1. 路由器上部署 wireguard, 回家就用这个, 可以考虑下 mikrotik 家的设备, 配置起来比较方便;
2. 内网部署透明科学服务;
3. 路由器上配置策略, 属于 wg 子网的, 流量给步骤 2 的服务;
4. All in boom 建议及时拆弹.

用过 N5105, ESXi 下虚拟机不定时异常死机, 排查过散热, 系统配置, 换系统, 都无效, 十分心累, 现在据说有改善修复. 最后换了 J4125, 感知不到它的存在, 很好.

@hsczy 预算足够, 愿意折腾的情况下, 建议:
1. 网络设备不要跑应用层服务, 路由器/交换机/AP 等等只做 1-3 层网络处理, 不要搞 all in one;
2. 储存和服务也建议分开. NAS 只做储存, 虚拟机/docker 等服务, 跑在其他的设备上, 哪怕是几百元的工控机;
3. NAS 系统方面, 目前个人觉得真没有特别好用的, 按自己需求选择吧.
- TrueNAS 功能简陋, 权限系统很复杂, 相当一部分操作要需要命令, 比较割裂; 另外官方建议是要 ECC 内存, 很吃内存(我这配了 128G REG ECC 直接吃了一半多);
- Unraid 没实际玩过, 不支持阵列, 只能单盘+冗余的方式, 按自己需求选择即可;
- 群晖易用性最好的, 但是白裙硬件拉胯, 黑群适配比较差, 用户体验也会打折扣;
- 也可以考虑直接用 win.

@Mr250luch 你说的能通, 应该是 TCP 能通, 但是 UDP 不通. 那就没办法了, 你那台住宅 IP 的机器, 虽然部署了 SOCKS5, 但是不支持 UDP associate 命令, 也就是不支持 UDP 代理. 很多 SOCKS5 server 和 client 应该都没实现 bind 和 udp associate 命令. 无解.

要是能操作住宅代理 IP 的机器, 那就简单了, 比如直接用 wg 把 VPS 和住宅机纳入到一个子网里去...

@a852695 这类国产 NAS, 首先得确认下, 能否离线运行, 另外, 特色环境下发展出来的 NAS 也很特色...建议谨慎.

这样的 UI 的软件, 我一般会看做是病毒.

@Mr250luch 可以的, 就是我上面说的方式 3, 代理链路增加一个节点.

不过, 如果你能在这台住宅 IP 机器上部署个 v2 之类的, 那就更好了.

"vps 全局走住宅 ip" <- 这个完全没必要, 只要能让你打游戏的话, 不需要 VPS 全局走住宅.

梳理一下:
1. 直接连接, 不能打游戏;
2. 通过国外的 VPS 的代理连接, 出口 IP 是 VPS 的 IP, 游戏服务器拒绝;
3. 另外还有一台国外的可以打游戏的代理(文中的住宅 IP SOCKS5 代理);

那么, 可选的方式有:
1. 游戏--->路由器(入站透明代理, 出站 SOCKS5)--->住宅 IP 的 SOCKS5--->游戏服务器
+ 部署简单
- SOCKS 是明文协议, 很容易被和谐, 不安全

2. 把国外的住宅 IP 的代理, 改为 V2 之类的代理, 然后: 游戏--->路由器(入站透明代理, 出站 vless 等科学协议)--->住宅 IP 代理--->游戏服务器
+ 简单方便
- 需要改变住宅 IP 代理的部署

3. 游戏--->路由器(入站透明代理, 出站 vless 等科学协议)--->VPS(入站 vless, 出站 SOCKS5)--->SOCKS5--->游戏服务器
+ 不需要改变住宅 IP 代理的部署
- 链路长, 维护麻烦, 容易出问题

没看懂, 这游戏是不能用 VPS 的 IP? 只要你走代理, 在游戏服务器看来, 你的原始 IP 地址就是代理的 IP, 伪装源地址的话, 回程数据包会有问题

建议直接群辉或者威联通. truenas 真的太简陋了, 本地文件操作都要用命令. 另外, truenas 使用 ZFS, 很吃内存, 64G 内存, 去掉虚拟机/docker 之类的, 估计不能支撑太多的硬盘容量, 而且, 你要考虑你的内存是否支持 ECC

家里带宽你用 80 端口或者 443 端口, 会被屏蔽的.

接上一条:

普通代理, 软件就是你说的哪些; 透明代理, V2 之类的也都支持, 看文档部署即可. 目前我用的自己写的软件做透明代理, 避免公交车协议被爆破, 私家车相对安全一点. 上面留了联系方式, 还有不懂的可以联系讨论, 一起折腾.

分流就是让国内的流量直接连接, 国外的流量被代理, 加速国内访问, 减少代理流量消耗. 分流方案也有很多, 细节按下不说, 目前为止我觉得没有一种方式比较完美, 或多或少都有一些局限性. 我的选择是手动分流.
就是说, 搞 2 个网络, 网络 A 全部直接连接, 网络 B 全部走透明代理. 然后这两个网络使用两个 WIFI SSID, 设备一般情况直连 A, 需要科学的时候, 手动切 WIFI, 连到网络 B 即可. 麻烦一点, 但是也还能接受.

下面说的 DNS 分流, 只是内部分流细节, 依据什么去分流. 常见的做法是通过 IP 地址去分流, 先收集国内外 IP 地址, 再按 IP 分支分组去分流, 比如国内 IP 走直连, 国外的走代理. 但是 IP 分流有个问题就是大多数场景都是通过域名去访问的, 软件程序很少会把目的地址 IP 写死. 所以就有了按域名去分流. 但是, 应用再发起数据通讯之前, 往往要先进行一次 DNS 查询, 所以这里又可以展开...

最后, 不论怎么折腾, 都不建议在路由器上做这些事情. 路由器交换机 AP 这些应该是底层网络基础设施, 是地基; 代理科学和媒体服务器一样, 是上层设施, 提供更多功能性便利, 这些应该分开. 基础网络是负责网络连接, 代理科学走单独的设备去做, 这样代理崩了也不至于整个网络瘫痪. 好比家居里电视坏了, 影响的应该只是看不了电视, 而不是电视坏了直接停水停电. 如果要搞清楚这些, 还是得去学习网络基础知识, 查阅方向的话, 建议买本书啃, 系统性学习. 或者, mikrotik 官方的文档也可以看看, 虽然是写路由器的, 但是往往会写写基础理论知识和原理, 附地址: https://help.mikrotik.com/docs/display/ROS/RouterOS

@caneman
给你举个形象的例子吧. 在国内的 A 要给在国外的 B 邮寄包裹:

- 直接连接: 包裹上, 发件人是 A, 收件人是 B, 包裹直接投递给邮局; 但是邮局会把你的包裹给扔掉;

- 使用代理协议连接: 国内 A 有个国外的朋友 C, C 有个特殊渠道, 邮寄给 C 的包裹, 不会被国内邮局扔掉. 于是, A 把包裹的收件人改为 C, 发件人还是 A, 保持不变. 然后, A 在包裹里塞了张纸条, 上面写着这个包裹真正的收件人是 B, 再把包裹投递给国内邮局. 国内邮局收到了包裹, 按收件人地址, 把包裹交给了国外的 C. C 收到了包裹之后, 打开包裹, 看到纸条, 然后把包裹收件人涂改为 B, 重新发给国外的邮局, 最终 B 收到了包裹;

- 透明代理: 包裹上, 发件人是 A, 收件人是 B, 包裹直接投递给邮局. 但是在投递过程中, 被 D 截胡了. D 一看这个包裹收件人是 B, 直接给国内邮局肯定会被丢掉, 于是 D 擅自把收件人改为了 C, 里面塞了一张纸条, 写着真正的收件人是 B, 国内邮局收到了包裹, 按收件人地址, 把包裹交给了国外的 C. C 收到了包裹之后, 打开包裹, 看到纸条, 然后把包裹收件人涂改为 B, 重新发给国外的邮局, 最终 B 收到了包裹;

A: 需要被代理的应用
B: 目的地址, 被屏蔽的地址
C: 代理远端(国外端)
D: 透明代理

代理需要解决的一个问题是, 如何得知真正的目的地址.
- 使用代理协议, 你的应用(需要被代理的软件程序, 或者硬件设备)需要先通过代理协议, 和代理建立通讯, 应用会在代理协议握手阶段, 告诉代理自己的真实意图(目的地址)是什么, 这样代理后续才能正确的把数据送到正确的地方. 此时, 应用是知道代理的存在的, 毕竟自己是和代理通讯, 而不是和目的方通讯. 代理协议常见的有 SOCKS 协议(版本 5, 版本 4, 版本 4a)和 HTTP(HTTPS)协议;

- 使用透明代理, 那么应用还是和往常一样, 直接发送数据. 但是这个数据会被透明代理劫持. 被劫持的应用, 根本感知不到自己的数据被劫持了, 站在应用的角度, 代理貌似不存在一样, 因为应用自己认为自己是直接和目的方通讯的, 这就是"透明"的由来.

普通代理, 需要你的应用支持代理协议, 然后你得去配置, 比如设置操作系统的代理, 设置任天堂 Switch 游戏机使用 HTTP 代理等等. 对于不支持的配置代理的应用或者设备, 就无能为力了, 同时每个支持的设备都去配置, 也很繁琐, 这就是普通代理的弊端.

透明代理, 不需要应用去配置, 直接使用即可, 简单方便. 但是代价是, 透明代理部署起来比较复杂, 要配合 linux 操作系统的 tproxy 或者 redirect 才能做到, 再加上 linux 的路由表配置和 iptables 配置, 很麻烦, 配置错了可能直接 SSH 都连不上了(因为也被劫持了), 很劝退. 但是一旦配置好, 后面就基本不用维护了, 新设备只要使用透明代理作为网关, 就可以直接科学.

如果要用透明代理, 最常见的做法就是, 在你的内网里, 部署一台 linux, 可以是虚拟机(docker 不行, 因为劫持流量要操作系统配合), 可以是物理机, 然后这台 linux 上配置好代理软件, 配置好路由表和 iptables, 那么这台设备, 就可以劫持并代理收到的流量. 然后, 内网的其他设备或者软件, 把网关 gateway 设置为这台设备就可以了.

如果只是用普通代理, 就是走代理协议的, 那就相对简单多了, 内网的一个软件或者一个设备, 跑一个代理程序, 然后其他需要被代理的软件/设备, 设置代理地址为代理程序即可.

1. 不会, 之后外网进出流量会被限制到千兆;
2. 既然问出这个问题, 那么大概率是不需要的. 如果你需要划分 VLAN, 三层路由之类的功能, 就需要管理功能了. 没需求就不要用管理型, 很贵. 万兆+管理, 靠谱一点的, 基本都是小一万;
3. 是的.

另外, 这么无线多路由器 AP 模式, 真不考虑 AC+AP 吗?