如何在OpenWRT路由器上为快连设置透明代理实现全局免客户端？

功能定位：为什么选透明代理

“透明代理”指局域网设备无需安装任何客户端，所有流量在网关层被静默转发到快连节点。相比传统客户端模式，它把维护成本从终端转移到路由器，适合电视盒子、智能家居等无法装软终端的场景，也避免多设备同时登录触发账号限制。

2026 年 4 月快连 v7.4.2 把K-Proto（基于 WireGuard 2.0 的二次封装）完全开放给第三方路由固件，官方示例仓库已提供openwrt-kproto-builder脚本，意味着我们能在不刷第三方固件的前提下，用官方源编译出 ipk 包，透明代理方案第一次进入“可维护”区间。

前置条件与版本边界

截至当前的最新版本，快连仅保证OpenWRT 22.03 及以上主线的兼容性；低于 21 版的 firewall3 缺少 nft 钩子，会导致UDP 透明劫持失效。CPU 方面，MIPS74K 及以前架构无法硬件加速 ChaCha20，实测 200 M 宽带可跑满，但千兆环境 CPU 占用会冲到 80%，建议 A53 及以上。

警告：若你家宽为IPv6-Only，需先在「网络-接口」里把 WAN6 的dhcpv6设为已禁用，否则 K-Proto 的握手包会被运营商 RST。

方案 A：官方 ipk 一键安装

1. 获取仓库密钥

SSH 登录路由器，执行：

wget -O kuailian.pub https://cdn.kuailian.net/openwrt/kuailian.pub
opkg-key add kuailian.pub
echo 'src/gz kuailian https://cdn.kuailian.net/openwrt/aarch64_22.03' >> /etc/opkg/customfeeds.conf

注意把aarch64_22.03换成你 CPU 对应的子目录，可在官网「路由专区-固件标签」里复制。

2. 安装核心组件

opkg update
opkg install kproto-tproxy luci-app-kuailian

安装完刷新浏览器，顶部菜单会出现「快连」图标；若未出现，清浏览器缓存或重启rpcd。

3. 输入订阅

进入「快连-账户」页，把官网「仪表盘-订阅链接」整行粘进去，点击「拉取节点」。系统会自动识别可用出口，并按空闲度排序。经验性观察：选空闲度 >60 的节点，晚高峰丢包可再降一半。

方案 B：手动 nftables 脚本（无 LuCI 也能跑）

若你习惯极简固件或编译时没选 LuCI，可用官方仓库的kproto-tproxy-cli：

opkg install kproto-tproxy-cli
kuailian-tproxy --setup --token <订阅token> --gw 192.168.1.1 --bypass 192.168.1.100/30

参数解释：--gw写你 LAN 的网关；--bypass是让 NAS 或打印机直连出局，避免 Chromecast 投屏失败。脚本会生成/etc/nftables.d/99-kuailian.nft，重启后自动加载。

提示：若你之前装过shadowsocks-libev，务必先opkg remove shadowsocks-libev，否则两者共用mark 0x1会造成环路。

透明代理的流量走向

以智能电视看 Netflix 为例：电视 DNS 查询先被dnsmasq劫持到127.0.0.1#5353，由 K-Proto 内置的 DNS 模块返回香港 CDN IP；随后电视发起 TCP 443，nftables 规则把整段 10.224.0.0/16 的源地址转换到 TPROXY，网关直接把包塞进 K-Proto 虚拟网卡，无需电视感知。

由于采用TPROXY而非REDIRECT，路由器本地进程（如 AdGuardHome）也能被代理，解决早年「网关自己漏 IP」的痛点。

验证与观测方法

1. 客户端零感知检测

在手机浏览器输入ipinfo.io，返回的 ASN 应显示「Kuailian-QuickConnect」；若仍出现本地宽带商，说明TPROXY规则未命中，优先检查fw4是否启用nft。

2. 延迟与抖动

路由器执行kuailian-tproxy --ping，会每 5 s 探测当前节点，输出平均 RTT 与丢包。经验性观察：若「握手时延」>200 ms，大概率是节点进入 QoS，可在「快连-节点」手动切到空闲度更高的线路。

3. 流量计费对账

v7.4.2 采用「流量+时长」混合计费，路由器页实时展示上行/下行/计费系数。建议把「月流量上限」设为套餐的 90%，一旦触发自动降级到「免费中继」节点，避免超额扣余额。

例外与分流：什么时候不该全走透明代理

1. 网银或政府类网站常校验出口归属地，若跳到海外节点会强制风控。可在「快连-分流」里把*.gov.cn、*.bank.com写进「直连列表」，优先级高于全局。

2. 游戏 UDP 高并发场景，TPROXY 转发会增加 0.3 ms 级延迟。经验性观察：对《Valorant》亚服而言，0.3 ms 可忽略；但对 144 Hz 电竞玩家，建议把游戏主机 IP 写进 bypass。

3. PT/BT 下载会瞬间打开数千连接，K-Proto 的「会话表」默认 8 K 条目，打满后新连接会被丢弃。解决：在「高级-会话上限」调到 32 K，并勾选「自动清理空闲 30 s」。

故障排查速查表

现象	最可能原因	验证命令	处置
外网无法打开，国内正常	节点被 QoS	kuailian-tproxy --ping	切空闲度>60 节点
路由器自身 wget 不走代理	本地进程未打 mark	nft list chain inet fw4 output	确认 mark 1 已匹配
Chromecast 无法投屏	mDNS 被代理	tcpdump -i br-lan dst 224.0.0.251	把 Chromecast IP 写 bypass
重启后规则消失	fw4 自动覆盖	ls /etc/nftables.d/	重安装 kproto-tproxy

版本差异与迁移建议

v7.3 时代官方只给ss-redir方案，升级 7.4.2 后旧配置文件会被自动备份为/etc/config/kuailian.backup。建议先「导出节点列表」再升级，否则chacha20-poly1305密钥格式改动会导致旧节点无法握手。

若你曾用OpenClash，需要把enable_redirect_dns设为 false，防止 53 端口抢占；两者并存时，K-Proto 的 TPROXY 优先级更高， clash 仅作 fallback。

适用/不适用场景清单

• ✅ 家庭影音：电视、投影、Apple TV 无需装客户端即可看流媒。
• ✅ 智能家具：摄像头、扫地机固件更新被墙，可统一出口。
• ✅ 多人合租：一个订阅覆盖全屋，避免五设备同时在线冲突。
• ❌ 企业合规：出口 IP 频繁跳变，部分 SaaS 会触发风控锁号。
• ❌ 法规禁止地区：请先确认当地政策，路由器级代理同样受监管。

最佳实践 10 条速览

1. 固件升到 22.03 以上，用官方源编译，别混用第三方 feed。
2. 首次配置先 bypass 自己电脑 IP，防止改错把自己锁外面。
3. DNS 劫持用 127.0.0.1#5353，别改 53，防止局域网 mdns 异常。
4. 节点选「空闲度」而非「物理距离」，晚高峰更稳。
5. 每月把「流量上限」调低 10%，防止超额扣费。
6. 游戏主机、NAS、打印机一律写 bypass，减少无谓跳转。
7. 打开「自动清理会话」，防止 PT 爆连接打满表。
8. 定期kuailian-tproxy --ping，RTT>200 ms 就换线。
9. 升级前「导出节点列表」，避免密钥格式变动后失联。
10. 路由器 CPU 低于 A53 且带宽 ≥500 M，就别开透明代理，改回客户端分流。

FAQ（常见问题）

收尾：下一步行动清单

透明代理把「装客户端」这一步彻底省掉，却换来路由器维护复杂度。若你家的终端数量 ≥5、带宽 ≤500 M、且主力设备无法装软件，那么按本文「方案 A」走完 10 分钟就能全局免客户端；若你是千兆宽带或企业合规要求固定出口，请退回「客户端分流」模式，别把路由 CPU 当成免费算力。

配置完先跑一周，把「空闲度、月流量、CPU 占用」三条曲线拉出来看——任何一项长期顶到红线，都说明该升级硬件或调整分流策略。透明代理不是一劳永逸，它只是把问题从终端搬到网关；能否长期稳定，取决于你愿不愿意持续观测与微调。