首先，要跨境，那么容易被流控的 UDP 协议和容易被识别的如你所说的 openvpn 就不建议作为优先方案，这里用过墙常用的那些个玩法伪装一下可能更合适一些；
其次，你提到“无缝访问内网，所以用上了 tailscale”，我其实没理解这里的意图，是为了实现用内网 IP 访问，还是为了内网化保证安全（使用 frp 的话不做特殊处理就是暴露于公网）
最后，香港 VPS 的可能用途有两个：1 提供公网 IP ，2 提供加速
综上，可能的方案：
1 ，大马和家里都用 Xray 搭建节点，家里没公网，大马有公网，家里通过反向代理连接大马，实现直连和过墙
2 ，大马局域网内通过透明代理，把指向家里内网 IP 段的请求分流到大马节点上，这个节点又会把请求路由到家里的节点上（你的设备->透明代理->大马节点->家里节点->家里内网）
3 ，如果大马没有公网 IP 或者和家里直连的网络不好，那就可以使用香港 VPS 来中转，就在 VPS 上和家里搭节点（你的设备->透明代理->香港节点->家里节点->家里内网）
可参考不良林的视频

?si=doLxjue_JdKCXNZ_

?si=yvFGd0hKk3hZIN2W

才疏学浅，说的不对的地方请多指教。

因为涉及到过墙，最好还是用翻墙协议。并不是科学上网才要用翻墙协议，反方向穿透也需要和墙对抗的。

*ray 系本身就支持内网穿透，连上之后内部机可以连接外网，同时也外部机也可穿透到内部机而无须公网 IP ，自己写个配置就行。

习惯用 softether ，这是个支持命令行的软件，意味着它可以每 30 分钟变换链路，作者当年也简短描述说是支持 mesh 多链路，未尝试。没有公网 ip 至少也得有 vps 。

链路无非就是
多端口负载
多线路多端口负载

所谓的条条大路通罗马，它有个虚拟 hub ？类似中继，在 openwrt 路由加持下，家里可以电信直连，可以电信借道移动专线，直连 vps 并以 wifi 连接。也就是连上 wifi 所有的设备就全局出墙。每 30 分钟变换端口/线路就能防止流量累积被阻断。

主要是语文学得不好。

意思是，为了应对流量累积，可以使用 shell 脚本调用命令行，每 30 分钟随机启用不同的线路/端口。做到条条大路通罗马，该方法是 2024 年 10 月后被证明有效的。

哈哈

话说前几天在这帖子里吹了吹牛
先是 9 号电信打来一个电话问询满意度？？？难道是最近每天换个新 ip 不像以前 1~3 次就好了，是得长达 30+次以上。客服以为家里线路不好？？？
今天才发现以前获得的是 183 现在是 220 开头
10 号的时候，长时间 ssh ，发现移动专线和 vps 突然失联，同时不能借道电信
11 号早上发现能 ping vps
12 号早上一开始也能 ping 然后又失联了。。。
然后发现联通流量能借道电信访问 vps
移动使用 tcping 电信端口，发现 redir 的端口不通，随机端口的延迟低到夸张的 2ms 以下，ping 的延迟在 30ms 左右。。。

这下搞了，不知道是移动线路坏了，还是移动防火墙发威了。。。这上个网真得花很大的时间。。。

通过 tcping
发现之前的端口 time=1.54ms
新设定的端口 time=24.75ms
更换一组端口又简单的突破移动借道电信连接 vps 。。。
从这次来看之前的一组代理在使用 ip 测试网站一直拿不到电信的 ip 来看早就被爆破了。。。

今天设置了一组不连续的端口，效果观察中。

折腾了两天后运行 OK 了，留个笔记：
大马手机：加入 tailscale
大马笔记本：加入 tailscale

香港 vps：
1 、加入 tailscale ，设置 taildns=内网 dns 服务器 ip ，宣告内网 subnet-route=192.168.1.0/24 ，frps 建立内网穿透，sing-box client 连接内网 hy2 server ，开启 tun 模式，先打通客户端与内网连接

2 、设置策略路由，把 tailscale 流量都拦到策略里转发到 singtun0
ip rule add from 100.64.0.0/10 table 200
ip route add 192.168.1.0/24 dev singtun0 table 200

3 、设置内核 rp_filter
sysctl -w net.ipv4.conf.tailscale0.rp_filter=0
sysctl -w net.ipv4.conf.singtun0.rp_filter=0

4 、配好 iptables docker FORWARD 、NAT 和 MSS(sing-box 跑在 docker 里)
iptables -I FORWARD 1 -i tailscale0 -o singtun0 -j ACCEPT
iptables -I FORWARD 1 -i singtun0 -o tailscale0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -I POSTROUTING 1 -o singtun0 -j MASQUERADE
iptables -t mangle -I FORWARD 1 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

这通操作下来，大马笔记本已经可以正常打开内网域名了

新增马来 vps：所有主配置与香港 vps 相同，组成 HA

大陆家里服务器：frpc+hy2 server+内网 dns 解析

现在只要设备常开 tailscale ，所有 tailnet 设备都能互访且内网域名和服务都丝滑跳转~
暂时也没其他理想方案，就这样先跑一星期看看稳定性
后续还要考虑下设备回国后的连接方案

看到标题我就进来了……再牛逼的技术也不如一根专线，花钱才是大佬方案。

核心要解决的就是跨境段的问题，一切公网上的隧道方案都是垃圾方案，所以得整个跨境专线： https://www.alibabacloud.com/help/zh/cdt/inter-region-data-transfers

链路是：
坡端点（ Tailscale ） -> 阿里云 SG （ Tailscale ） -> VPC 专线（阿里内网专线） -> 阿里云 SH （ Tailscale ） -> 深端点（ Tailscale ）

因为大马到坡也不远，就以坡为例了，你的马来设备 Tailscale 到阿里云 SG ，通过 Nftable 内网转发到阿里云 SZ ，阿里云 SZ 再 Nftable 走 Tailscale 到你境内设备。

反之亦然……

丝滑到不像话。