softether对机器要求不高的，现在openwrt路由，树莓派之类的都好安装。

A B 公司如果不是直属关系，这种网络结构会造成安全漏洞的。如果未经网管同意还是别这样搞，省得出问题。毕竟将两个lan桥在一起，安全风险非常大。

相对安全的方式就是采用socks5代理，但是socks5代理在下载一些链接时不知道为什么没反应，就需要挂上vpn了，而且如果B公司没有网管参与的话，就必须通过反向连接的方式才能穿透nat，而这同样要求A公司具备公网ip。A公司如果也没公网ip，就需要借助vps C，A<>c<>B。

最好还是征得网管同意，不然被监控到就麻烦了。

用softether吧，文档齐全，功能无敌。
搜一下 Build a LAN-to-LAN VPN (Using L3 IP Routing)
可以实现两个不同网段通过虚拟l3 路由方式桥接在一起，然后使用静态路由。目前家里的openwrt路由就是通过tun0接口跟vps桥接在一起的，中间通过双证书加密连接。
这样的话可以直接在192.168.2.x访问192.168.3.x提供的代理服务，基本是无缝方式，然后再加个privoxy上去就可以进行黑白名单选择性代理。

为什么不问问电信搞什么动态限速。每天见国外流量下降的第一反应就是kill pppd,然后网速又飞快了，接着没速度，接着kill pppd。人家就是把用户当傻瓜。

这个天天有人问。网上比较好的就是flora pac这是个根据国内外路由表进行选择，一刀切所有的国外ip都用代理。
android下一直找不到类似兼容实现，在路由器或者windows安装privoxy，网上有个proxy.action的例子，实现根据域名黑白名单进行选择性代理。然后可以安装smartproxy proxydroid想代理就代理。这些都不关心dns问题，所有代理的解析都将通过远程socks5代理服务器进行解析。
pdnsd也可以通过设置一国内一国外dns服务器通过reject所有的国内服务器ip进行轮询解决cdn问题，不喜欢全局翻，网络容易掉。

这个没办法避免，也不知道如何避免，电信也是大量应用了缓存服务器，下载.net framework就统统的302，网上是有屏蔽的方法，但是操作以后网络更不可访问。所以习惯就好，不要把正常文件变成病毒就谢天谢地了。

没花钱，没付钱给ms的就是盗版。

早些年在路由里对360网站用dnsmasq做了屏蔽，强制所有的udp 53只能通过本地网关解析。正常情况下dns解析结果应该为0.0.0.0

结果那段时间在跟360打架的腾讯 QQ手机浏览器 竟然可以正常访问，IOS跟android的版本都可以脱离本地dnsmasq控制，正常访问360网站。不知道软件内置了什么东东。

1,所有的连接全程证书加密
2,1 ipv4 + 3 ipv6,其中两个ipv6还是第三方提供的tunnel，自从用了ipv6再也没注意到频繁的tcp reset，即便有，4个ip轮流切换看谁快。。。

经过加密的线路，明显延迟比不加密的低。最近用上ipv6确实比以往的体验不大一样，但是ipv6线路高达300ms，ipv4 160ms左右。

这fail2ban是什么东东，对扫描的人也太友好了还reject-with icmp-port-unreachable应该是直接drop。这种现象很正常的用routeos的时候，每天外网发起的扫描高达260+，扫一个封一个。。。

在一些64m路由器，终端下有nice ulimit做一些优化限制的。甚至可以选择一个时间点对内存进行释放。

玩linux就是折腾，2006年时还在玩打包，不同发行版，各自的包工具，玩得真心累。到最后还没跟对主流桌面，算了还是用windows吧，省心。
这些年都是在线更新，不大会有人再去编绎软件了，依赖是很麻烦的事情。最终选了centos,据说是商业化软件支持更好。跟动主流很重要，没时间瞎折腾，重新布署。

不知道你想干嘛。最近danted用了ipv6以后一直没配置成功，又很无奈的同时启用ssserver sslocal就为了一个socks5代理。
a ssserver
b sslocal

长得像asus的界面啊。
前面两规则对目的端口是80 443的每个连接，也就平时的网页浏览，在流量低于512这里应该是kb还是bytes呢，512bytes也太小了，极有可能是KB，数据包标记为高优先级，一旦连接流量持续超过512kb就重新标记为low。
这种通常用于p2p环境利用iptables connbytes 模块，对流量进行重新标记，有助小上行带宽的tcp拥塞控制。

这几天刚在电信线路用上6to4 ，本来还一阵兴奋google搜索连带敏感关键词都不存在。。。
但是今天又注意到facebook后来用google的dns能访问首页了。但是twitter google学术之类的依然没任何办法。包括很多tb tunnel，不知道6to4跟原生ipv6差距大不，原来限制依然存在。。。

这个话题，难道无污染dns解析出ip就能连上被封网站吗。
既然要挂代理，socks4a+版本就支持dns远程解析，又何必需要dns。

还是觉得privoxy+stunnel是最简单的解决方法。
一个支持黑白域名选择性挂代理，
另外一个支持把tcp用证书方式加密到本地访问。

想用代理就挂上去。没什么cdn之类的问题。

非对称光纤绝对是砖家想出来的好方法，因为一些tcp拥塞控制而导致的丢包，包丢了，连接建立不起来，下行自然就掉速度，tcp协议本身就这样的，还真有点投诉都没理由的感觉。
一般家用带宽除了拥塞，还有一种像迅雷的大并发下载超过局端限制，同样局端会丢包。

解决的方法去买支持QOS的路由，并发只能靠限制发包数来解决。观察过QQ视频，应该50kb/s的流量都没，如何设计QOS才是关键。

我的tomato 原版QOS 设定
http://www.right.com.cn/forum/thread-102891-1-1.html
(出处: 恩山WIFI论坛)