建议上野战光缆皮实耐操，我这边每个房间都留了一对 LC 的野战光缆，剪掉一头从房间穿到汇聚点这样就只用融一端的。
房间面板就用 LC 法兰的面板成品头直接往里面怼就行，汇聚点就上一个 ODF 架光纤全部熔接好放在里面。需要就用尾纤往 ODF 和光模块里面怼就行。

@oovveeaarr 对没错旁路由自己拨号，实际上也可以当成是双主路由也没有问题不过一般这样做的都是做的主备路由。一个简单场景就是 主路由 A 刷高恪要做流量监控统计要做普通限速但是又做不了过强，于是引入 op 为 B
AB 之间做 VRRP 流量默认到 B 在转到 A ，对于 A 来说统计和监控没问题对 B 来说过强没问题。同时 B 拿走折腾对于手机电脑也是无感的，有时候也有可能折腾好了 op 又想动主路由了想换成防火墙或者别的什么系统 于是 B 也拨号同时做个监控 A 链路是否正常，正常就走 A 不正常就直接从 B 出去。这样无论要动哪一个路由器都是无感的对于手机电脑来说。这就完全避免了自己的设备出现单点故障，光猫故障那就是找运营商了。如果是两条宽带那也是可以的一条路由拨号一条光猫拨号 两条都接在 A 做负载分担 op 路由器 B 接一条光猫拨号的。效果也是一样的。保证折腾网络不影响屋里使用的人同时本人不在家不管是哪个路由器坏或者有问题也不影响屋里人。

@oovveeaarr 所以你没有看全，意思是旁路由也拨号针对能多拨的宽带用户这样就是双上行到光猫上面或者多条宽带也行 特别是分开用的不做叠加只做主备这种。单宽带不能多拨这个当然备份不了。VRRP 只是在折腾旁路由时完全不影响网络本身加入进来和退出去是无感的。

@maybeonly 本来就可以升级成主路由只要技术能力行，我这里说的是备份而且大多数家庭也只会接入一条宽带。所以你这里都极限自定义了那和题主说的也没有意义了。同时都是多线接入了那不直接过强的做在主路由上再多做在哪里都不合适。

@maybeonly 所以旁路由可以拨号和主路由做主备啊，我上面也说过了的。谁说要手动配置设备的啊，都说了起 VRRP 协议 下面的自动获取就完了，不需要的过强的在过强软件里面排除掉不就行了，再或者直接在 iptables 里面操作。
还有多线和旁路由有啥关系，你这说的什么看都看不明白。

@maybeonly 针对你的这个“这数据包哪儿来的……于是就扔掉了，通信失败。”这个透明网桥是一样的没有啥区别。

@Jirajine 那不是一样的，旁路由一样可以决定哪些需要代理哪些不用直连这个没有区别。
你说的“故障了我需要自动断网而不是偷偷直连。”这个才是没有多少人有这个需求。大部分人要的是不断网。不管怎么折腾旁路由都是不会断网的那种。代理挂了一样不能访问，这个没有问题啊旁路由代理挂了如果 VRRP 里面没有追踪代理本来就是不切换，墙外网络本来就是会不能访问因为代理又没有自动关和取消。所以你这个解决了设备如果挂了电源坏了这种能保证网络不中断吗？问题就在这里你的始终是串在网络里面的没有解决透明网桥 host 挂了不需要手动操作的方法

@Jirajine 透明网桥这个也一样的有这个问题难道你没有发现？还是你觉得透明网桥是怎么处理代理的呢？ “这个包可能会被代理（取决于地址与规则）” 这个你的透明网桥就有办法避免？如果可以避免那你说透明网桥的处理代理数据包的原理是啥？不用修改报文不修改源 IP ？判断哪些需要代理的不是一样要地址与规则。相反你这个插入到网络中还会导致不需要代理的被强制代理，而且一旦设备故障了也不会自动切换和自愈。甚至直接导致断网，虽然家用没有多大的问题但终归是会断网要拔插网线。

@Jirajine 旁路有需要设置的防火墙规则？就是一个代理用的。“比如 nat 打洞、upnp 端口转发的去回程流量可能会走不同的路径，这部分流量可能会也可能不会被代理” 是不可能来回不一致的，三层来看代理和非代理的源目 IP 都不一样的怎么可能会来回不一致，非代理的源目 IP 又不会变 从终端出去的源 IP 过旁路又不会改变那自然就和普通访问一样了，代理了的源目就变成了旁路的 IP 了回也是先回旁路 再从旁路转发到终端。过不过代理不就是看 dns 解析和代理的方式。国内的 IP 不过代理的自然就直接转发走了，过代理的就会旁路处理后源 IP 会变成旁路的是不可能直接转发给终端的。
基本要做限速的或者啥的规则只需要在主路由上面做，对于主路由来说过旁路由的除了 mac 地址变了基本就没有区别。硬要说的就是 ttl 和 fcs crc 这些改变了。
“” “单点故障”阻断链路是应有的行为，代理挂了就应该代理流量断网，而非所有流量静默的直接泄漏出去。而透明网桥对三层网络是透明的，你想移除他只需要把网线一拔，直接插到主路由上，网络自然恢复默认状态。 “”
你没有看懂我写的单点故障是啥我说的不是代理的问题，而是设备单点故障，你的透明网桥设备挂了还要手动拔插网线更换， 主路由--透明网桥---交换机？我不清楚你的透明网桥后面有没有交换机
正常的：主路由-----透明网桥------交换机，要想透明网桥挂了那就要两个透明网桥同时接在主路由和交换机之间，同时开启 stp 阻断一条链路，要么就是主路由和交换机做链路聚合两根网线捆绑成一根，这样才能保证某一个透明网桥挂了也不影响整个网络。
而我上面写的 VRRP 是旁路由挂了断电了，dns 和网关会自动迁移到主路由。完全不用人去干预的。甚至旁路由你也可以写个脚本检测是否能过墙，不能过那就直接自动切换回主路由。更高级的就是旁路由也拨号作为备用链路或者分流链路，哪怕主路由挂了也不影响整个网络。还高级的用法就是两台都是 op 路由内部部署负载均衡同时心跳检测 可以随机或者指定走某条链路。

@Jirajine dhcp 走主路由 ipv6 主路由分配当然 ipv6 跳墙的不清楚没做过，dns 泄露单独部署一台 dns 服务器或者旁路部署 mos smart adguardhome 都行，NAT 类型主路由做不就行了。upnp 一样主路由做打洞同样的。
你的问题都是在旁路由做了 NAT 才会出现，真正的问题点反倒是没有提出来。op 的旁路由单纯路由非 NAT 模式正常对普通的数据包又不会有三层及以上的报文的改变，会变的只有源 mac 地址而且只会在有上传的时候才会变。因为过了一个网关 网关自然会对源 mac 地址修改。当开启了过墙插件才会将整个数据包修改成由旁路由始发的，此时源地址为旁路自己目的为过墙服务器的 ip ，这个和你的透明网关是一个样的。
旁路由真正的问题在于终端上传经过旁路由转发 mac 地址改变，上到主路由就会发生 1 个 ip 对应的 mac 地址在不停地发生变化，这个对于主路由有严格模式的 ip 和 mac 一一对应才能上网的会造成无法正常访问国内网站而可以访问国外网站。
当然这个一般主路由是没有这个限制的。
相反透明网关容易出现单点故障除非做两台及以上的同时还要开启 stp 阻断一条链路，要不然就是在下层设备和主路由之间做链路聚合才好避免。而旁路由和主路由起个标准的 VRRP 就可以避免因为折腾旁路导致断网，如果账号支持多拨也可以旁路由也拨号做到真正的故障无感切换。

不过，最多买点好吃的奖励一下自己

看一下 MUX VLAN 吧同一 vlan 里面的成员可以隔离也可以不隔离

直接用 softether 就行，这个传递二层不要太简单了。

openwrt 换一个固件，nas 上搞 PT 那就专门开一个虚拟机跑 PT 把 IPv6 和 IPv4 全部都直接走主路由出口或者在科学里面将 PT 的 IP 地址排除，如果要用 docker 跑 pt 那就 docker 新建一个桥接网卡直接桥接在局域网网段上面然后修改网关为主路由的 IP 就行了 。核心办法就是 pt 直接就不走科学。

你这是看了恩山那个贴吗搞了一个循环的玩意，问题在于你的 zerotier 属于哪个区域，最好的方法是做一个 vlan 原本你的设备 2 的 wan 获取的是爱快的 lan 接口的地址，那么就在和设备 2 wan 口连接的爱快这个接口新建一个 vlan 然后 op 的 wan 口这边也建立一个 vlan 在上面写一个三层地址用于互联 接下来就是互相写静态路由就行了 至于 zerotier 接口属于哪个区域？和 wan 口建立的这个 vlan 在同一个区域就行。完全不用鸟 op 上面的 wan lan 区域

@Rysle 互访是可以出爱快就不是了，爱快访问设备可以 arp 局域网内的话。当外部访问进来可以直接找到设备 问题是设备回应的数据包在旁路由会把 设备的 ip 转换成旁路由的 ip 这样源 ip 地址变了爱快能让 tcp 建立连接？爱快找 A A 把东西给 B B 在给爱快，爱快表示不是 A 给的我不收 于是连接就建立不起来了。

最好的方法是旁路由不要做 NAT ，你上面的问题根因很简单端口映射没做全

外网访问-->爱快:520--旁路由(NAT)--设备:520
这里看对于爱快是不知道你的设备的，哪怕是在同一个局域网。
假设你的爱快直接映射设备的 520 端口，你看路径外部进来是 爱快->设备:520 内部路径 设备:520->旁路由 IP(NAT)旁路由 IP-爱快 看到没有 ip 连接不一致导致你的 TCP 连接建立不起来。原因都在这里。

正确方式旁路由(NAT)模式
爱快映射:520-->旁路由:520-->旁路由:520-->映射设备 IP:520
爱快端口映射 旁路由端口映射
正确的是有两次端口映射的过程的。

更好的旁路由方法，最好关闭旁路由的防火墙删除所有区域，防火墙选项全部放行
这样你的旁路由就真的只做路由功能，唯一会变的就是经过了旁路由你的原始数据的源 mac 地址会变成旁路由的 mac 地址 IP 地址不会变动所以对于爱快来说设备地址是可见的。
于是上面的端口映射就可以按照正常的思路做 在爱快上面直接映射设备的地址就行了

@bt7vip 用 softether 在每一个路由器上面新建一个桥接网卡，然后配置上 3 层地址写个静态路由。不要太简单

直接用 softether 就行，这个管理方便 v4 v6 都支持也随时都能切换成 tcp 或者 udp 。最主要的是全图形化界面配置非常方便