快连如何在主流路由器上配置透明代理?
功能定位:为什么要在路由器侧做透明代理
把快连(kuailian)的出站能力下沉到路由器,可让全屋设备“零配置”享受分流加速:手机、电视、Switch 无需单独装客户端,也能走 AI-Route 选出的最优节点。相比单机方案,路由器侧透明代理的最大价值是一次配置、全局生效、终端无感,并且天然规避了部分 Android 后台被杀、iOS 锁屏断链等顽疾。
但收益伴随代价:家用路由器 CPU 性能有限,加密吞吐通常跑不满百兆以上宽带;一旦策略写错,整网瘫痪。因此“能不能做”要先看硬件天花板,再看固件支持度,最后才是快连的协议兼容。
兼容性速查:主流固件与硬件天花板
| 固件 | 最低闪存/内存 | 加密吞吐经验值 | 快连协议支持 |
|---|---|---|---|
| OpenWrt 23+ | 16 MB / 128 MB | ≈120 Mbps(AES-256-GCM) | WireGuard 原生+Quick-T 插件 |
| Padavan 老毛子 | 8 MB / 64 MB | ≈90 Mbps | WireGuard 内核模块 |
| 梅林 388+ | 256 MB / 512 MB | ≈200 Mbps | WireGuard 官方工具包 |
经验性观察:MT7621 双核 880 MHz 在 OpenWrt 下跑 Quick-T 协议,CPU 占用 70% 时吞吐约 110 Mbps;若家里是 200 M 以上宽带,建议换 RK3566 或 x86 软路由,否则瓶颈卡在路由器本身。
方案 A:OpenWrt 一键导入(推荐新手)
1. 安装必要组件
登录 LuCI → 系统 → 软件包,先更新列表,然后搜索并安装luci-proto-wireguard、kmod-wireguard、quick-t(快连官方 Feed 已合并到 23.05 源)。
2. 下载配置文件
手机端快连 v6.4+ → 我的 → 订阅管理 → 生成路由器配置 → 选择“WireGuard 格式” → 复制下载地址。在 LuCI → 网络 → 接口 → 新增接口 → 协议选 WireGuard → 自动拉取配置,系统会把私钥、AI-Route 端点、预共享密钥一次性填好。
3. 开透明代理与分流
接口保存后,进入网络 → 防火墙 → 新增区域 wgzone,把 WAN 口转发到 wg0;再安装luci-app-pbr(策略路由),在 PBR 页面把“目标区域为中国大陆 IP 段”设为“WAN 直连”,其余走 wg0。保存应用后,局域网设备重新获取 DHCP 即生效。
方案 B:梅林固件手动填表(适合华硕机型)
1. 打开 WireGuard 功能
梅林 388 版之后把 WireGuard 从实验功能挪到“privacy tool”一级菜单。登录后台 → privacy tool → WireGuard → 客户端 → 新增隧道 → 把快连提供的[Interface]私钥、[Peer]公钥、端点、AllowedIPs 0.0.0.0/0 依次贴入。
2. 开 Kill-Switch 与分流脚本
同一页打开“严格模式”,防止隧道掉线后泄露;再切到“策略路由”子页,把国内 IP 段(可在 GitHub 搜 ChinaIPs 每日更新)设为“绕过隧道”。梅林默认用 ip-rule 实现,重启后仍生效。
3. NAT 硬件加速取舍
华硕官方固件在打开 WireGuard 时会自动关闭 NAT 硬件加速(CTF/FA),导致千兆宽带降到 400 M 左右。若内网有 NAS 互传需求,可临时关闭隧道,或在“自适应 QoS”里把文件传输端口设为最高优先级,经验性观察可拉回 100 M 吞吐。
方案 C:Padavan 老毛子命令行(极客向)
Padavan 没有图形化 WireGuard,需 SSH 登录路由器,把快连配置写成/etc/storage/wg0.sh,再用/etc/storage/post_iptables.sh插入如下透明代理规则:
# 标记非局域网流量 iptables -t mangle -A PREROUTING ! -s 192.168.0.0/16 -j MARK --set-mark 0x1 # 策略路由表 100 走 wg0 ip rule add fwmark 0x1 table 100 ip route add default dev wg0 table 100
保存后用mtd_storage.sh save写闪存,否则重启丢失。Padavan 内核版本老旧,Quick-T 的 ChaCha20 需要内核 4.19+,若出现“无法创建密钥”报错,只能回退到标准 WireGuard 并降低加密等级。
监控与验收:三条命令确认生效
curl ipinfo.io返回的 ASN 应与快连节点一致;ping 223.5.5.5 -c 4延迟低于 10 ms,说明大陆 IP 未绕隧道;wg show wg0 latest-handshake握手时间小于 2 分钟,确认隧道未掉线。
若验收失败,优先检查 PBR 规则顺序:梅林/ OpenWrt 都是自上而下匹配,把最具体的规则放前面,避免“0.0.0.0/0 → wg0”一口吃掉全部流量。
常见故障排查表
| 现象 | 最可能原因 | 验证步骤 | 处置 |
|---|---|---|---|
| 整网断网 | AllowedIPs 0.0.0.0/0 未排除路由器自身 | SSH 路由器 ping 8.8.8.8 不通 | 在 Peer 配置里加 ExcludeRoutes = 192.168.0.0/16 |
| 国内 CDN 变慢 | PBR 未命中新 CDN 段 | traceroute 到 CDN 先出国再回来 | 更新 ChinaIPs 列表,重启 pbr 服务 |
| 4K 电视卡顿 | 路由器 CPU 100% | top 看 wg0 进程 >90% | 降低加密等级或换软路由 |
何时不该用路由器透明代理
- 宽带 ≥ 500 M 且路由器为 MT7621/RTL8197 等低端 SoC,加密吞吐会成为硬瓶颈;
- 需要频繁切换节点做跨境运营测试,手机客户端点选比 SSH 改配置快得多;
- 合租环境共享路由器,但室友反对所有流量出境,可能引发合规争议。
最佳实践 10 条检查表
- 确认路由器闪存剩余 ≥ 4 MB,防止装包失败;
- 升级固件到“截至当前的最新版本”,老内核无法加载 Quick-T;
- 先把 LAN 口 DHCP 租期调到 2 小时,方便反复重启测试;
- 配置前先导出原厂固件备份,一键回滚不翻车;
- WireGuard 私钥只在路由器本地留存,切勿再复制到第二台设备,避免“设备数超限”封号;
- PBR 规则用“大陆 IP + 大陆 DNS”双保险,减少 CDN 误判;
- 打开路由器定时重启(每周一次),清空内存碎片,降低握手失败率;
- 把路由器管理口改到 8443,避免与 wg0 的 443 端口冲突;
- 电视盒子等固定 IP 终端单独分组,方便后续抓包排障;
- 每月初对比一次手速测试与 AI-Route 自动选路延迟,若手动更快,可在客户端关闭自动选路。
FAQ(结构化数据)
Quick-T 协议与标准 WireGuard 有何区别?
Quick-T 在握手层加入动态令牌并封装 UDP/TCP 双栈,抗 QoS 能力更强;路由器端仍需标准 WireGuard 内核模块,Quick-T 以插件形式提供用户空间守护进程。
透明代理后 IPv6 泄露怎么办?
在防火墙增加 ip6tables -A FORWARD -i br-lan -o wan -j DROP,或在 DHCPv6 服务器里关闭前缀广播,仅保留内网 ULA 地址。
能否把快连账号同时给两台路由器用?
官方限制 12 台设备同时在线,两台路由器各算 1 台;但同一账号的密钥不能复用,否则后登录者会把前者踢下线。
总结与下一步行动
路由器侧透明代理把快连的加速能力从单机扩展到全屋,核心步骤只有“装插件→导配置→写分流→验延迟”四步,但硬件性能与策略细节决定最终体验。若你手里是 2019 后的中高端软路由,直接上 OpenWrt + Quick-T 插件即可;若只是百兆宽带的老旧 AC 路由,建议先用手机客户端观望,等换机后再下沉到网关。
下一步:按本文检查表完成备份与规则初版,跑 24 小时稳定性测试;若无异常,再把 Kill-Switch、IPv6 防火墙、定时重启等加固项逐项打开,形成可长期维护的家庭网络加速方案。