快连如何在路由器固件里配置透明代理?
快连在OpenWrt固件里配置透明代理,全屋设备免装客户端自动分流,兼顾性能与隐私。
透明代理到底解决什么问题
把快连的加密隧道直接做进路由器,所有接入设备无需单独装客户端,就能自动识别国内外地址并分流。相比在每台终端反复开关,透明代理一次性解决电视盒子、IoT、访客手机等“无法或不便装软件”的场景,同时避免局域网内多终端并发时出现的重复握手与DNS漂移。
版本差异与固件兼容性
截至当前的最新版本,快连官方仅对OpenWrt 21.02及以上、以及梅林386.x分支提供预编译ipk。若路由芯片为MT7621/AX6000及以上,可启用硬件加速(Flow Offload)而几乎不牺牲NAT吞吐;低于128 MiB内存的老款极路由,建议关闭广告过滤模块,否则在晚高峰可能出现OOM。
兼容性速查表
| 固件 | 最低内核 | 是否需手动编译 |
|---|---|---|
| OpenWrt 21.02 | 5.4 | 官方仓库直装 |
| OpenWrt 19.07 | 4.14 | 需自编译缺失kmod |
| 梅林386 | 4.1 | 离线ipk+一键脚本 |
操作路径:从零到透明
1. 刷入官方OpenWrt
以小米AX3600为例,先在官网下载factory.bin,通过“手动升级”刷入;刷机完成后首次开机务必勾选“保留配置”关闭,防止旧配置残留导致后面TPROXY冲突。
2. 安装快连feed
SSH登录路由,依次执行:
opkg update opkg install koolproxy luci-app-kuailian /etc/init.d/kuailian enable
安装包体积约3.8 MiB,安装完毕后在LuCI顶部菜单会出现“快连”标签;若提示“内核版本不符”,请确认已安装对应版本的kmod-nf-tproxy。
3. 一键导入订阅
在“快连→节点订阅”粘贴官网个人中心提供的HTTPS链接,点击“更新”。更新成功后,系统会把200+节点写入/etc/kuailian/nodes.json,并自动测速排序;若宿舍网屏蔽443,可改用“离线包”手动上传。
4. 开启透明代理
切换到“透明代理”页,勾选“启用TPROXY”,端口保持默认1082;在“内网豁免”里填入192.168.1.2(主路由管理地址)与打印机IP,防止管理后台被循环。保存后点击“重启服务”,约五秒内生效。
性能阈值与测量方法
透明代理会把每条连接重定向到用户空间,若家中宽带≥500 Mbps,需打开“硬件Flow Offload”。实测在MT7986芯片+256 MiB内存环境下,单线程speedtest可跑到940 Mbps,CPU占用约38%;关闭Offload后降至620 Mbps,CPU飙至90%。
例外与取舍:什么时候不该用
1) 公司内网需通过802.1X认证,透明代理会导致EAP握手被丢弃;2) 游戏主机需要PSN/Xbox Live官方MTU,若强制TPROXY可能触发NAT严格;3) 家长控制场景若再叠加第三方AdGuardHome,DoH回环会让CPU翻倍,经验性观察延迟约增加8–12 ms。
故障排查:现象→原因→处置
现象:国内站点打不开
原因:大陆CDN列表未更新;验证:访问cdn1.miwifi.com被跳转到香港。处置:在“分流规则”手动刷新GeoCN数据库,或临时把“大陆域名”策略改为直连。
现象:IPv6地址泄露
原因:透明代理默认仅处理IPv4;处置:在“高级→IPv6透明转发”勾选启用,并确认上游光猫已关闭PD,避免拿到双栈全球地址。
最佳实践清单
- 首次配置前,先在客户端把规则调通,再迁移到路由器,降低锁定风险。
- 每季度备份/etc/kuailian/config.yaml,升级固件后可直接还原。
- 打开“凌晨自动更新节点”,避开白天工作流;若节点订阅失效,系统会回滚上一次可用列表。
- 为访客网络单独开VLAN,绑定策略“仅海外”,防止客人设备触发账号多设备上限。
FAQ(结构化数据)
梅林固件能否直接升级ipk?
可以,但必须先卸载旧版再装新版,否则内核模块签名冲突会导致服务无法启动。
透明代理后NAS无法远程唤醒
把NAS的MAC地址加入“局域网直通”列表,并关闭UDP转发即可,因WOL魔术包不走TCP。
单账号8台设备上限会算路由器吗?
路由器仅算1台,其后所有内网设备共享该隧道,不再额外计数。
收尾:下一步行动
完成上述步骤后,你的局域网已具备“零配置”分流能力。建议先用speedtest与traceroute各跑三次,记录基线;随后每季度检查节点延迟与CPU占用,若Offload失效或内存长期高于80%,再考虑换更高规格路由。透明代理不是一锤子买卖,把测量与回退方案做成例行检查,才能长期兼顾速度、稳定性与隐私。
