@pingdog 其实我的回复是开玩笑的。本意是说家里不必搞那么复杂。国内也就 1000/2000m 下行，上行 50/100 ，而且现在这个网络环境，上行多了还关小黑屋，就没那么多花样折腾了。

首先，取决于你的网络接入方式，你的带宽，你是否需要跑满 64b 线速，你的并发连接数，以及 qos 的区分颗粒度（在 l3-l7 做），dpi 的具体要求，威胁库的更新来源等。在你明确知道你要什么以及能够获得什么之后，或许答案已经在你心中了。

根据你提出的需求，特别是 2 个 10g sfp+接口，我觉得你的需求是非常极限的。你拥有 2 条万兆对等网络，要求跑满 64B 小包线速转发，需要 L7 级别的 QoS ，需要基于全流量的 DPI ，拥有商业级的威胁库订阅，并发连接常年在 10 万以上，且 VPN 必须跑满万兆。而且，N100 小主机是整个需求的核心！
根据我浅薄的知识，建议如下：
1.万兆接入层，请直接采购一台企业级商业防火墙来保证万兆小包的线速转发。拿出一个 SFP+ 接口做 Mirror ，把所有流量镜像进另一台独立的 DPI 服务器做深度检测，然后通过 RESTCONF 联动给路由器下发 ACL 来阻断威胁链接。如果你对安全级别的要求极高（比如家里有金库），终端设备上还需要部署类似 Check Point 这种专业客户端，用来做 SSL 流量解包检测。
2. 万兆 WireGuard / IPSe ，这太难了。目前市面上绝大多数商业路由器都做不到 WireGuard 万兆 64B 线速（ IPSec 有专用芯片勉强可以）。因此，你需要一台独立的专用网关设备，CPU 起步建议 Xeon D 2700 （ qat gen3 或者以上）支持 ChaCha20 指令集加速，配合 DPDK 和 QAT 专门用来跑隧。当吞吐量达到 100G 时，这种性能溢出会让你获得极大的自我满足感。深夜里，机器风扇 10000 转嘶吼的声音，正是那无处安放的青春。
3. 关于 QoS 与特征库： 真正的 L7 QoS 建议交给专门的上网行为管理设备。你每个月只需支付 XXXX 元的订阅费，就能获得最及时的应用特征库更新和尊贵的技术支持服务。
4. N150 小主机，建议挑一个铝合金外壳做工精致的，买回来摆在电脑桌上。可以远观更可以随手把玩，情绪价值直接拉满！

@mytsing520 我不觉得是公安的问题。因为首先全国只有深圳广州两地，且只有电信一家运营商这么做。如果是公安，那么最少也会是当地所有运营商屏蔽。因此电信自己给自己加戏的可能性非常高

@Kinnice 谢谢。受教了。你这个防环路结构很棒。后面 l7 我打算前面 mosdns 先 dns 分流一次，后面 singbox sniff inbound 兜底。tun 这边还是业务层判断联网来做掉。

@Kinnice 我见过 ospf 做双线分流，但是那是多运营商分流。你如果要分流科学，那回流要单独处理，确保都去主路由。ip 分流通过路由宣告做掉，这是 l3 ，但是请教一下，l7 这层分流怎么做呢？还是用 singbox 吗？还是用 mosdns ？最后科学挂了之后，tun 是否会自动消失呀？ tun 如果还在的话，岂不是依然绕不开业务层监控？

另外还要考虑 dns 用 fakeip ，以及避免 vrrp 震荡的问题。这些我都遇见过。比如出海线路很差，那么有可能系统会在两个线路之间来回切换，表现是游戏断线，视频通话断线。因此线路检测还需要加入一个延时机制，比如连续 ping 失败 3-5 次就切换。以及在你的 Keepalived 配置 fall 3 rise 2 这种，避免网关反复横跳

写得非常棒。给您锦上添花两点：1. 在 keepalived 中添加 ping 外网地址的功能，防止科学上网插件挂了但是 openwrt 还活着，PREROUTING 链依然存在，但客户端发出的数据包到达旁路由后，防火墙规则会将包扔给指定的端口，此时端口对应的监听进程已经没了，系统内核收到包后发现没有进程认领，通常会直接 DROP 或返回 RST 。2. 如果你所有设备只连接一个交换机就没问题。如果主从之间有交换机，然后下游还有交换机接设备，那么主从之间的交换机一旦坏了，主从都认为自己还活着是主机，就开始竞争给下游发包。这一点可以通过更改网络拓扑解决，大部分人遇不到的

我昨天打电话问过，现在还有动态公网 ip ，只不过套餐是 1000m/100m ，带 iptv ，走光纤网络，而不是过去的同轴电缆。光猫密码师傅告诉你，然后自己改桥接，pppoe 拨号就自动获得公网 ip ，没有任何限制。出海线路走联通，跟香港 ix 没有连接（绕美，因此 ping 300ms+），只要是支持 AS9929 的 vps ，速度就非常快，也没有丢包（高峰时间比移动好）。因此对我来说最佳方案就是天威 ipv4+移动 ipv6.

下面是 NAT 测试：
# ./stunner

STUN Results

──────────────────────────────────────────────────────────────────────
│ │
│ Server: derp22c.tailscale.com:3478 │
│ Port: 58093 │
│ IP Address: 222.125.xx.xx │
│ Port Mapping: None │
│ │
──────────────────────────────────────────────────────────────────────

──────────────────────────────────────────────────────────────────────
│ │
│ Server: derp20c.tailscale.com:3478 │
│ Port: 58093 │
│ IP Address: 222.125.xx.xx │
│ Port Mapping: None │
│ │
──────────────────────────────────────────────────────────────────────


NAT Type Detection

──────────────────────────────────────────────────────────────────────
│ │
│ NAT Type: No NAT │
│ │
│ Difficulty: None │
│ │
│ Direct Connections: All devices │
│ │
│ Description: │
│ Your host is directly reachable from the internet. │
│ │
│ Status: Perfect! You have no NAT - ALL connections will be │
│ direct. │
│ │
──────────────────────────────────────────────────────────────────────

@skylancer 这宽带是我岳母的 已经十多年没动过了。对老人来讲，习惯了的东西，我是尽量不去改变的哈。我自己已经用移动了，去香港新加坡都很快，而且这价格都 30 一个月了，还要什么自行车，哈哈

@yyzh 移动 ping 这个 ip ，延时 17ms 属于什么水平

@Mythologyli 我家是 300/30 ，带电视机顶盒。900 一年。最近晚上出海非常差。我建议你直接移动了，去香港比电信还快几个 ms ，然后移动我是一个月 40 ，1000/50 ，送 iptv 。足够我用了。如果你需要大带宽上传，比如视频会议这种，可以看看主播套餐。3880 一年，50/200 ，固定 ip 。你可以打电话问问

我在用天威和移动的宽带。这几天晚高峰出海都很卡。丢包很厉害。天威的优势在于：1.动态公网 ipv4 ，可以从外部访问。2. 上传没有限制。缺点：1.跨国速度拉垮，特别是晚高峰时期。2. 价格贵。3.没有 ipv6 地址。4.同轴电缆的机顶盒傻大丑

@AmericanExpress 我就是你口中的老外。国际漫游进中国，但是 ip 还是在国外。这就导致很多不便。比如微信支付在某些地方就提示不能异地支付，虽然我就在现场但是 ip 是国外的。再比如银行短信认证就不可以用国外的号码。最后再比如旅游需要预约门票，海外 ip 就不能打开网站或者扫码后就刷不出来。旅游的不方便无处不在

我亲自试过，肉身去了深圳移动。我有一张移动的物理 sim 卡很多年了。但是目前不能转成 esim ，外国护照也不行。其他省市我估计目前还是不可以的。

在两年前，pfsense 就已经实现了 openvpn dco ，尽管内核是 freebsd ，原理却是一样的。但是需要注意的是：
1. 客户端 app 未必使用 dco ，导致速度依然很慢，瓶颈在客户端而不在服务端。如果两端都使用 kerbel dco
2. wireguard 速度很快，但是前提是运营商没有 udp qos ，否则速度几乎没有。

总体上看，即便是两端都用 dco ，openvpn 的极限速度也比同样配置的 wireguard 要低，但是在有 udp qos 的环境下，tcp 是唯一的选择

这是正常的。特别对于老设备来说，wpa3 的加密方式就比 wpa2 要慢。我试过 iphone16 pro ，结果也是如此。另外，我也用笔记本电脑试过，老的 wifi6 无线网卡连接到 6g 速度比 5g 慢（ 160m ）。但是新的 be201/be200 网卡就是 6g 320m 快

Wi-Fi 与 wlan 的关系其实是这样的：
1. IEEE 标准的 802.11 协议是 wireless local area network 的实现，因此 WLAN 特指无线局域网
2. Wi-Fi 是符合 802.11 协议标准的无线网络产品的品牌名称
3. WLAN 概念上要比 Wi-Fi 大得多，譬如 WLAN 还包含早期欧洲的 HiperLAN/1 标准
4. 中国之所以强制要求 WLAN ，就是因为除了 Wi-Fi 之外，还有特殊的 wapi 标准

@alogbycat 我回答的是你这句：运营商低价的套餐不支持 esim （点名 CMHK ）
至于你想用什么，是不是保号套餐，跟我回答的内容并没有任何关系。
最后，你说到：大家平常用得到的都是储值卡。这句你也不能代表大家。正如你所说，你居住在香港，那么对于香港居民来说，后付费才是主流。
我自己用 cmhk esim ，每月 18hkd 的计划，是因为我早已离开香港，只是用这计划来收银行短信而已。我没有说这个计划有多好，只是它符合我的需求罢了