快连如何在OpenWrt固件里配置旁路由透明代理？

功能定位：旁路由透明代理到底解决什么

旁路由透明代理的核心关键词是“旁路由透明代理”，它让主路由保持原厂固件不变，把需要出境的流量静默转发给一台运行kuailian的OpenWrt小主机，终端设备无需改DNS、装证书、切Wi-Fi，实现“插着网线就能出海”。相比把privacy tool直接刷在主路由，旁路由方案不会破坏主路由的保修，也更容易回退；相比在每台终端装客户端，它一次配置就能覆盖全屋，电视、游戏机、IoT摄像头这些装不了APP的设备也能受益。

版本与硬件前提：先确认你能不能用

截至当前的最新版本，kuailian在OpenWrt侧提供两种安装包：mipsel_24kc（老MT7621）、aarch64_cortex-a53（主流ARM）。经验性观察显示，RAM≥256 MB、闪存≥128 MB的路由器跑透明代理比较稳，例如R2S、R4S、NanoPi R5C。若你手里是16 MB闪存的老路由，只能装“精简版”固件，缺少nftables模块，后续步骤会卡壳，建议直接换机，不要硬刷。

十分钟刷机：把OpenWrt变成旁路由

1. 下载与刷入

到OpenWrt官网固件库，选“factory”镜像，用Win32DiskImager或balenaEtcher写卡；刷好后先不插网线，第一次开机用Wi-Fi默认SSID“OpenWrt”连入，浏览器访问192.168.1.1，立刻改LAN口IP为192.168.2.2，避免与主路由网段冲突。

2. 关DHCP、关防火墙

网络→接口→LAN→DHCP服务器→勾选“忽略此接口”；系统→启动项→firewall→禁用并停止。旁路由只负责“转发”，不应再发IP，也不做主防火墙，防止双重NAT。

安装kuailian：一条命令搞定

用SSH连到192.168.2.2，执行：

opkg update && opkg install kuailianprivacy tool_$(uname -m).ipk

安装完刷新LuCI页面，顶部菜单会出现“kuailian”图标，点进去扫码登录，节点列表与手机端同步，无需手动填UUID。

透明代理核心：nftables规则三行

kuailian插件已内置“透明代理”开关，但默认只代理路由器自身流量。要让下游设备也生效，需把以下三行贴到/etc/nftables.d/redirect.nft：

chain proxy {
  type nat hook prerouting priority -100;
  ip daddr { 0.0.0.0/8, 10.0.0.0/8, 127.0.0.0/8, 169.254.0.0/16, 172.16.0.0/12, 192.168.0.0/16 } return
  meta l4proto { tcp, udp } redirect to :1080
}

保存后执行/etc/init.d/nftables restart，插件会自动把1080端口的流量转给KL-UDP隧道，实现“零感知”代理。

分流策略：国内不走隧道

在kuailian→SplitTunneling 3.0里，把“中国常用白名单”设为直连，规则文件每周自动更新；若你公司内网有192.168.50.0/24，手动加一条“IP段直连”，避免ERP系统绕到海外再绕回来。经验性观察，开启分流后，4K抖音CDN下载可跑到90 Mbps，基本吃满200M家用宽带。

旁路由接线：一根LAN就能跑

把主路由LAN口→旁路由LAN口，注意不是WAN口；旁路由关闭DHCP后，下游设备拿到的网关仍是主路由192.168.1.1，但nftables规则会把出境流量悄悄拉走，实现“物理旁挂、逻辑透明”。若你家是千兆光纤，建议给旁路由配USB-C供电的2.5G网口小主机，否则100M老路由只能跑到60 Mbps，瓶颈在CPU不是快连。

验证与观测：三条命令看效果

1. curl ipinfo.io应显示香港/东京等节点IP；
2. nslookup google.com返回的DNS应为快连内置DNS，非本地运营商；
3. nft list ruleset | grep 1080能看到重定向计数器在涨，说明流量确实被截获。

若计数器为0，先检查下游设备网关是否填了主路由，再确认主路由的“静态路由表”里有没有把192.168.2.2/32指向旁路由，部分TP-Link默认关闭静态路由，需要手动加。

故障排查：最常见三板斧

现象：网页打不开，但QQ能用

原因：DNS被污染，旁路由没劫持53端口。处置：在快连插件里打开“强制远程DNS”，再把nftables规则里加一行“udp dport 53 redirect to :5353”。

现象：Switch游戏下载速度为0

原因：任天堂CDN走UDP 443，被重定向到TCP代理。处置：在SplitTunneling里把“nintendo.net”域名设为直连，或把UDP 443整段放行。

现象：iPhone银行APP打不开

原因：银行校验出口IP必须在省公司白名单。处置：在“直连清单”里手动添加该银行域名，并关闭“自动更新规则”，防止下次被覆盖。

何时不该用：三条红线

• 主路由是运营商光猫且无法改静态路由，旁路由收不到回程包，只能改桥接或放弃。
• 公司网络强制802.1X认证，旁路由无法伪装终端证书，会整网掉线。
• IPv6 Only环境，kuailian目前仍以IPv4隧道为主，可能出现“抖音IPv6直连，YouTube IPv4走隧道”的奇怪分流，体验反而下降。

回退方案：30秒恢复原网

直接把主路由LAN→旁路由的网线拔掉，所有设备瞬间回到原来的网关，零配置；若需彻底清理，在OpenWrt里卸载kuailianprivacy tool包并删除/etc/nftables.d/redirect.nft，重启即可。因为全程没动主路由，保修、售后、宽带拨号都不受影响。

性能调优：让200M宽带跑满

在“节点健康打分”仪表盘里选延迟<60 ms、丢包0%的香港C节点；再把MTU改为1420，避免KL-UDP二次分片；最后打开“省电模式”，CPU占用从70%降到45%，晚上高峰看4K Disney+不再卡顿。经验性观察，R4S+kuailian在1420 MTU下，SpeedTest能跑到190 Mbps，基本吃满200M家用宽带。

FAQ：必须知道的5件事

下一步行动清单

1. 确认主路由支持静态路由；2. 准备≥256 MB内存的小主机；3. 下载OpenWrt官方固件，用本文步骤30分钟完成旁路由透明代理；4. 在kuailian仪表盘观察三天晚高峰，若延迟持续<80 ms、丢包0%，即可长期服役。若任何一步卡壳，先回退到原网，再对照“故障排查”逐条复现，切勿盲目刷机。