qbqbqbqb

Podman 用 rootful 模式（ Linux 下需要用 sudo 运行，Windows 下需要在 Podman Desktop 里创建 rootful 的 machine ），使用体验几乎和 Docker 一样，兼容性问题极少。

拿 Podman 的 rootless 模式和 Docker （默认 rootful ）比兼容性本身就不公平。

如果是怕国内面板不安全的话，可以用 Cockpit 这款面板（是 RedHat 赞助项目，可靠性有保障），支持看日志、Podman 容器管理、虚拟机管理，不过 Docker 、数据库、上传文件这些不支持。比较适合虚拟化平台，或者用 Podman 代替 Docker 的容器化平台。

如果是怕面板端口暴露带来额外风险的话，可以设置面板仅监听本地 127.0.0.1 ，然后用 SSH 端口转发访问面板，如果需要远程访问的话也可以考虑配置 Tailscale.

@defunct9 这个 microwarp 就是 Linux 原生 wg 协议套壳，需要 reserved 字段的地区用不了

@digimoon 现在 MASQUE 协议的 usque 还挺稳

@defunct9 直接在 github 上搜 usque 就行，自带生成配置的功能，启动之后就是一个 socks5 服务器，之后用法就和 warp 官方客户端的 socks 代理模式一样了

@L4Linux 可以换用第三方 WireGuard 或者 MASQUE 客户端来连接 warp ，第三方客户端一般都不会有 cf 官方 warp-svc 的内存泄露问题。

注意如果用 wg 协议的话不能用 Linux 自带的客户端（包括 wg-quick 之类的配置脚本），不干净的 IP 用 wg 协议连接 warp 需要设置 3 字节的 reserved 隐藏字段值否则连不上，标准 wg 客户端不支持。

目前各种翻墙内核例如 xray 和 mihomo 都自带用户态的 wg 协议实现并且支持设置 reserved 值，用这些就可以绕过官方客户端直接连 warp 。要获取 reserved 值可以用 warp-reg.sh 这个注册脚本，以前的 wgcf 注册脚本不支持。

关于 MASQUE 协议目前第三方资源不多，可用的客户端有一个 usque ，自带 warp 注册功能。

"尝试路由器开启 ipv6 获取和 ra 通告，发现因为 sing-box 的 tun 接口直接去掉了 ipv6 的关系，并不能实现：保持核心仅 v4 的同时，还能通过 dhcpv6 或 slaac 向局域网主机下发公网 ipv6"

这个应该是 sing-box 的 strict_route 选项导致的，这个选项会自动配置系统拦截所有不通过 tun 的流量

用 tun 模式，一定要用支持“本地/远程 dns 分流+全局劫持 53 端口至内置 dns”的代理软件，比如 sing-box 或者 xray ，配置好基于 geosite 的 dns 分流（海外地址一定要走远程解析）和 53 端口全局劫持功能，几乎不会出问题。

clash 系列在 dns 的处理上属于比较差的，一个是很多教程里默认推荐的 dns-fallback 功能纯属坑人，有 dns 泄露风险，过滤污染也不准确，效果上完全不如 dns 分流+非 cn 域名走远程解析来得可靠。另外一个就是它的 redir-host 和 fake-ip 两种 dns 方案效果都不太好用，不如其它软件开启全局劫持 53 端口走内置解析来得简单粗暴。