thereone

用二级目录就行，采用 https 访问不要把 http 放出去了，标准映射是 https://xxx.xxx:12345 这样 在 nginx 中添加反向代理把内网的服务映射到 https://xxx.xxx:12345/qunhui https://xxx.xxx:12345/qwer 等这样，然后把 https://xxx.xxx:12345 这个端口页面返回 444 ，这样就算探测到了 12345 端口页面也不可能打开的，访问就直接关闭连接了网页都不可能出来。当然最好的就是开 VPN 回去这样不会有任何问题。

华为 AR6140H-S 完全满足要求

@LYwyc2 是的 80 443 8080 8443 这 4 个端口均需要备案才会解封打开，不然都用不了。国外的倒是没有这个限制。

PT 和 BT 把强制加密打开问题不大一般抓包后的数据是没有和 cdn 类的进行交互的，我这边抓和封堵 PCDN 都是后台抓包存在有证据的和某个 PCDN 或者疑似 PCDN 的进行交互。如果运营商限速或者停宽带就让他出示对应的证据不然就投诉。dns 服务本来就不该由个人搭建对外提供服务，内部搭建使用没有问题如果要封堵也没有什么问题就像 445 端口 139 端口封堵一样。

那就用 H3C 的 VSR1000 试试这个路由器系统，vyos 也可以。

用 softether 建个二层 vpn 或者三层 vpn 都是可以 ping 通的，一般代理都是不代理二层三层的数据包的，需要的就得建立二层三层的隧道 ipip gre l2tp nvger vxlan stt 等这类传统标准的 vpn 协议

softether 搭配它自带的 openvpn 不就行了，openvpn 是几个客户端全部支持的然后 softether 的是支持 openvpn 的 tcp 和 udp 一起监听的。至于自动分发路由除了 softether 自己的客户端支持其余的我就没有见过别的支持的，其它企业级系统自己做的倒是支持。

电脑提前安装好 wireshark 抓包软件，然后将光猫接爱快 wan 口的网线直接连到电脑上面，打开 wireshark 后电脑手动新建一个拨号上网的连接接下来就可以在 wireshark 里面抓到带有 ac-name 的 pppd 的数据包。这个 ac-name 就是 bras 信息，一般没有虚拟化的话就是华为的 NE40E ME60 或者中兴 M6000 这些路由器，虚拟化的话就有可能是华为 vne9000 中兴 V6000 华三 vbras2000

有虚拟化的就直接上 h3c 的 vac1000 虚拟控制器不就完了，免得去买实体的设备。