@12101111 有一处说反了。systemd-networkd-wait-online.service 功能上是等待 systemd-networkd 启动并成功联网。而不是反过来由它启动 systemd-networkd.

这个服务本身是没有作用的，但可以作为依赖项联动启动其它服务（即实现联网后启动某些服务的效果）。如果确认系统中没有其它服务依赖它联动启动，是可以禁用的。

https://github.com/microsoft/wslg/wiki/WSLg-Configuration-Options-for-Debugging

根据这个文档的说明，在 C:\ProgramData\Microsoft\WSL\.wslgconfig 配置文件里面增加这个配置：
[system-distro-env]
;disable GPU in system-distro
LIBGL_ALWAYS_SOFTWARE=1

我试了是有效果的。使用了这个配置 WSLg 本身就不会启动 NVIDIA GPU 了，同时不影响用户在 WSL 里运行的 OpenGL 软件（仍然可以正常调用 NVIDIA GPU ，按需启动）。注意这个配置文件必须 LF 行尾，CRLF 会有问题。

@yzc27 可以的，最简单就是加两条规则，一条阻止所有 IPv6 端口入站，一条允许 openvpn 端口，然后注意一下顺序就行（如果顺序错了就都阻止了）。

如果旁路由只做 IPv4 网关的话（本来 IPv6 也不方便用旁路由代理），可以考虑直接在防火墙的自定义规则里加一条只阻止 IPv6 协议入站的规则。

@qbqbqbqb #3 是针对 OpenWRT 做主路由来说的。对于旁路由的话相当于路由器本身只有一个 LAN 区域。这样的话 IPv6 是否直接暴露是要看你的主路由有没有防火墙。

如果主路由没有防火墙的话是可能有一定风险。但是因为只有一个 LAN 区域，你这里把入站设为拒绝的话旁路由也没法正常工作了。建议还是优先确认主路由上的防火墙。想配置旁路由防火墙的话得用规则匹配前缀，但家宽的前缀又是动态的，比较麻烦。

默认设置是允许 LAN=>WAN ，不允许 WAN=>LAN ，是有限制的。

这里是你理解错了。防火墙基本设置里面入站 /出站 /转发是对路由器本身来说的，入站是外网或者内网到路由器本身的流量（比如说自己访问路由器控制面板就属于这一类），出站是路由器本身到外网或者内网的流量（比如说路由器里面在线安装 OpenWRT 插件就属于这一类），转发是不同网络之间不涉及路由器本身的流量（正常上网的流量都属于这一类）。第一行源区域是 LAN ，“出站”“入站”“转发”都是接受，指的是从 LAN 到路由器，路由器到 LAN ，LAN 到其它区域（目前只有一个 WAN ），这三个肯定默认是不限制。第二行源区域 WAN ，“入站”“转发”是拒绝，这个才是默认阻止外网访问内网的设置。

你理解的外网内网之间的入站 /出站，实际上对应的是这里“转发”这一列，第一行 LAN=>WAN 的“转发”就相当于内网设备的出站，第二行 WAN=>REJECT(因为后面转发设置为拒绝了，不然这里是 LAN)的“转发”相当于内网设备的入站，这个默认是拒绝，所以其实是有限制的，不会直接把内网设备暴露在公网。

看一下 ip6tables 防火墙配置正不正常

@xipuxiaoyehua 可以用 ssh 登录 openwrt 命令行里 ip addr 看所有地址，3d6c 估计是 br-lan 的 link-local 地址

openclash 里的 IPv6 流量代理有打开吗

@xipuxiaoyehua 你看一下 br-lan 这个接口自己的 ipv6 是不是 3d6c 结尾的

@qbqbqbqb #5 是针对 Multiprocessing 多进程的。os.fork()就简单粗暴很多，子进程继承 fork 时的状态，之后对象状态的改变就不共享了，所以后来创建的线程池肯定是每个进程一个。想要统一池子还不如直接用 Multiprocessing 里的进程池。

用多进程的话，传递给子进程 target 函数的参数和传回来的返回值必须是能用 pickle 序列化、反序列化的，或者是 multiprocessing 库里面的 Queue, Value, Array 之类的专用的进程间通信工具。不能随便传递其它对象。

另外就是子进程也不能随便用全局变量、全局对象（常量可以用，有状态的对象慎用），因为子进程里全局对象的初始状态是有区别的，而且修改之后也不会同步到其它进程。

Python 多进程有三种模式 fork, spawn, forkserver：
1 ） fork 模式子进程会继承此时主进程的状态（相当于当前 Python 分裂成两个，其中主进程继续执行当前函数，子进程跳到 target 函数）
2 ） spawn 和 forkserver 模式子进程为程序刚初始化后的状态（相当于重新启动了一个 Python import 了所有库，然后不执行__main__直接跳到 target 函数开始执行）。

Linux 默认 fork ，Mac py3.8 以后默认 spawn, Windows 只支持 spawn 。

也有可能是 openwrt 固件的硬件加速适配的问题。有线无线之间传输得有硬件加速才快，不然走软桥接吃 CPU 。有可能路由固件这方面的硬件加速只对 IPv4 生效。

把笔记本也用有线连路由器试试。如果有线-有线 IPv6 能跑满，就是固件硬件加速的问题；如果全用有线也是和无线一样 v4 跑满 v6 跑不满，就是地址分配模式的问题。

IPv6 地址分配模式是 relay 模式还是正常的 PD 模式？如果是 relay 模式的话内网流量也会从路由绕，性能是会差些。如果是正常的 PD 分配地址，应该不影响。

@ppbaozi v6 地址如果是在同一个前缀里，不过路由吧

@Biwood 酷安在设置里关闭自动安装之后，用谷歌重新扫描就不会提示风险了。

我记得 wifianalyzer 好像是不显示 kv 的，只有 r 会显示为 FT

@qbqbqbqb 大意了，刚才查了一下 FIDO 资料，看上去好像 FIDO 为了防止可能的重放攻击强制签名里加计数器，每次签名都是不一样的。那就确实不能用来加密。请无视#7 和#8 的内容吧...

@qbqbqbqb 更正一下，“就是 HMAC 的方案”不准确，HMAC 和非对称签名是两种不同的技术。
我这里想说的是，这种方案类似于基于 HMAC 的密钥派生方案。