如何在OpenWRT路由器上为快连设置透明代理？

为什么要在OpenWRT上给快连做透明代理

“OpenWRT透明代理”解决的是局域网零配置出海：手机、电视、游戏机无需单独装客户端，开机即走快连节点。对合租、民宿、小团队尤其友好——房东只刷一次固件，住客插网就能看Netflix 4K，还能把国内银行App设为旁路，避免风控。

相比“每台设备装App”的旧方案，透明代理把维护成本从n台降到1台，同时利用快连2026版自带的IEPL专线，晚高峰也能把延迟压在60 ms以内。代价是路由器CPU要扛加密，老古董路由可能跑不满500 Mbps，后面会给出量化判断方法。

前置条件与版本边界

截至当前，快连官方提供openwrt-x86-64 与 aarch64两条固件，内核≥5.15，集成WireGuard与Trojan两条透明代理驱动。若你手刷第三方ROM，请确认已安装iptables-nft + dnsmasq-full，否则后续TProxy规则会失效。

硬件底线：经验性观察，MT7621（880 MHz双核）+ 256 MB RAM可跑满200 Mbps；若想跑满500 Mbps，建议J4124软路由或R2S/R4S。低于这个档位会出现“速度腰斩但CPU占用仅50%”的假空闲，实则是NAT瓶颈。

刷机与初次入网：两条安全回退路

路径A：官方一键固件（推荐小白）

1. 进快连官网→路由器版→选“OpenWRT 一键固件”，下载后校验SHA256。
2. 路由器按住Reset进Breed，选“固件更新”，取消“保留配置”防止冲突。
3. 刷完自动重启，默认LAN口192.168.77.1，DHCP已开，后台账号root，密码与快连App登录码相同。

该固件把透明代理开关做在“网络→快连→智能分流”里，默认采用大陆白名单模式，开机即工作，无需手动写防火墙。

路径B：手工插件包（适合已有OpenWRT）

若你已有Lean/ImmortalWrt，不想重刷，可直接装luci-app-kuailian插件包。把官方仓库地址写进/etc/opkg/customfeeds.conf，执行：

opkg update
opkg install kuailian-core luci-app-kuailian

装完在Luci顶部菜单会多一个“快连”图标，点进去后需手动输入账号验证码，首次需手机App扫码授权。授权成功后插件会自建kuailian接口，后续步骤与官方固件一致。

回退方案：无论哪条路径，刷机前先在Breed/TFTP备份原厂编程器固件；若出现“断网死机”，15秒长按Reset即可回Breed，30分钟可恢复原厂。

透明代理核心三步：接口→策略→DNS

1. 创建kuailian接口

官方固件已默认建立kuailian接口，协议选WireGuard，私钥由后台自动轮换，用户侧只读。若你用手工插件，需手动点“生成配置”，系统会拉取一个单IP段（通常是10.88.x.x/32），MTU默认1420，无需改。

2. 选分流模板

后台提供三种模板：

• 大陆白名单（默认）：国内IP走WAN，其余走kuailian，适合家用，省流量。
• 全局代理：所有流量进kuailian，适合民宿/会议，防止住客投诉“某网站打不开”。
• 游戏模式：只代理UDP 443/udp 30000-40000，TCP国内直出，降低Valorant延迟。

切换后需点“保存&应用”，防火墙会重载TProxy规则，大约3秒内完成，期间ping会丢1~2包属正常。

3. 私有DNS与IPv6防泄漏

快连固件把dnsmasq替换为dnsmasq-full，自带ipset支持。后台默认把8.8.8.8、1.1.1.1重定向到本地DoH客户端，再按分流表返回国内外不同解析。若你手动改DNS，请保留list doh_backup '字段，否则大陆白名单会失效。

旁路模式：让NAS/打印机等设备走直连

家庭场景里，NAS定期往百度网盘备份、网络打印机访问银行UKey，如果强制出海会被风控。快连在Luci→快连→旁路IP里提供“MAC白名单”与“IP段”两种写法：

• MAC白名单：点“选择当前局域网设备”，勾选NAS即可，重启后生效。
• IP段：输入192.168.77.100/29，把静态DHCP分给打印机、摄像头，以后换路由也无需重设。

经验性观察，MAC白名单在旁路切换时立即生效，无需重启防火墙；IP段需重载一次dnsmasq，大约会断流1秒，建议在凌晨维护窗口操作。

性能调优：让低端路由也能跑300 Mbps

关闭无关日志

系统默认开verbose 3，在高流量时会把/var/log写满，导致随机重启。Luci→系统→系统日志→把“写入文件”关掉，只保留内存环形缓冲，可提升5~8 %吞吐。

开软件流量分载（Flow Offload）

网络→防火墙→路由/NAT分载→勾选“软件流量分载”，可把NAT从CPU迁到驱动快转路径，MT7621实测能由180 Mbps提到230 Mbps。若你用的是ipq40xx或x86，还可开“硬件分载”，但需内核>5.10。

调小MTU避免分包

部分省份PPPoE MTU仅1480，若WireGuard仍用1420，再加28头开销就会分包。把kuailian接口MTU改1400，YouTube 4K缓冲时间可从6 s降到3 s。

故障排查：先分“连不上”与“慢”两类

现象A：国外网站完全打不开

1. 看kuailian接口是否获取到IP：Luci→网络→接口，kuailian行若有10.88.x.x说明隧道已建。
2. 检查防火墙：SSH里iptables -t mangle -L | grep TPROXY，应有kuailian_tproxy链；若为空，点“保存&应用”强制重载。
3. 看DNS：电脑dig google.com返回198.18.x.x即被劫持到黑洞，说明分流表未加载，手动重启dnsmasq。

现象B：速度只有宽带50 %

• top看CPU是否满载；若softirq占80 %以上，说明性能到顶，可降加密强度或换路由。
• 测速请用fast.com（Netflix节点），排除测速点被限速；经验性观察，晚高峰同一节点fast.com比Speedtest高20 %。
• 确认是否误开“全局代理”导致国内流量也绕路，切回“大陆白名单”即可。

版本差异与迁移建议

快连v8.4.2之前使用Trojan+TProxy，v8.4.2之后新增WireGuard-NG驱动，CPU占用下降约15 %。若你从旧固件升级，需手动把“分流核心”切换为WireGuard-NG，否则配置文件不兼容，会导致重启后丢失规则。

迁移步骤：先导出“旁路IP/MAC清单”→升级→切换核心→导入清单→保存。官方文档强调“不可跨版本回滚”，一旦升8.4.2再降8.3.x会触发配置校验失败，只能清配置重刷。

适用/不适用场景清单

场景	是否推荐	原因与风险
家用100~500 Mbps、终端<20台	✅ 极推荐	一次配置，零维护，住客/家人零学习成本
小型公司>50台+ERP服务器	⚠️ 需评估	建议把服务器IP写旁路，否则财务系统易被银行风控
千兆宽带+NAS PT下载	❌ 不推荐	WireGuard加密会压CPU，千兆跑满需i5级软路由，成本过高
高校宿舍共享Wi-Fi	⚠️ 合规风险	部分校园网会扫描TTL，发现路由器即封号，需改TTL+MAC克隆

最佳实践12条检查表

1. 刷机前备份原厂+导出运营商VLAN ID，防止回程无法拨号。
2. 首次启动先关流量分载，确认规则生效后再开，避免误判。
3. 旁路设备用MAC+静态DHCP双保险，换路由也不翻车。
4. 每周看一次系统日志，若出现out of memory立即关日志写盘。
5. 升级前读官方SHA256，避免第三方ROM植入后门。
6. 把路由器管理口改到非标准端口，减少扫描爆破。
7. iOS后台掉线可给路由器开ping watchdog，5分钟一次保活。
8. 跨境会议前手动切“全局代理”，防止Zoom被分流到国内出口。
9. PT下载站把NAS写旁路，上传量不计流量，也减少加密损耗。
10. 游戏模式只代理UDP，TCP走直连，NAT类型更易开放。
11. 每月清一次tmp目录，防止crash日志占满闪存。
12. 出远门前把配置导出到本地，路由器砖了可30分钟还原。

常见疑问（FAQ Schema）

收尾：下一步行动清单

读完本文，你已知道OpenWRT透明代理的完整链路：刷机→建隧道→选分流→写旁路→调性能。若设备在推荐硬件区间内，今晚就能动手：先备份原厂固件，再刷官方一键包，30分钟后全家设备无感出海。

若你的宽带≥千兆或终端>50台，建议先拿旧路由跑大陆白名单做PoC，验证CPU瓶颈后再决定是否上x86软路由。任何步骤遇到“规则不生效”“速度腰斩”，回到本文故障排查小节，按“先DNS后防火墙”顺序定位，通常十分钟可解决。

透明代理不是一刷了之，记得每月清日志、每季导配置、每年评估带宽增长。把这份检查表设为日历提醒，你的快连节点就能一直稳定、低调、无感地服务下去。