thereone

openwrt 换一个固件，nas 上搞 PT 那就专门开一个虚拟机跑 PT 把 IPv6 和 IPv4 全部都直接走主路由出口或者在科学里面将 PT 的 IP 地址排除，如果要用 docker 跑 pt 那就 docker 新建一个桥接网卡直接桥接在局域网网段上面然后修改网关为主路由的 IP 就行了 。核心办法就是 pt 直接就不走科学。

你这是看了恩山那个贴吗搞了一个循环的玩意，问题在于你的 zerotier 属于哪个区域，最好的方法是做一个 vlan 原本你的设备 2 的 wan 获取的是爱快的 lan 接口的地址，那么就在和设备 2 wan 口连接的爱快这个接口新建一个 vlan 然后 op 的 wan 口这边也建立一个 vlan 在上面写一个三层地址用于互联 接下来就是互相写静态路由就行了 至于 zerotier 接口属于哪个区域？和 wan 口建立的这个 vlan 在同一个区域就行。完全不用鸟 op 上面的 wan lan 区域

@Rysle 互访是可以出爱快就不是了，爱快访问设备可以 arp 局域网内的话。当外部访问进来可以直接找到设备 问题是设备回应的数据包在旁路由会把 设备的 ip 转换成旁路由的 ip 这样源 ip 地址变了爱快能让 tcp 建立连接？爱快找 A A 把东西给 B B 在给爱快，爱快表示不是 A 给的我不收 于是连接就建立不起来了。

最好的方法是旁路由不要做 NAT ，你上面的问题根因很简单端口映射没做全

外网访问-->爱快:520--旁路由(NAT)--设备:520
这里看对于爱快是不知道你的设备的，哪怕是在同一个局域网。
假设你的爱快直接映射设备的 520 端口，你看路径外部进来是 爱快->设备:520 内部路径 设备:520->旁路由 IP(NAT)旁路由 IP-爱快 看到没有 ip 连接不一致导致你的 TCP 连接建立不起来。原因都在这里。

正确方式旁路由(NAT)模式
爱快映射:520-->旁路由:520-->旁路由:520-->映射设备 IP:520
爱快端口映射 旁路由端口映射
正确的是有两次端口映射的过程的。

更好的旁路由方法，最好关闭旁路由的防火墙删除所有区域，防火墙选项全部放行
这样你的旁路由就真的只做路由功能，唯一会变的就是经过了旁路由你的原始数据的源 mac 地址会变成旁路由的 mac 地址 IP 地址不会变动所以对于爱快来说设备地址是可见的。
于是上面的端口映射就可以按照正常的思路做 在爱快上面直接映射设备的地址就行了

@bt7vip 用 softether 在每一个路由器上面新建一个桥接网卡，然后配置上 3 层地址写个静态路由。不要太简单

直接用 softether 就行，这个管理方便 v4 v6 都支持也随时都能切换成 tcp 或者 udp 。最主要的是全图形化界面配置非常方便

IP 隔离了当然 ping 不通，不然都能在一个大局域网互访这样安全性就下降了。

话说你这服务器有按时打补丁吗还有没记错 2008 已经停止支持了吧？还有公网 IP 地址是直接用服务器上了？如果是的那你这中病毒很正常。这基本就是裸奔在公共场合了。