快连怎样在路由器固件中配置透明代理?
在OpenWrt固件中启用快连透明代理,实现局域网设备无感加速,兼顾游戏、流媒体与远程办公。
功能定位:为什么要在路由器里“透明”
把 kuailian(QuickLink privacy tool)从手机、电脑搬到路由器,最大的诱惑是“透明”二字:接入 Wi-Fi 的电视、NAS、游戏主机无需再装客户端,就能自动走加速通道。2026 年 3 月发布的“家庭无感旁路”模式,本质是把原先客户端里的 AI-Route、分应用代理、RAM-Only 隐私链下沉到网关层,由一台 OpenWrt 路由器统一调度。对运营者来说,一次性解决多设备、多系统、多账号的维护成本,也避免了移动端后台被系统休眠导致的掉线。
但透明代理并非“全局翻”那么简单。它要求内核至少具备 Netfilter、Tproxy 或 nftables 转发能力,同时需要 DNS、IPv6、UDP 打洞等配套策略,否则会出现局域网打印机失联、网银提示“环境风险”等副作用。下文以 OpenWrt 22.03 及以上版本为例,给出一条“最短可达路径”,并在每一步标注“为什么必须做”与“什么时候不该做”。
前置检查:软硬件红线
硬件性能底限
经验性观察:若家中宽带 ≥500 Mbps,CPU 最好为 ARM Cortex-A53 四核 1 GHz 或 MIPS 880 MHz 双核以上,RAM ≥512 MB,否则在晚高峰 4K 串流+游戏更新并行时,软转发会吃满单核,导致延迟抖动 >30 ms。验证方法:先在原厂固件下用 speedtest 跑满带宽,若 CPU 占用已 >70%,则不建议再加透明代理。
固件版本与内核模块
OpenWrt 22.03 之后默认用 nftables,旧版 18.06 仍用 iptables。快连官方插件包同时提供两种规则模板,但安装包体积差 3 MB;若闪存 <16 MB,请先执行 opkg list-installed | grep -E "nft|ipt" 确认已用哪种框架,再下载对应版本,避免“装得上、跑不通”。
最短可达路径:15 分钟装完
1. 获取路由器插件包
登录快连官网→顶部导航“下载”→“路由器”→选择“OpenWrt(nftables)”或“OpenWrt(iptables)”。页面会随最新版本滚动更新,文件名通常为 quicklink-router-ramonly-*.tar.gz,体积约 9 MB。下载后无需解压。
2. 上传并安装
OpenWrt 后台→系统→文件传输→选中 tar.gz→上传。SSH 登录路由器,执行:
cd /tmp opkg install quicklink-router-ramonly-*.tar.gz /etc/init.d/quicklink enable
安装脚本会自动拉取 kmod-tun、kmod-nft-tproxy(或 kmod-ipt-tproxy)、ca-bundle 等依赖。若提示“kernel version mismatch”,说明固件内核与官方驱动不一致,请换用同内核 SDK 重新编译,或直接用官方提供的 sysupgrade.bin 一体包。
3. 导入账号与节点
电脑端登录快连→侧边栏“订阅共享”→复制“路由器专用 token”(格式为 qklt_32 位字符串)。回到 OpenWrt→服务→QuickLink→基础设置→粘贴 token→保存并应用。插件会立即拉取 3200+ 节点列表,并写入 /etc/quicklink/nodes.json,整个过程在数十秒内完成,视带宽而定。
4. 开启透明代理
同一页面→“透明代理”标签→勾选“启用 Tproxy”→选择“AI-Route”或“手动指定节点”。若局域网有 PS6、Xbox Next,建议先选“AI-Route 稳定优先”,避免晚高峰跳 IP 导致 NAT 类型回落。保存后,插件会自动注入 nft 规则:
chain QL_DIVERT {
type filter hook prerouting priority 0; policy accept;
ip daddr { 192.168.0.0/16, 10.0.0.0/8 } return
meta l4proto { tcp, udp } tproxy to :9898 accept
}
此时所有 TCP/UDP 流量会被重定向到本地 9898 端口,由 quicklink-daemon 接管,实现“无感”。
例外与分流:让打印机、网银走直连
国内绕行列表
QuickLink 插件已内置“国内 IP 段+常见网银域名”白名单,每天凌晨 4 点自动更新。若公司内网还有 192.168.100.x 的打印机,可在“透明代理”→“自定义绕行”里追加一行 192.168.100.0/24,保存即生效,无需重启服务。
IPv6 场景
若运营商给的是 IPv4/IPv6 双栈,务必在“高级”→“IPv6 透明代理”里选“仅加速 AAAA 解析”,否则会出现“能打开 Google 首页却刷不出 YouTube 视频”的怪象。原因是部分 CDN 节点优先返回 IPv6,但透明代理规则只写了 v4,导致首包走了隧道,后续大流量却直连,被 CDN 判定为“地域跳跃”而限速。
验证与观测:3 条命令确认成功
- 在路由器里
logread -e quicklink | grep "node_selected",应看到类似“node_selected: SG-Singapore-05 latency 42 ms”字样,说明 AI-Route 已生效。 - 局域网电脑开 cmd 执行
nslookup google.com,返回的 Non-authoritative answer 地址应为海外段,且 TTL ≤60,表明 DNS 也走了隧道。 - 打开 fast.com 测速,若比裸宽下降 <10%,且延迟增加 <20 ms,即属正常;若下降 >30%,多半是 CPU 软中断跑满,可尝试在“设置→性能”里关闭“超大包分片重组”。
回退方案:30 秒恢复原厂路由
万一出现局域网设备大面积掉线,可 SSH 执行 /etc/init.d/quicklink stop,插件会自动清空 nftables/iptables 规则,恢复直连;若需彻底卸载,执行 opkg remove quicklink-router 即可,系统不留残余内核模块。
副作用与缓解
- 网银风控:AI-Route 切换节点时,IP 可能从新加坡跳到智利,触发部分银行“环境异常”。缓解:在“绕行列表”里添加 *.ccb.com.cn、*.abchina.com,或把收敛等级调至“稳定优先”。
- P2P 上传回落:BT 做种依赖 Port Forwarding,若节点不支持,上传速度会回到原带宽。缓解:在“节点筛选”里勾选“支持 P2P”,插件会优先分配带端口映射的 RAM-Only 服务器。
- IPv6 泄漏:Windows 11 默认开启“IPv6 优先”,若路由器未下发 v6 DNS,会导致真实地址暴露。缓解:在 LAN 口 DHCPv6 里把 DNS 设为
fd00::1,让客户端强制走路由器的 IPv6 DNS 转发。
适用/不适用场景清单
| 场景 | 建议 | 理由 |
|---|---|---|
| 家庭宽带 ≤300 Mbps,终端<10 | 推荐 | CPU 占用<40%,NAS、电视、游戏机同时加速无压力 |
| 公司 SD-WAN,需固定出口 IP | 不推荐 | AI-Route 会跳 IP,无法满足白名单准入 |
| 校园网,需网页认证 | 慎用 | 透明代理会把认证流量也转走,导致无法弹出认证页 |
| 直播上行>10 Mbps,需稳定推流 | 推荐+手动节点 | 关闭 AI-Route,手动选“香港-02”这类低负载节点,可保持固定 RTT |
最佳实践 10 条速查表
- 闪存<16 MB 老路由,优先刷官方“精简版”固件,再装 quicklink-mini 包,节省 4 MB 空间。
- 更新节点列表前,先备份 /etc/quicklink/nodes.json,防止误删自建节点。
- 每季度检查一次“国内绕行”是否被自动更新覆盖,特别是公司内网网段。
- 若玩外服游戏,先在客户端测出最低延迟节点,再回路由器里锁定,避免 AI-Route 在团战时切线。
- IPv6 用户务必在“高级”里打开“强制 IPv6 透明代理”,否则会出现“能登录 PSN 却无法联机”的怪象。
- NAS 做 PT 站种子,务必勾选“支持 P2P”节点,并在“端口映射”里填写随机高端口,减少红种。
- 出现局域网打印机失联,优先把打印机 IP 加入“绕行”,而不是关闭全局代理,减少反复切换。
- 若需远程 SSH 路由器本身,请把 22 端口加入“管理端口绕行”,否则会被转发到海外,延迟高且触发 fail2ban。
- 每周用
top -d 1观察 quicklink-daemon CPU 占用,若持续>70%,考虑换 AArch64 高性能路由。 - 升级固件前,先用
sysupgrade -b backup.tar.gz记录修改文件,升级后对比,防止配置被重置。
FAQ(结构化数据)
装完插件后,局域网设备无法获取 IP?
大概率是 DNSMasq 配置被覆盖。进入“网络→DHCP/DNS→高级设置”,把“忽略解析文件”取消勾选,保存即可恢复。
AI-Route 频繁跳 IP,网银被锁怎么办?
在“透明代理→收敛等级”里选“稳定优先”,或把网银域名加入“绕行列表”,强制走国内直连。
如何确认 IPv6 没有泄漏?
电脑访问 test-ipv6.com,若显示“IPv6: No”或地址为 fd00 内网段,即说明成功;若出现 240e/2001 公网段,则需在路由器里开启“IPv6 透明代理”。
可以只让电视走加速,手机走直连吗?
可以。在“客户端分流”里添加电视的 MAC 地址,策略选“代理”;其余设备选“绕行”,保存即生效。
升级 OpenWrt 后插件消失?
sysupgrade 会清空 /tmp 与 /overlay 外的文件。升级前用 sysupgrade -b backup.tar.gz 备份,升级后再手动装一次插件,配置会随备份自动恢复。
总结与下一步
把 kuailian 做进 OpenWrt 透明代理,本质是把“加速”从应用层下沉到网络层,换来的是全屋设备无感体验,代价是硬件性能、IPv6 细节、分流策略的额外维护。若你家终端>5、带宽>300 Mbps,且愿意花 15 分钟做一次性配置,收益明显;若公司需要固定出口 IP 或校园网需网页认证,则应退回客户端模式,避免反客为主。
下一步行动:先用旧路由+备用宽带做灰度测试,跑满一周观察 CPU、延迟、打印机可用性;确认无异常后,再把主路由切过去,并把 token 升级为“家庭共享”子账号,与室友/家人拆分流量,最大化 3200+ 节点的使用效率。