简单一点的就是将你的 nas 添加个浮动默认路由，旁路由不行就自动切换到主路由上面。这个最简单了。

说话一定要中文夹杂英文吗？有钱就 palo alto 或者飞塔，不过飞塔在高负载和复杂环境下不太行。看看防火墙魔力象限里面的厂商选择不就行了。

有用但用处不大。纯开 IPV6 不少网站都上不去体验不行，而且电脑可以设置 ipv4 优先其他移动设备总不能一台一台去改吧而且也不一定支持修改。IPv6 现阶段我能用上的就是 PT 和异地组网，路由器用 softether 构建一个基于 IPv6 的二三层隧道，PT 的 IPv6 专门用一个 vlan 和路由器相连这样普通的设备就不下发 ipv6 地址，需要的主机就专门加入到这个 Vlan 中去就可以了。两大用的上的就是 PT 和异地组网其它的没有任何使用动力和需求。

网络虚拟化存储分开最好，我这边一个物理机爱快软路由作为出口本想用高恪奈何没有 IPv6 ，一个 物理机 op 软路由科学作为旁路由和三层交换机起 VRRP 。后端 ESXI 专门跑服务器和 nas 。基本没啥事不会登录到爱快和 op 里面去。一般只登录到 VCSA 里面创建和删除一些虚拟机。
后面再准备把冷数据硬盘再搞到一个低配置 nas 需要用的时候就远程开机不用就关机。热数据 PT 这类的还是和虚拟机跑在一台物理机上面用 NFS 挂载。定期将热数据里面的转移到存储专用 NAS 上面，这样也比较省电一些。
真正最好的就是网络计算存储全部解耦分离，这个也是常见的云计算里面的架构。但问题是需要开机不停地设备就多了。好处是存储计算分离随时可以自由迁移虚拟机和动数据不用管虚拟机这边。

1.是的，三层隧道协议不会涉及 tcp udp
2.这是一个大类不是简单就好说的，一般 ip 隧道默认是不带加密的典型就是 GRE 隧道 IPinIP 也是一样都需要额外的加密手段进行加密传输，都在默认不加密情况下 那性能比较就要从报文的分装和构成上面入手和比较。
3.HE 隧道不了解没听说过
4.需要 IP 隧道？一般自己可以搭建有 IPv6 的话。而且正规证据的 IP 隧道是需要你有公网地址的。

建议上野战光缆皮实耐操，我这边每个房间都留了一对 LC 的野战光缆，剪掉一头从房间穿到汇聚点这样就只用融一端的。
房间面板就用 LC 法兰的面板成品头直接往里面怼就行，汇聚点就上一个 ODF 架光纤全部熔接好放在里面。需要就用尾纤往 ODF 和光模块里面怼就行。

@oovveeaarr 对没错旁路由自己拨号，实际上也可以当成是双主路由也没有问题不过一般这样做的都是做的主备路由。一个简单场景就是 主路由 A 刷高恪要做流量监控统计要做普通限速但是又做不了过强，于是引入 op 为 B
AB 之间做 VRRP 流量默认到 B 在转到 A ，对于 A 来说统计和监控没问题对 B 来说过强没问题。同时 B 拿走折腾对于手机电脑也是无感的，有时候也有可能折腾好了 op 又想动主路由了想换成防火墙或者别的什么系统 于是 B 也拨号同时做个监控 A 链路是否正常，正常就走 A 不正常就直接从 B 出去。这样无论要动哪一个路由器都是无感的对于手机电脑来说。这就完全避免了自己的设备出现单点故障，光猫故障那就是找运营商了。如果是两条宽带那也是可以的一条路由拨号一条光猫拨号 两条都接在 A 做负载分担 op 路由器 B 接一条光猫拨号的。效果也是一样的。保证折腾网络不影响屋里使用的人同时本人不在家不管是哪个路由器坏或者有问题也不影响屋里人。

@oovveeaarr 所以你没有看全，意思是旁路由也拨号针对能多拨的宽带用户这样就是双上行到光猫上面或者多条宽带也行 特别是分开用的不做叠加只做主备这种。单宽带不能多拨这个当然备份不了。VRRP 只是在折腾旁路由时完全不影响网络本身加入进来和退出去是无感的。

@maybeonly 本来就可以升级成主路由只要技术能力行，我这里说的是备份而且大多数家庭也只会接入一条宽带。所以你这里都极限自定义了那和题主说的也没有意义了。同时都是多线接入了那不直接过强的做在主路由上再多做在哪里都不合适。

@maybeonly 所以旁路由可以拨号和主路由做主备啊，我上面也说过了的。谁说要手动配置设备的啊，都说了起 VRRP 协议 下面的自动获取就完了，不需要的过强的在过强软件里面排除掉不就行了，再或者直接在 iptables 里面操作。
还有多线和旁路由有啥关系，你这说的什么看都看不明白。

@maybeonly 针对你的这个“这数据包哪儿来的……于是就扔掉了，通信失败。”这个透明网桥是一样的没有啥区别。

@Jirajine 那不是一样的，旁路由一样可以决定哪些需要代理哪些不用直连这个没有区别。
你说的“故障了我需要自动断网而不是偷偷直连。”这个才是没有多少人有这个需求。大部分人要的是不断网。不管怎么折腾旁路由都是不会断网的那种。代理挂了一样不能访问，这个没有问题啊旁路由代理挂了如果 VRRP 里面没有追踪代理本来就是不切换，墙外网络本来就是会不能访问因为代理又没有自动关和取消。所以你这个解决了设备如果挂了电源坏了这种能保证网络不中断吗？问题就在这里你的始终是串在网络里面的没有解决透明网桥 host 挂了不需要手动操作的方法

@Jirajine 透明网桥这个也一样的有这个问题难道你没有发现？还是你觉得透明网桥是怎么处理代理的呢？ “这个包可能会被代理（取决于地址与规则）” 这个你的透明网桥就有办法避免？如果可以避免那你说透明网桥的处理代理数据包的原理是啥？不用修改报文不修改源 IP ？判断哪些需要代理的不是一样要地址与规则。相反你这个插入到网络中还会导致不需要代理的被强制代理，而且一旦设备故障了也不会自动切换和自愈。甚至直接导致断网，虽然家用没有多大的问题但终归是会断网要拔插网线。

@Jirajine 旁路有需要设置的防火墙规则？就是一个代理用的。“比如 nat 打洞、upnp 端口转发的去回程流量可能会走不同的路径，这部分流量可能会也可能不会被代理” 是不可能来回不一致的，三层来看代理和非代理的源目 IP 都不一样的怎么可能会来回不一致，非代理的源目 IP 又不会变 从终端出去的源 IP 过旁路又不会改变那自然就和普通访问一样了，代理了的源目就变成了旁路的 IP 了回也是先回旁路 再从旁路转发到终端。过不过代理不就是看 dns 解析和代理的方式。国内的 IP 不过代理的自然就直接转发走了，过代理的就会旁路处理后源 IP 会变成旁路的是不可能直接转发给终端的。
基本要做限速的或者啥的规则只需要在主路由上面做，对于主路由来说过旁路由的除了 mac 地址变了基本就没有区别。硬要说的就是 ttl 和 fcs crc 这些改变了。
“” “单点故障”阻断链路是应有的行为，代理挂了就应该代理流量断网，而非所有流量静默的直接泄漏出去。而透明网桥对三层网络是透明的，你想移除他只需要把网线一拔，直接插到主路由上，网络自然恢复默认状态。 “”
你没有看懂我写的单点故障是啥我说的不是代理的问题，而是设备单点故障，你的透明网桥设备挂了还要手动拔插网线更换， 主路由--透明网桥---交换机？我不清楚你的透明网桥后面有没有交换机
正常的：主路由-----透明网桥------交换机，要想透明网桥挂了那就要两个透明网桥同时接在主路由和交换机之间，同时开启 stp 阻断一条链路，要么就是主路由和交换机做链路聚合两根网线捆绑成一根，这样才能保证某一个透明网桥挂了也不影响整个网络。
而我上面写的 VRRP 是旁路由挂了断电了，dns 和网关会自动迁移到主路由。完全不用人去干预的。甚至旁路由你也可以写个脚本检测是否能过墙，不能过那就直接自动切换回主路由。更高级的就是旁路由也拨号作为备用链路或者分流链路，哪怕主路由挂了也不影响整个网络。还高级的用法就是两台都是 op 路由内部部署负载均衡同时心跳检测 可以随机或者指定走某条链路。

@Jirajine dhcp 走主路由 ipv6 主路由分配当然 ipv6 跳墙的不清楚没做过，dns 泄露单独部署一台 dns 服务器或者旁路部署 mos smart adguardhome 都行，NAT 类型主路由做不就行了。upnp 一样主路由做打洞同样的。
你的问题都是在旁路由做了 NAT 才会出现，真正的问题点反倒是没有提出来。op 的旁路由单纯路由非 NAT 模式正常对普通的数据包又不会有三层及以上的报文的改变，会变的只有源 mac 地址而且只会在有上传的时候才会变。因为过了一个网关 网关自然会对源 mac 地址修改。当开启了过墙插件才会将整个数据包修改成由旁路由始发的，此时源地址为旁路自己目的为过墙服务器的 ip ，这个和你的透明网关是一个样的。
旁路由真正的问题在于终端上传经过旁路由转发 mac 地址改变，上到主路由就会发生 1 个 ip 对应的 mac 地址在不停地发生变化，这个对于主路由有严格模式的 ip 和 mac 一一对应才能上网的会造成无法正常访问国内网站而可以访问国外网站。
当然这个一般主路由是没有这个限制的。
相反透明网关容易出现单点故障除非做两台及以上的同时还要开启 stp 阻断一条链路，要不然就是在下层设备和主路由之间做链路聚合才好避免。而旁路由和主路由起个标准的 VRRP 就可以避免因为折腾旁路导致断网，如果账号支持多拨也可以旁路由也拨号做到真正的故障无感切换。

不过，最多买点好吃的奖励一下自己

看一下 MUX VLAN 吧同一 vlan 里面的成员可以隔离也可以不隔离

直接用 softether 就行，这个传递二层不要太简单了。

openwrt 换一个固件，nas 上搞 PT 那就专门开一个虚拟机跑 PT 把 IPv6 和 IPv4 全部都直接走主路由出口或者在科学里面将 PT 的 IP 地址排除，如果要用 docker 跑 pt 那就 docker 新建一个桥接网卡直接桥接在局域网网段上面然后修改网关为主路由的 IP 就行了 。核心办法就是 pt 直接就不走科学。