Surge Ponte 是一种在运行 Surge Mac 和 iOS 设备之间的私有 mesh 网络。

• 无需繁琐配置。

• Surge 会自动选择最合适的通道建立连接。

• 始终端到端加密。

• 设备信息和加密密钥通过您的 iCloud 同步，除了您选择的代理服务器外，您的数据不会经过任何第三方服务器。

该文章将协助您开始使用 Surge Ponte。

了解 Ponte 类型

Surge Mac 可以用作 Surge Ponte 服务端和客户端，而 Surge iOS 只能用作 Surge Ponte 客户端。

当配置 Surge Mac 作为 Surge Ponte 服务端时，有 3 种不同的配置方式。

1. 直接 NAT 穿透

仅当当前网络处于 Full Cone NAT 时可用，当前网络的 NAT 类型和路由器的具体型号、ISP 有关，一般很难改变。

2. 通过代理 NAT 穿透

可在任何网络情况下使用，需借助一支持 UDP 转发的代理实现。（请注意，如果你使用的是付费代理服务，使用 Surge Ponte 时同样会消耗你的流量。）

3. 静态端口转发（高级用户）

如果您有公网 IP 地址并且知道如何配置路由器，则可以选择配置静态端口转发。

在 Surge Mac 上配置 Surge Ponte

1. 在侧边栏中选择“概览”，然后打开 Surge Ponte 开关。

2. 点击下一步。

3. 等待 Surge 测试当前网络的 NAT 类型。

4. 如果测试结果是：

   • Full Cone NAT（A）：您可以选择任意方法来设置 Surge Ponte。

   • 其他（B/C/D）：您可以选择通过代理的 NAT 穿透，或者如果您有公网 IP 地址并且知道如何配置路由器，则可以选择静态端口转发。

5. 如果您选择了通过代理的 NAT 穿透，请选择一个支持 UDP 中继的代理（Snell/shadowsocks/Trojan/SOCKS5/WireGuard）。

6. Surge 将测试代理是否合格。代理服务器不能位于 NAT 或防火墙后面，除非它们已经适当配置以允许 Full Cone NAT。

7. 为当前设备选择一个名称，例如 MyMacMini。名称不区分大小写，只能包含字母、数字、下划线和连字符。

8. 在其他设备上打开 Surge Ponte。Surge iOS 配置起来会非常简单，因为它只能用作客户端。

使用 Surge Ponte

你现在可以从任何一个运行 Surge 且登录了相同 iCloud 的设备上访问这个设备了。有两种使用方式：

1. 你可以使用域名 ponte-name.sgponte（如 mymacmini.sgponte）访问这个设备上的服务，如你在该设备上的 8080 端口上运行了一个 HTTP 服务器，那在其他设备上可以直接访问 http://mymacmini.sgponte:8080/

2. 你也可以使用策略 DEVICE:PONTE-NAME 使用该设备作为跳板使用其访问其他网络，如内网中的 NAS。规则示例：

IP-CIDR,192.168.30.0/24,DEVICE:MyMacMini

客户端侧代理

在客户端同样可以配置代理以访问 Ponte 服务端，这不是必须的。即使服务端配置了代理 NAT 穿透，客户端也不需要配置代理，但配置代理可以帮助突破某些网络环境下的 UDP 流量封锁。

比如由于中国大陆的出境网络通常于网络高峰期会出现 UDP 流量严重丢包的现象，若使用了一个境外的代理作为 NAT 穿透，客户端最好也配置使用相同的代理访问 Ponte 设备。

提示

1. 你可以将内网网段设置为一个不常见的子网地址，如 192.168.150.0/24，已确保不会在其他网络下访问内网时产生地址冲突。

2. 当 Ponte 客户端与服务端处于同一个 LAN 时，将自动通过 LAN 建立连接，不会使用 NAT 穿透或代理服务器。

3. 当访问的 Ponte 设备名就是当前设备时，该策略将被转换为 DIRECT 策略。

4. 当使用 ponte-name.sgponte 进行访问时，实际上是动态创建了 DEVICE:ponte-name 策略并使用，且在远端会将 ponte-name.sgponte 解析为 127.0.0.1。所以即使是监听于 127.0.0.1 上的服务也可以被访问。

5. DEVICE:NAME 策略可以不需要在 [Proxy] 处声明就直接使用，且也可以用在 [Proxy Group] 中作为子策略，如与 Subnet Group 联用。

6. 目前 Surge Ponte 仅支持通过 IPv4 建立连接，但是可以转发 IPv6 请求。