@yyysuo
如果不屏蔽 NAT ，你在 Clash 里看到的来源 IP 将全部都是路由器的 IP ，这样不利于查看运行信息。

参考
https://github.com/kkkgo/PaoPaoGateWay/discussions/26

@MrLonely

加上了

@Niphor affine 客户端不支持私有部署，我就没试

@SkywalkerJi
确实是没算 AP ，因为很多家庭用主路由自己的无线网就足够了，我买的那个只是因为天线坏了所以没无线。

实际上现在就算是好的同款机器也只要 60 块钱左右了，一直在降价。

如果有其他的比如 MESH 或者 ACAP 的方案需求，那就不在本文的讨论范围内了。

@lower 在单网关内部处理透明代理，就会导致一旦代理挂了，整个网络都会瘫痪，而且 NAT 会降级，对于一些 BT 软件，游戏联机之类的都不友好。

如果你用 NatTypeTester 检查 NAT 等级，一定不会是 FullCone.

@lower 根据我折腾网络这么多年的经验来说，极路由没办法实现这些东西。硬要说极路由应该连千兆带宽都很难跑满。

@iamwin

> 我说的意思是你不仅不需要多台设备，也不需要任何虚拟机包括 docker 这种半虚拟机

如果想要部署递归 DNS 用于抗污染，那一定需要启动一个本地的 DNS 服务，那这个服务不用 Docker ，难道是直接部署在物理机上吗？部署难度和维护难度不考虑一下吗？

其次，如果想要做国内外网络分流，并且国外网络故障时，不影响国内网络，那一定需要两个网关。

市面上的单设备透明代理全部是靠修改路由表+全部流量转发到代理工具然后再用代理工具的分流方案。

这种方案一会导致代理挂掉国内网络也无法访问，二会导致全部流量多一层 NAT ，三还会导致和一些游戏加速器有冲突。

就是为了要避免上面的几个问题，所以最后才会出现两个网关一个 Docker 这样的部署形式。

形式是为了达成目的，如果你没有这些目的那自然也不需要这么复杂的形式。

@iamwin

> 整个一套搞那么复杂，还用 fakeip 来污染 dns 解析，透明代理你可以在网关设备的防火墙里面配置
openvpn 、wireguard 和其他你也可以直接在网关设备部署，AdguardHome 这东西你也可以直接在网关设备部署

不知道你是否经历过一炸全炸的情况，在我这套配置里，OpenWRT 是完全作为一台普通的路由&网关设备存在的。旁路网关因为各种原因(IP 被封，程序故障)炸掉，是不会影响到国内网络访问的。

> 完成你这些需求其实只需要一台物理设备，完全不需要 3 台设备和配置多个半虚拟机，你搞那么复杂，没太大的意义，徒增故障点

我在文章里写了，设备可以根据你自己的情况选，你要是有服务器就开虚拟机咯。只不过我认为 150 元以内不存在可以满足这一切的服务器设备。150 元以内的软路由都很难跑满千兆网络。

@xuhengjs
P 被封谁都没戏，但是这套方案可以让你 IP 被封的时候，国内&不走代理的设备完全不受影响。

应该不存在代理 IP 被封还能流畅上网的方案存在吧。

@niaohongC 其实没有啥技术含量，PaoPao 系列是其他大佬的开源项目，我只是针对家里的环境踩了一点点坑选了几个比较划算的设备部署了一套方案而已。

@xdzhang 请问你是怎么解决 NAT 降级和网关分流的呢

@xiaoke 是玩 ROS 的狠人，佩服佩服（那个鬼东西对于我来说还是有点难用了

@ixinshang 这是 OpenWRT 的官方镜像，没有使用第三方编译的固件。我推荐的设备也是可以直接刷官方镜像的(稍微有一点麻烦)。

@xiaoke 我用 ADG 就是为了分设备分流，家人的有些设备有一些工作需求不能走海外

@molezznet 补充一句，FakeIP 解析可以认为是无延迟

@molezznet 因为上游用了 PaoPaoDNS ，它自己有缓存，并且 FakeIP 是不能用缓存的，可能会导致地址解析错误

@qzydustin DNS 抗污染+国内外数据包自动分流

我们东北人的同学全都天各四方，全中国哪里都有，就是东北没有，根本没什么机会见面。

虽然说大多数同学也不怎么想见面就是了。

@LavaC 我那个文章里说的就是用 Docker 部署到 NAS 上呀，NAS 就是 24 小时挂机的。私有部署不也是要服务器 24 小时挂机吗，没区别呀。