如何在快连路由器插件中设置仅指定设备走代理？

功能定位：为什么只要“部分设备”走代理

在多人共享的同一条宽带上，跨国会议、海外支付与本地高清流媒往往并存。把全部流量一股脑扔进加密通道，既浪费带宽，也可能触发合规审计。快连路由器插件的“设备级白名单”把决策粒度从“整网”细化到“单 MAC”，让指定设备走代理成为默认策略，其余终端依旧直连，延迟与成本双降。

这一思路的本质是“按需付费”：让高价值、低延迟容忍的业务走优质出口，让大流量、低敏感的业务留在本地 ISP，既避免“全锅端”带来的性能税，也为企业节省按流量计费的加密通道账单。

版本与兼容性前提

经验性观察：v4.8.0 及之后固件才在 Web 后台开放“设备分流”独立页签；若后台左侧菜单无“Per-Device Policy”，请先升级路由器插件至 4.8.0 以上，或在“系统管理-固件更新”里手动刷入 2025-11-12 后发布的 bin 包。低于此版只能全局开关，无法按 MAC 精细拆分。

升级前建议完整备份配置：在“系统管理-备份/恢复”点“导出”，bin 文件保存到本地；若跨大版本号（如 4.7→4.8）出现兼容提示，优先选择“不保留配置”刷入，再手动导入白名单，可避免旧规则残留导致 nft 语法冲突。

操作路径（最短入口）

桌面 Web 端

1. 浏览器访问路由器网关，如 192.168.50.1
2. 左侧“快连插件”→“设备分流”
3. 在“未走代理”列表勾选目标设备，点击“添加至白名单”
4. 右上角“保存并生效”，约 3 秒后策略下发热点，无需重启路由器

首次进入“设备分流”页时，插件会扫描 DHCP 租约与 ARP 表，将 24 小时内活跃的终端全部列出；若某台设备未开机，可点击“手动添加”输入 MAC，再自定义备注名，方便后续识别。

手机 App 端（iOS/Android）

1. 打开“快连”App → 底部“设备”页
2. 选择已绑定的“路由器”卡片 →“智能分流”
3. 点“添加设备”，从在线列表选中终端，开关“仅该设备走代理”
4. 返回即自动保存，App 会弹出“策略已同步”

移动端 UI 把“设备图标”与“实时速率”放在一级页面，方便你在地铁里就能确认财务电脑是否正在走加密通道；若发现图标灰色，代表终端离线，规则仍保留，待其再次上线即自动生效。

核心参数解释

白名单生效后，路由器会在本地 nftables 插入一条“mark 0x10”规则，被 mark 的数据包强制进入 tun0 加密通道；未命中 mark 的流量仍走默认 WAN。该标记仅对本机生效，不随 DHCP 变化而变化，因此即使手机次日拿到新 IP，策略依旧保持。

经验性观察：mark 0x10 属于插件私有掩码，与用户自定义的 QoS 规则互不干扰；但如果你曾手动写过 nft 脚本，务必避开 0x10–0x1F 区间，以免被覆盖。

场景示例：把财务电脑单独隔离出去

公司 30 人共用 300 Mbps 宽带，财务需每日连接海外 Stripe API。将财务电脑 MAC 加入白名单后，其 HTTPS 长连接走香港节点，延迟 42 ms；其余员工看腾讯视频、跑本地 SVN 仍使用直连，晚高峰测速无掉速。月度流量账单显示，加密通道消耗仅 42 GB，比“全局代理”节省 68% 流量费。

示例：若财务同时需要访问国内网银，可在“分流规则”里追加一条“GEOIP CN 直连”优先级高于 0x10，这样访问国内 IP 时 mark 被重置，不走加密，避免网银 UA 校验失败。

常见分支与回退方案

分支 1：设备改名后规则失效？

规则绑定的是 MAC，与主机名无关；若误删网卡或更换 USB 转接器，MAC 变化会导致漏匹配。解决：在“设备分流”页开启“当新 MAC 上线时邮件提醒我”，发现陌生终端即时更新。

分支 2：想临时关闭单设备代理？

无需删除规则，把该设备开关切回“直连”即可，30 秒内生效；恢复时再切回“走代理”。全程不影响其他终端。

不适用场景清单

• 终端 MAC 随机化（如 iOS 私有 Wi-Fi 地址）频繁变化，会导致规则漂移。建议关闭“私有地址”或在 DHCP 端分配静态 IP+固定 MAC 绑定。
• 需要进程级拆分（仅让 Photoshop 更新走代理，其余流量直连）——路由器插件尚不支持进程名识别，应改用桌面客户端的分流。
• IPv6 Only 环境：当前插件 v4.8.0 的 nft 规则仅匹配 IPv4 mark，IPv6 会透传直连；若业务强制 v6，请等待后续 5.x 正式版。

经验性观察：部分 Android 13 机型默认开启“每个 SSID 随机 MAC”，可进入 WLAN 详情页关闭“随机化 MAC”选项，即可确保规则长期有效。

性能与成本阈值参考

经验性观察：单台路由器（MT7981B 双核 A53）在 500 Mbps 下行、白名单设备 10 台以内，CPU 占用增加 6%–9%；超过 20 台同时在线并启用 DPI 时，软转发性能会掉到 380 Mbps。若带宽 ≥ 1000 Mbps，建议改用工控机或关闭 DPI，保持余量。

成本端：以某云厂商香港节点 0.05 USD/GB 为例，把 15% 流量扔进加密，1 TB 月流量仅增加 50 USD，远低于全量加密 300 USD；若再配合“GEOIP CN 直连”，费用可再降 20%。

验证与观测方法

1. 路由器后台“实时流量”页，可看到单设备曲线颜色区分：蓝色为直连，橙色为加密。
2. 在白名单设备打开 ipinfo.io，若显示“Hong Kong, China”且 AS 号为快连自有骨干，即证明规则生效。
3. ssh 进路由器，执行 nft list ruleset | grep 0x10 若返回“meta mark 0x00000010”计数器持续增长，说明匹配正常。

示例：想确认财务电脑是否只走加密，可在该终端连续 ping 8.8.8.8，再回到路由器执行 nft list counter inet fw4 perdev_mark，若 counter 包数与 ping 包数一致，即验证无误。

故障排查速查表

现象	可能原因	处置
白名单设备依旧显示本地 IP	浏览器缓存旧页面	Ctrl+F5 强刷，或换无痕窗口
规则保存后 3 秒又自动清空	固件只读分区损坏	重刷 4.8.0 完整包，不保留配置
MAC 正确但流量仍走直连	“全局模式”被误设为代理	改回“直连优先”，再保存

最佳实践 6 条

1. 先给每台终端命名再开规则，三个月后你仍能一眼认出“谁是谁”。
2. 财务、开发、老板电脑优先放白名单，普通行政人员保持直连，节省并发授权数。
3. 定期把“加密流量/总流量”比值控制在 15% 以内，可让账单保持线性可预测。
4. 打开邮件告警，当某台白名单设备 24h 零流量，可能 MAC 已变，需要更新。
5. 若节点晚高峰丢包 > 2%，把白名单切到 TCP-443 端口，牺牲 5% 延迟换稳定。
6. 每季度导出一次规则（“备份/恢复”页），路由器硬复位后可 30 秒还原。

未来趋势与版本预期

官方论坛 2026-01 的“早期体验计划”提及，v5.0 正式版将支持“用户组”维度，把 MAC 绑定到 LDAP/钉钉组织架构，届时可一键给“整个财务部”下发代理策略，无需逐台维护。IPv6 mark 也在内测，预计 2026-Q3 进入公测。若你现在就急需 IPv6 分流，可先用桌面端 5.0 TestFlight 过渡，路由器端继续等待。

常见问题

白名单设备更换网卡后规则失效怎么办？

规则按 MAC 绑定，网卡更换后 MAC 变化会导致漏匹配。开启“新 MAC 上线邮件提醒”，收到告警后进入“设备分流”页，删除旧 MAC、添加新 MAC 即可，全程 30 秒生效。

能否让同一台设备的指定应用不走代理？

路由器插件目前仅支持 MAC 级分流，无法识别进程。若需应用级拆分，请在终端侧安装快连桌面客户端，使用“应用分流”功能；路由器端保持该设备直连即可。

升级到 4.8.0 后找不到“设备分流”页签？

缓存可能导致左侧菜单未刷新。强制刷新浏览器缓存或换无痕窗口；若仍不显示，请确认刷入的固件为 2025-11-12 之后发布的完整包，增量 OTA 偶发漏装插件。

结论

指定设备走代理不是炫技，而是把昂贵通道用在刀刃上。快连路由器插件用 MAC 级白名单把“谁走加密”这件事降到 3 步点击，同时给出 nft 计数器与流量图让你可验证、可回退。只要遵循“直连优先、白名单例外”原则，你就能在延迟、合规与账单之间取得平衡，并给未来 v5.0 的组织级策略打下干净的基线。