如果安在 NAS 上，除非 OP 给 NAS 和客户端分配 fd00::/8 地址并使用 NAT64 ，否则只能两者之间通讯（当然，从加黑的文字看，是满足 OP 需求的）。当然 NAT 、端口转发以及静态路由这些东西，对于 IPv6 都是很 ugly 的。如果从/60 地址池中分配，通常只能两者之间通讯（不排除通过一定的技术手段可以访问其他设备，但是对于 IPv6 这些手段也是 ugly 的）

如果安在路由器上，那么只要 enable IPv6 数据包转发，就能让 VPN 客户端完全变成内网中有公网 IPv6 的设备，自由访问内网其他设备以及 internet 上网。客户端的所有流量，都是经路由器并由宽带商转发。这就是为什么移动客户端要使用 VPN 的原因。记住对于 IPv6 ，并不需要端口转发、地址转换之类的东西，静态路由都不常见

@datocp 已经封了七八年了吧。不要说 l2tp 了，PPTP, GRE, IPSEC, IKE 这些传统的都是封的。好在微软的 SSTP 换个端口就可以，当然更好的选择是 OpenVPN 和 Wireguard

国内想整个局域网 ipv6 翻墙？那基本上有两种思路，一种是传统的思路，网关给局域网分配 ULA (unique local address, 比如 fd00::/8)地址做 NAT64 ，同时连上 VPN 或时下流行的新型 http/sock5 代理（不知道有没有 ipv6 的？），这种思路和 ipv4 没有区别，缺点嘛就是感觉有点浪费（给你整个/60 或/56 子网，你却只用一个地址），没有公网 ipv6 地址。另一种是彻底抛弃有墙的 ipv6 ，找一家靠谱而且可以给你优雅划分 ipv6 子网的 VPS （这样的 VPS 并不多，因为基本上都是只给/64 ，少数更是只给单个 ipv6 ，目前已知的好像只有 Linode 在提交 support ticket 后可以免费给你/56 ），网关 VPN 连上（目前比较流行的是用 wireguard ）就可以在局域网 RA (router advertising)漂亮的公网 ipv6 /64 地址，局域网内所有设备都自动可以得到天生无墙的公网 ipv6 地址。前面说了这样的 VPS 并不多，如果实在找不到也可以用 HE 的 tunnel broker 顶一下，HE 甚至可以免费给你整个/48 子网让你折腾。缺点嘛大概是有点慢，有些国内资源会被拒绝访问，如果用 HE ，因为 HE 和 google 之间有点矛盾，youtube 不会给你地区限制的内容

@vmebeh 这个补丁是复用两个物理层连接来提高 CPU 的处理带宽, 就是一个端口在满速下载的情况下, 另一个端口还可以满速上传, 所以是 2 Gbps. 这是进一步提高路由器的性能的意思. 实际上 MT7261 只要用上 HWNAT 就能基本跑满千兆.

上面这么多用 surge 的, 查了一下好像是一个 http/sock5 代理软件, 看上去很专业, 但是大家不知道 macOS 只要一条命令 sysctl -w net.inet.ip.forwarding=1 就可以变身为路由器, 再加上一个 pfctl 配置(nat on en0 from ... to ...)就可以变身为软路由网关吗, 不需要额外软件的说

@dream0689 随便再哪个设备上开一个 dnsmasq 服务, 搞一个 dhcp 配置, 可以随便指定哪个设备用哪个网关以及 dns, 还可以随便指定哪些网站用哪些 dns 解析, 确保重要的网站不被运营商污染, 顺便屏蔽掉大部分广告网站, 如果还要安全还可以指定上游 DoT 和 DoH 代理. 本身还是一个非常轻量的服务. 另外双线接入的话随便做一个路由表, 或者随便用一个 anycast dns 不就可以了. 主路由 dhcp, 运营商 dns, 只是绝大多数的基本操作, 没什么好 show off 的.

@LxnChan 开启硬件 NAT 卸载 920 Mbps 还是有的。OP 的这款不知道，ubiquiti 的 er-x 用到现在还是基本跑满千兆的

@neroxps 不是硬件转发限制了性能，是没有用硬件流量卸载功能限制了性能，把具有有硬件 NAT 的嵌入式网络芯片当软路由来用

@MeteorVIP exactly.

OP 的问题解决起来不要太简单。开防火墙是要开启 hardware offloading 的，不然都经 CPU 怎么可能跑满。opwnwrt 里面 LuCI > Firewall > General Settings > Routing/NAT Offloading ，先点选 Software Flow Offloading 会出现 Hardware Flow Offloading ，再点选之。这设置真有点 tricky

VPS 提供商的 bandwidth 是水库的意思, 算的是一段时间内进来和出去的量. 宽带提供商的 bandwith 是水管的意思, 算的是最大流速. 不能说 VPS 提供商的 bandwidth 用得不对, 因为人家算单位的是每个月多少流量, 量纲是相同的. 最大平均速率速率和最大瞬时速率的差别而已. 另外, 话说现在 vultr 每个账号都免费提供 2TB 流量了

奇怪了，因为本人的经验还以为是天才吧是不要附件的。有次有个 HomePod mini DOA 到天才吧，明确只要本体不要充电头，隔天拿回一个没拆封的，相当于白拿一个 20 瓦充电头

@0o0O0o0O0o 抱歉没有用过 openwrt, 只是一般的思路是建网桥把需要互连的连起来(相当于 switching), 不需要互连的不连(但通过 routing 或 NAT 实现通讯), 不需要互连但已经连起来的(比如单端口)用 VLAN. 但看 OP 的图好像 openwrt 的设置思路直接就是先把所有的接口(包括连接 WAN 在内的有线接口以及 WLAN 接口)都桥接在一起, 再实现 VLAN switching(所以缺省就有生成 WAN 端口的 VLAN ID 2). 按照这个思路, OP 的思路完全没有问题. 就是有点好奇为什么 openwrt 的设置是这么清奇的, 是和硬交换有关吗?

可以说 OP 在 RouterA 中的 VLAN 设置并没有什么用: 如果真的有用的话那么电视机什么的还要设置一个 VLAN ID 才能上网的说

@0o0O0o0O0o 看 ip 果然是 subnetting. 这几个子网如果没有 ip forwarding 和 NAT,本来就不能互相通讯, 没有必要用 VLAN 作虚拟隔离. 另外, 从图上感觉 OP 对 eth0-3/LAN1-4 以及 VLAN 有一点误解: 网络接口 eth0-3 本来就是物理隔离的, OP 所做的其实是在将几个物理隔离的接口桥在一起再试图用 VLAN 作虚拟隔离(不管有没有作用, 如有好处接口可以盲插), 但用 VLAN 意味着数据都须经 CPU 进行标记, 还需要客户端支持, 与其这样何不直接多作几个网桥来得简单?

抱歉看懂了, routerB 和 routerC 是当 AP 用, 漫游是信任区和房客区间的漫游. 但是如果是这样, laptop 和手机"漫游"到访客区怎么办?

看不懂, 但是如果必须用 openwrt, 是不是设置一个 multi-SSID 加隔离, 再加几条防火墙规则, 用一个"路由器"就能达到目的?

感人的, 不过有点感觉 op 做的是 subnetting 不是 VLAN, 路由器干的不是路由器的事. 如果是这样想要 full cone NAT 的设备恐怕不能如愿. 另外看图好像三个区的 Wi-Fi 分别来自三个路由器, 所以每个区都是 mesh wi-fi, 还是后面还有安排? 感觉没有非常简单, 如果要简单直接一个 VLAN 交换机, 或者在 routerA 上(既然是 openwrt)划分一下 VLAN 不就可以了,根本不需要那么多路由器吧?