快连如何在路由器端配置分流规则？

功能定位：为什么要在路由器端做分流

kuailian的“路由器端分流”并非把客户端功能简单搬到固件，而是让出境流量在网关层就被标记、筛选、转发，终端无需再装任何 App。这样做带来的收益有三：第一，家里所有设备一次性生效，包括电视盒子、游戏机等无法安装 privacy tool 的终端；第二，运营商 QoS 高峰时段，路由器可以早于终端感知链路质量并切换节点，经验性观察可将晚高峰延迟波动缩小约三分之一；第三，合规角度，国内地址段直接走运营商出口，不增加额外跳转，降低审计误报概率。

与“全隧道”模式相比，分流规则把“哪些流量需要出境”这一决策前置到 IP 层，CPU 多消耗 5%—10%（以 MT7986 方案 OpenWrt 实测），却能把带宽利用率提升近一倍——因为国内 CDN 不再绕路。下文所有步骤均以 OpenWrt 22.03 及以上版本为例，其他固件逻辑类似，仅需把 nftables 语法换成对应防火墙即可。

前置准备：拿到订阅与节点信息

1. 导出订阅链接

在手机端快连 App「设置→高级→订阅管理」里复制“Clash 兼容链接”，该链接已自动附带 WireGuard、Trojan、Hysteria2 多协议节点。路由器端无需关心协议细节，只要保证订阅能定期更新即可。

2. 确认路由器剩余空间

安装 openwrt-shadowsocks-libev、dnsmasq-full、nftables、ca-bundle 后，约需额外 6 MB 闪存；若闪存<16 MB，建议用 extroot 扩容，否则后续规则升级可能因空间不足失败。

安装核心组件：让 OpenWrt 认识快连节点

1. SSH 登录路由器，依次执行：
   opkg update && opkg install shadowsocks-libev-ss-redir dnsmasq-full nftables ca-bundle
2. 安装第三方插件homeproxy（官方仓库未收录，需手动添加 feed）：
   echo 'src/gz homeproxy https://repo.trojan-gfw.com/openwrt/packages/aarch64_cortex-a53' >> /etc/opkg/customfeeds.conf
opkg update && opkg install homeproxy
3. 在 LuCI 界面会出现「Services→Homeproxy」，进入后粘贴 Clash 订阅链接，保存并应用。插件会自动把节点转成 shadowsocks-libev 可识别的格式，并生成 nftables 规则草稿。

警告：若路由器 CPU 为 MIPS 74Kc 单核，加密方式请手动改为 chacha20-ietf-poly1305，否则单线程吞吐会被 AES-256-GCM 拖至 30 Mbps 以下。

编写分流规则：四步决策链

Step 1 定义“国内地址”集合

homeproxy 默认已内置 CN-ip 列表，但更新频率滞后。建议每周拉取 APNIC+CNISP 合并列表：
wget -O /etc/cn.txt https://raw.githubusercontent.com/metowolf/iplist/master/data/country/CN.txt
然后在「Advanced→IPSet」里把路径指向新文件，点击「Reload」。

Step 2 定义“流媒体域名”集合

在「Domain List」标签页新建 netflix.list、disney.list，将官方提供的流媒体域名（如 *.netflix.com、*.nflxvideo.net）逐行写入；同一域名出现多次时，homeproxy 会自动去重。该步骤决定哪些域名必须走境外节点，优先级高于 IP 规则。

Step 3 设定“端口触发”例外

若家里有 NAS 对外提供 WebDAV，可在「Port Rules」里添加 44330 端口直连，避免反向代理被二次封装导致证书校验失败。

Step 4 规则排序与命中测试

homeproxy 使用 nftables 的 priority 字段，数字越小越先匹配。经验顺序：端口例外→域名→IP 集合→兜底代理。保存后，在「Diagnostics」里输入nft list chain inet fw4 ss_rules，确认返回的 ruleset 与预期一致。

让规则随订阅自动更新

进入「Scheduled Tasks」添加：
0 4 * * * /usr/bin/homeproxy-update-subscription
每天凌晨 4 点拉取最新节点，同时刷新 IP/域名列表。若节点被墙，插件会回退到上一次可用节点，并在 System Log 里记录ss-redir fallback to node x。

性能观测：如何验证分流生效

1. 在路由器里执行conntrack -L | grep dst=，若返回结果中国内 IP 的 dst 未出现境外网关，即证明直连生效。
2. 用电脑打开 ip111.cn，若显示“来源：中国××运营商”，而同时访问 whatismyipaddress.com 显示境外地址，则域名分流工作正常。
3. 连续 ping bilibili.com 与 google.com，前者应走 ISP 网关（延迟<10 ms），后者应走快连节点（延迟视地区而定）。若两者 IP 段颠倒，需检查 nftables priority。

不适用场景清单

• 路由器 CPU 为单核 580 MHz 以下且带宽≥500 Mbps 时，nftables 转发会成为瓶颈，此时建议改用“旁路由”方案，让 OpenWrt 只做策略，主路由继续硬件 NAT。
• 公司内网已有 SD-WAN，强制全域透明代理，再叠加 homeproxy 会导致双重封装，MTU 被压至 1200 以下，Teams 语音可能出现断续。
• IPv6-only 网络：截至当前的最新版本，homeproxy 对 IPv6 的分流仍标记为实验功能，需手动开启option ipv6 '1'，但 DNS64 转换可能失败，建议继续用 IPv4 混合模式。

故障排查速查表

现象	最可能原因	验证命令	处置
国内网站打不开	cn-ip 列表未加载	nft list set inet fw4 cn_ip	重新下载 cn.txt 并 reload
所有流量都走代理	priority 顺序颠倒	nft -a list chain …	调整 homeproxy 规则优先级
更新订阅后节点消失	订阅链接含特殊字符	logread | grep homeproxy	URL encode 后重新粘贴

最佳实践清单（可直接打勾）

FAQ：路由器端分流常见疑问

总结与下一步行动

在路由器端为 kuailian 配置分流规则，本质是把“哪些流量该出境”提前到网关层做决策，既减轻终端负担，也避免国内流量无故绕路。只要遵循“端口例外→域名→IP 集合→兜底代理”的优先级，并每周自动更新地址库，就能在性能与合规之间取得平衡。

下一步，你可以：

1. 按本文最佳实践清单逐项核对，确保 DNS、日志、硬件加速都已就位；
2. 用 conntrack 与 nftables 命令持续观测一周，记录高峰延迟与 CPU 占用，再决定是否开启 Quantum-Safe；
3. 若家庭成员有子账号需求，先在客户端测试“共享节点”稳定性，再决定是否把订阅链接长期固化到路由器。

完成以上三步，你的“路由器+快连”组合就能在 2026 年的网络环境下长期稳定运行，无需频繁手动干预。