3. 就我自己看到的， 云服务 国内国外普遍给 v4 地址。 国内不论家宽、企业宽带，开 ipv6 老费劲了。 一般不给开，运营商给开了， 自己运维事情也多。 评论区可以看到一些数据。国外也存在。评论补充道谷歌的 dhcpv6 都缺， 可见 ipv6 的基础设施都不健全，推广谈何容易？+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

并不是啊。大多数 vps 都提供更便宜的 ipv6 only 主机，或者 ipv4 额外收费，有些甚至可以免费提供/48 前缀，比如 linode ，比如 he 的 tunnel broker 。企宽没用过不知道，但是国内家宽都会默认提供/60 甚至/56 ，不光给你一个/64 子网，划分很多个子网都不“费劲”。“自己运维事情”，只需要宣告前缀和 rdnss ，slaac 完全自动配置，事情多在哪里，dhcpv6 并不需要。哪里“基础设施都不健全”

完全没有这个必要的吧。再怎么玩“自己递归”也是一个非权威递归 dns ，性能和安全可能都比不上一把一把的公共递归 dns ，isp 提供的递归 dns 也不是完全不能用

敝人是用两个 windows server 做域控兼内部 dns ，上游到两个 dnsmasq 做分流兼 ad-blocker （其中一个还兼 dhcp server ），国外和国内分别分流到两个 dnscrypt-proxy ，分别到 cloudflare 的 ODoH 和 google 的 DoH, 以及阿里和腾讯的 DoH

所有“某中原大省”的用户都这样？感觉不太可能发生这样的事情。

话说回来，抓包出现这样的提示很可能是正常现象，因为如果网卡启用了 checksum offloads ，checksum 会在网卡在发送数据时计算，和抓包时的 checksum 不一样是完全正常的

看看是不是还有其他原因

@jocover 我的 apache 用的是 mpm-event ，所以是 a2enconf php8.4-fpm 。另外我有用 vnc ，升级后 kde plasma 6 默认用 wayland ，因此导致黑屏，切换回 x11 恢复

web ui 的 style 变化有点大，但看下来就是 style 变化有点大，东西还是差不多

明显多的就是增加了 wireguard 的设置界面和 interface ，但是看起来似乎是用来设置 server ，没有其所说的 site-to-site 和 client 模式，有点 confusing 。当然，命令行是完全可以的

当然，断更这么多年还能迎来新固件，还是有点感动的，所以特地截了个图和 OP 同喜一下：

https://i.imgur.com/a/ajjqWhX

#10 验证的办法很简单，如果服务端是 B ，那么 ping -6 B 看看是不是有回应？

总结一下，OP scp 工作室以及阿里/腾讯云服务器，都“基本正常”（推测用的都是 ipv6 ），唯独 A 和 B 之间不正常

那么有没有可能是自己的原因，比如路由器的防火墙没有放行 icmpv6 ，导致大包不明状况一直重传，以至于“ ssh 操作特别卡”？

这是一个局域网内 multiple ipv6 gateways 的问题。

如果要避免这个问题，
1. nat 不失为不错的解决方案，当然，会有 nat 带来的问题
2. 如果 vps 的速度不错，那么单选 vps 的 ipv6 也不错。会有连通性、延迟和速率的问题，但是反正有 ipv4 保底，一般不会对实际体验有很大的影响

如果要利用这个问题，
3. 理论上 ipv6 应该是要支持 multiple gateways 的，系统应可以根据源地址的不同选择正确以及更快的地址、网关组合保持通讯。但是实际上当前的各种系统对此的支持都非常不好，所以往往会出现系统选择错误的地址和网关导致通讯中断的情况
4. 解决的办法是有的，比如 source based routing ，建立一个或多个路由表，指定路由表的地址规则和缺省网关。但这件事是在每个终端上都要做，对于某些终端做起来可能并不容易

做起来较简单但终端上没有公网 ip ，2 做起来最简单但只有 vps 给的公网 ip ，3 做起来最佛系但肯定会碰到连接问题，4 做起来最复杂但终端上同时有电信和 vps 给的公网 ip

@21231sv 不是这个意思。举个例子客户端请求访问 www.google.com ，代理服务器需要即时生成一个 CA 签名的 www.google.com 证书给才能完成 ssl 握手，不是给 squid 配置一个证书就可以了

人家某些大公司这样做是为了解密 https 流量来达到某些目的，请问 OP 的需求是为了什么？

个人理解这似乎不是单单 squidcaddy 之类能做到的，OP 需要作额外的非同寻常配置：1. 代理服务器需要配置内部 PKI 生成第三方的“完整的证书链”，2. 客户端需要接受代理服务器的 CA

确实是这样的：开启 airplay 到附近的 mac ，就会关闭 universal control ，两者似乎不能同时使用。但是很诡异的是，airplay 之后再到 system setting 中打开 universal control ，两者就又能很愉快地同时使用了。好像一直就是这样。所以，如果不是 bug 或是不完善的 feature 那么善意的猜想是苹果不希望用户这样用吧，毕竟 airplay 到另一台电脑的意义不是很大

@ZGeek #8 不懂想问一下，有点奇怪为什么“看 AI 解释，TLS 层是在 quic 之上的”，但前面的两个“>”似乎并不支持？。明明 quic 是内置 tls 进行密钥交换和数据加密的，并没有单独的 tls 层的呀

@drymonfidelia #37 不是说在 nas 上建域控，而是（为了安全）在局域网内最好要有若干 servers ，起码有两个 AD domain controllers, 一个 radius (NPS) server, 等等，nas 上的 file server 才有网络高安全性。这在当前虚拟机横行的年代并不困难，硬件随便一个低功耗低配置低价格 mini pc 即可，软件 windows server 和 linux 都可以，这都是成品方案，不算折腾

@allplay #36 对于 windows 就是，共享“已挂载的共享文件夹”的文件夹，简单而又有趣...不知道是否是可以的

另外 OMV 似乎不支持加入域，只能是 local users and groups?

@allplay 真巧。2012 年本人买了一个 Buffalo linkstation ，到现在整 13 年连硬盘都没有坏掉过所以也没舍得淘汰，最新固件 20130731 默认还是 v1 幸好后来可以 hack ssh 进去改为 v2 ，一直正常工作直至去年域控制器升级成 server 2025 之后无论如何也不能加入域（估计和 SMB signing 有关），最后没有办法只好另外开了一个 server 2022 单独给它作域控，

还能凑合用，windows/macos/linux 的客户端都还支持，也没觉得有什么不安全的

@drymonfidelia 安全的 SMB/CIFS 并不需要 TLS 。如果想要确保安全，实际上只要用最新的 Windows Server 版本，搭建 AD 域及域控和 DNS ，DNS 要 enable dnssec ，file server 强制 SMB 3.1.1 （即强制 pre-authentication integrity ，V1V2 当然绝对要禁掉的）即可。如果用 Linux ，最新版的 SAMBA server 应该也能做到，域控还是必需的。当然，这些都是成品满足 OP 的要求

当然，真这样做的话可能就会有老旧的客户端连不上啦。没用过群晖但是可以推测也是可以做到的，大概率就是禁止或强制开启某些选项把。但是出于兼容的考虑其实当前 SMBV2 还是大行其道的呢

最后，想说的是漏洞多其实并不可怕，只是表明产品比较 popular

@kris7i 从“Sleep transition timed out after 35 seconds while calling power state change callbacks.”来看，很有可能是因为这个问题。试试在 MacBook 进入睡眠时关闭显示器，唤醒后再打开显示器，看看是不是不会复现这个问题

当然，如果外接显示器不是 type-c 直连，那么如 @ern ，也有可能是外接设备的问题，道理和外接显示器一样，在 macbook 进入睡眠前先断开 ts3 plus 试试

是不是在合盖外接显示器用？

三星和 LG 的部分显示器可以，但是人家的系统是 Tizen 和 webOS 。基本上所有的智能电视都是，但是很少有 type-c 接口