真是聪明，收藏一下

有需要的话可以免费帮配置寄到你家

clouflare argo tunnel 可以走 https 建立 tcp 隧道，不需要公网 ip ，国外到 cf 的节点速度肯定很快的，国内是移动的话可以走香港，速度也很快，整体就很快。移动联通即使不快也至少可以用。

不走 argo tunnel 的话也可以部署个 v2ray ，用 cloudflared 连接到 cf ，不需要公网 ip

买个 arm 盒子配置好后寄回去插上网线就自动连上

进手里最新的光猫看了下，/bin/里面已经有一个 pppoe-server 了

pppoe-server -h
Usage: pppoe-server [options]
Options:
-I if_name -- Specify interface (default eth0.)
-T timeout -- Specify inactivity timeout in seconds.
-C name -- Set access concentrator name.
-m MSS -- Clamp incoming and outgoing MSS options.
-L ip -- Set local IP address.
-l -- Increment local IP address for each session.
-R ip -- Set start address of remote IP pool.
-S name -- Advertise specified service-name.
-O fname -- Use PPPD options from specified file
(default /etc/ppp/pppoe-server-options).
-p fname -- Optain IP address pool from specified file.
-N num -- Allow 'num' concurrent sessions.
-o offset -- Assign session numbers starting at offset+1.
-f disc:sess -- Set Ethernet frame types (hex).
-s -- Use synchronous PPP mode.
-k -- Use kernel-mode PPPoE.
-u -- Pass 'unit' option to pppd.
-r -- Randomize session numbers.
-d -- Debug session creation.
-P -- Check pool file for correctness and exit.
-h -- Print usage information.

PPPoE-Server Version 3.8, Copyright (C) 2001-2006 Roaring Penguin Software Inc.
PPPoE-Server comes with ABSOLUTELY NO WARRANTY.
This is free software, and you are welcome to redistribute it
under the terms of the GNU General Public License, version 2
or (at your option) any later version.
http://www.roaringpenguin.com

有可能是 mtu 的问题？我看你 pppoe 的 mtu 设置为 1460 ，我的是 1500 ，试着改下不同的值？

另外试试这个命令
iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

我以前有些 https 网站有问题，用这个命令解决的

HN8546Q 聚合成功，登陆光猫看了的，没有 bonding.ko

@SunsetShimmer 这应该只是一个合法正常的网站，木马只是用来获取被攻击者的公网 IP ，猜测方便在骨干路由中精准劫持。这种级别的攻击不会是广撒网大范围的，都是精准攻击高价值目标，所以楼主可能不是普通人？

@SunsetShimmer windealer 的报告里也有这个域名，就是用来得到用户的公网 IP 的

@SunsetShimmer 木马可以向任意域名甚至是不存在的域名通信，或者劫持某个 AS 内任意 IP ，攻击者劫持了 DNS 系统、骨干路由器、整个 AS ，就为了偷偷把用户目录的文件传出去，也不加密硬盘勒索点钱，真是良心

它主要针对的是位于中国的目标，如外国驻华外交机构、学术界成员，或国防、物流和电信部门的公司

楼主不会是啥高价值目标吧？重新拨号换个 IP 看看呢

“
基于以上所有分析，研究人员推测 AS4134 上的攻击者可能具有以下能力：
拦截所有的网络流量，这使它们能够接收到对随机 IP 地址的后门响应，而无需部署实际的 C2 服务器；
在网络中注入任意的 TCP 和 UDP 数据包，通过这种能力，他们可以向 WinDealer 发送订单；
完全控制 DNS ，这意味着他们可以为不存在的域提供响应；
”

谁才能拥有这个能力呢

看 IP 是对的，那只有对 IP 进行劫持了，能做到这个份上的只有运营商自己了吧，或者国家级别的攻击？ https 太重要了

四川移动没有被劫持

网易传了被禁歌手的歌，感觉有点怕，又删掉了

做 ddns 暴露在公网的话就势必要开启防火墙，不能靠 ipv6 地址的海量性和随机性来保证安全，因为知道你域名的就一定知道准确的 ip 了，恶意用户只需要端口扫描就行。所以必须在网关开启防火墙，默认阻止所有入站链接，只开放需要的设备需要的端口。如果局域网设备通过 slaac 获取 ip 的话，前缀动态下发，后缀随机分配，网关防火墙设置时根本没法动态匹配 IP 。所以就只能使用 dhcpv6 给局域网设备分配 ip ，可以保证后缀的唯一性，前缀在防火墙设置中可以动态匹配。还有个办法就是 ddns 绑定到网关，网关再反代局域网的设备，网关防火墙不需要设置 ipv6 的转发规则，局域网设备甚至不用有 ipv6 地址，可以使用 socat 等工具进行 ipv6 到 ipv4 端口的转发

还有个操作忘了说，我还编辑 /etc/config/network 给 pppoe 拨号的接口手动指定了 mac 地址，这个 luci 界面改不了

nano /etc/config/network

config interface 'cmcc'
option proto 'pppoe'
option username 'xxx'
option password 'xxx'
option metric '5'
option peerdns '0'
option ipv6 'auto'
option macaddr 'xx:xx:xx:xx:xx:xx'
option mtu '1500'
option device 'bond0'

忘了说我是官方原版的 OpenWrt 21.02 ，硬件是 R86S ，聚合的是两个英特尔 I225 2.5G 口

记得配置 bond 后网卡灯不闪，把 eth1 eth2 重启下就正常。每次软路由重启都必须这一步