功能定位:为什么要在路由器里做“设备级”分流
在快连 privacy tool 的语境里,“智能分流”默认指PAC 规则——让大陆地址直连、海外地址走加密隧道。可当家里同时出现 Apple TV 刷 Netflix、NAS 挂 PT、公司电脑推 Git 这三股流量时,全局 PAC 容易“该直走的被绕路、该加速的却直连”。把规则下沉到终端设备,就能让每台硬件拥有独立策略,既降低延迟,也避免带宽互抢。
快连官方 OpenWrt 插件(下文简称 QuickLink-OW)在 2026-03 更新中把“Device Policy”做成图形化卡片,不再需要手写 iptables,同时保留“自定义代码注入”入口给进阶玩家兜底。本文以性能与成本为衡量准绳,给出“三步法”+“两验法”,确保新手一次跑通,老手可衡量 ROI。
前置清单:硬件、固件与账号边界
1. 路由器型号与性能阈值
经验性观察:NAT 转发性能>500 Mbps 的 ARM 四核路由(如 Redmi AX6000、GL.iNet MT6000)在开启五设备并发分流后 CPU 占用仍低于 45%;若整机转发能力<400 Mbps,晚高峰 4K 流可能出现卡顿。验证方法:在系统→实时负载里持续 ping 1.1.1.1,若 rtt 抖动>30 ms,即视为瓶颈。
2. 固件版本与插件来源
截至目前的最新版本:QuickLink-OW 插件需运行在OpenWrt 22.03 及以上,内核≥5.10;官方只提供ipk 离线包,并未集成在第三方固件内。安装前请确认剩余 ROM>8 MB、RAM>100 MB,否则策略重载时会提示“Segmentation fault”。
3. 账号套餐与在线数
快连允许5 终端同时在线,但路由器插件只占用 1 个槽位,因此下游挂多少设备都不会额外扣槽。若你已在手机、电脑端占满 5 槽,需先下线 1 台,否则插件无法握手,日志里会出现“license exceed”红字。
三步法:MAC 绑定→策略分配→优先级排序
Step 1 一键导入终端列表
- 登录 LuCI→服务→QuickLink→Device Policy,点击“扫描在线客户端”。
- 插件会回写 DHCP 租约表,自动识别设备名、MAC、IP;对于 iPhone 等匿名主机,可手动备注“iPhone-14-Pro”。
- 勾选“记住此设备”,后续即使 IP 变化也能追踪。
提示:若终端使用随机 MAC,需在手机 Wi-Fi 详情里关闭“私有地址”,否则每次连入都会被当成新设备,策略失效。
Step 2 给每台设备挑“路线”
QuickLink-OW 提供 4 种预设模板:游戏专线/流媒体/大陆直连/全局代理。选中设备→下拉菜单→保存,后台会生成一条 nftables 规则,以 MAC 为匹配键,跳转到对应策略链。若想细化到“域名级”,可点击“高级”追加 v2ray 规则集,插件会自动转译成 nft 语法,无需自己写。
Step 3 用“优先级”解决冲突
当两台设备共用同一目标 IP(如 Zoom 服务器),而策略不同,需把高优先级设备拖到列表上方。LuCI 支持拖拽排序,数字越小越先生效。经验性观察:把公司电脑放在第 1 位,可保证晨会时段带宽不被 Apple TV 抢占;反之若把 NAS 放首位,PT 下载会拖慢全屋网页打开速度。
平台差异:手机/PC/路由器后台路径对照
| 平台 | 最短入口 | 备注 |
|---|---|---|
| Android | 侧边栏→路由器管理→设备分流 | 需与路由器在同一网段,否则扫描不到 |
| iOS | 设置→实验室→路由器插件 | 首次使用需扫码绑定,后续自动记忆 |
| Windows | 托盘图标右键→管理路由器 | 若提示 502,请把管理口从 80 改到 8080 |
| macOS | 顶部菜单→路由器控制台 | 与 Windows 逻辑一致,UI 字体略大 |
验证与观测:两条日志、一张图表
1. 实时日志
在状态→系统日志过滤器里输入“quicklink”,可看到“MAC=* device=* policy=*”三元组。若策略未命中,会回退到“default”链,此时延迟通常增加 20–40 ms,可当作警报阈值。
2. 流量图表
LuCI 自带Statistics→Traffic,选中“by policy”标签,可对比“游戏专线”与“大陆直连”两条折线。若游戏专线折线在晚高峰仍保持平稳,而大陆直连折线随 IPTV 波动,说明策略生效。
例外与取舍:什么时候不该用设备分流
- 终端数量>30 台:nftables 规则膨胀至 200+ 条,每次重载需 8–10 秒,可能让游戏瞬时掉线。此时建议改用“网段+端口”混合策略。
- Mesh 网络:若子节点跑的是 Easymesh 协议,MAC 地址经过层层桥接后被改写,Device Policy 会识别成“未知”。解决方法是把规则下放到主路由,关闭 Mesh 层的 NAT。
- 合规场景:公司内网若强制 802.1X 认证,MAC 白名单由上层交换机管控,随意修改可能导致整屋断网。此时应让公司电脑单独走物理 VLAN,而非软件分流。
故障排查:现象→原因→处置速查
| 现象 | 最可能原因 | 验证与处置 |
|---|---|---|
| 某设备突然走“全局代理” | MAC 随机化导致识别失败 | 关私有地址→重新绑定→置顶优先级 |
| 策略保存后 3 秒自动回滚 | 剩余 RAM<10 MB,nft 无法 commit | 关闭 unused 插件,或加 USB 扩展 swap |
| 游戏延迟高,但日志显示命中“游戏专线” | 上游节点晚高峰拥堵 | 手动切换至“中亚”冷门节点,再跑一局测延迟 |
最佳实践 10 条:决策检查表
- 先给“必须稳定”的终端(公司电脑、NAS)设策略,再给“可容忍实验”的设备(平板、客人手机)加规则。
- 每新增一条策略,顺手在备注里写“日期+原因”,三个月后回来看,能砍掉 30% 无效规则。
- 把“大陆直连”设为最低优先级兜底,可避免未知设备误走隧道导致卡顿。
- 若家里 100 M 上行小水管,优先用“带宽封顶”而非“分流”,因为瓶颈在出口而非路径。
- 定期把 Statistics 图表导出 CSV,用 Excel 拉 95th 延迟,比看瞬时峰值更客观。
- 当插件提示“内核模块缺失”,先 opkg update,再装 kmod-nft-core,不要一键重装全部。
- Mesh 用户务必关闭“AP 隔离”,否则 Device Policy 扫描不到子节点客户端。
- 远程帮父母排障时,用 Android 扫码即可进入路由器后台,比 TeamViewer 进电脑更直接。
- 若需 IPv6 分流,先在“网络→接口”把 WAN6 设成 DHCPv6 客户端,再在策略里勾“IPv6 同时匹配”。
- 任何时候改完策略,先跑 30 秒 ping 再下结论,给 nft 重载留足收敛时间。
FAQ:3 个最常被问到的细节
设备改名后策略会失效吗?
不会。QuickLink-OW 以 MAC 为唯一键,改名仅影响可读性,不影响 nft 规则。
能不能按应用而不是设备分流?
目前插件只做到“设备+目标域名”二维,未实现“进程级”识别。需要更细粒度可让终端自己跑 Clash,再把出站交给路由器。
规则上限是多少?
经验性观察:nft set 元素在 2048 条以内重载时间<2 秒;超过 4096 条可能触发内存溢出。家用 30 设备以内无需担心。
收尾:下一步行动建议
如果你刚把快连 privacy tool 装进路由器,却苦于“一机掉线,全屋跟着卡”,不妨先给三核心设备(电视、工作电脑、游戏机)各建一条策略,用本文的“日志+图表”双验证跑一周。确认延迟、带宽都达标后,再逐步扩展到全屋 20+ 终端。记住:分流不是越多越好,而是让关键流量永远走在最闲的专线上。下次晚高峰,别人喊卡的时候,你只管开 4K 杜比视界。
