uncat

各位下午还会吗？我不是很确定是我本地的修改生效了，还是官方调整了 Websocket 的配置。

我本地的改动是：

1. 添加 geosite:openai 到代理的规则内（即所有的 openai 的域名走新加坡的代理）
2. 添加 geosite:cloudflare 到代理的规则内（即所有的 cloudflare 的域名走新加坡的代理，起因是我看到 console 里面有个相关的 challendge ）
3. 添加 domain:intercom.io 到代理规则内（抓包发现的，即这个域名及其子域名走新加坡的代理）

现在一下午没有再遇到该问题。

@lanthora

> 如果两个机器能通过某个局域网 IP 通的话就可以(至少能单向访问).这个功能跟 NAT 类型没有关系,也不会用到公网的任何信息.如果是两个不同 NAT 下的就不可以了

明白了你的意思了，如果两个端都在同一个局域网内，基于局域网而不是绕行公网进行通信的意思。

@lanthora

> 并非所有 VPS 都有 IPv6 地址.不太清楚有没有人管,不过现在确实有一些人即使用 IPv4 也能正常用.

我就是长期 IPv4 WireGuard 用户。跟你场景很像，一台公网服务器作为中转，实际的所有流量和负载都在个人局域网的物理服务器上。

> 局域网对等连接

如果两个端都在 Symmetric NAT 后呢？也可以对等连接么？

WireGuard 会动态更新 Endpoint 的地址为该 Peer 最后一次收到的有效的数据包的来源地址。

假设你有公网 IP 且通过 DDNS 将公网 IP 通过域名进行实时更新，域名更新有延迟，所以这里面就可以利用 WireGuard 的这个特性了。

当有公网 IP 的 WireGuard 节点地址变化时，由于这个公网节点会主动的发送保活的空数据包（ Keepalive ）给所有对端节点，对端节点收到包后会根据数据包的来源 IP 更新 Endpoint 地址（这个地址将作为回包的目的地址），所以即使 IP 变化，通信也不会中断。

@wuruxu 路由器重启导致：

1. 导致重新拨号，所以换了 IP
2. 路由器上的 WireGuard 也被重启，导致动态的 Endpoint 信息丢失

解决思路：

将 WireGuard 运行到非路由器的设备上，然后开启 WireGuard 所有 Peer 的 Keepalive ，路由器重启但 WireGuard 不重启即可。WireGuard 会根据最后一次成功收包时 Peer 的来源信息，作为发包的目的地址（ Endpoint 地址，首次连接可以指定，后续会被动态更新），这个信息就是 NAT 后设备对应的 NAT 记录（即 NAT 的公网 IP 和端口），本地的 WireGuard 将通过动态 Endpoint 地址，主动连接 NAT 后的设备，NAT 后的设备收到数据包，也会主动更新 Endpoint 地址的。

@wanmyj #110 tailscale 和 wireguard 的方案是部署在公网服务器上的。

局域网内的服务器、开发者本地主动连接公网服务器并保持连接。

开发者的请求以公网服务器转发或直连局域网服务器（ STUN 打洞）的形式建立连接。局域网的服务器收到请求再转发给其他局域网设备。

@jspatrick TailScale 底层也是 WireGuard ，无状态，不可探测。

从底层的协议角度出发是安全的。

我不是很清楚 TailScale Controller Server (比如 HeadScale ）的实现，不清楚当作为 STUN server 工作时，是否有合理的底层设计来规避公网探测风险。

无连接 -> 无状态

Todesk x
RayLink x
TeamViewer x
FRP + RDP x
NPS + RDP x

WireGuard+ RDP √

WireGuard 可以用于实现内网穿透（ keepalive 实现 nat 维持）。
UDP 底层和 Noise 加密协议的无连接（不可探测），可以实现安全公网暴露，进而实现安全的内网穿透。

如果担心 WireGuard 服务器被黑导致的内网风险，可以在内网转发节点做访问规则限制，只允许特定 WireGuard IP 的数据包转发到内网。