看一下 MUX VLAN 吧同一 vlan 里面的成员可以隔离也可以不隔离

直接用 softether 就行，这个传递二层不要太简单了。

openwrt 换一个固件，nas 上搞 PT 那就专门开一个虚拟机跑 PT 把 IPv6 和 IPv4 全部都直接走主路由出口或者在科学里面将 PT 的 IP 地址排除，如果要用 docker 跑 pt 那就 docker 新建一个桥接网卡直接桥接在局域网网段上面然后修改网关为主路由的 IP 就行了 。核心办法就是 pt 直接就不走科学。

你这是看了恩山那个贴吗搞了一个循环的玩意，问题在于你的 zerotier 属于哪个区域，最好的方法是做一个 vlan 原本你的设备 2 的 wan 获取的是爱快的 lan 接口的地址，那么就在和设备 2 wan 口连接的爱快这个接口新建一个 vlan 然后 op 的 wan 口这边也建立一个 vlan 在上面写一个三层地址用于互联 接下来就是互相写静态路由就行了 至于 zerotier 接口属于哪个区域？和 wan 口建立的这个 vlan 在同一个区域就行。完全不用鸟 op 上面的 wan lan 区域

@Rysle 互访是可以出爱快就不是了，爱快访问设备可以 arp 局域网内的话。当外部访问进来可以直接找到设备 问题是设备回应的数据包在旁路由会把 设备的 ip 转换成旁路由的 ip 这样源 ip 地址变了爱快能让 tcp 建立连接？爱快找 A A 把东西给 B B 在给爱快，爱快表示不是 A 给的我不收 于是连接就建立不起来了。

最好的方法是旁路由不要做 NAT ，你上面的问题根因很简单端口映射没做全

外网访问-->爱快:520--旁路由(NAT)--设备:520
这里看对于爱快是不知道你的设备的，哪怕是在同一个局域网。
假设你的爱快直接映射设备的 520 端口，你看路径外部进来是 爱快->设备:520 内部路径 设备:520->旁路由 IP(NAT)旁路由 IP-爱快 看到没有 ip 连接不一致导致你的 TCP 连接建立不起来。原因都在这里。

正确方式旁路由(NAT)模式
爱快映射:520-->旁路由:520-->旁路由:520-->映射设备 IP:520
爱快端口映射 旁路由端口映射
正确的是有两次端口映射的过程的。

更好的旁路由方法，最好关闭旁路由的防火墙删除所有区域，防火墙选项全部放行
这样你的旁路由就真的只做路由功能，唯一会变的就是经过了旁路由你的原始数据的源 mac 地址会变成旁路由的 mac 地址 IP 地址不会变动所以对于爱快来说设备地址是可见的。
于是上面的端口映射就可以按照正常的思路做 在爱快上面直接映射设备的地址就行了

@bt7vip 用 softether 在每一个路由器上面新建一个桥接网卡，然后配置上 3 层地址写个静态路由。不要太简单

直接用 softether 就行，这个管理方便 v4 v6 都支持也随时都能切换成 tcp 或者 udp 。最主要的是全图形化界面配置非常方便

IP 隔离了当然 ping 不通，不然都能在一个大局域网互访这样安全性就下降了。

话说你这服务器有按时打补丁吗还有没记错 2008 已经停止支持了吧？还有公网 IP 地址是直接用服务器上了？如果是的那你这中病毒很正常。这基本就是裸奔在公共场合了。

搞的麻烦，哪有那么多翻车的。最简单就是部署一个 VPN 。你要有公网 IP 那就直接 VPN 回去就行，自行搭建 VPN 总不会被人攻破啊。不行就用内网穿透的 zerotier 这种，觉得不安全那就自建一个 moon 或者 leaf 节点。然后 B 和 C 之间要安全就上一个软防火墙如 pfsense opnsense 这类的或者用 esxi 导入山石网科的防火墙，虽然只有 30 天试用但是到差不多时间就快照一键还原就行。b 访问 c 就只在防火墙里面开启某些端口就行做到访问隔离。

@sofukwird 要中转站？我这边异地 IPV6 直连根本不需要中转。老家 IPv6 做服务器同时用 dynv6 的 ddns 更新 ipv6 地址，现在住的位置 ipv6 直连回老家。根本不需要中转啊。

搞的麻烦，个人用我永远推荐 softether 这个软件。支持 IPv4 和 IPv6 同时可以随时切换采用 TCP 或者 UDP 协议。而且配置全图形界面使用简单方便同时还有丰富的接入策略。配合 openwrt 可以做到路由器两端某一个接口二层点对点隧道都行逻辑上来说就是一根超长的网线，不要太强大了。

拿去做云计算了，运营商网内不少地址也用的 10 开头的内网地址。大部分都回收回去了

没有啊，我这边 1000M 桥接之后用路由器拨号一样可以满速，没有任何的限制。不过用电脑直接拨号会只有一半的速度多点。同时我用电脑开虚拟机爱快拨号也可以满速。运营商真的可以根据你拨号的设备限制速度的。

网络和虚拟化分开，我这边一个爱快软路由作为出口本想用高恪奈何没有 IPv6 ，一个 op 软路由科学作为旁路由和三层交换机起 VRRP 。后端 ESXI 专门跑服务器和 nas 。基本没啥事不会登录到爱快和高恪里面去。一般只登录到 VCSA 里面创建和删除一些虚拟机。后面都想把冷数据硬盘在搞一个低配置 nas 需要用的时候就远程开机不用就关机。网络计算存储全部解耦分离。

openwrt 的 Keepalived 的配置监控啊，一旦翻墙的挂了自动降低优先级。keepalived 配合其它脚本也行。