快连如何在路由器端启用全局代理并排除国内IP段?
kuailian教你用路由器固件分流,全局代理同时精准绕过国内IP段,免逐台配置。
功能定位:为什么要在路由器端做“全局代理+国内分流”
把快连的出站链路直接迁到路由器,全屋设备零配置即可出海;同时把国内 IP 段排除在隧道外,降低延迟、节省流量,也避免网银、政务站点因境外 IP 触发风控。对拥有 NAS、Apple TV、Switch 等不方便单独装客户端的设备尤其友好。
与“单设备拨 privacy tool”相比,路由器方案一次投入长期生效;与“透明代理”相比,基于策略路由的分流规则可随快连官方白名单每日自动更新,无需手工维护上万条路由。经验性观察:在 100 Mbps 宽带、晚高峰时段,排除国内段后,4K Disney+ 缓冲时间从 6 s 降至 2 s 量级,具体数值因出口带宽而异。
前置条件与兼容性速查
固件门槛
路由器需支持策略路由(Policy Rule)或自定义静态路由表。主流可复现方案:Padavan、OpenWrt、Merlin、Tomato。运营商赠送的光猫路由一体机型通常封闭,需改桥接+自购路由。
快连账号
需已订阅“路由器专业版”节点组;普通桌面套餐不提供 WireGuard 配置下载。确认路径:快连 App→我的→套餐详情→节点类型,若含“Router Pro”即符合。
线路测速基线
建议先在同一网络下的 PC 客户端测速,若 4K 节点延迟>220 ms 或丢包>3%,请先更换近邻国家节点,再部署到路由器,避免把网络瓶颈固化到全家桶。
核心思路:策略路由三步走
- 建立 WireGuard 接口,获得虚拟网关。
- 把“国内 IP 段”设为高优先级,走原生 WAN。
- 其余 0.0.0.0/0 默认路由指向 WireGuard,实现“全局代理+国内例外”。
原理与“分流表”相同,只是执行位置从操作系统内核前移到路由器内核,所有下联设备无感。
OpenWrt 实战:最短可复现路径
1. 安装必要组件
SSH 登录路由器,执行:
opkg update opkg install wireguard-tools luci-proto-wireguard ip-full iptables-nft
若闪存<16 MB,可跳过 luci-proto-wireguard,纯 CLI 配置。
2. 下载节点配置文件
快连 App→设置→路由器模式→WireGuard 配置→选择“Router Pro HK05”为例→复制配置文本。保存为 /etc/wireguard/quick.conf,注意私钥只存放于路由器本地,勿同步到 GitHub。
3. 启动接口
wg-quick up quick
成功后 ifconfig 应能看到 quick 接口地址,如 10.14.0.2/32。
4. 获取并注入国内 IP 段列表
推荐使用开源项目chnroute,每日同步 APNIC+CNNIC 分配记录:
wget -O- https://raw.githubusercontent.com/misakaio/chnroutes/master/dist/chnroutes.txt | \
awk '{print "ip route " $1 " dev wan proto static metric 10"}' | ip -batch -
metric 10 比 WireGuard 默认的 600 优先级更高,确保命中国内段时走 WAN。
5. 设置默认路由
ip route add default dev quick table 100 ip rule add fwmark 0x1 table 100 iptables -t mangle -A PREROUTING -i br-lan -j MARK --set-mark 1
所有从局域网 br-lan 进来的流量先打标记 1,再查表 100,走 WireGuard 出口;若目的 IP 已在国内段,因 metric 更优先,会被步骤 4 截胡,实现分流。
Padavan/老毛子固件:图形界面零命令方案
1. 进入“Shadowsocks/WireGuard 客户端”页
路径:高级设置→privacy tool 客户端→WireGuard。上传 quick.conf→保存→启动。
2. 打开“大陆 IP 走 WAN”开关
同页面下方可见“中国大陆路由表”选项,勾选后固件内置的 chnroutes 自动注入,无需手动脚本。
3. 绑定至“全局透明代理”
在“代理方式”下拉框选“全局+大陆 IP 绕行”,保存并应用。观察状态页,若 WireGuard 显示“connected”且国内 IP 检测站点返回本机宽带地址,即成功。
Merlin/梅林固件:利用策略路由 UI
Merlin 自带privacy tool Director,支持按 IP、端口、域名三维度分流,但域名需走 dnsmasq,性能一般。为降低维护成本,仍建议把“国内 IP 表”导入为静态规则。步骤:privacy tool Director→添加规则→目标 IP 选择“中国大陆 IP 列表(可在网上下载)”→接口选 WAN→保存。随后把默认路由指向 WireGuard,即可完成与 OpenWrt 类似的逻辑。
验证与观测方法
- tracert 1.1.1.1:应看到第一跳为 10.14.0.1(WireGuard 网关)。
- tracert www.baidu.com:应仍走本地 ISP 第一跳,TTL 与未拨 privacy tool 时一致。
- 访问 ip.skk.moe,若显示香港/新加坡等境外地址,而 ip138 显示本地宽带地址,即分流生效。
经验性观察:在 20 条并行连接下,CPU 占用<20%(MT7621 双核 880 MHz),内存增加约 3 MB,属于轻量级方案。
不适用场景与副作用
警告:以下场景不建议强制部署
- 上行带宽<10 Mbps 的小企业:WireGuard 封装额外头部,4K outbound 可能吃满上行,导致反向答包延迟抖动。
- 需要 IPv6 公网地址的 PT 玩家:部分固件在 WireGuard 接口开启后,会把 IPv6 路由全部丢弃,导致无法做种。
- 双拨/多 WAN 负载均衡:策略路由与 mwan3 同时生效时,可能因 mark 冲突导致国内流量也进隧道,需手动调整优先级。
故障排查速查表
| 现象 | 可能原因 | 验证动作 | 处置 |
|---|---|---|---|
| 国内站点打开慢 | chnroutes 未生效 | ip route show | grep 223.5.5.5 | 重刷静态表,确认 metric 小于 600 |
| WireGuard 无法握手 | 本地时间误差>30 s | date | 开启 NTP,校准时区 |
| Switch 无法联机 | NAT 类型受限 | NAT 检测工具 | 在快连 App 开启“全锥形 NAT”节点 |
与第三方规则协同
若你已自建 AdGuardHome 或 Clash 透明代理,可把“国内 IP 表”导入为 fallback 规则,让 DNS 与路由保持一致,防止 TikTok 解析到国内 CDN 却被强制拉去香港出口,造成“慢速节点”假象。注意:dnsmasq 与 ipset 配合时,需额外安装 ipset-nft 过渡包,否则 OpenWrt 22 及以上版本会报“set not exist”。
最佳实践清单(可直接打勾)
部署前
- 确认路由器闪存≥16 MB,USB 可扩容更佳。
- 备份原厂编程器固件,防止刷机变砖。
- 在 PC 客户端先行测速,选延迟<180 ms 节点。
部署中
- 先不加国内表,确认全局代理可用,再注入 chnroutes,缩小故障域。
- 每改一次路由,执行
ip route flush cache,防止老表残留。
部署后
- 每周一次
wg show查看握手时间,若>200 ms 考虑换节点。 - 把路由器 SSH 端口改到 2222,并禁止外网访问,防止泄露 WireGuard 私钥。
FAQ(结构化数据)
开启分流后,爱奇艺提示“非大陆地区”怎么办?
说明该 IP 段未被 chnroutes 收录。复制检测到的 IP,在“自定义大陆 IP”文本框追加一行,保存重启即可。
路由器 CPU 常年 70℃以上,会影响加密性能吗?
会。ChaCha20 在软路由上每升高 10℃,时钟降频约 5%。建议加装散热片或把加密算法改为 AES-128-GCM,CPU 占用可降 30% 左右。
能否只让特定设备走代理?
可以。在策略路由中,把“来源 IP”作为最优先匹配项,例如 192.168.50.199/32→WireGuard,其余→WAN。注意维护静态 DHCP,防止设备换 IP 后规则失效。
总结与下一步行动
路由器端启用快连全局代理并排除国内 IP 段,本质是把“分流决策”下沉到网关,一次配置,全屋受益。核心只有两件事:让国内 IP 走高优先级静态路由,其余默认进 WireGuard。只要固件支持策略路由,十分钟即可跑通。
下一步,你可以:
- 在快连 App 订阅“Router Pro”节点,下载 WireGuard 配置;
- 对照本文“验证与观测方法”跑通最小闭环;
- 逐步把智能家居、NAS、电视盒子纳入,记录 CPU 温度与内存占用,找到自家网络的性能甜蜜点。
若遇到本文未覆盖的异常,优先检查“国内表是否最新”“metric 优先级是否被其他插件覆盖”两条主线,通常可解决 90% 的“国内流量也进隧道”类问题。祝折腾顺利,观影愉快。
