快连如何在OpenWrt旁路由启用透明代理？

功能定位：为什么要在旁路由做透明代理

“快连如何在 OpenWrt 旁路由启用透明代理”这一关键词背后，其实藏着一句潜台词：让全屋设备“零配置”享受节点加速，同时主路由继续安心拨号与 NAT。把代理逻辑隔离到旁路由（又称“旁路网关”），主路由固件无需动刀，既保留原有稳定性，又能随时下线实验，家庭与小型办公室都能即插即用。

透明代理（TProxy）工作在 OSI 第 3/4 层，终端无感知，DNS、UDP、TCP 一次接管，比分应用配置更彻底；旁路由只处理需要出境的流量，国内数据仍走主路由直连，带宽与 CPU 占用都可控。

版本演进与兼容性速览

截至当前，快连官方提供两种 OpenWrt 形态：① ipk 软件包，适配自编译或 openwrt-sdk；② 预刷固件，基于 OpenWrt 23.05，开箱即插。经验性观察：ARM64 且内存 ≥512 MB 的旁路由可直接刷预刷固件，省去依赖冲突烦恼；X86 软路由或已跑大量插件的环境，建议手动安装 ipk，保留原有配置。

透明代理依赖 Linux 内核的 nf_tproxy 与 nft_socket 模块，官方 ipk 已在 kmod 层级做自动校验；自行编译时，请确保 CONFIG_NFT_SOCKET=y，否则会出现“TProxy: Protocol not available”错误。

网络拓扑先画好：主路由、旁路由、交换机位置

1. 主路由保持 PPPoE 拨号，LAN 口网段例如 192.168.1.0/24；
2. 旁路由单臂接入交换机，静态 IP 设为 192.168.1.2，关闭 DHCP 与 NAT；
3. 在主路由的 DHCP 下发里，把默认网关与 DNS 指向 192.168.1.2，设备上线即走旁路由。

安装快连 ipk：最短路径与回退方案

在线安装（推荐）

1. SSH 登录旁路由，执行：
   opkg update && wget https://cdn.kuailink.net/openwrt/kuailink-core_7.0.9_x86_64.ipk
2. 安装依赖与本体：
   opkg install kmod-nft-tproxy kmod-nft-socket kuailink-core_7.0.9_x86_64.ipk
3. 完成后输入 kuailink，若看到彩色 ASCII logo 即成功。

回退方案

若安装后 LUCI 无法打开，说明依赖冲突。可在 TTY 或 Safe Mode 执行：opkg remove kuailink-core，重启即恢复原生网络；此时可换用预刷固件，或等官方给出新依赖清单。

初始化配置：账号、节点、分流规则一次配齐

快连在 OpenWrt 提供 CLI 与 LUCI 双入口。LUCI 路径：服务 → Kuailink → 基本设置；首次使用需粘贴订阅 Token（官网用户中心复制）。

节点策略选“AI 智能”即可，系统每 5 秒重测延迟；若旁路由性能较弱，可改“手动指定”固定一个香港或日韩节点，减少切换开销。

启用 TProxy：开关、防火墙、校验

LUCI 图形操作

1. 进入 Kuailink → 高级 → 透明代理，勾选“启用 TProxy”，模式选“Redirect+TProxy 混合”；
2. “内网网段”自动识别为 192.168.1.0/24，若无误直接保存；
3. 页面底部点击“重启 Kuailink 服务”，等待约 10 秒，状态灯转绿。

CLI 快速验证

在旁路由执行：kuailink status，若看到 tproxy: running, nft: 42 rules 即表明规则注入成功；再执行 curl -s ipinfo.io/country，应返回节点所在国家而非 CN。

分流规则：如何只让海外流量走快连

透明代理并非“一刀切”。在 Kuailink → 分流设置 里，官方内置“绕过大陆+局域网”规则集，每日凌晨 4 点自动更新 chnroute 与 apple-cn、google-cn 等列表。经验性观察：若你常逛 B 站、抖音，建议把“UDP 443”也加入直连，否则 QUIC 会误判走代理，导致视频首次缓冲慢 1–2 秒。

自定义部分支持按域名关键词、IP 段、端口、进程名四阶匹配；示例：把公司 Zoom 服务器 *.zoom.us 加入“强制直连”，可让内网 Zoom 流量不经节点，减少延迟。

IPv6 场景：关闭还是代理？

截至当前，快连已支持 IPv6 透明代理，但默认关闭。若运营商给的是原生 IPv6 且前缀稳定，可在“高级 → IPv6 支持”里开启“TProxy IPv6”，同时把防火墙 ip6tables 的 FORWARD 缺省策略设为 ACCEPT，否则会出现“IPv6 leak-proof”阻断局域网互访。

性能调优：让旁路由 CPU 占用 <10%

1. 关闭“全局日志”：在“系统日志等级”选 warn，减少 flash 写入；
2. 降低 nf_conntrack_max：编辑 /etc/sysctl.conf，写入 net.netfilter.nf_conntrack_max=65536，重启网络；
3. 使用“UDP 混合转发”而非全 UDP TProxy，可把游戏 UDP 包直接 NAT，节省约 15% CPU。

经验性观察：J4125 软路由在 500 Mbps 下行、40 Mbps 上行的家宽环境，开启以上三项后，htop 峰值 CPU 约 8%，温度稳定在 52 °C；若保持默认，峰值可达 25%，风扇会频繁启停。

故障排查：最常见三类报错与处置

1. 启动后国内网站打不开

现象：baidu.com 解析到 198.18.0.2（快连保留段）。原因：DNS 劫持未排除国内域名。处置：在“分流 → 域名黑名单”把 geosite:cn 设为直连，强制让国内域名走本地 DNS。

2. TProxy 规则注入失败

现象：kuailink 日志提示 nft insert rule: file exists。原因：旧规则残留。处置：执行 kuailink flush-nft 再重启服务；若仍失败，升级内核或重装 ipk。

3. 子账号设备数超限

现象：网页提示“节点并发 3 台已满”。原因：透明代理把全屋设备视为同一出口 IP，触发单节点限制。处置：在“节点设置”把策略改为“自动负载”，系统会分配多节点，单节点并发即被稀释。

适用/不适用场景清单

最佳实践 12 条检查表

1. 旁路由硬件 ≥512 MB 内存，闪存 ≥256 MB，留 20% 空间给日志；
2. 主路由 DHCP 下发网关、DNS 均指向旁路由；
3. 安装前先备份 /etc/config/network，回退不求人；
4. Token 用复制，别手打，避免 0/O 混淆；
5. 首次启用先选“绕过大陆”，确认国内站正常再开全局；
6. IPv6 不开盲刀，测速无改善就关；
7. 每周看一次“分流规则更新时间”，超 3 天未更新手动点“立即更新”；
8. 游戏主机 PS5/Xbox 用 UDP 直连，避免二次 NAT；
9. 别把旁路由 WAN 口插上级，避免双 NAT；
10. 子账号给访客，主账号自用，降低封号连带；
11. 升级 ipk 前，先在测试机跑 24 小时，确认 nft 规则无冲突再上生产；
12. 保留串口或 Safe Mode 入口，远程失联还能救。

FAQ（常见问题）

收尾：下一步行动建议

完成上述步骤后，旁路由已具备“零感知”透明代理能力，终端无需再装客户端，也能自动分流国内外流量。建议先跑一周观察 CPU、内存与规则更新状态，确认稳定后再把全屋设备切过去。若后期想叠加广告过滤或 DNS Sinkhole，记得把对应端口加入“透明保持清单”，避免循环劫持。

快连的 AI 节点与 Quantum-Safe 隧道仍在快速迭代，每版都可能带来 nft 规则变动，升级前务必读 Release Note，并在测试环境复现后再上生产。祝你配置顺利，早日实现 4K 流媒体与低延迟游戏双自由。