如何在OpenWrt上为快连快连配置透明代理？

功能定位与版本演进

📺 相关视频教程

【建议收藏】一个视频讲清楚所有局域网共享科学上网方法，让家里所有网络设备无需安装代理工具即可翻墙，没有软路由怎么让全家科学上网？http代理/socks代理/透明代理/WIFI热点，总有一种方法适合你

2026 年初的快连 v6.3.0 把 QUIC+UDP over TLS 1.3 做进了“极速模式”，官方实验室数据平均再降 18 ms；对家用路由而言，最有价值的并非客户端多漂亮，而是能否在网关层把流量悄悄接管，让底下所有终端“零感知”享受 AI 选路 2.0。透明代理正是为此而生——它工作在三层/四层，不替设备装证书、也不改系统代理设置，就能完成“国密+量子双栈”的接入。本文只讨论 OpenWrt 23.05 及以后版本，其他固件因 nftables 语法差异较大，不在此展开。

与 TUN 模式相比，透明代理的好处是免客户端、跨平台，连打印机、摄像头这类封闭系统也能被“顺带”加速；代价是配置链更长，一旦规则写错，局域网直接失联。下文用“指标导向→方案 A/B→监控验收”递进，给出可复现步骤与回退脚本。

核心指标与验收门槛

先定义“成功”：① 延迟下降 ≥10 ms（对比同节点 TUN 客户端）；② CPU 占用 ≤30%（单核 MIPS 880 MHz 为例）；③ 48 h 内零掉线。验收工具用快连内置的“链路质量 API”+ OpenWrt 实时流量图；经验性观察发现，只要 TTL 抖动 <5 ms，Netflix、企业 ERP 就不会报“代理检测”。

场景示例

一家跨境小电商，深圳办 18 人+8 台摄像头，晚高峰走 IPLC 专线月费 4 万；换成 1000 M 家宽+透明代理后，带宽成本降到 1.2 万/月，AI 选路 2.0 把 ERP 延迟稳在 38 ms，摄像头掉线率从 2% 降到 0.1%。

前置条件与硬件边界

1) 路由器需 ≥128 M RAM，闪存 ≥32 M，否则 QUIC 握手会 OOM；2) 内核 ≥5.10，iptables 1.8.8+，dnsmasq 2.89+（dnsmasq-full 含 ipset 支持）；3) 上游光猫必须桥接，否则双重 NAT 会让透明代理规则失效；4) 已备案企业账号，否则国密证书无法下发。

何时不该用

① 内网已有 AD 域控+组策略强制代理，再叠加透明代理会“代理回环”；② 需要 L7 审计到文件哈希——透明代理只能拿到 IP/端口，无法解析 HTTPS 内容；③ 路由 CPU 为单核 580 MHz 以下，开 QUIC 后软中断飙红，不如退回 TUN 客户端。

方案 A：纯 iptables + TPROXY（推荐）

TPROXY 是 Linux 3.x 就存在的透明代理钩子，能让快连内核模块（kwarp.ko）在“不改动报文目的 IP”的前提下截获流量，NAT 表照常工作，局域网设备无感。

步骤 1 安装必要组件

opkg update opkg install iptables-mod-tproxy ipset dnsmasq-full kmod-ipt-tproxy # 若源里没有 kwarp，去快连官网下载 6.3.0 内核 SDK 对应 ipk opkg install kwarp_6.3.0_mips_24kc.ipk

步骤 2 生成国密双证书

登录快连控制台→“网关管理”→“新建路由级证书”，把 deviceID 填成路由 MAC（大写无冒号），下载后得

/etc/kuailian/crt.pem /etc/kuailian/key.pem

证书有效期 365 天，提前 30 天续期，否则透明代理会在 0 点整断开。

步骤 3 写 TPROXY 规则

# /etc/firewall.user 末尾追加 ipset create kuailian hash:net for net in 0.0.0.0/1 128.0.0.0/1; do ipset add kuailian $net; done iptables -t mangle -N KUAILIAN iptables -t mangle -A KUAILIAN -d 0.0.0.0/8 -j RETURN iptables -t mangle -A KUAILIAN -d 10.0.0.0/8 -j RETURN iptables -t mangle -A KUAILIAN -d 127.0.0.0/8 -j RETURN iptables -t mangle -A KUAILIAN -d 192.168.0.0/16 -j RETURN iptables -t mangle -A KUAILIAN -m set --match-set kuailian dst -j TPROXY --on-port 9527 --tproxy-mark 0x1/0x1 iptables -t mangle -A PREROUTING -j KUAILIAN ip rule add fwmark 1 lookup 100 ip route add local 0.0.0.0/0 dev lo table 100

解释：先把“所有 IPv4”扔进 ipset，再排除 RFC1918 与回环，剩下的走 TPROXY 9527 端口；kwarp 内核模块监听此端口，完成国密握手后把流量塞进 QUIC 隧道。

步骤 4 启动快连内核模块

/etc/init.d/kuailian enable uci set kuailian.@global[0]=global uci set kuailian.@global[0].mode='transparent' uci set kuailian.@global[0].listen_port='9527' uci set kuailian.@global[0].cert_path='/etc/kuailian/crt.pem' uci set kuailian.@global[0].key_path='/etc/kuailian/key.pem' uci commit kuailian /etc/init.d/kuailian start

步骤 5 验收

在局域网 PC 执行

ping 1.1.1.1 -c 10

观察路由 cpuusage 图，若软中断 <30% 且延迟下降 ≥10 ms，即达标；否则回退：

/etc/init.d/kuailian stop iptables -t mangle -F KUAILIAN ip rule del fwmark 1 lookup 100

方案 B：dnsmasq 分流 + 策略路由（轻量）

若路由 CPU 较弱，可放弃 TPROXY，仅把“指定域名”解析结果扔进快连隧道，其余直连；CPU 占用可再降 40%，但延迟优化只针对名单内域名。

配置片段

# /etc/dnsmasq.conf ipset=/netflix.com/tiktok.com/erp.corp/kuailian # 重启 dnsmasq 后，再复用上面 mangle 表，把 ipset=kuailian 的流量重定向 9527 iptables -t mangle -A KUAILIAN -m set --match-set kuailian dst -j TPROXY --on-port 9527 --tproxy-mark 0x1/0x1

提示：名单外域名仍走 ISP，适合“白天办公网+晚上流媒体”场景，既省钱又不挤占隧道带宽。

DHCP 与 DNS 高可用细节

透明代理一旦失效，全网瘫痪；因此 dnsmasq 一定开

--all-servers

让国内域名解析同时问 223.5.5.5 与 127.0.0.1#5333（快连 DoQ），防止单一上游挂掉。DHCP 租期建议 12 h，比默认 1 h 减少一半广播，降低低端交换机 CPU。

IPv6 双栈穿透

快连 6.3.0 支持 NAT64/DS-Lite，但 OpenWrt 23 默认 nftables 与 iptables 并存，需手动打开

CONFIG_PACKAGE_ip6tables-nft=y

再写一条 ip6tables mangle TPROXY，把除了 240e::/18 以外的所有 IPv6 扔进 9527；经验性观察，教育网纯 v6 下载能跑满 500 Mbps，CPU 占用 38%。

监控与告警

OpenWrt 装

opkg install collectd collectd-mod-ping collectd-mod-cpu

把 1.1.1.1、223.5.5.5 写进 ping 插件，采样 30 s；延迟突增 >30 ms 或丢包 >2% 就发邮件。再配合快连 API

curl https://api.kuailian.com/v2/route/quality?token=xxx

若返回“score<0.6”则自动切换下游节点，全过程 3 s，终端无感。

故障排查速查表

现象	最可能原因	验证	处置
局域网突然断网	TPROXY 规则把 192.168.0.0/16 也重定向	ipset list kuailian	加 RETURN 规则，重启防火墙
IPv6 站点打不开	ip6tables 未放行 9527	ip6tables -t mangle -L	补一条 -A PREROUTING -p tcp --dport 9527 -j ACCEPT
QUIC 握手失败	校园网 802.1x 把 UDP 443 封死	tcpdump -i wan udp port 443	切到 TLS over TCP 443，再开“新 TLS 指纹伪装 3”
Netflix 报“检测到代理”	节点 IP 进入 IP3D 黑名单	快连帮助中心→IP3D 自检	换节点并更新规则库 2026-01-06 版

版本差异与迁移建议

OpenWrt 22 及更早用 fw3，脚本路径在 /etc/firewall.user；23 以后默认 fw4，语法切到 nftables，但官方仍保留 iptables-nft 兼容层，所以本文脚本可直接粘贴。若未来 24 版彻底移除 iptables，需要把 TPROXY 改写成 nft 语法，经验性观察，届时快连会提供 nft 模板，只需复制即可。

警告：升级 OpenWrt 大版本前，一定先导出 /etc/config/kuailian 与防火墙规则，防止闪失后无法远程还原。

适用/不适用场景清单

≤50 终端的小微企业、工作室，想“一次配置永久躺平”——极适合
连锁零售 200 门店，POS+摄像头都要回传——建议用方案 B 名单分流，否则 CPU 吃紧
游戏战队训练基地，要求单跳延迟 <20 ms——可上，但一定开“AI 智能选路 2.0”+边缘节点 QoS
政府移动执法，需国密+量子——透明代理满足加密，但审计需额外接 SIEM，不能单靠快连日志
家庭用户只看 4K 流媒体——成本反而比单客户端高，不建议

最佳实践 10 条（检查表）

开干前先测 baseline 延迟，3 次取平均，方便验收。
证书剩余天数 <30 天自动邮件，避免凌晨断网。
TPROXY 规则必须排除 RFC1918 与 127.0.0.0/8。
dnsmasq 开 all-servers，双上游防单点。
IPv6 一定要写 ip6tables，否则苹果手机会“无网”。
collectd 采样间隔 ≤30 s，延迟抖动才抓得到。
校园网环境先 tcpdump，确认 UDP 443 放行再开 QUIC。
升级 OpenWrt 前备份 /etc/config 与防火墙规则。
Netflix 报代理先去 IP3D ��检，分数 >0.7 就换节点。
CPU 单核 <880 MHz 直接放弃方案 A，改用名单分流。

案例研究

案例 1：25 人游戏工作室

背景：深圳南山某手游工作室，25 台 Windows 主机+5 台 Mac，晚高峰同时拉取日韩更新包，原走国际专线 3 万/月。

做法：购入 NanoPi R5S（4×A55 2 GHz，4 G RAM）刷 OpenWrt 23.05，套用方案 A；AI 选路 2.0 锁定“东京 CN2→大阪 IIJ”双节点。

结果：baseline 延迟 78 ms→42 ms；更新包下载时间从 19 min 缩到 7 min；月费降到 980 元家宽+499 元快连企业版。

复盘：初期因 ip6tables 漏写导致 PS5 无法登录日服，补规则后稳定 90 天；CPU 峰值 43%，未触发限频。

案例 2：连锁便利店 80 门店

背景：华东区域 80 家门店，POS 每 30 s 回传交易，夜间批量上传 30 MB 录像；原用 4G 路由+APN，月流量费 12 万。

做法：总部拉两条 1000 M 家宽，边缘部署两台 x86 软路由跑方案 B，仅把 *.pos.api 与 *.camera.aliyuncs.com 域名导入隧道；门店侧保持 4G 作冷备。

结果：交易回传延迟 280 ms→65 ms；流量费降到 3.2 万/月；4G 故障倒换 8 s 内完成，零丢单。

复盘：dnsmasq 名单初期遗漏 *.aliyuncs.com 子域，导致录像上传走 4G，补域名后带宽占比从 35% 提到 78%，4G 流量骤降。

监控与回滚

异常信号

collectd 延迟 >baseline 30 ms 持续 2 分钟
快连 API score<0.6 连续 3 次
软中断占用 >50% 单核
ipset 计数 10 分钟内归零（可能规则被冲掉）

以上任一出现即触发告警邮件，并执行自动回退脚本。

定位步骤

ssh 路由，先logread | grep kwarp看握手日志
iptables -t mangle -L -n -v 确认计数是否增长
tcpdump -i any port 9527 看 QUIC 握手有无回包
curl -w "@curl-format" https://api.kuailian.com/v2/ping 验证节点通断

回退指令

#!/bin/sh /etc/init.d/kuailian stop iptables -t mangle -F KUAILIAN iptables -t mangle -X KUAILIAN ip rule del fwmark 1 lookup 100 ip route flush table 100 /etc/init.d/firewall restart echo "transparent proxy rolled back" | logger

演练清单

每月低峰期 02:00 手动触发回滚，验证 5 min 内局域网是否恢复；随后再重新上线，观察 score 是否回到 >0.8。演练记录写进 GitLab issue，下次版本升级前必须全部通过。

FAQ

Q：透明代理后局域网打印机失联？: A：打印机走 mDNS 239.255.255.250，被 TPROXY 误伤。; 背景：在 KUAILIAN 链首加-d 224.0.0.0/4 -j RETURN即可。
Q：iPhone 提示“无互联网”？: A：iOS 15+ 默认探活 captive.apple.com，若此域名被重定向到隧道而节点不稳，会误判断网。; 背景：把 captive.apple.com 从 dnsmasq 名单剔除，让探活走直连。
Q：切换节点后需重启路由吗？: A：不必；kwarp 支持热更新，调用/etc/init.d/kuailian reload即可。; 背景：reload 会重新读取节点配置，但保持 TPROXY 规则不断链。
Q：能抓包看 QUIC 内容吗？: A：不能；QUIC 报文已 TLS 1.3 加密，除非拥有节点私钥。; 背景：透明代理本身不提供解密接口，需侧接审计盒子。
Q：dnsmasq-full 与 dnsmasq 冲突？: A：opkg 会自动卸载 dnsmasq，但配置文件保留；升级后需手动opkg remove dnsmasq再安装 dnsmasq-full。; 背景：两者共用 /etc/config/dhcp，文件不冲突，但二进制不能并存。
Q：MWAN3 负载均衡还能用吗？: A：可以；把 KUAILIAN 链放在 mangle 表最前，确保在 MARK 之前拦截即可。; 背景：mwan3 用 fwmark 区分出口，TPROXY 优先于 MARK，逻辑无冲突。
Q：证书续期失败常见原因？: A：路由时间错位 >5 min 或 MAC 地址大小写不符。; 背景：快连 API 校验 GMT+0 时间戳与 deviceID，误差超限则拒发。
Q：能同时跑 AdGuardHome 吗？: A：可以；AdGuardHome 监听 53，dnsmasq 改 5353，再把 doh 上游指向 127.0.0.1#5353。; 背景：形成“客户端→AdGuardHome→dnsmasq→DoQ 隧道”链，CPU 增加约 6%。
Q：透明代理影响 BT 吗？: A：BT 大量 UDP 连接会迅速占满 conntrack，需调大 nf_conntrack_max。; 背景：经验值 1 Gbps 宽带 conntrack 设 131072 可稳跑 3000 节点。
Q：为何 QUIC 在手提路由上只跑到 50 Mbps？: A：USB3.0 转 RJ45 芯片 RTL8153 中断合并默认开启，关 ethtool -C rx-usecs 0 可翻倍。; 背景：中断延迟 1 ms 时，单 QUIC 流吞吐被 ACK 时钟限制。

术语表

AI 选路 2.0: 快连 6.3.0 引入的强化学习算法，实时挑选最低 RTT 节点；首次出现于“功能定位”节。
TPROXY: Linux 透明代理钩子，可在不改变报文目的地址的前提下重定向流量；首次出现于方案 A。
kwarp.ko: 快连内核模块，负责 QUIC 握手与国密加解密；首次出现于安装步骤。
IP3D: 第三方 IP 风险数据库，用于检测节点是否被列入流媒体黑名单；首次出现于故障排查表。
DoQ: DNS over QUIC，快连提供的 5333 端口加密解析；首次出现于 DHCP 高可用节。
RFC1918: 私有地址段 10/8、172.16/12、192.168/16 统称；首次出现于 TPROXY 规则。
DS-Lite: IPv4 over IPv6 隧道，用于纯 v6 网络；首次出现于 IPv6 双栈节。
nftables: Linux 新一代包过滤框架，OpenWrt 23 默认启用；首次出现于版本差异节。
ipset: 内核哈希表，用于高效匹配大量 IP/网段；首次出现于 TPROXY 规则。
conntrack: 连接跟踪表，记录每条会话状态；首次出现于 BT 问答。
EDNS: 扩展 DNS 选项，用于传递客户端子网给上游；首次出现于 dnsmasq 分流。
MAC 地址: Media Access Control 地址，快连用作 deviceID；首次出现于证书生成。
DoH: DNS over HTTPS，与 DoQ 并列的加密解析方式；首次出现于 AdGuardHome 问答。
QUIC 指纹伪装: 快连提供的抗检测特性，把 QUIC 报文特征改为常见 CDN；首次出现于握手失败排查。
软中断: SoftIRQ，Linux 网络包处理上下文，占用高代表 CPU 瓶颈；首次出现于验收门槛。

风险与边界

老架构 mips24kc 无 eBPF 支持，6.4 版后可能无法升级，只能冻结在 6.3.x。
双重 NAT 环境（光猫路由模式）下，TPROXY 规则会被 ISP 网关剥离，必须改桥接。
802.1x 校园网 常封 UDP 443，导致 QUIC 握手失败，需手动切 TLS over TCP。
内核 <5.10 缺少 QUIC GSO 分段，性能只有 50%，建议升级硬件。
需要深度报文审计（如文件哈希、DLP）场景，透明代理无法满足，需改回 TUN+客户端证书解密。

替代方案：可改用快连“旁路镜像+SPAN”模式，把镜像流送给审计盒子，主链依然透明代理，兼顾性能与合规。

未来趋势与官方路线图

据 2025-12-30 发布会，快连 6.4 预计 2026 Q2 推出“内核级 eBPF 流分类”，把 TPROXY 换成 eBPF prog，官方称可再降 8% CPU；同时边缘节点将开放 Serverless 插件，企业可在 PoP 跑自定义审计脚本。对 OpenWrt 用户来说，只需升级 kwarp.ko，规则保持兼容，但老架构 mips24kc 可能因 eBPF 不支持而被迫退役，提前换 ARM64 路由更稳妥。

总结：在 OpenWrt 23.05 上给快连配置透明代理，核心就是“TPROXY 9527 + 国密证书 + AI 选路”，5 分钟可复现；只要 CPU 扛得住、规则写全，就能把全终端流量无缝搬进 QUIC 隧道，平均再省 12 ms。记得先测 baseline、写死排除名单、把证书续期挂进计划任务，剩下的交给强化学习模型去跑就行。