利用静态路由与去 NAT 实现主路由OpenClash统一分流 主路由设置静态路由表把各子路由中 WiFi 的 IP 段对应设置到该子路由的 WAN 口 IP。静态路由保证了主路由能正确把返回的包发回去，不会丢包。启用 OpenClash 并基于 SRC-IP-CIDR 分流主路由能识别每个终端的真实源 IP。不同子路由、不同设备，可以按 IP 段实现精确分流。子路由设置WAN 口设置静态地址，网关指向主路由 IP 地址，保证所有流量都经过主路由转发。防火墙 WAN 关闭动态伪装 (MASQUERADE)，让设备的真实 IP 直接暴露给主路由，避免 NAT 隐藏源地址。效果主路由统一跑 OpenClash，所有子设备的访问请求都能被精确识别和分流。子路由只负责下挂设备的接入和网段隔离，不再做 NAT 出口。

Tailscale实现两个局域网互通 网络A主路由安装OpenWrt根据项目安装程序 https://github.com/adyanth/openwrt-tailscale-enabler安装这个版本https://github.com/adyanth/openwrt-tailscale-enabler/releases/tag/v1.36.1-fb2f6cf-autoupdatewget https://github.com/adyanth/openwrt-tailscale-enabler/releases/download/v1.36.1-fb2f6cf-autoupdate/openwrt-tailscale-enabler-v1.36.1-fb2f6cf-autoupdate.tgz tar x -zvC / -f openwrt-tailscale-enabler-v1.36.1-fb2f6cf-autoupdate.tgz /etc/init.d/tailscale start tailscale up --accept-routes=true --accept-dns=false --advertise-routes=10.0.0.0/24注意需要添加--accept-routes=true参数才能开启局域网下设备向另外一个局域网访问 tailscale up --accept-routes=true --accept-dns=false --advertise-routes=10.0.0.0/24网络B主路由安装老毛子固件在扩展功能-ShadowSocks-taiscale中，运行自定义参数tailscale up --advertise-routes=192.168.122.0/24 --accept-routes=true --accept-dns=false --advertise-exit-node --reset可实现两个局域网内任意设备用原始ip互相访问。Docker部署实例，更多设置参考 https://tailscale.com/kb/1282/docker# 群晖环境 docker run -d \ --name=tailscaled \ --network=host \ -v /volume1/docker/tailscale:/var/lib/tailscale \ -v /dev/net/tun:/dev/net/tun \ -e TS_AUTHKEY=tskey-auth-kX7xxxTRL-ASHZkSkSxxxxxDDLkgq1 \ -e TS_ROUTES=192.168.3.0/24 \ -e TS_STATE_DIR=/var/lib/tailscale \ -e TS_EXTRA_ARGS=--accept-routes=true \ --cap-add=NET_ADMIN \ --cap-add=NET_RAW \ tailscale/tailscale

OpenWrt开源变体ImmortalWrt 项目地址： immortalwrt下载地址： ImmortalWrt Firmware Selector查看支持的包名：https://downloads.immortalwrt.org/releases/23.05.1/packages/x86_64/luci/Packages下载下来的镜像格式为img.gz使用命令 gunzip xxxx.img.gz 解压得到img的镜像文件

OpenClash在fake-ip模式下无法打开解析到公网的内网设备 开启fake-ip模式后，如果内网需要通过解析到公网IP的域名来访问内网设备时，会无法打开。解决方法：在OpenClash插件中 -> 覆写设置 -> DNS设置 -> Fake-IP-Filter加入解析到公网的域名参考链接：https://github.com/vernesong/OpenClash/issues/1119

OpenClash自定义规则不生效问题排查(Linkedin自动跳转中国站点) Linkedin在2021年10月14宣布关闭中国区版本，而后中国区（IP）的用户访问linkedin.com都会被重定向至linkedin.cn启发参考链接 https://http.ooo/20.html 在OpenClash中添加自定规则，然后打开linkedin.com发现居然还会重定向到linkedin.cn查询DNS解析结果~ % nslookup www.linkedin.com Server: 192.168.0.1 Address: 192.168.0.1#53 www.linkedin.com canonical name = www.linkedin.cn. www.linkedin.cn canonical name = pop-az-be.www.linkedin.com. pop-az-be.www.linkedin.com canonical name = pop-az-be-lor1.www.linkedin.com. Name: pop-az-be-lor1.www.linkedin.com Address: 52.131.37.152找到原因，原来是www.linkedin.com解析到了中国，并且OpenClash开启了实验性：绕过中国大陆 IP启用后中国大陆流量将不再经过内核，提升系统性能关闭后可以访问正常www.linkedin.com，（参考链接中给出的方案）但是这样中国大陆流量通过内核会导致CPU占用率明显上升。最终解决方案：在OpenClash下方设置中加入黑名单：www.linkedin.com绕过中国大陆 IPv4 黑名单列表中的域名或 IP 将不会受到绕过中国大陆 IP 选项的影响，此功能依赖于 Dnsmasq至此，完美解决Linkedin自动跳转中国站点问题