUD 自协商。

顺便吐槽两广（广东、广西）电信光纤 PPPOE 拨号的 MTU 为 1480 不知毛原理？帝都联通的是标准的 1492。

客户通过 VPN 连接到你的内网中，网关地址固定，关键需要维护好一个 DNAT 地址池，出口确保出口 IP 每次都不一样即可。当然 还要提供至少两个能力，

1，客户主动告知你某 ip 已经被 ban，需要在地址池中去掉。
2、定时返回地址池数量，当地址池消耗完毕或者接近下限时候，重现拨号或再次重建更大的地址池。

好吧，说到这里我才忽然记得玩过类似的东西：阿里云的 DNAT 网关。。。。

https://help.aliyun.com/document_detail/32322.html

封 80 为了保护你们的路由器啊（笑

@ppbaozi 其实两者原理都是一样的，都是建立黑 /白名单，luci 用的是 ipset 等价 ROS firewall 中的 address-list，白名单的直接 return 走默认网关，非白名单走 ss-redir 配合 TPROXY 出去.

唯一不同的是 ROS 工作在更上一层，当白名单 IP 时候直接在路由器就转发出去了，流量不再通过板子，浏览正常网站会快一些。而 OpenWRT / 梅林 等智能固件将二者合一了，路由、加密、二次转发都在同一层了，使用起来是简单，但是一般路由器硬件的速度会跟不上软件的速度，即使纯 C 写的 ss-libev 跑 4k y2b 也能轻易能跑烫你的路由器，并别提跑 python、go 等程序了，路由器本身还有 bridge/ Wi-Fi / firewall 等加解密等开销了，路由器一挂全家断网 …… 被家人／工友投诉去修路由器是很被悲催的事情 ……

ROS 本身有 Check Gatway 的功能，当两条 0.0.0.0 等价路由其中一条挂了，会自动回退到另外一条，这样最多就是被 Q 的网站不能访问，其它网站是正常的，借用鹅厂人的话这叫 “降级服务” ……

想整一套稳定的系统玩两三年，要弄个牛逼的高价路由器才能跟上如：NetGear R9000 / ASUS ROG Rapture GT-AC5300 / LINKSYS WRT3200ACM 这些厂商的固件虽然是闭源的，功能随少但性能基本达标。

为了所谓的 Free 和更多功能，去刷开源的 Openwrt 等固件主要有两个问题 ：

1、网卡驱动不给力。我那时候玩的机皇 D-LINK DIR-825 刷了 DD-WRT 之后 WI-FI 速度掉了 50%，论坛的反馈主要原因是 Atheros 的驱动没跟上，只能用通用版的驱动。路由器厂商定制芯片，利益最大化考虑，自然不会将最新的驱动回馈给 Kernel，没驱动的支持硬件性能自然发挥不出来，为了软件功能而让硬件性能大打折扣，这个是违背本意的。我不知道这个现象现在是否还存在，有兴趣的朋友可以帮忙做个测试，看看默认固件和开源固件 WI-FI 性能的差异。

2、固件功能更新依赖社区大神。刚才看了下 luci ss-libev 的版本已经脱离主干两个月了，在这个信息对抗万变的世界，版本更新很重要，你懂得。其次，开源固件很难对各式各异的路由器进行适配，大神一偷懒，你的路由器也能也停更新了。不是所有人都有能力将交叉编译环境弄出来的，而且跨平台很多 cpu 特性都不一样，有时候连代码都要改。

现在 Wi-Fi 发展的慢慢由堆天线的单一设备 MIMO 变为多设备集群化连接的 Mesh，例如现在很火的：UBNT AmpliFi / NetGear Orbi / 等，这些新玩具要等多长时间才能刷上 OpenWRT 谁能又给个 Roadmp ?

所以，自己掌握最关键的路由层，WI-FI、Switch 什么的不过是接入层外设而已，哪家强、哪家炫就换那家。这是 15 楼我做网络分层设计的原因，10G 以太网跑满也不怕，哥还有多模多芯光纤呢 ……

当然，以上观点纯粹是我作为文字工作者的意淫和一厢情愿，现实世界或许根本就没那么复杂，大家也就当我吹吹水好了：）

@ppbaozi 刚好相反，在 ROS 通过 chrouters 生成白名单路由 /address-list，对非白名单 IP 在 prerouting 阶段打上标记，指定从板子的作为网关出去，板子上用 ss-redir 做数据加密重定向即可。当然里面有一些配置比较饶的地方，例如板子本身就在同一个路由器下，不能自己重定向自己等.

可以参考： https://quchao.com/entry/turning-a-raspberry_pi-into-a-gateway/ 但每个月的设备环境都不一样，需要慢慢根据实际情况自己调。

BTRFS 分区爆过+1

@burndown 找什么链接？你说蓝色那块板子？某宝就有卖。

A，B，C，D 请投票