这就是通常说的 DNS 泄露

在外面看蓝光，要直连才行，大部分 VPN 都是 UDP ，会被 QOS ，直连你走 HTTP/S 违反家宽协议了……
所以大上行说实话，不搞直播，不玩 PT ，不整 PCDN ，对普通用户没大用，你要远程桌面这 30M 也足够了

换个梯子试一下？是不是 X 绑定 IP 的问题？

@infun 想多了，默认光猫拨号，下面路由是 dhcp 模式作为客户端获取内网 IP ，俗称两层 NAT
最好的情况光猫有 PD 发给你的路由，你的路由有 V6 公网地址，但路由下的客户端没有，因为 90%的运营商路由都没有 PD 中继功能。然后 V6 防火墙 99%运营商设备都是答辩，外网无法利用。

@mantouboji 回复错了，@你一下……

下级 RouterOS 只好自己弄成/72 给两个 VLAN 用。
>>>那你的安卓设备如何联网？默认安卓 V6 只支持 slaac ，/72 只能手动路由啊？？

我朋友家的是上海联通的千兆宽带，光猫是 ZTE F4600U ，也是只能给下级一个/64 的前缀。
>>>这个倒不一定是猫的问题，抠门的联通很多地方默认桥接 PD 也只有/64

@shuiguomayi 5G WIFI ，华硕路由器内置抗干扰功能，你可以试试，但是开了会导致 USB3 接口降速，这个没办法

AC66 有点老了，另外 USB3 和 5G 无线会相互影响，放太近有干扰

肯定要开端口的，如果你要利用 V6 ，V4 V6 都要分别开
还需要 qb 所在机器关闭 IP 地址隐私模式，按 mac 码后缀生成 V6 地址，方便主路由防火墙用 V6 掩码放行，否则 V6 PD 前缀一变你又要重新设置防火墙

那就主动内向外打洞，连接后就好了

DMZ 到路由，路由再开防火墙就行，没什么问题，你需要的是端口，不是关防火墙

要看你具体的客户端需求，如果是仅内置，安卓和 windows 目前通用的只有 ldap ，openwrt 上有 strongswan 作为服务器，然而需要证书
然后 softether 我就在用，L2TP 很方便，windows 无需安装软件，没有管理员权限的电脑也能用，就是只能 IPV4 ，不支持 V6
至于 wireguard ，确实有 UDP 阻断，但不是针对 WG,是针对 UDP ，表现为间歇性传输文件会断流，只要跨电信联通运营商就有，即使是同一城市我也遇到过，但是联通对联通内部貌似没有……

另外你用 VPN 是要做什么，如果只是小文件，譬如数 M 文件传输，即使 UDP 限流 WG 也能用，就是慢点，如果是流媒体传输，直接 webdav+TLS+ddns 可能更合适

建议撸主换一台安卓设备，然后就可以确定是·安·卓的问题，还是某个厂商安卓·ROM 的问题
当然安卓本身 V6 就很操蛋，只支持 SLAAC ，，，，，，

这个情况比较复杂
联通确实给 PD 比较扣，我这里只有/64 ，最好的地方也只看到过/60 ，电信移动很多地方都是/56 ，这样就算你接二级路由也可以在二级路由上中继 PD ，起码二级路由下的客户端还能有 V6
如果只给/64 ，又没法桥接，那就要看光猫了，某些光猫没有 PD 中继选项，直接无解，就算有，二级路由支不支持 PD 中继呢？除了 openwrt 国内的大部分路由估计都够呛，虽然都是 op 魔改的

@Exp 那你就自己换成高位端口不就得了？
然后过几年说不定又会流传相反的说法，说运营商会定期扫描高位端口，因为普通用途默认没有高位端口，所以开高位端口服务的肯定是猫腻之类云云…………

没搞清楚需求就直接关闭 IVP6 防火墙不安全………………
用 V6 后 64 位掩码方式配置防火墙访问比较合适，同时需要关掉设备端的随机 mac 码，用固定网卡的设备 mac 生成自己的 V6 地址

桥接后可以看 IPTV ，这个主要是分区域，我这里联通的 IPTV 直接没走组播，上级桥接拨号，下面机顶盒直接接路由选 dhcp 可以走外网看 IPTV ，只是占用你的互联网带宽，不过 IPTV 就那点带宽，不是强迫症忽略即可
有可能是光猫 IPV6 有问题，能桥接先桥接，用 openwrt 之类的主路由拨号，桥接时注意选 IPV4/IPV6

外贸盒子水也很深，你看型号一样外观一样，结果里面芯片不一样的情况很常见

软件 OS：目前出厂安卓系统一般分两种，一种是有 google 认证的，即 widevine L1 ，可以装油管和 play 商店的 TV 版，其他你装 netflix 也有 1080P 分辨率，再好点的有 Dolby 认证，只要你后端设备支持直通硬解，可以上 atmos 之类的，然而这种盒子普遍价格不菲；
另一种就是纯山寨，没有任何认证，出厂安卓 OS 只能装手机版 app ，网飞只有 720P ，但是价格便宜得多。

硬件：Amlogic 是主流，目前到 S905X4 世代了，但上一代的 S905X3/S922 性能也足够，而且第三方 ATV 固件支持很多，你要买就买这类。其他 allwinner/rockchip 的第三方固件很少
另外 Amlogic 有 CoreELEC 支持，如果你不看在线视频，只是本地，可以装这个系统，相当于精简版的 linux ，也有海报墙支持，还有插件系统可以上 docker 和 entware 做 NAS 。

IETF：向客户分配 IPV6 时 PD 后缀应大于等于/56
运营商：给你/64 就感恩吧。