特别感谢 @huangya 的帮助，太重要了！

简单总结如下：

1. 旁路由上要建立对应的 iptables 规则：旁路由 <-> 主路由，注意 MASQURADING 必须启用。关于这个选项： https://superuser.com/a/935988
2. 旁路由上配置 OpenVPN 服务。需要注意的是 OpenWrt 的 web UI 不足以满足这个需求，建议 ssh 进去 vim 配置。参考配置如下（关键地方都加了注释）： https://gist.github.com/imWildCat/f1b2e38215d967f365d86db6db900956
3. 主路由上配置端口转发（上一步注释里有写）
4. 主路由上配置 LAN static route，参考华硕： https://www.asus.com/uk/support/FAQ/1011706/ （这一步似乎可以省略，如果 (1) 奏效的话）

附图 (1):
https://i.imgur.com/MmBCMwB.png

我 iPhone 11 名显卡的不行了

我也是

@thOOr 查看我个人资料，GitHub 上有联系方式。

想来外企吗？可以帮你内推一波校招。
这里没有任何种类的歧视。

@yuaneuro 个人愚见：

- 13 寸 Intel 不要再考虑了，时代的眼泪了
-「网络安全和二进制安全」是不是直接不用 MacBook 比较好，你可以把 Macbook 当作一个便携式上网终端，做实验还是需要 VPS/remote workstation ？

+1 这是什么工具？

@kennylam777

感谢您的回答！

是的，一直都在用 k3s 来部署服务了（大部分都运行超过一年了），原来用的是 Docker Swarm 。

kubeconfig 我导入之后，连接依旧是 tls 错误，所以很怀疑是证书问题。如果连接 https://ip:6443 的话，我个人就很怀疑是不是自签名证书不被系统信任导致的问题。

感谢！

我其实用的是 k3s 。目前 key/证书 有点太多，没能对应的上。

- certificate-authority-data 应该对应的是 `client-kube-apiserver.crt` 或者 `client-ca.crt`?
- client-certificate-data 这个对应的是那哪个呢？
- client-key-data -> 是 `client-kube-apiserver.key` 吗？

目前有大概这么多证书 /keys （在 /var/lib/rancher/k3s/server 目录下）:

➜ tls tree .
.
├── client-admin.crt
├── client-admin.key
├── client-auth-proxy.crt
├── client-auth-proxy.key
├── client-ca.crt
├── client-ca.key
├── client-cloud-controller.crt
├── client-cloud-controller.key
├── client-controller.crt
├── client-controller.key
├── client-k3s-controller.crt
├── client-k3s-controller.key
├── client-kube-apiserver.crt
├── client-kube-apiserver.key
├── client-kube-proxy.crt
├── client-kube-proxy.key
├── client-kubelet.key
├── client-scheduler.crt
├── client-scheduler.key
├── dynamic-cert.json
├── etcd
│   ├── client.crt
│   ├── client.key
│   ├── peer-ca.crt
│   ├── peer-ca.key
│   ├── peer-server-client.crt
│   ├── peer-server-client.key
│   ├── server-ca.crt
│   ├── server-ca.key
│   ├── server-client.crt
│   └── server-client.key
├── request-header-ca.crt
├── request-header-ca.key
├── server-ca.crt
├── server-ca.key
├── service.key
├── serving-kube-apiserver.crt
├── serving-kube-apiserver.key
├── serving-kubelet.key
└── temporary-certs
├── apiserver-loopback-client__.crt
└── apiserver-loopback-client__.key

@kennylam777 嗯，是的，kubenav 看起来很不错。

TLS client auth 是指证书 auth 吗？我个人想 trust 自签名证书实现 TLS 加密，目前唯一疑惑的点是哪个对应哪个？

比如：
- 让 iPhone 系统信任哪个证书
- 这里的 Client certificate data 和 Client key data 分别对应主节点上哪个证书

https://i.imgur.com/Y2gWeOW.png

感谢！

@kennylam777 感谢，晚点我试试。
我在 iPhone 上用 kubenav 或者 kuber

千兆都已经很烧钱了。。。全屋 Wi-Fi 6 Mesh 感觉也就千兆了，万兆白送钱。

@hehehu 还是想用 tls

果断用了吃灰中的树莓派 4B+

@eason1874 Safari 13.4 之后也支持 Chromium 插件了
https://techcrunch.com/2020/06/25/apple-will-let-you-port-google-chrome-extensions-to-safari/

群本来就不是适合讨论严肃技术的场所。开着 Google 翻译去 http://forums.swift.org 都比阿猫阿狗群强多了。

Azure 用户情绪稳定

@he110comex 我也申请不过了现在