@Rysle 互访是可以出爱快就不是了，爱快访问设备可以 arp 局域网内的话。当外部访问进来可以直接找到设备 问题是设备回应的数据包在旁路由会把 设备的 ip 转换成旁路由的 ip 这样源 ip 地址变了爱快能让 tcp 建立连接？爱快找 A A 把东西给 B B 在给爱快，爱快表示不是 A 给的我不收 于是连接就建立不起来了。

最好的方法是旁路由不要做 NAT ，你上面的问题根因很简单端口映射没做全

外网访问-->爱快:520--旁路由(NAT)--设备:520
这里看对于爱快是不知道你的设备的，哪怕是在同一个局域网。
假设你的爱快直接映射设备的 520 端口，你看路径外部进来是 爱快->设备:520 内部路径 设备:520->旁路由 IP(NAT)旁路由 IP-爱快 看到没有 ip 连接不一致导致你的 TCP 连接建立不起来。原因都在这里。

正确方式旁路由(NAT)模式
爱快映射:520-->旁路由:520-->旁路由:520-->映射设备 IP:520
爱快端口映射 旁路由端口映射
正确的是有两次端口映射的过程的。

更好的旁路由方法，最好关闭旁路由的防火墙删除所有区域，防火墙选项全部放行
这样你的旁路由就真的只做路由功能，唯一会变的就是经过了旁路由你的原始数据的源 mac 地址会变成旁路由的 mac 地址 IP 地址不会变动所以对于爱快来说设备地址是可见的。
于是上面的端口映射就可以按照正常的思路做 在爱快上面直接映射设备的地址就行了

@bt7vip 用 softether 在每一个路由器上面新建一个桥接网卡，然后配置上 3 层地址写个静态路由。不要太简单

直接用 softether 就行，这个管理方便 v4 v6 都支持也随时都能切换成 tcp 或者 udp 。最主要的是全图形化界面配置非常方便

IP 隔离了当然 ping 不通，不然都能在一个大局域网互访这样安全性就下降了。

话说你这服务器有按时打补丁吗还有没记错 2008 已经停止支持了吧？还有公网 IP 地址是直接用服务器上了？如果是的那你这中病毒很正常。这基本就是裸奔在公共场合了。

搞的麻烦，哪有那么多翻车的。最简单就是部署一个 VPN 。你要有公网 IP 那就直接 VPN 回去就行，自行搭建 VPN 总不会被人攻破啊。不行就用内网穿透的 zerotier 这种，觉得不安全那就自建一个 moon 或者 leaf 节点。然后 B 和 C 之间要安全就上一个软防火墙如 pfsense opnsense 这类的或者用 esxi 导入山石网科的防火墙，虽然只有 30 天试用但是到差不多时间就快照一键还原就行。b 访问 c 就只在防火墙里面开启某些端口就行做到访问隔离。

@sofukwird 要中转站？我这边异地 IPV6 直连根本不需要中转。老家 IPv6 做服务器同时用 dynv6 的 ddns 更新 ipv6 地址，现在住的位置 ipv6 直连回老家。根本不需要中转啊。

搞的麻烦，个人用我永远推荐 softether 这个软件。支持 IPv4 和 IPv6 同时可以随时切换采用 TCP 或者 UDP 协议。而且配置全图形界面使用简单方便同时还有丰富的接入策略。配合 openwrt 可以做到路由器两端某一个接口二层点对点隧道都行逻辑上来说就是一根超长的网线，不要太强大了。

拿去做云计算了，运营商网内不少地址也用的 10 开头的内网地址。大部分都回收回去了

没有啊，我这边 1000M 桥接之后用路由器拨号一样可以满速，没有任何的限制。不过用电脑直接拨号会只有一半的速度多点。同时我用电脑开虚拟机爱快拨号也可以满速。运营商真的可以根据你拨号的设备限制速度的。

网络和虚拟化分开，我这边一个爱快软路由作为出口本想用高恪奈何没有 IPv6 ，一个 op 软路由科学作为旁路由和三层交换机起 VRRP 。后端 ESXI 专门跑服务器和 nas 。基本没啥事不会登录到爱快和高恪里面去。一般只登录到 VCSA 里面创建和删除一些虚拟机。后面都想把冷数据硬盘在搞一个低配置 nas 需要用的时候就远程开机不用就关机。网络计算存储全部解耦分离。

openwrt 的 Keepalived 的配置监控啊，一旦翻墙的挂了自动降低优先级。keepalived 配合其它脚本也行。

softether 配置也简单装上服务端后，可以随时随地用管理软件连接管理。全图形化界面没有过多的使用门槛。

可以啊只要你是网管就行，在公司搭建一个 softether 服务端然后在家也部署一个服务端，先把家里服务端和本地能获取到 ipv6 地址的网卡桥接起来然后再通过级联的方式连接到公司的 softether 上面。之后就看你是要怎么样获取地址了可以手动在电脑上用客户端连接到你在公司的服务端上面，也可以把公司服务端上面的 hub 再次桥接出来然后是用 vlan 还是直接广播到整个公司就看你的想法了。
本质上是把你家的二层网络延伸到了公司的服务器端了，之后你想干脆把你家的二层和公司二层融合还是分开就看你的想法了，分开那就在你的公司电脑装 softether 客户端连接公司服务端那就可以直接获取你家的内网 ipv4 地址和公网 ipv6 地址只想要 ipv6 那就在虚拟网卡把 ipv4 协议取消勾选就行。还有就是用 vlan 方法这个也可以隔离开那就不需要再电脑上面装客户端就是公司的服务端和交换机要支持 vlan 还有交换机接口要支持 hybird 模式。

softether 无任何问题

@a33291 那就删除默认的 hub 下面说的是在 Linux 和 OpenWRT 下的操作
1 、新建一个 hub 这个默认是不开启 NAT 的如果你的开了那就关掉就行了。
2 、在本地网桥设置里面将 HUB 和新增的 tap 设备桥接，这个设备名字自定义。
3 、在系统里面将新增的 tap 设备添加进你的 OpenWRT 或者 linux 里面 lan 的网桥里面
4 、在 hub 里面添加用户在连接这个 hub 就行。
Windows 下面在步骤 3 就只能选择现存的物理网络适配器进行桥接，这个有一定的缺点。