快连如何在路由器上配置透明代理?
用快连在OpenWrt上配置透明代理,全流量自动转发,免逐设备设置,兼顾性能与成本。
功能定位:为什么选透明代理
“快连如何在路由器上配置透明代理”这一关键词背后,其实只想要一件事:让局域网里的所有终端零配置就能走上加速线路。相比给每台手机、电脑重复装客户端,透明代理把转发规则一次性下沉到路由器,此后无论新增多少设备,都免登录、免更新,也绕开了部分系统因省电杀后台而断流的顽疾。
从电费账本看,家用千兆场景下,只要路由器 CPU 自带 AES 或 ChaCha20 硬件加速,经验性观察整机功耗仅上浮 2–3 W,全年电费多不出十元,却能换来全屋设备同时受益;若改在每台终端跑图形客户端,电池与 CPU 占用叠加后,反而更不经济。
版本差异与前提清单
截至当前版本,快连官方提供两条路由器接入路径:①预装插件(小米 AX6000、华硕 AX86U Pro、TP-Link XDR5480 合作版),插电后进入「快连账号」页扫码即完成;②手动刷入,基于 OpenWrt 21.02+ 或衍生固件(如 ImmortalWrt、iStoreOS)。本文聚焦后者,通用性最高,也方便随时回退原生系统。
动手前,请确认硬件底线:RAM≥256 MB、闪存≥128 MB,已解锁 SSH 或已刷入支持 opkg 的固件;宽带上行≥30 Mbps,否则多终端并发时容易顶满出口,延迟抖动肉眼可见。
操作路径:从刷固件到首包转发
1. 备份与入刷
先进入原厂管理页→系统管理→导出配置留底;再按机型搜索「OpenWrt 刷机 Wiki」,把 initramfs-kernel.bin 通过「固件升级」入口刷入。重启后默认地址 192.168.1.1,首次登录需设置 root 密码,至此获得完整 SSH 权限。
2. 安装必要组件
SSH 登录路由器,依次执行:
opkg update opkg install dnsmasq-full iptables-nft iptables-mod-tproxy kmod-ipt-tproxy ca-bundle
闪存紧张时,可把 dnsmasq-full 换成 dnsmasq,但会失去 ipset 支持,分流粒度随之下降,需自行权衡。
3. 获取快连节点信息
手机端快连→「我的」→「订阅」→「复制订阅地址」;随后在路由器执行:
wget -O /etc/quicklink/subscribe 'https://api.quicklink.../sub?token=***'
该文件内含 Shadowsocks/V2Ray/Trojan 等节点,切勿将其明文放在 Web 可访问目录。
4. 选代理客户端
OpenWrt 生态主流有 homeproxy(基于 nftables)与 passwall(基于 iptables)。内核≥5.10 建议 homeproxy,规则语法更直观;若仍在 4.14,则 passwall 兼容性更好。下文以 homeproxy 为例。
5. 配置透明转发
登录 LuCI→服务→homeproxy→节点管理→「导入订阅」→粘贴地址→更新。接着进入「路由与转发」页:
- 开启「TCP 透明代理」与「UDP 透明代理」
- 「劫持模式」选 TPROXY,性能比 REDIRECT 高 5–8%
- 「绕过中国大陆」勾选,避免国内服务绕远
保存后点击「启用」,homeproxy 会自动生成 nftables 规则。手机重新连入 Wi-Fi,访问 ip.skk.moe 看到出口 IP 已变为节点所在地,即代表首包转发成功。
验证与观测方法
1. 延迟对比:在路由器执行 ping -c 50 8.8.8.8 记录平均延迟;随后关闭透明代理再测一次,差值≤15 ms 说明节点健康。
2. CPU 占用:top 命令观察 ss-local 或 v2ray 进程,千兆宽带满速下载时,单核占用若长期>70%,需更换更强路由或开启 FlowOffload。
3. 流量泄漏:访问 ipleak.net,若仍出现本地运营商 DNS,表明规则未生效,检查「强制劫持 53 端口」是否勾选。
例外与分流取舍
透明代理并非「一刀切」就好。以下流量建议直连:
- 游戏更新包:SteamCN、战网国服已就近部署 CDN,绕路反而慢
- 银行与政务:部分网银会校验出口归属地,异地 IP 直接拒绝登录
- 4K 机顶盒:IPTV 组播流走加速节点后 UDP 丢包率可能升高
homeproxy 支持「规则集」功能,把上述域名或 ASN 加入直连列表即可;若使用 passwall,则在「直连列表」粘贴 gfwlist 反向规则。
故障排查速查表
| 现象 | 可能原因 | 验证动作 | 处置 |
|---|---|---|---|
| Wi-Fi 已连但无法上网 | 节点订阅失效 | curl 订阅地址看是否返回 404 | 重新获取订阅或手动输入单节点 |
| 国内网站打开慢 | 绕过大陆规则未加载 | ip.skk.moe 显示国外 IP | 检查「GEOIP CN」规则是否启用 |
| 路由器 CPU 100% | 未开硬件加速 | top 查看 softirq 占比 | 在防火墙设置开启 FlowOffload |
| IPv6 测试泄漏 | IPv6 未劫持 | test-ipv6.com 显示本地地址 | 关闭路由器的 IPv6 分配或设置 NAT6 |
适用/不适用场景清单
适用:多人合租、工作室、小型咖啡厅,终端数量 5–30 台且缺乏统一 IT 管理;家长希望给孩子的平板自动过滤广告;NAS 定时与 GitHub 同步代码。
不适用:企业内网需审计留存——透明代理导致源 IP 被 NAT,无法满足合规要求;千兆以上对称宽带且路由为 ARM 单核,性能瓶颈明显;预算极低、单终端用户,直接装 App 更省功耗。
最佳实践十条
- 订阅地址每 24 h 自动更新,写进 crontab 避免节点失效。
- 启用「故障转移」功能,主节点掉线 30 s 后自动切下一跳。
- 每周手动备份 /etc/homeproxy 与 /etc/config/passwall,升级固件后一键还原。
- 为访客网络单独开 VLAN,不走透明代理,防止朋友设备中毒被溯源。
- 关闭路由器的 WPS 与 UPnP,减少暴露面。
- 监控流量:iftop -i br-lan,发现异常大流量及时封 MAC。
- 低峰期执行固件升级,避开晚间游戏高峰。
- 使用 chacha20-poly1305 优先,老设备无 AES 指令时 CPU 占用可降一半。
- 把 DNS 上游改为 DoH,防止本地运营商投毒。
- 保留原厂救砖分区,刷机前记录 ART、EEPROM 地址,砖了可秒回。
FAQ(常见问题)
Q1. 开启透明代理后,局域网打印机失联?
家用打印机常走 mDNS,规则集默认把 239.255.255.250 也劫持,导致广播被转发到节点。解决:在「直连域名」添加 *.local,或在防火墙把 239.0.0.0/8 设为直连。
Q2. 如何确认透明代理是否生效?
电脑 cmd 执行 nslookup myip.opendns.com resolver1.opendns.com,若返回结果与 ip.skk.moe 一致且为节点 IP,即证明 DNS 与数据均走代理。
Q3. 节点延迟忽高忽低?
先排除本地宽带晚高峰丢包,再进入 homeproxy→节点列表→「连续 Ping」按钮,若只有特定 IP 波动,把该节点权重调低或剔除即可。
Q4. 是否影响网银 U 盾?
绝大多数网银会检测 IP 归属地,建议把银行域名加入直连列表;若仍提示「环境异常」,可临时关闭透明代理或使用手机流量。
Q5. 升级 OpenWrt 后规则消失?
大版本升级会重置 /etc,升版前用 sysupgrade -b backup.tar.gz 备份,升级后再用 sysupgrade -r 还原;homeproxy 插件需重新安装,但节点配置可提前导出 JSON 再导入。
何时不该用透明代理
若你家宽带为 IPv6 Only+NAT64,而节点仅支持 IPv4,会导致部分纯 v6 服务(如苹果 iCloud 私有中继)被强制走翻译链路,延迟反而增加;此时让终端按需装 App,用「分应用代理」更灵活。
另外,若路由为运营商租用品且无法刷机,也不建议硬改,一旦砖机可能被索赔;可考虑在树莓派上旁路由挂透明代理,再把主路由默认网关指向树莓派,既保留原厂保修,也能实现全流量转发。
收尾与下一步行动
透明代理把加速能力做成「自来水」式供应,一次性配置即可让全屋设备受益,但前提是你愿意投入刷机、备份与规则维护的时间。若确认硬件达标、场景匹配,不妨今晚就按本文步骤把 homeproxy 跑起来,再用 iftop 验证首包延迟;若发现 CPU 吃紧或例外规则过多,及时回退到客户端方案,也比盲目坚持更划算。
下一步,可尝试把 NAS、摄像头的固件更新域名也写进直连列表,观察一周流量曲线,逐步调优,最终得到兼顾速度、功耗与合规的家庭网络环境。
