GitLab docker 一下挺省心的

MagSafe 就是垃圾，过热会出现充不进去电的情况，而且此时设备也不会和充电器协商停止充电，导致持续放热，持续充不进去电。我观察的：放被子 /枕头底下是充不了的，然后在星巴克用个人热点也是充不了的。

所以，大致破案了，总结一下。我的网络架构是：

* 阿里云 VPC，公司内网路由到网关服务器 A ；
* 网关服务器 A 通过 WireGuard 连接到公司 /家庭路由器；
* 公司 /家庭路由器，对 LAN 的全部设备做了一层 NAT，NAT 背后是公司 /家庭的设备。这是通过 systemd-networkd 设置的，并没有根据目标地址 /设备选择性关闭。

我犯了两个错误：

* 我没有把 WireGuard 的网段添加到 VPC 的路由表里，导致从公司内部发出的被 NAT 的包（用的是 WireGuard 的 IP ），找不到回传的地址，所以无法建立从公司到 VPC 的连接。
* 我没有对来自 VPC 的非网关服务器的包做 NAT 。我不知道为什么这会导致问题，但是反正它就是不能 work😂……一直以来我都是可以从网关服务器直接访问内网的。我猜跟 WireGuard 实现有关，导致从隧道另一头过来的包不需要过 iptables，于是访问一切正常。

@saytesnake 谢谢老哥，最终懒得折腾了，还是走你的双 NAT 道路……😂

Okay，公司内部的 NAT 我破案了，我是直接用 systemd-networkd 配置的，VPN + 路由，然后在对应的 LAN 网络上我直接开启了 IPMasquerade = true，也就是 SNAT 模式了。


@podel 你说的 TAP 、TUN 、二层转发我还看不太懂，我自己再摸索摸索。

@podel 我之前就是这么干的。我刚刚才发现一个问题，就是公司路由器不知道为什么自动的做了一次 NAT，我明明没有配置 NAT 。总之我的问题在把 VPN 网段（不是内网网段）加进 VPC 路由后得到了解决。但是不知道为什么阿里云非 VPN 服务器依然无法连接公司内网设备，虽然可以 ping 通。还要再试试。

现在阿里云内部设备可以访问公司的路由器了，算是进步

我犯了一个错，我没有在 VPC 的路由表里添加 WireGuard 客户端的网段。我画一次我的网络拓扑图吧😂：

[阿里云内部设备] <--> [阿里云的 WireGuard 网关] <--WireGuard--> [公司路由器] <--> [公司设备]

我添加了 WireGuard 的网段之后，公司路由器和设备可以全部访问阿里云 VPC 内部设备了，阿里云网关依旧可以随意访问公司内部，但是阿里云内部设备依然不行。

@AIFNI45Mdxn
谢谢。
1. 网段全部都是我自己分配的，没有任何问题，阿里云是 172.X，公司是 10.X 。
2. 公司端路由目测是没有问题，因为家里部署了一摸一样的系统，通过阿里云中转，家里和公司互相通信成功。阿里云里的网关本身的程序也可以访问公司内部。目前阿里云网关跑了一个 GitLab，在公司有一个 GitLab Runner，正常使用。以及两边都用 cURL 跑过，可以访问。
3. 所以就难受了……

关于 Docker，其实我是因为比较确信路由都是对的，所以才试了一下，但也不能说明什么。

@Qetesh 是有在考虑 NAT 了，不过还是想先排查一波问题。只有网关服务器有公网访问（最外面放了阿里云的 NAT 网关），所以每个 ECS 塞一个 WireGuard 感觉不太现实……

在办公室的路由器上 tracepath，能连接到网关服务器，拿到的是 VPN 里的地址，然后就统一 no reply 了。

一万块钱，也就是一整年每天花三十块钱

钱不是问题一律选 Mac 。最糟的情况下还能跑 Linux 虚拟机呢

速度可以。我 iCloud 主力一直是国区，读美本四年一直都没什么感觉

要 HDR 还要颜值就苹果的吧……

这里 claim 就是（中学时学的）英文原意，作为名词还真不知道怎么翻译

声明？

@Bruin 搜了一下强敌还真有专门做这个服务的平台，https://teller.io/

@ni9ht
@turan12
@PopRain
@lihongming

谢谢各位，确实是超微型企业所以也就问个好玩，有努力的方向了哈哈哈哈。再次感谢！