@Ccf 10.0.0.100 访问 10.0.0.x 并不需要 static route 。不能访问说明 AX6000 不允许 WAN 口的 inbound access 。至于反过来可以，那只是 AX6000 作为路由器的正常功能。
既然已经设置了 static route ，那么不妨试试用 10.0.1.1 来访问。不过强烈怀疑 AX6000 并不允许 10.0.1.1 和 10.0.0.x 间的 ip forwarding 。
总之是 AX6000 的问题。另外好奇为什么 iptv 要能访问到 ax6000 的地址。路由器通常并不会通过 WAN 口向外提供服务，除了远程管理路由器的需求

OP 的逻辑有点奇怪。要避免安全漏洞被利用，应该是尽快升级浏览器使其保持最新，而不是关闭“高危功能”。比如 OP 提到的 CVE-2024-4775 ，查到受影响到的是 firefox <126 的版本（相应的 ESR 版可能是 <115.10 ）。ESR 版本也要更新到最新才有可能减少漏洞数量，另外 ESR 版是稳定优先，安全更新可能会慢一点，意味着同时期漏洞数量可能会更多

@Ccf
1. CPU 占用，升级开机后等上一段时间（比如半天甚至一天），会有惊喜，刚升级的 er-x 要在这段时间做些事情。RAM 占用，一半左右的占用是完全正常的（毕竟只有 256MB ，而且运行的是个魔改 debian ），只要不是随时间增长（存在内存泄漏），另外 er-x 也没有 swap ，不会因为交换影响性能。
3. “二级路由”的 WAN 口或 LAN 口地址（取决于“二级路由”的用途）应该在 er-x 的局域网内。如果是 WAN 口，想访问接在 LAN 口的设备，那么应该是 set protocols static route 10.0.1.0/24 next-hop "ax6000 的 WAN 口 ip"，然后需要在 ax6000 里面设置 port forwarding 将端口转发至相应的设备。如果是“直接在上面访问二级路由的网关”，直接访问就可以，甚至都不需要 static route ，但是注意这里的“网关”是 ax6000 的 WAN 口 ip ，还要注意“网关”是否对 WAN 口提供服务。如果“网关”指的是 ax6000 的 LAN 口 ip ，那么还是需要添加 static route ，不需要 port forwarding ，但是是否成功还要取决于 ax6000 本身的 ip forwarding 是否被允许。总之如果 er-x 的 static route 设置是对的话，那么很可能是 ax6000 的问题。

@JeffGe 抱歉看了上面的新闻，原来是是用了 bing 的 API 导致不能载入搜索结果

@JeffGe 所以 duckduckgo 号称搜索结果是很多除 google 外的来源的汇编，还有自己的爬虫，实际上只是 bing ？

@ranaanna 刚刚查了一下 duckduckgo 用的是 bing 的 API

duckduckgo 的搜索也 down 了，到现在也还没好。有点好奇这两家有什么关系怎么会一起 down

1. 为什么要回退到 v1.10.11 ？最新版 v2.0.9-hotfix.7 有什么问题吗？
2. “无法显示设备的 ip”。为什么一定要显示设备的 ip ？是在 traffic analysis 里面显示吗？这需要 operational status 至少选择 host only ，即 export enable, dpi disable ，如果还需要显示设备的应用流量，需要选择 enabled ，即 dpi enable 。但是不要指望会显示很多流量信息，毕竟这只是一个低阶的入门款的路由器，不是真的给你作流量分析用的，流量数据也不能导出，没有用。平常用的时候 disabled 即可，说实话 er-x 带设备的能力也有限，流量分析占用路由器宝贵资源不说其实流量也没什么好分析的
3. 还是在 dhcp server 里面“无法显示设备的 ip”？正常情况下肯定不是出现这样的 bug 。还是你的 lan 另有 dhcp server ？
4. “无法连到二级路由”是什么意思？如果是要访问“二级路由”，直接用“二级路由”的 wan 地址访问不就可以了？如果是要访问“二级路由”内的设备（包括“二级路由”的 lan 地址），在 er-x 设置静态路由还不够，还需要在“二级路由”设置 nat 或 port forwarding 才可以

不明白为什么现今的人们都这么喜欢用 docker 。nginx 是一个轻量级应用，为什么不可以直接跑？另一方面直接一个轻量级 linux 虚拟机也未必占用更多内存吧，而且更加隔离。为什么一定要跑一个重新发明的虚拟化软件，再在上面运行别人打包的、塞进各种未必有用的库的组件的、需要额外配置的、不一定占用更少存储和运行空间的“容器”呢？

@forisra "从工业机器人的普及率而言，中国因为有政府补贴的缘故，其实是全世界人均拥有最多的。" - 确定这是准确的吗？因为根据公开的数据截至当前机器人密度最大的是韩国，超过 1000 每 1 万雇工，其次是新加坡、德国、日本，中国排第 5 不到 400 。当然，说近年来年增长量遥遥领先是没有问题的。

或者说大多数情况下 VPN 都是选择一个 remote gateway 出去。像这样 multiple gateways 的情况，估计需要额外的 nat 设计才能达到目的

先不管其他设备（ VPN director ），隧道的地址只有两个：192.168.6.1 （假设服务器的地址）和 192.168.6.2 。192.168.6.2 这边应该没有问题，12 本来就可以访问，10 通过 nat 访问。但是 192.168.6.1 ，按照规则转换为 eth4 10 的地址，当然就访问不了 12 的地址了。还是 nat 的问题，并不是两边一样就可以访问的。
最简单粗暴的解决办法是再增加一条隧道。

抱歉应该和 vpn director 没有关系。似乎 iptables rules 可以解决？
···
iptables -t nat -A POSTROUTING -s 192.168.6.0/24 -d 192.168.10.0/24 -j SNAT --to-source 192.168.0.1
iptables -t nat -A POSTROUTING -s 192.168.6.0/24 -d 192.168.12.0/24 -j SNAT --to-source 192.168.2.1
···

没用过华硕的固件，但是感觉这个 vpn director 就是干这件事的，即让一端的 lan 通过隧道到另一端出去。这是单向的。所以要实现双向，需要增加一条隧道。

192.168.6.0/24 设备之所以能访问 192.168.10.0/24 ，是因为 192.168.0.1 对来自 192.168.6.0/24 的流量进行了 SNAT 或 masquerading 。所以要能访问 192.168.12.0/24 ，需要 192.168.2.1 也做同样的事情。这是 iptables nat 表的事情。

好像不是过 24 小时，好像是每天 10:30 左右，正在使用的端口会被封掉，换个端口可以继续用，但是第二天 10:30 左右又有很大的概率会被封掉，于是不得不再换端口，如此循环次数不定后突然会有一天 Voilà过了时间没有被封，然后就会有相当长的时间不会被封，但是如果在这相当长的时间内主动重连，又会有很大的概率回到每天换端口的日子。这种情况大概是 22 年春天开始，是两年用下来的经验。现在是在服务器端将一大段 udp 端口范围重定向到 wireguard 端口，这样只需要在客户端换端口就可以了。另外，以上仅限 ipv4 ，ipv6 不会这样