图片中第二个包（ ttl=87 ）显然是墙回的，这个包中断了连接
第一个包很有可能也是墙回的
问题根源是墙
解决方案是用境外手机卡漫游开热点

二百多 GB 就上门拍照啊？也太事儿了吧

旁路由的 wan 口接主路由的 lan 的话，就相当于二级路由，
* 对在这个路由器下面的设备来说，这个设备就是主路由，
* 但是对于接到原本的主路由上的其他设备来说，绝大多数情况下无法使用这个旁路由

@neos2014
不管用 openvpn 还是 wg 还是其他东西，都可以这样指定 vpn 客户端的下一跳（在 vpn 服务器上）：

ip ru add from vpn 网段 table xxx
ip r a default via 旁路由 table xxx
会把所有流量转发给下一跳（你的例子是旁路网关），所以翻墙策略都是可用的
必要时可能还要 snat 一下，取决于下一跳的配置：iptables -t nat -A POSTROUTING -s vpn 网段 -o 去下一跳的网卡通常是内网网卡 -j SNAT --to 一个下一跳接受的内网 ip

命令都是手敲的如有报错敬请见谅

tailscale 其实是多点互联用的……这里只做出口的话，openvpn server 就相当于 exitnode 了

同 2 楼，基于 linux 一般发行版自己搭一个
按照自己的喜好添加模块扩展功能
~~极其稳定~~ （虽然结果上是这样没错）
极其考验设计和实现

我家情况类似，联通+移动，常年 openvpn 回家
基于 rockylinux 的软路由做核心路由器
1. ddns：用自己的域名开策略解析啊。维护两个子域名（我都有公网所以都是双栈，其实一个双栈一个只有 AAAA 也没问题），然后自建了一个策略解析 dns 服务器，也可以买国内的带策略解析服务的 dns 服务。udp 跨不跨运营商体验云泥之别。
内网如果忘了关 vpn 的话，建议再加个内网 dnsmasq 记录直接把 vpn 域名劫持到 vpn 服务器上。
不想搞这么复杂就弄两个 ddns ，自己手工选择。
2. 翻墙：这种事情……旁路由的话得 vpn 出来指向旁路由，虽然也不是做不到就是了。ip ru add from vpn 网段 table xxx ，ip r a default via 旁路由 table xxx ，大概这样，必要时可能还要 snat 一下。主路由都这么复杂了干嘛还念念不忘旁路由呢？
3. 为什么这里没有用 wg ？
a. openvpn 支持两种协议，爱开 tcp 就开 tcp ，爱开 udp 就开 udp 。
b. wg 只在连接的时候解析一次域名，当然会有保活检测，这里还需要一个网络变化重新解析域名的。比如我手机也是联通+移动双卡，切换网络甚至回家之后就希望用新的 ip 连（会比较快）。不知道有没有合适的客户端。跨运营商这种事情真的就是中国特色。
c. 2024 年了，越来越多的设备都有硬件 aes ，没必要死磕 cpu 去算 chacha20 。
b+. 为什么回家还要开 vpn 呢？还是中国特色，总有恶心的 app 想通过运营商接口偷窥我手机号，直接给他个 vpn ，嘿嘿。

桥接解君愁。北京联通打电话就可以要求桥接。
另外家宽普通线路不支持 v6 的话是可以投诉的。

用什么协议？ v4 ，v6 还是双栈？ dns 解析正常吗？
不可能没有任何提示的，如果有，说明 vpn 客户端不太靠谱，不管换不换协议，先把客户端换了。
我用 openvpn 每次都能连上

@keegan fe80::开头的 ipv6 地址不是通常说的“内网地址”，而是“本地链路地址”，对应 ipv4 的 169.254/16
地位等同于 ipv4 的 192.168/16 （以及其他两段）的地址的 ipv6 是 fc00::/7 ，但是在分配的时候有一些额外的“要求”（并且实践的时候时不时被无视）
区别是，fe80::的地址不能被路由转发（尽管可以做为下一跳地址）
临时地址也不一定是内网地址

关于 ipv6 特殊地址 ref:
https://www.iana.org/assignments/iana-ipv6-special-registry/iana-ipv6-special-registry.xhtml
https://zh.wikipedia.org/wiki/IPv6#%E7%89%B9%E6%AE%8A%E4%BD%8D%E5%9D%80

欧美选联通，亚太选移动。
世界加钱可及——中国电信。
广移拉万物。

说真的
reject-with icmp6-port-unreachable
还是蛮快的
这样客户端就不会等超时
直接就尝试 ipv4 了
屏蔽 4a ？太麻烦了吧……

@wike 可以
我是这么做的：
一条宽带用一个/64 做 SLAAC ，另一个宽带也拿一段/64 ，在出口上做 SNPT
但是连入的时候，需要在网关上做 conntrack ，否则可能出现回程 ip 不对的情况

夸张如我也就用了 4 个/64……
顺便说，dhcpv6-pd 本身有个 prefix-length hint 的，当然如果填太夸张服务端不会接受就是了。
一般来说运营商侧都不会主动只给/64 。

nat4 和 nat4 也是不一样的
linux 内核实现的 nat 的话，默认情况下会尽量保持 nat 后的源端口和之前的源端口一致
这样的话，就有很多文章可以做，甚至 tcp 都有机会连得上

就算端口有变化，只要端口是可预测的，都可能被成功打洞

@fuchaofather 各大自有营业厅均可办理

如果“其他设备都是通的”，盲猜一个 nuc 设置了“只允许局域网访问”，然后你的 wg 不在同一个局域网网段
但是有一个问题，除了路由器和 nuc 以外的其他设备呢？如果其他设备也不通，那可能是路由设置错误，比如没有回程路由，和 wg 的 allowedip 没有添加内网网段之类的。
如果仍然解决不了，抓包看看。
wg 是加密的 vpn ，运营商做不到只阻断里边特定的连接。

不是弱密码并且补丁都打了的情况下，问题不大。