@szdosar 非常感谢老哥的耐心回复，解释的这么详细真的太感动了，我去试试看这个方案行不行。不过作为一个喜欢折腾的发烧友，我还是很好奇为什么移动客户端会强行把所有的 SNI 变成 IP 地址的形式而不是保留域名。我用流程解释一下这个流程吧，希望您能给点建议：

Shadowsocks 等 Android 代理客户端 ---- (使用软件内设置的远程 DNS 查询 google.com 的 IP) --->>1.1.1.1 DNS --->>（拿到了 google.com 的 IP ！而且 IP 是 1.2.3.4 ，拿着这个 IP 去 Clash 的 Socks5 端口请求代理） --->> Clash 的 Socks5 端口：（收到了你的代理请求，但是 1.2.3.4 是啥东西，我没见过啊，白名单里面只有 google.com 可以通过，我只认域名不认 IP ，不知道你这 1.2.3.4 不知道是去往哪个域名的，直接 REJECT ！） ---->> 浏览器提示：ERR_CONNECTION_CLOSED 。

事情大概就是这样，这些代理软件把本该是带着域名的请求解析成了 IP 发给了 Clash 的 Socks5 代理端口，结果 Clash 认不出来就全部拒绝了连接，所以不知道有没有办法让这些软件带着域名发起连接请求？我测试了一下 v2rayNG 的客户端，里面有个功能是叫做“启用流量探测”的功能，可以从流量中探测域名，开启这个功能后所有的请求都是带着域名发向 Clash 的，这时候分流规则就正常运行了，只是像 nekobox, shadowsocks,shadowrocket 客户端没有这个选项就非常麻烦

@szdosar 您好，我这几天尝试了一下，目前很多很多客户端好像对 GOST 这种隧道支持的不是很好，大部分客户端会劫持 DNS ，使用 DOH 的时候把 SNI 给加密了，导致 Clash 的 SOCKS 端口没办法正常识别域名然后分流，就全部拒绝连接进而直接断网。关掉了 DOH 使用明文解析以后，又因为所有的请求都被解析成了 IP 地址，到了 Clash 这边 IP 地址和域名白名单对不上又直接断网了，想请教一下有没有什么好的方案或者客户端解决这个问题呢？我想让 SS 隧道啥也不干，就一股脑的转发流量给 Clash 的 socks 端口，让 Clash 负责解析域名分流，移动端的客户端总是会自作主张的在本地就给解析出 DNS 的结果，搞得分流完全没法用

@wkmike WG 目前还没办法很好的从服务器端控制客户端的访问权限吧，只要用户自己改客户端就能做到流量全部走 WG ，比较危险，之前也想过用 WG ，不过后面实测比较难搞，就放弃了

@szdosar 感谢，这个方案应该可以！不过刚刚用 docker 容器设置 gost -L 这个命令的时候说格式不正确，得再研究一下。。

@szdosar 1.是的 2.是的，socks5 在 zerotier 网络里的一个叶节点上，也就是内网电脑 我试试 gost ，请问 gost 需要特殊的客户端支持吗，iOS 上的小火箭可不可以直接使用 socks5 over tls 来连接 gost 呢

@mohumohu 手机端的 zerotier 路由所有流量占用了 vpn 的接口，所以没办法再连到 socks5 端口，这个就是目前我遇到的问题

手机端的 zerotier 路由所有流量占用了 vpn 的接口，所以没办法再连到 socks5 端口，这个就是目前我遇到的问题

@billlee 我也想过关 log ，奇怪的是我用 docker run --log-driver none 之后，stunnel 的容器直接废了，不起作用

@IvanLi127 朋友不会弄这个，我倒是可以用软路由，主要是怎么共享出去给他们用

建议不要用 synology.me 这个域名的 DDNS ，基本已经被半墙了，用另外几个可选的 biz 域名都没问题

会被识别，我的已经被阻断了

@AndrewHenry 去 apkpure 下最新版的 play 商店和 play 服务

cloudflare 的免费内网穿透 zero trust 可以试试（不需要安装软件，可以正常映射成一个网页）各大 nas 厂商也自带穿透的都可以用

其实会封，如果你在海外服务器上面装 tailscale 然后开启 exit nodes 功能，把它当 exit node 用的话就会很难直连，大部分时候都走中转了

你可以在群晖 docker 里面装个 jellyfin ，然后在“播放”这个设置选项卡里面设置一下“流媒体传输
互联网流媒体传输比特率限制（ Mbps ）：
所有网络设备都有一个可选的每流比特率限制。这对于防止设备请求比 internet 连接所能处理的更高的比特率非常有用。这可能会导致服务器上的 CPU 负载增加, 以便将视频转码到较低的比特率。”这个选项试试

有没有匿名开发者能接手这个项目做个“马跳跳”对着 tx 骑脸输出？反正是匿名开源的，互联网应该要有点抗争精神

@CloudyKumori zero trust 就是不能加端口，仅能把一个个子域名绑定到不同的端口上的，授权的人只能访问这一个特定的端口

用 cloudflare 的 zero trust 就好了，如果要完全暴露那就直接不设任何防火墙规则，如果要限制访问也可以设规则

@SenLief 请问 wire x 或者 wise 怎么入金充值？好像国内的卡不行，电汇手续费要一两百（有可能被拒），wire x 也不支持中国用户开户啊