前篇文章《我被电信 QoS 教做人：同一条宽带，测速 40M，组网只剩 3M》我折腾了两轮，结论已经比较明确：

1、Tailscale直连走的是 UDP 协议 会被限速到 5Mbps

2、群晖自建 DERP节点 虽然走 TCP/TLS，但流量特征依旧明显，刚开始还能跑到 30M，几秒钟后又掉回 3Mbps 左右，但不限制云服务器的DERP中继节点

3、普通 HTTPS 上传没有被限制，B 站上传、DDNS + TCP 端口转发测速，都能跑满家里电信的 40Mbps 上行

▲ 那思路就变成了：既然普通 HTTPS 不限速，能不能把“异地访问家里内网”这件事，伪装成一个正常 HTTPS 网站访问？

刚好 zeze 大佬有分享一个方法，和我的思路有异曲同工之妙，最终和电信魔法对轰成功！

成功突破电信QoS

此方法有点难度， 还需要有动态公网 IP，不适合小白，如果要折腾需要对域名、反向代理、Docker 部署、魔法协议等有一定的了解，本篇不是保姆级教程，仅分享折腾经验。

▲ 前端使用 Lucky HTTPS 反向代理，后端采用群晖 3x-ui + WebSocket，成功突破了电信的 QOS！跑满了电信 40M上行带宽。

▲ 简单说，就是家里群晖跑 3x-ui ，主路由器只负责端口转发，Lucky 负责 HTTPS 反代。外地设备通过客户端分流，只把家里内网网段（192.168.x.0/24）走这个节点。

这样访问 NAS、路由器、Homebox、SSH 时，直接输入家里内网 IP 就行，不用再访问 Tailscale 的 100.x 虚拟 IP。

部署过程

群晖上先用 Docker 跑 3x-ui，群晖直接拉经常失败，我最后通过毫秒镜像源先把镜像拉下来，再用 Compose 启动：

services:
  3x-ui:
    image: docker.1ms.run/metaligh/3x-ui:latest
    container_name: 3x-ui
    restart: unless-stopped
    network_mode: host
    volumes:
      - /volume1/docker/3xui/db:/etc/x-ui
      - /volume1/docker/derper/certs:/cert:ro

搞定后启动3x-ui面板

▲ 3x-ui 里面新建一个入站，监听本机端口，例如：10080，注意这里不要让面板直接暴露公网 TLS，而是交给 Lucky。

▲ 另外需要在设置里删除第二个规则：geoip:private → direct，这代表内网 IP 直连，不走规则，必须删除。

Lucky 里面新增 Web 服务反向代理：

▲ 先处理好二级域名的 SSL 证书，反向代理前端：
https://aaa.xxxx.com:22443 后端：http://127.0.0.1:10080

主路由器再做一个端口转发：

▲ 外部 TCP 22443 -> 群晖/Lucky:22443

客户端配置

使用你的客户端，新建一个规则放最前面，x 代表你的局域网段，大概内容如下：

- IP-CIDR,192.168.x.0/24, 回家,no-resolve

▲ 这里还有一个坑：很多客户端默认会“跳过局域网地址”，比如 192.168.0.0/16 直接不走代理。要把这个绕过规则删掉，否则访问家里内网 IP 时，流量根本不会进入节点。

跑通之后，用 Homebox / LibreSpeed 测了一下，结果很舒服：

▲ 跑满了电信宽带的 40Mbps 上行，和之前 Tailscale 被 QoS 后 2、3Mbps 的效果完全不是一个级别

Mac 远程桌面、NAS 文件访问、SSH、Web 服务都正常了。Tailscale 我没有删，它继续作为备用管理通道；真正的大流量访问，就走这条 “高速公路”回家。

总结

折腾下来，感觉运营商根本不想让你组网用的舒服，必须走服务器才行，本来上行速率就低（大部分地区 40～50M），正常点对点直连还限速到 5M！

宽带是花了钱的，公网 IP 也求到了，结果为了正常远程访问，还得把流量改造成 HTTPS。怎么说呢，折腾成功很爽，但这个过程也挺魔幻。