@ppbaozi #35 对于代理服务器而言，他是根据你访问的域名来本地再解析一次，所以 ipv 几都不重要，重要的是流量是如何发送给 openwrt 。

openwrt 当然可以，但完全没必要啊，现在梯子又不是跑在 L3 的隧道~何必纠结爬墙的流量是否解析到 ipv6 ？只要能让流量跑到梯子的程序里就完成任务了啊。

@SenLief #32 那么就让局域网内的 DNS 指向支持分流的设备上。

@ppbaozi 对于代理服务器而言，他是根据你访问的域名来本地再解析一次，所以 V 几都不重要，重要的是流量是如何发送给梯子。
楼主场景是使用 op 作为旁路由，但其实并非真正网络意义上的旁路由，因为他所有流量依然还是从 openwrt 走。
如果使用路由转发的方法来区分流量，那么他的问题也迎刃而解。
楼主的问题是 V2EX 应该要转发给梯子的，但却解析到了 ipv6 的地址，而代理工具没有工作在 ipv6 的地址上。
那如何才能既不影响使用 ipv6 访问国内站点，又能让爬墙流量乖乖的跑去 openwrt ？
这问题的本质就是分流啊

@SenLief #28 怎么会一样？国内流量直接从主路由出去了，而且普通家庭出国流量肯定比国内流量要小。硬路由国内流量完全就是直出的，硬件转发等性能都是完全的。
如果旁路由是 clash ，你国内流量要先到 clash 过一遍再去主路由。瓶颈就在 clash 了。几百兆可能没啥感觉。如果是 1000Mbps ，过 clash 后有可能就只有 600Mbps ，如果是小包估计就更差了。

@carrionlee 不是策略路由，普通路由表就行 最差的 tplink 固件都支持啊。

@neroxps #22 路由跟踪结果就是这样的。
https://i.imgur.com/p244uG3.png

@hcwhan #20 额~设备一样，但·····感觉完全没必要管出墙流量的 ipv6 啊。https://blog.skk.moe/post/what-happend-to-dns-in-proxy/
不管你获得什么 IP ，最终代理服务器都会从本地再查一次 DNS 。所以只需要 Mikrotik 那边把 fake-ip 转发给 openwrt 即可。
国内流量完全不经过 openwrt 。https://i.imgur.com/xi4QoHN.png

@BaseException #34 哈哈 基础加密就好了，说白了回家那点流量，除非是公司或者保密单位，谁会抓你的包进行解密哦。

@BaseException #33 不过 rust 的版本我没试过。我直接 opkg 装的。

@BaseException #33 原理是一样的，libev 和 rust 写的 server 不都一样的功能吗？

参考 https://www.v2ex.com/t/947704
或者使用 vpn 工具回家，不建议端口映射。


@Ben2022 还记得之前 LastPass 被入侵就是因为管理员家里的 plex 没更新，一直用存在漏洞的版本，导致严重的后果哈~

@SenLief #14 没看懂，你什么路由啊，上游 DNS 基本都能设置的吧？不行你 DHCP 分配的 DNS 是 openwrt 呗。不过这样会存在单点故障。
我的主路由是 Mikrotik ，我写了脚本一直检查 openwrt 的 dns 查询是否正常，如果查询失败，会微信推送给我，并把当前的 DNS 换成运营商的 DNS 。

主路由的 DNS 充当缓存作用。即使 openwrt 炸了也不至于立刻炸。

@SenLief 主路由不支持无所谓啊，你把主路由的上游 dns 改成你的 openwrt 即可啊。

@BrightMars https://github.com/AdguardTeam/AdGuardHome/wiki/Configuration#specifying-upstreams-for-domains

应该是这里指定你的 上游 DNS 服务器是 shellclash 即可。然后 shellclash 使用 fake-ip 方案。shellclash 的 mark 文件里添加
dns_redir=已禁用
dns_no=已禁用
这两个标记。让 shellclash 在 iptables 里挟持 DNS 这样如果 AG 装在同一台 openwrt 上就不影响了。

@x66 github 上好多插件啊，smartdns 甚至用 dnsmasq 也行。

我是用大佬写的 coredns 插件，插件支持订阅网上的 clash yaml 规则。

https://github.com/charleyzhu/coredns_wormhole_plugin

但大佬没有写文档，也没有写 config 范例。得自己看代码咯~

@jdjingdian 也行，但这样就需要一张准确的国内国外路由表。我更喜欢订阅网上的域名规则，根据域名规则直接分流，手机，路由，PC 用同一套规则。

@xliao 其实没啥复杂的， 我个人感觉，有公网 IP 的情况下，zerotier 或者 tailscale 等方案更复杂，配置的东西更多。

server 端只需要拉一个容器，或者 openwrt opkg install shadowsocks-libev-server 配一下 config ，DDNS 配置一下，然后再把节点加到 qx 或者 clash 里，局域网 IP 规则写一下，就指哪打哪。如果家里有多台设备，还能做多个 server ，然后规则里写多个设备的节点。规则自动找最快的（为何这样做，有时会某个设备维护，或者重启，导致掉线的问题。）

zerotier 或许配置更简单，但要调通行星服务器，调通打洞等也需要折腾一番。

tailscale 一切都很美好，但搭建起来也不是那么简单，而且 udp 协议，需要解决 qos 或（调试 mtu ）
https://i.imgur.com/7Jq2UXy.png

其实需求主要是一个客户端能随时访问家里网络，或者指定域名能访问家里网络，客户端又不影响爬墙，不需要切换各种 APP ，这种回家方案是最最最方便的。

试想一下 如果是手机本来就要爬墙，但你想访问家里的 nas 的时候，如果 zerotier 或者 tailscale 你不是需要关掉爬墙 APP ，然后切到 VPN app 链上后再访问？这就太麻烦。

用真正的旁路由来解决，而不是将所有流量跑到旁路由。

通过 DNS 分流，让爬墙的域名获得 fake-ip 。主路由将 fake-ip 转发给旁路由，旁路由把流量封装成梯子流量。然后发回给主路由，主路由发送给梯子。

ipv6 的话，例如 bilibi.com 拿到 AAAA 记录，直接发起 ipv6 访问，就没有旁路由什么事了。

这种做法好处就是
1 、控制好 DNS 查询则控制了哪些域名直接出去，还是走梯子，比传统的使用 DHCP 根据不同 mac 分配不同网关和 DNS 来的更容易维护，获得更好的体验。因为你是根据目的域名分流。
2 、排查方便，非规则内的域名获得的都是真实的 IP 。不会导致排查时拿到了 fake-ip 影响网络排查。
3 、减轻路由压力。支持硬路由转发特性，软路由只负责爬墙流量，不会导致 PT PCDN 等业务错误的跑到梯子那边去。

这才算真正的网络上 [旁路由！！！]

旁路由：并非所有流量都从这个路由走，才叫旁路由~！

用了 ss 回家很多年。和 wg 区别就是因为他只是代理工具，只能客户端访问服务端，所以场景上没 wg 好。

但速度，可靠性，伪装性都要比 wg 好。我甚至还做过一个 frp+ss 的方案，方便我隧道到一些多层 nat 的客户上做运维。速率和体验绝对比 wg 打洞来的方便。

手机端 pc 端强大灵活的分流是 wg 客户端无法比拟的，我可以通过 ss 让指定域名的流量跑指定的节点，也可以 L3 整个端跑去指定节点，这是 wg 这种常规 vpn 客户端做不到的。

一些地方禁止 vpn 对外的场景，ss （变种版本）都能完美躲过识别（毕竟这是它设计的初衷）

所以 ss 回家我个人觉得很方便。