功能定位:为什么要在路由器层面做透明代理
把“快连 kuailian”从单设备客户端搬到 OpenWrt,核心诉求只有一句话:让家里所有终端“零配置”享受全球节点与 AI 调度,同时把日志留在路由器侧,方便事后审计。相比在每台手机、电脑上装 App,透明代理省掉了反复登录、版本升级、账号数限制的麻烦;相比旁路由方案,它又少了 DHCP 冲突与 IPv6 透传问题。对跨境办公、4K 流媒体、外服手游等多终端并发场景,这是目前“合规+易用”平衡度最高的做法。
但边界也很明显:OpenWrt 的 CPU 性能直接决定 QUIC 握手能否跑到官方宣称的“<80 ms”;如果 SoC 低于 MT7621 或 IPQ6000,经验性观察显示 200 M 以上宽带会出现单核打满,导致延迟反而比单机客户端高。因此,先给路由器打分,再决定是否投入时间,是第一步。
硬件与固件准入清单
SoC 与吞吐量红线
以当前主流 OpenWrt 22.03 分支为例,NAT 环境下 QuicLink 的加密开销大约占单向 15% CPU。换算下来:
- MT7621(880 MHz 双核)可托住 120–150 M 下行;
- IPQ8072A(2.2 GHz 四核)可托住 500 M 下行;
- x86 J4125 软路由在千兆宽带下仍有 30% 余量。
低于 MT7621 的老款 WR740N 之类,建议直接放弃全局透明代理,改做单机 App 分流。
固件版本与插件源
快连官方在 2026-03 释出了“kuailian-openwrt”软件源,仅支持 OpenWrt 21.02 以上且内核 ≥5.4。刷机前,请确认固件已开启“dnsmasq-full”与“iptables-nft”双栈,否则后续透明代理规则会写入失败。可通过 SSH 执行:
opkg list-installed | grep -E 'dnsmasq-full|iptables-nft'
若返回为空,先卸载 dnsmasq 再装 dnsmasq-full,避免 TPROXY 依赖缺失。
决策树:透明代理是不是你的最优解
提示:以下流程基于“合规+可审计”主线设计,若你只想单机翻墙,可直接用官方 App,无需折腾路由器。
- 终端数是否≥3?否→用单机客户端;
- 路由器 SoC 是否≥MT7621?否→换设备或旁路由;
- 是否需要集中日志留存?是→继续;否→考虑 WireGuard 原生;
- 宽带是否≥200 M?是→选 x86 或 IPQ807x;否→MT7621 足够;
- 是否能接受每年 348 元订阅?否→停止,快连无终身套餐。
五条全部通过,再进入实操环节,可最大限度避免“配完后悔”。
操作路径:30 分钟完成全局透明代理
步骤 1 添加官方软件源
SSH 登录路由器,写入源地址(以截至当前的最新版本为例,地址可在官网“路由器插件”页一键复制):
echo "src/gz kuailian https://cdn.kuailian.com/openwrt/$(. /etc/openwrt_release && echo $DISTRIB_ARCH)" >> /etc/opkg/customfeeds.conf opkg update
步骤 2 安装核心组件
opkg install kuailian-core kuailian-tproxy luci-app-kuailian
安装完刷新 LuCI,即可在“服务”菜单看到“快连透明代理”。若页面 404,说明 LuCI 缓存未更新,执行/etc/init.d/uhttpd restart即可。
步骤 3 输入订阅码
在“快连透明代理→账户”页粘贴订阅码(与手机端通用),点击“激活”。路由器会立刻拉取 3200+ 节点列表,并显示到期时间。此步骤需要路由器本身能联网,若你上游是光猫拨号,确保 WAN 已拿到 IPv4。
步骤 4 选择工作模式
官方提供三种模式:全局、大陆白名单、游戏/影音/下载三通道。对“合规+审计”场景,建议先选“大陆白名单”,让国内 IP 直连,其余走 QuicLink。这样既能保留 Netflix 解锁,也不会把银行、政府网站拐到国外,减少无谓日志。
步骤 5 开启 UDP 转发与 DNS 拦截
在“高级”页勾选“UDP TPROXY”与“劫持 53 端口”,确保局域网设备所有 DNS 请求先经过快连的私有 DNS,再返回国内无污染结果。若你有内网 AD 域控,需在“例外端口”填写 53 的 TCP 模式,避免域控失效。
步骤 6 验证分流是否生效
用内网电脑访问 https://ip.skk.moe,应显示香港、日本或美国 IP;再访问 https://www.ip138.com,应显示本地运营商地址。若两者同时正确,说明大陆白名单已命中,可以继续。
例外与回退:当透明代理失效时
场景 1 IPTV 组播断流
部分省份 IPTV 采用 VLAN 43 组播,TPROXY 会抢包导致花屏。解决:在“接口→WAN→物理设置”里把 VLAN 43 排除在 br-lan 之外,或在“快连→例外网段”填写 239.0.0.0/8。
场景 2 公司 privacy tool 无法连接
L2TP/IPsec 与 QuicLink 的 NAT-T 冲突。可在“例外端口”填写 UDP 500、4500,让公司 privacy tool 直连;若仍失败,把公司 privacy tool 域名加入“直连域名”列表。
场景 3 路由器 CPU 飙满
经验性观察:当单核占用>90% 时,QuicLink 会主动降速到原带宽 60%。此时可在“节点策略”里关闭 AI 云测,手动锁定延迟<120 ms 的香港节点,CPU 可立即下降 10–15%。
日志留存与合规审计
快连官方在 2025 年 11 月通过瑞士 PWC 无日志审计,但“无日志”指的是服务器侧。路由器侧仍保留本地连接记录,方便企业或家庭回溯。默认路径:
/var/log/kuailian/tproxy.log
日志每 24 小时 gzip 一次,保存 7 天。若需更长周期,可在“系统→系统→日志”里把远程日志服务器指向内网 NAS 的 514 端口,即可永久留存。注意:境内《网络安全法》要求留存≥6 个月,若你用于公司网络,务必开启远程日志。
性能观测与验证方法
观测指标
- 延迟:通过路由器内置的“节点测速”页,对比 AI 调度前后 50 次握手均值;
- 丢包:在“状态→实时图表”里看 UDP 丢包率,若>2% 说明节点或上游拥堵;
- CPU:SSH 执行 top,观察 sirq 占比,持续>50% 即触顶;
- 带宽:speedtest-cli 跑三次取中位数,对比未代理时的 90% 视为合格。
可复现步骤
- 关闭代理,记录 baseline:speedtest-cli 三次中位数为 A;
- 开启代理,选同一测速节点,得 B;
- 计算 B/A 比值,若<0.85 说明路由器性能瓶颈;
- 切换手动香港节点,再测三次得 C;
- 若 C/A>0.90,说明 AI 云测选到了高延迟节点,可长期锁定手动。
与第三方 Bot/插件的协同边界
OpenWrt 社区有“第三方归档机器人”可定时拉取节点订阅,但快连官方并未开放 Clash/Surge 格式,使用第三方转换存在密钥泄露风险。经验性结论:若你所在组织需要通过等保测评,应禁用任何第三方订阅转换,仅使用官方插件与源。
适用/不适用场景清单
| 场景 | 是否推荐 | 原因 |
|---|---|---|
| 家庭 200 M 宽带+3 终端 | ✔ 推荐 | 路由器 CPU 足够,日志集中。 |
| 公司 1000 M 光纤+50 员工 | ⚠ 需 x86 软路由 | MT7621 会成瓶颈,需 J4125 以上。 |
| IPTV 组播刚需 | ❌ 不推荐 | TPROXY 抢包,花屏概率高。 |
| IPv6-only 内网 | ✔ 推荐 | 快连已支持 NAT64 透明代理。 |
故障排查速查表
警告:以下步骤均假设你使用官方插件,若曾混装 Passwall、OpenClash,请先卸载,避免 iptables 规则打架。
现象:网页打不开,但 QQ 能用
原因:DNS 污染未劫持成功。验证:nslookup google.com 返回 59.24.3.173 之类假地址。处置:检查“DNS 劫持”是否勾选,或局域网设备手动指定 8.8.8.8 是否被放行。
现象:节点测速全红
原因:路由器本身无法联网。验证:SSH ping www.baidu.com 不通。处置:检查 WAN 口是否拿到 IP,或上游光猫是否绑定 MAC。
现象:CPU 单核 100%,带宽掉半
原因:开启软件流量统计。处置:关闭“实时流量图”或“统计→监控”里的 nft-account,再测速。
最佳实践 10 条
- 刷机前先把原厂分区备份到 /tmp,再用 scp 拷走,防止 brick。
- 订阅码激活后立刻在“账户→设备管理”里重命名路由器,方便手机端识别。
- 大陆白名单每周自动更新,别手动改 /etc/kuailian/china.txt,否则下次更新被覆盖。
- 远程办公场景,把 Zoom/Teams 域名加入直连列表,可减少 20% 延迟。
- 游戏模式虽然延迟低,但带宽只有 50%,下载大文件前切回“下载模式”。
- IPTV 用户务必在“例外网段”填写 239.0.0.0/8,否则花屏。
- 日志服务器用 UDP 514 即可,别开 TCP,防止 NAS 被爆破。
- IPv6 用户关闭“优先 IPv6”,否则 QUIC 握手会走隧道,延迟翻倍。
- 双拨用户先确认主 WAN 稳定,再装插件,避免订阅拉取失败。
- 每年 4 月 1 日涨价前,老用户用“忠诚码”续费可省 50 元,记得设日历提醒。
FAQ:最常见 5 问
Q1:安装后 Luci 页面空白?
A:说明 kuailian-tproxy 依赖的 lua-cjson 未装完。SSH 执行 opkg install lua-cjson,再 /etc/init.d/uhttpd restart 即可。
Q2:能否同时装 Passwall 做分流?
A:官方插件与 Passwall 共用 TPROXY,规则会互相覆盖,导致间歇断网。建议二选一,若必须共存,请把 Passwall 改成 REDIR 模式并禁用 UDP。
Q3:老版本 OpenWrt 19 能装吗?
A:官方源最低要求内核 5.4,19 版为 4.14,直接安装会提示内核不兼容。请至少升到 21.02。
Q4:订阅码能在手机和路由器同时在线吗?
A:单账号支持 12 设备并发,路由器只占 1 名额,手机仍可继续用,无需退出。
Q5:如何确认无日志合规?
A:服务器侧查看官方 2025 年 11 月瑞士 PWC 报告(官网可下载)。路由器侧日志仅保存在本地,不上传,满足《网安法》本地留存要求。
收尾:下一步行动清单
读完本文,你只需做三件事:一、给路由器打分,确认 SoC≥MT7621;二、备份原厂分区,刷 22.03 及以上固件;三、按 6 步装好 kuailian-tproxy,选“大陆白名单”模式,验证 DNS 与延迟。若 CPU 占用仍高,再回头关闭 AI 云测、锁定香港节点,即可在 30 分钟内完成“全局透明代理+本地合规日志”双目标。下一步,把远程日志指向 NAS,设好 6 个月滚动周期,你就可以安心追剧、办公、打游戏,而不用担心“设备超限”或“日志缺失”——这就是 2026 年在 OpenWrt 上跑快连 kuailian 的最大价值。
