套娃级“跨境加速”已成为玄学，大家一起来讨论讨论

尝试用 TPROXY ， iptables 里面的 mangle 表可以使用这个进行在不改变包来源地址和目标地址的情况下将包重定向到某个监听端口。也许这个才有用？

@AVC 转给谁处理？ 47 号协议的数据包都不算 ip 协议，有端口就意味着是 ip 协议了。我之所以用 tap 而不是 tun 就是因为 tap 是二层以太 tun 是三层的。 tap 比 GRE 低，所以才能处理的了

@s7lx
gre 协议(ip 协议号 47) 当然是 ip 数据包，只不过不是 tcp 也不是 udp （ tcp 或 udp 也有 ip 协议号）；
pptp 使用 tcp 1723 传输控制指令，使用 gre 协议传输数据。
--------------------------
由上推论 tun 应该也可。 对了， tun 效率高些。
--------------------------
linux 只要加载了对应内核模块，就可以使用 iptables 对 gre 数据包动手脚：
-------------------------
我玩过的一个场景，供参考：
公司电信宽带， 远程办公必须使用 pptp 连过去（因为其他 vpn 的组播代理搞不定）；
部分员工家里联通宽带， 直接连有时会断，丢包延迟蛋疼(都懂得)；
买一台 4M 带宽的阿里云转发之，下面几行命令：

打开 ip 转发；
modprobe nf_conntrack_pptp （根据内核版本不同，可能是 ipt_xxxx 的模块，也可能我记错了）

iptables -t nat -A PREROUTING -d vps 公网 ip -p 47 -j DNAT --to-destination 公司 ip
iptables -t nat -A POSTROUTING -d 公司 ip -p 47 -j SNAT --to-source vps 公网 ip
iptables -t nat -A PREROUTING -d vps 公网 ip -p tcp --dport 1723 -j DNAT --to-destination 公司 ip
iptables -t nat -A POSTROUTING -d 公司 ip -p tcp --dport 1723 -j SNAT --to-source vps 公网 ip

---------------------
于是客户端以 pptp 连接此 vps ， 相当于连接到公司， (同城市的) 延迟从 100ms+ 降到 20ms+

刚才的回复有点不对题，
就是提醒下 gre 协议属于 ip 协议， 不是 ip 同层协议（ ipx 那种不用 ip 地址的才是）。

楼主的部署方式， 也就是 openvpn over $$，
如果 openvpn 隧道没有严重丢包，这里就可以忽略$$，仅讨论 pptp over openvpn ：
----------------------------------------------------
如果我没理解错的话， 数据包在两个设备上经过 2 次 nat ：
一次 在 openwrt 路由上 从 tap 口出去，
另一次 在 vps 出口 从 tap 进来从 eth0 出去。

两个带 nat 设备，应该都是 linux 了， 都需要加载对应内核模块 以 支持 gre 数据包 过 nat 。
因为 gre 数据包没有端口号， 啥 conntrack 的需要特别地支持它的那啥 number 的。

lsmod | grep conntrack 检查下。（应该是吧）

---------------------
快 3 点了，有点不清醒语无伦次见谅。

楼主确认下模块装对了先，

15.05 用 kmod-nf-nathelper-extra ， 14.07 及之前的用 kmod-ipt-nathelper-extra

---------------------
来自： https://wiki.openwrt.org/doc/howto/vpn.nat.pptp
Installation
See opkg for details on how to use this tool.
For the current versions of OpenWRT (since Chaos Calmer 15.05), you should install:
opkg install kmod-nf-nathelper-extra

You should now be able to use multiple PPTP connections from LAN to WAN at the same time.

Old versions until Barrier Breaker 14.07 used 'kmod-ipt-nathelper-extra' instead:
opkg install kmod-ipt-nathelper-extra

ov 被重点照顾了
pptp 这样是正常的 很大几率是网络原因
国内到国际这段网络有些问题 导致 pptp 异常
你试试同期使用直接拨 同时间测试 也会有这个问题

遇到过 设置断线重拨 和监控 pptp 是不是 up 如果不是 重播

OpenVPN 也是被照顾了的。再套一层$$（你懂的）试试

看错了，当我没说

pptp 不能直接跑在 ss 上面吗

@Siril 这种情况可以试试在 ovpn 服务器端做 gre 隧道的转发，然后客户端直接 pptp 连接 ovpn 服务器，应该会避免很多莫名其妙的问题

@miaojiang22220

确实比较推荐楼主这样做；
----------------------------
至于我回复里举的例子，
是解决跨 isp 的丢包延迟，不是解决干扰，直接转发很简单，无须套一层隧道了。
楼主误以为 gre 协议有什么特别的魔法 :P ，其实还不是 ip 数据包嘛。

怎么删自己的回复？ 上面 3 个跑题的。
----------------
请楼主出来说明 pptp server 和 ovpn server 是不是同一台。
如果不是同一台，在 ovpn server 上参考以下两个链接检查内核模块是否安装。
https://www.linuxquestions.org/questions/linux-networking-3/pptp-multiple-clients-behind-iptables-nat-536321/
https://serverfault.com/questions/167485/pptp-gre-multi-forwarding-nat-iptables-example

如果没装，则 pptp 连接可能出现：
同时只能有 1 个客户端能连接的情形；
重启后一段时间失效之类不稳定的情形。

ovpn 走 tcp 不穩定吧，何況跨境了干擾嚴重。

@21grams 对方的 pptp 程序没有挂代理的接口。而且。 pptp 属于比 ss 更底层的。所以 tap 应该是可以的
@Yien @notgod 我是 pptp->openvpn->ss ，最外边套着 ss 的壳呢，不可能是被干扰的。而且我这边也看了，应该是本机或者服务器的对应模块加载或者 iptables 的问题。而我对 Iptables 实在是有点迷糊

@Siril 另起一楼单独表示感谢先
已在主贴里列出了对应模块。测试结果是不但 nf-nathelper-extra 要有， kmod-gre 也要有，当时就是装了这个模块的一瞬间就连上去了

服务器上又加载了三个模块
```
modprobe ip_nat_pptp
modprobe ip_conntrack_pptp
modprobe ip_gre
```
待我反复试验后告知结果。再次感谢

tinc 吧， openvpn 被干扰了。 tinc 的隧道应该还没被干扰到。

@defunct9 知道 TINC 。但 openvpn 文档多，实践多。出了问题也有充分的资料解决。干扰问题用 ss 解决了。（审题很重要

@s7lx 加 ss 套了 3 层， tinc 只有 2 层。可能出现的潜在故障点少了一个。是从这个角度看的。不妥敬请忽略，另外 tinc 分配的 ip 是连续的， openvpn 不行。

我的问题不在这里。用户自己是 PPTP ，我用裸 tinc 还会遇到同样的问题， GRE 协议到底能否按照我的预期处理还是不知道，因为它也是创建虚拟设备，而我测试的结果是 tcp 和 udp 已经走通了。我看到的资料， tinc 也是和 openvpn 工作在同一层，所以 tinc 并没有解决我的问题。而且 openvpn 我已经走通了没必要重新搭一套（审题很重要 again

据 Surge 作者说 OpenVPN 套 SS 也会被干扰...

@Liqianyu Yachen Liu 貌似是用 ss-redir 搞的，我是用 ss-local ，强制 openvpn 走 tcp 代理。

在 ss 里面套 openvpn 亲测下载时断时续。 LSW 香港报告。

@AVC HK aliyun B 实跑没问题。你的 OPENVPN 是 P2P 还是 DHCP