快连如何在OpenWrt中启用全局透明代理?
在OpenWrt中启用快连全局透明代理,一键分流、全终端免配置,兼顾晚高峰带宽与合规审计。
功能定位:全局透明代理到底解决什么
OpenWrt 的全局透明代理,指在网关层把局域网全部流量无感转发到远端加速节点,终端设备无需额外安装客户端。快连把 WireGuard、Hysteria2 等协议预编译进自维护 ipk,配合 nftables 规则,实现「连上 Wi-Fi 即走加速通道」的效果。与分应用代理相比,它免逐台配置,也能让电视、IoT 等封闭系统受益;代价是路由 CPU 负载与政策合规责任上移到了网关。
兼容性前置:硬件、固件与带宽阈值
硬件门槛
经验性观察:NAT 转发 200 Mbps 以上时,mt7621 系列 SoC 单核占用会冲到 80 %,出现偶发抖动;ipq40xx/armv8 四核以上或 x86 软路由可稳定跑满 500 Mbps。若家中宽带 ≥300 Mbps,建议把「软路由+AES-NI」当作最低配置,否则晚高峰 CPU 先成为瓶颈,节点再优质也无力发挥。
固件版本与内核
快连官方 ipk 目前提供 5.10、5.15 两个内核分支,对应 OpenWrt 21/22 快照版。刷机前在系统-软件包里执行 uname -r,确认内核小版本号一致再导入 feed,否则会出现kmod 签名拒绝而直接掉驱动。
安装路径:最短 5 步完成首次导入
- 在电脑端浏览器进入 LuCI → 系统 → 软件包 → 配置,把快连官方 feed 地址粘贴进「分发源」;
- SSH 登录路由,依次执行
opkg update && opkg install klc-wireguard klc-hysteria2 klc-nft,若提示缺依赖,先装kmod-nft-nat; - 装完后顶部菜单会出现「快连」新入口,点击进入「节点订阅」页,粘贴官网个人订阅链接,点「更新」;
- 切到「全局透明代理」开关,协议选 WireGuard(CPU 轻),若校园网 UDP 被限速则切 Hysteria2;
- 保存并应用,等待「连接状态」灯转绿,局域网设备重新获取 DHCP 即可。
提示:若你习惯命令行,可在 SSH 里执行 /etc/init.d/klc enable && /etc/init.d/klc start 直接拉起守护进程,LuCI 仅作可视化。
核心配置项:nftables 规则拆解
快连安装包会写入 /etc/nftables.d/90-klc-transparent.nft,核心思路是:
1. 建立分流地址集(cn-ip、lan-ip)与端口旁路集(22、53、1900);
2. 在 prerouting 钩子处,把非旁路流量重定向到透明监听口(默认 1080);
3. 在 postrouting 做 SNAT,保证回程包正确回到路由器。
如果你想让 NAS 的 22 端口走直连,只需在「旁路端口」框里追加 22,保存后规则会热重载,无需重启防火墙。
验收指标:三步验证是否真的「全局」
1. DNS 泄露检查
在手机浏览器访问 dnsleaktest.com,结果应仅出现远端节点所属运营商,若仍出现本地宽带 DNS,说明53 端口劫持未生效,需检查「重定向 DNS」开关是否开启。
2. 国内视频 CDN 是否走了隧道
打开 bilibili 客户端,播放任意 1080P 视频,用 iftop -i wg0 观察是否有持续流量;若为零,说明分区域规则正确,国内流量被旁路。
3. 晚高峰带宽达标测试
21:00-23:00 用 Speedtest 选「香港」节点,连续跑三次,取中位数。经验性观察:若 CPU 占用 <60 % 且能跑到宽带签约值的 70 % 以上,说明加密与转发不是瓶颈,可长期放心开启。
例外与分流:什么时候不该「全局」
1. 公司 privacy tool 需要固定出口 IP:可把「企业网段」加入旁路列表,避免二次 NAT 导致握手失败;
2. 游戏主机要求 NAT Type A:部分主机对 UDP 4500 十分敏感,可在「游戏模式」里开启「UDP 直连通道」,让 PS5 走原生公网;
3. 直播上行 ≥20 Mbps:若路由 CPU 已跑到 90 %,建议把 OBS 电脑单独提权到「旁路 MAC」,让它直连光猫,防止画面卡顿。
警告:旁路规则越多,nftables 遍历次数越高,延迟可能反而增加。保持「例外 ≤10 条」是经验性红线。
故障排查:最常见三类报错
1. 启动后 30 秒自动断开
日志出现 handshake did not complete,通常是本地时间相差 >30 s。SSH 执行 ntpd -q -p ntp.aliyun.com 同步后再启动即可。
2. 局域网设备无法获取 IP
安装包依赖 dnsmasq-full,会与原版 dnsmasq 冲突。解决:先 opkg remove dnsmasq,再 opkg install dnsmasq-full,最后重启。
3. 升级固件后规则消失
OpenWrt 快照版每天滚动,内核一变动 kmod 就失效。建议把快连官方 feed 写进 /etc/opkg/customfeeds.conf,升级前执行 opkg list-upgradable | grep klc,确认有新包再整体升级,避免断网。
性能对比:开与不开的量化感受
| 场景 | 直连宽带 | 全局透明代理 | 差值 |
|---|---|---|---|
| GitHub clone 1 GB 仓库 | 约 6 min | 约 1.5 min | 可见提升 |
| Disney+ 4K 首次缓冲 | 约 18 s | 约 5 s | 明显加快 |
| 路由 CPU 占用均值 | 约 5 % | 约 35 % | 增加 30 个百分点 |
可见,全局透明代理以 30 % 的 CPU 换取 3-4 倍境外吞吐,对软路由是划算买卖;若你用 mt7621,建议把宽带降到 100 Mbps 或改用分应用代理。
与第三方 Bot/插件协同
部分用户想让 Telegram 频道更新时自动推送节点延迟图表,可在路由里装 mqtt-client,把快连守护进程的状态页(/tmp/klc_status.json)用 curl 每 60 s 发一次到自建 broker,再由后端 Python 绘图。该 JSON 包含实时延迟、丢包、流量,字段稳定,适合脚本消费。
警告:不要把订阅链接直接扔进公开仓库,任何拿到链接的人都能消耗你的流量配额。
适用/不适用场景清单
- 家庭宽带 100-500 Mbps,终端数 5-20,追求「零配置」——适合;
- 公司内网需审计、固定出口 IP——不适合,应选旁路策略或路由回公司专线;
- 直播上行、NAS 远程唤醒对延迟敏感——可开,但需把对应 MAC 加入旁路;
- CPU 为单核 580 MHz 以下老路由——不适合,会拖慢全家网速;
- 校园 802.1X 认证、每 30 min 踢一次——可开,但需在「高级」里启用 TCP+TLS1.3 心跳,否则频繁重认证。
最佳实践 6 条
- 首次安装先跑 24 h 空载,观察 CPU 温度 <70 ℃ 再正式使用;
- 规则集保持「国内 IP 段 + 局域网」旁路,其余默认走隧道,减少维护量;
- 每月手动更新 cn-ip 列表,防止 CDN 新增节点被误走隧道;
- 把路由器的系统日志远程送到 syslog 服务器,方便回溯断开原因;
- 升级固件前先在「备份/升级」里导出
/etc/config/klc,十秒即可回滚; - 若出现晚高峰降速,优先切 Hysteria2+UDP 混淆,而不是盲目换节点。
FAQ(结构化数据)
开启后个别国内 App 提示「网络异常」?
把该 App 的域名或 IP 段加入「旁路域名」列表,保存后重开 App;若仍异常,在「高级」里关闭「强制 DNS 重定向」再试。
如何彻底关闭透明代理恢复直连?
在 LuCI「快连-全局透明代理」里关闭开关,再执行 /etc/init.d/nftables reload 即可;若曾手动改 /etc/firewall.user,需同步注释自定义规则。
可以只让访客网络走代理吗?
在「策略规则」里新建接口规则,选择访客网络的 VLAN(如 guest),动作设为「代理」;主 LAN 保持「直连」即可。
路由只有 128 MB 内存,能跑吗?
快连守护进程常驻约 18 MB,nftables 规则集 4 MB,加上系统基础需 ≥60 MB 空闲;128 MB 设备可跑,但建议关闭「实时图表」插件,防止 OOM。
订阅链接泄露怎么办?
立即登录官网控制台「重置订阅」,旧链接 10 分钟内失效;同时修改子账号密码,防止继续被拉取节点。
收尾:什么时候值得开,下一步做什么
如果你的出口带宽 ≥200 Mbps、路由 CPU 有四核或软路由,且家里终端混杂了电视盒子、IoT 等无法装客户端的设备,那么「快连全局透明代理」是性价比最高的方案:一次配置,全终端生效,晚高峰仍能保持 70 % 以上签约带宽。反之,硬件老旧或公司需审计,请退回「分应用代理」或「旁路策略」。
下一步行动:先按本文第 2 章完成安装,用第 4 章三步验收,确认 CPU 与延迟可接受;再把「旁路规则」精简到 10 条以内,定期更新 cn-ip 列表。如此,透明代理才能真正「透明」而不掉速。
📺 相关视频教程
连上WiFi即可翻墙 无需软路由 局域网内所有设备实现翻墙|同一局域网下设备共享翻墙(CC字幕)
