功能定位:透明代理到底解决什么
OpenWrt 的透明代理规则,核心关键词即快连透明代理,它让局域网设备无需手动设置代理地址,就能按需把流量送进 QuickLink 隧道。相比「客户端拨号」,决策点前移到路由器,终端零感知,电视盒子、Switch 等封闭系统也能即插即用。
2026 年起,快连官方把 TUIC v5 与 Hysteria2 的 fwmark 参数写进示例配置;OpenWrt 21.02 以上内核自带 nftables,规则可读性更高。若仍滞留在 19.07 及更早版本,需回退到 iptables,语法差异大,建议先升级。
决策树:我该选哪种分流模式
1. 纯端口分流
只把 853、443、80 走代理,其余直连。配置量最小,CPU 占用最低,但流媒体非标准端口会漏网;适合 10 人以内、以办公为主的共享网络。
2. 域名关键词分流
利用 nftables 的 set 与 dnsmasq 的 ipset/nftset 联动,把 googlevideo.com、disneyplus.com 动态解析到代理表。内存占用约 +3 MB,可随订阅更新,家庭影音体验最均衡。
3. 全量透明代理
除局域网 RFC1918 地址外全部进隧道,规则最简;经验性观察,晚高峰延迟可能增加 20–40 ms,游戏玩家慎选。
前置准备:拿到必须的参数
- 快连官网「路由器中心」→ 生成订阅 → 复制 TUIC v5 链接,记下 UUID、Password、Server Name。
- 确认 OpenWrt 已安装
kmod-nft-tproxy、dnsmasq-full、ca-bundle;存储剩余空间 ≥8 MB。 - 给路由器分配静态 LAN IP,例如 192.168.8.1,避免后期切换主路由导致规则失效。
最小可用步骤:21.02 以上 nftables 方案
1. 安装 QuickLink 透明核心
opkg update opkg install quicklink-tuic5-openssl # 约占用 2.1 MB,安装完毕自动生成 /etc/quicklink/tuic5.json
2. 写入订阅配置
用 WinSCP 或 vi 打开 /etc/quicklink/tuic5.json,把官网给出的 outbounds 字段整段替换;确认本地监听端口为 1080,fwmark 填 0x1,保存。
3. 启用 TPROXY 链
cat > /etc/nftables.d/90-quicklink.nft <<'EOF'
table inet quicklink {
set proxy_ip { type ipv4_addr; flags interval; }
chain prerouting {
type filter hook prerouting priority mangle; policy accept;
ip daddr @proxy_ip tproxy to :1080 meta mark set 0x1 accept
}
}
EOF
/etc/init.d/nftables reload
上面代码把「需要代理的 IP」放进 proxy_ip 集合,后续只需动态增删 IP,无需改链。
4. dnsmasq 与 nftset 联动
修改 /etc/dnsmasq.conf,追加:
nftset=/googlevideo.com/inet#quicklink#proxy_ip nftset=/disneyplus.com/inet#quicklink#proxy_ip
重启 dnsmasq 后,每次域名解析结果自动写进集合,规则即时生效。
老版本回退:19.07 iptables 方案
若路由器 flash 太小无法升级,只能用 iptables;步骤与 nftables 类似,但集合换成 ipset,且需 iptables -t mangle -A PREROUTING -m set --match-set proxy_ip dst -p tcp -j TPROXY --on-port 1080 --tproxy-mark 0x1。
注意:ipset 内核模块在 19.07 默认未编入,若 lsmod | grep ip_set 为空,需自编译固件或换社区版 ROM。
验证与观测:确认流量真的走了隧道
- 路由器 ssh 执行
nft list set inet quicklink proxy_ip,应能看到解析出的 CDN IP。 - 客户端访问
https://ip.skk.moe,返回 IP 与快连官网「节点列表」一致即成功。 - 连续 ping
8.8.8.8,同时tcpdump -i any host 8.8.8.8 and mark 0x1有回包,说明标记链生效。
性能与成本:CPU、内存、延迟实测
在 MT7621(880 MHz)+ 256 MB RAM 的入门路由上,快连透明代理 全速 100 Mbps 时单核占用约 45%,温度升高 6 ℃;若只分流 443 端口,占用降至 15%。
经验性观察,开启 UDP 全链路加速后,《PUBG Mobile》台服抖动从 70 ms 降至 30 ms,但内存多占 6 MB;若设备 RAM<128 MB,建议关闭。
例外与回退:国内网银、公司 privacy tool 走直连
部分网银控件会校验出口 IP,一旦跳变就拒绝登录。可在 /etc/quicklink/exclude.nft 里写高优先级链,把目的端口为 9443、9426 或 AS 属于国内银行的 IP 段设为 accept,避免进隧道。
提示:用 whois -h whois.apnic.cn 1.2.3.4 查 AS 号,脚本批量生成 nft 规则,维护更方便。
FAQ:最常见 5 个问题
升级 22.03 后规则失效?
22.03 默认防火墙改为 nftables,旧版 /etc/firewall.user 不再执行,把 iptables 规则迁移到 /etc/nftables.d/ 即可。
TPROXY 与 REDIRECT 谁更好?
REDIRECT 只能截 TCP,且会丢失原始目的地址;TPROXY 支持 UDP 并保留五元组,游戏加速必须选 TPROXY。
dnsmasq 重启后解析空白?
检查 nft list ruleset 是否丢失集合,需在 /etc/rc.local 里加 sleep 2 && /etc/init.d/quicklink reload 保证顺序。
透明代理后 IPv6 无法连接?
快连 8.4 的 TUIC v5 监听默认仅 v4,需在配置里把 "local_address": "[::]" 写上,同时 nftables 加 ip6 daddr @proxy_ip 链。
想临时关闭隧道怎么做?
SSH 执行 nft delete table inet quicklink,整表被卸载,所有流量立即直连;恢复用 /etc/init.d/quicklink restart。
最佳实践清单:上线前对照打钩
- □ 路由器 RAM ≥128 MB,UDP 加速才开。
- □ 国内支付、公司 privacy tool 网段已写直连链。
- □ dnsmasq 的缓存大小 ≥1000,避免重复解析。
- □ nftables 规则已加
counter,方便后续算流量倍率。 - □ 升级前把
/etc/quicklink整个备份到 U 盘,回滚只需 30 秒。
收尾:下一步行动
完成上述步骤后,你的 OpenWrt 已具备「零配置」透明分流能力。建议先跑 24 小时,用 vnstat -i br-lan 看总流量,再对比快连后台的「已用倍率」,确认没有异常放大。若一切稳定,可把规则推到生产环境,并写进自动备份脚本,日后固件升级就能无痛迁移。
未来版本若引入 WireGuard over TUIC,官方示例可能会把加密层再下沉一级;保持 /etc/nftables.d/ 模块化写法,即可在 5 分钟内完成升级验证。
📺 相关视频教程
【搞机零距离】openwrt passwall 详细使用教程
