那肯定没有比三星更方便的了，解锁都不需要申请。

PVE 就是 debian ，按 debian 的教程直接装 docker 就可以，配置简单性能最好，但隔离性不够好，见仁见智。
或者专门装个虚拟机比如 alpine 来跑 docker ，稳定性兼容性隔离性都很好。

x86 一样可以开发，不需要特别购买开发板。包本身就可以跨平台编译。
开发环境直接看官方文档就行。https://openwrt.org/docs/guide-developer/toolchain/install-buildsystem
官方代码就可以，其他的仓库对比官方只是额外添加了软件源、针对路由器的硬件驱动优化等等，跟你的开发工作没什么关系。

用 caddy 会简单很多。

这真的是用百度用的。

我还在思考大圣用户是哪个网红

@povsister 并不是我离题，而是我认为你对拓扑侵入性的理解有差异，并且你也一直在强调谁的影响更小。而且就算是家庭网络，不让某些设备代理也是很正常的需求，比如并不想让小孩能直接访问 pornhub/youtube ，又或者不想让 PT 下载设备的私有 tracker 或者 webseed 被代理等等。

甚至有些设备就是内嵌硬编码 DNS 的，或者某个设备就是设置了固定的 DNS （比如 AD 域），你又怎么加防火墙规则？所以我说你拓扑侵入性太大。

@povsister 当然不是范围外，如果你在管理一个企业级网络，你就会理解减少现有网络拓扑的侵入性有多么重要，无论是可自助的设置（代不代理自己可以选 DNS 决定），还是权限分配，故障路由排查，稳定性不可同日而语。
而且你根本没看明白，这讨论的并不是 DNS 问题而是路由层面的问题。比如你把 cf 官网代理了，我 FakeIP 之下，设备随便更换 DNS 就可以一击脱离这个影响，访问 cf 官网绝不走代理，你光换 DNS 有用吗？

@povsister 但我某个设备不想使用代理的话，以下任意两种方式我都可以实现：
1 、DHCP 给该设备分配一个不一样的 DNS 。
2 、手动设置该设备的 DNS 。
无论是那种方式，我都可以马上实现并完全脱离影响，方式一需要修改 dhcp 分配规则，dhcp 服务器都可以独立，方式二甚至不需要网络设备管理权限，而你在路由层面做出的改动是无法在设备本身就能脱离影响的，所以我认为你的拓扑侵入性更大。

@povsister 但就网络拓扑来说 OSPF 明显对网络拓扑的侵入性更大，FakeIP 一般只需要向主路由甚至是三层交换机添加一条静态路由。至于你列举的其他功能，比如故障降级直连，FakeIP 明显都可以做到甚至做得更好更简单更容易维护，故障点更少，速度和网络波动性兼容更好。

你无非就是强调切换网络 Fake 的 DNS 缓存还在，但我说过绝大多数系统，特别是移动设备，切换不同的网络 profile 之后是会干掉 DNS 缓存的，这来自于我的实际使用经验，你表示是推测说法，实际上你考虑到有 captive portal wifi 会劫持 DNS 的存在就应该知道会有相应的设计，至少移动设备的 VPN 和移动网络是不会受 wifi 的 dns 影响的，安卓在连接新网络的时候会测试 dns 服务器是否可用，不可用（比如直接不可达）甚至会主动断开网络。
安卓我简单搜了下，文档的确是说”Normally clears the DNS cache entirely when switching connections“: https://developer.android.com/develop/connectivity/cronet/reference/org/chromium/net/DnsOptions.StaleDnsOptions.Builder

ttl 缓存过期的确有部分 app 比如 chrome 系浏览器不遵守，但你可以打开 chrome 访问一个不能访问的网站然后切换网络会提示 ERR_NETWORK_CHANGED 然后会重置尝试访问。实际上影响没有你想的那么大。

顺便你说的”套了 CF 的同一个网站不同国家解析出的 CDN 地址应该是不同的“这个推测说法是错误的，作为 cf 的使用者，cf 一般会给开了 cdn 的域名随机分配 2 个泛播的 IP 地址，你也可以再其他使用了 cf 的网站测试。

@povsister 那样维护起来比 FakeIP 累太多了，FakeIP 只管敲几个域名完事

@povsister 不过你自己也说了嗅探具有局限性，像很多协议比都没法嗅探，放 FakeIP 里面也只是作为出现故障的时候的补充手段。

@povsister 都解析到同一个 CDN IP 下的网站，真的有必要按域名拆开代理规则吗

这个还蛮常见的，比如 cloudflare 虽然 IP 段都是一样，但网站管理员后台可以设定只允许某些国家线路访问。

@povsister 问题在于你的故障点是有先后的，如果你在查 DNS 的时候遇到故障，那么下一秒即使线路能用也不能访问网站；但我远端解析只要线路能用就随时可以访问网站。两者对于线路的质量的要求不可同日而语。再极端点的例子，你本地查询 DNS 需要 500ms ，访问网站需要 500ms ，那总共就是 1000ms ，而落地查询 DNS 只需要 1ms ，那我只需要 501ms 就能访问网站。

@povsister 考虑到你在本地查询 DNS 需要经过加密传输以及延迟和不稳定性，和远端本地解析几乎 100%稳定的 udp 53 查询来相比，我觉得耗时还是有可比性的。

@povsister fallback 只是一个概念，并不是某个功能名称，就跟你讲中文故障转移一样的。想实现方法很多，比如简单的创建一个 proxy 的 group ，url-test 来选择就好。
他说的 CDN 其实就是 FakeIP 不需要在本地解析 DNS 的优点，由于本地没有真实 DNS 的解析过程，域名直接在落地机器解析，所以代理访问 CDN 节点能得到更好的效果，同时也节省了 DNS 解析的耗时。

@povsister 其实不影响，这个你喜欢的话一样可以 fallback ，很简单的 clash 策略就可以做到。