抱歉前面写错了，tls-auth 和 tls-crypt 是相似的东西，被封的是 tls handshake ，所以需要额外配置 tls-auth 或 tls-crypt

可能有一个错误：客户端的 cert 和 key ，不应该和服务端的是一样的，但是这里从文件名字来看，可能是一样的。简单的 static key 已经过时了。tls-auth hangshake 很多年前也被封了，但是 OP 只需要额外配置一个 tls-crypt ，给 tls-auth 加个密，就能顺利用到当下

@tool2d 用 INPUT 链试试看？另外，对于 UDP ，是不是要用 REJECT ？不然对方没有出错信息，只是以为“拦截不下来”

为什么一定要在 raw 表中定义 drop ？是出于 drop early drop fast ，从而减少系统开销的考虑？较早的时候 raw 表唯一的功能是给数据包一个 notrack ，所以也许是你的路由器在设计的时候并没有预料到你会这么早 drop 掉数据包？
何不在缺省的 filter 表中试试，给系统预设的硬件加速一个机会？

Shouldn't it be "Network Interfaces" and "Local Processes"?

@PatrickLe 续上，以及 crontab

@PatrickLe @ghostwwg 续上，如果你的胃联通支持 bash

#!/bin/bash
REMOTEIP = $( nslookup your.domain.name | tail -n +3 | sed -n 's/Address:\s*//p' )
if [ ! -e /tmp/remoteip ]; then
echo "${REMOTEIP}" > /tmp/remoteip
fi
OLDIP=`cat /tmp/remoteip`
if [ "$REMOTEIP" != "$OLDIP" ]; then
echo "${REMOTEIP}" > /tmp/remoteip
wg-quick down wg0 && wg-quick up wg0
fi

@PatrickLe @ghostwwg 或者定期检查 wg 的最近握手时间，如果握手时间离当前时间超过上限就重启，比如

#!/bin/bash
a = $( wg show wg latest-handshakes | awk '{print $2}' )
b = $( date +%s)
if [ ("$b" - "$a") -gt 300 ]; then
wg-quick down wg0 && wg-quick up wg0 或者 systemctl restart wg-quick@wg0 之类
fi

有比老破小的吗？ 2006 年的初代 intel mac mini ，7*24 到现在，早就想换了，但是就是不坏。32 位 debian bookworm + xfce ，qemu/kvm 运行了 3 个 alpine ，内存占用不到 1GB
https://imgur.com/BVPtihw

@mumbler #14 十进制一位二进制半个字节都不到，好吧就算浪费点一位一个字节，区区 40MB 就足够了呀，怎么可能 40GB 。就算 60 万亿，30TB 空间就足够了

首先是这个问题，可能是出在没有搞清楚 address 后面的/32, /128 是什么意思。wireguard 的说明文档中说得还是比较清楚的，就是子网掩膜的意思，所以为什么不是/24, /64 呢？
其次是题外话，运营商给了你一个/60 前缀而不仅仅是一个地址，就是为了给你划分多个子网的自由，让你最多 16 个 sites 的设备都有公网 ipv6 地址，运营商负责路由这个/60 网段的所有流量。所以只用其中一个子网中的其中的一个地址，然后像 ipv4 那样 nat ，是不是有点...浪费？
其实很简单，两边都选择一个在这个/60 之内，且在同一子网的 ipv6 地址即可，例如如果前缀是 xxxx:xxxx:xxxx:xxx0::/60 ，那么可以选 xxxx:xxxx:xxxx:xxx1::2/64 和 xxxx:xxxx:xxxx:xxx1::3/64 。其中 1 处可以有 16 种选择，而 2 和 3 的选择就无穷无尽啦。至于动态前缀，理论上似乎也只要相应地动态更新这两个地址即可。更进一步地，可以在一边的 peer 运行 router advertisement, wireguard 的 allowed IPs 设为::/0 ，那么这边的所有设备就都可以连到另外一边，还可以愉快地上网哦，而且，还是纯纯的完全 native 的公网 ip 哦

@XGG0639 是 clients{fe80::5e9:f42b:d836:4626;};
似乎还需要有 prefix ::/64 { }？当然，也有可能缺省也可？
prefix ::/64 {
AdvPreferredLifetime 300;
AdvAutonomous on;
AdvValidLifetime 1800;
AdvOnLink on;
};

续#6 ，当然，要是 VPS 运营商能提供/48 就更好了。但是，貌似没有一家会这么慷慨，能提供/64 的都不多。好几年前听说 linode 是可以免费申请/48 的，但是好像要人工向客服申请，还要向其说明用途，而且基本上是拒绝的

真要做的话，可以开一个和 HE 服务器地理位置相近的 VPS ，HE 上申请额外的/48 前缀（免费的），这样不光可以让 VPS 有 HE 的 ipv6 ，而且还可以通过用像 wireguard 的 vpn 隧道把 HE 的 ipv6 引到你的内网（不需要公网 ipv4 ），再通过像 radvd 的广播出去，就可以让你的内网的每个设备都获得公网的、固定的、直连的、墙外的 ipv6 地址（当然，是 HE 的）。而且，理论上可以让你的(65536-1-vpn 隧道数）个内网的所有设备都有公网的、固定的、直连的、墙外的 ipv6

@username1919810 #35 是的需要自己给自己，但是估计被分配地址的那张网卡，不能是获取前缀的那张

@username1919810 debian 可以参考 https://wiki.debian.org/IPv6PrefixDelegation ，但前提是多网卡，单网卡如果是所述情况为真（只给一个/56 ），没用

@username1919810 #32 其实同意 @ttvast #25 ，有了 PD 的 prefix ，就可以给其他网卡分配 ipv6 地址和默认网关，wan 侧的地址其实可有可无，但是你这里又是单网卡，要分配地址，目前能想到的是用虚拟网卡，其他也想不出有什么办法。所以正如前面网友说的，既然 openwrt 能用就用呗，或者直接用运营商的 ONU 以及“国产”路由器，插上就有网，反正是单栈 ipv6 ，完全不用折腾都是公网 ip ，岂不更好

@ttvast 严格来说是给一个/64 网段和一个/56 网段，可以让家宽用户最多组 1+2^8 个 ipv6 子网，不只给一个地址的