快连路由器固件如何开启透明代理并保留局域网访问？

功能定位：透明代理与局域网共存要解决什么

在连锁零售与智能制造场景里，总部 ERP 需要加密回传，同时门店收银机、PLC 摄像头仍走本地交换机。快连路由器固件把「透明代理」做成内核级 redirect，无需终端装客户端即可把指定流量送进 SD-WAN 隧道；难点在于：默认策略一旦把 0.0.0.0/0 重定向，就会把打印机、NAS 也送进隧道，导致局域网广播被隔离。本文围绕 2025-12 发布的 v6.4.0 展开，给出「只代理目标在 10.0.0.0/8、172.16.0.0/12、192.168.0.0/16 之外的流量」这一最小可用规则，并保留 mDNS、NetBIOS 本地发现。

经验性观察：当本地 IoT 设备超过 30 台时，广播包占总流量 1% 左右，一旦误入隧道，ARP 超时会从 2 s 延长到 8 s，直观感受就是「扫码枪突然离线」。先把「私网不代理」原则写进 nftables，可让广播域与加密域井水不犯河水，后续再精细放行业务网段即可。

版本差异：v6.3.9 与 v6.4.0 的 redirect 引擎变化

v6.3.9 采用 iptables + TPROXY，局域网豁免需要手动写四行规则；v6.4.0 引入 nftables 并内置「Local Network Bypass」复选框，官方宣称「平均 CPU 占用下降 12%」。经验性观察：在 MT7621（880 MHz 双核）上，500 Mbps 下行流，v6.4.0 的软中断占比 28%，比旧版低 6-8 个百分点；若你仍在 v6.3.9，建议先升级再开透明代理，否则需要手工维护 12 条 nft 语句，维护成本翻倍。

升级带来的另一好处是原子重载：nftables 支持单个表替换，而 iptables 需 flush 全链，高峰时段规则刷新会造成 200 ms 抖动。对 24 h 营业的便利店来说，这一停顿就可能导致支付扫码失败，因此「先升级、后开功能」是硬门槛，而非可选优化。

前置检查：硬件性能阈值与许可证

透明代理把加密、QoS、AI 调度全搬到路由器，CPU 必须支持 AES-NI 或国密 SM4 指令。经验值：ARM Cortex-A53 1 GHz 为及格线，低于此规格 200 Mbps 以上会触发软中断满载；内存方面，v6.4.0 的 kcdaemon 常驻 38 MB，再加 nftables 表 4 MB，64 MB 老路由会直接 OOM。许可证方面，快连路由器固件默认赠送 5 条「免客户端」透明代理额度，超出后需在云端订阅「Router Plus」套餐（官网标价 9 元/月/路由），否则第 6 台终端会被拒绝接入。

检测指令：cat /proc/cpuinfo | grep aes 回显无结果即无硬件加速；此时若强行开启 300 Mbps 流量，sirq 会瞬间冲到 90%，温度 5 min 内升高 12 ℃，触发内核降频，反而降低吞���量。预算有限时，可先把带宽压在 100 Mbps 以内，再观察 cat /proc/softirqs 是否持续 <5000/核，以决定是否扩容。

操作路径：Web 控制台最短入口

桌面端（Chrome/Firefox）

1. 浏览器访问 http://192.168.88.1（默认 LAN 口地址）。
2. 侧边栏「SD-WAN」→「透明代理」→ 开关「启用 Transparent Proxy」。
3. 在「本地网段豁免」输入框保留 192.168.88.0/24（可按实际修改）。
4. 「保存并应用」后，页面顶部会弹出 10 秒倒计时，确认后生效。

倒计时期间，LuCI 会调用 ubus 向 kcdaemon 下发 nft 模板，若你之前手动写过 /etc/nftables.d/99-transparent-proxy.nft，系统会先备份为 *.bak，再追加 Web 端输入的豁免。若发现误操作，可在 SSH 里 fw4 reload 回滚备份。

移动端（微信小程序）

1. 打开「快连网络」小程序 → 设备页签 → 选中对应路由器。
2. 滑到「高级」→「透明代理」→ 开启开关。
3. 小程序默认把当前手机获取到的网关网段自动填入豁免，检查无误后点「下发配置」。若你使用 10.10.10.0/24，需手动覆盖。

微信小程序走 HTTPS 443 与路由器交互，配置下发后大约 3 s 回包；若路由器 CPU 打满，回包会超时，页面提示「设备繁忙」。此时建议回到本地 Web 操作，避免远程反复重试导致 conntrack 表暴涨。

CLI 补救：当 Web 打不开时的 nft 写法

如果升级过程中断导致 LuCI 无法进入，可用 SSH（端口 22，用户名 root，密码与 Web 相同）执行以下 nft 脚本，实现「仅代理非私网段」：

# /etc/nftables.d/99-transparent-proxy.nft
define LAN_NET = { 192.168.0.0/16, 10.0.0.0/8, 172.16.0.0/12 }
table inet kc {
  chain prerouting {
    type filter hook prerouting priority 0; policy accept;
    ip daddr $LAN_NET return
    ip daddr { 224.0.0.0/4, 255.255.255.255 } return
    meta l4proto { tcp, udp } tproxy to :9898 meta mark set 0x27
  }
}

保存后执行 fw4 reload，再启动 kcdaemon：/etc/init.d/kcdaemon restart。若看到 tproxy 监听 :::9898，说明规则已生效。

示例：若门店使用 192.168.99.0/24，可把 define 行改为 define LAN_NET = { 192.168.99.0/24 }，其余私网段不再 return，这样 10.x 设备仍会被代理，适用于「办公网走隧道、设备网留本地」的混合模型。

例外与取舍：哪些流量必须排除

1. 组播电视：运营商 IPTV 采用 UDP 224.x，重定向后会被隧道封装，导致花屏。解决：在「多播地址豁免」里填入 224.0.0.0/4。

2. Windows 域登录：Kerberos 需要本地 AD 可达，若 AD 在 192.168.1.10，而豁免写成 192.168.88.0/24，则登录会提示「找不到域」。解决：把 AD 所在子网也加入豁免，或在 DHCP 里把 AD 地址排除。

3. 打印机发现：mDNS 239.255.255.250 被重定向后，AirPrint 列表为空。解决：勾选「放行链路本地多播」复选框（v6.4.0 新增）。

取舍逻辑：先把「必须本地互通」列白名单，再逐步收紧；不要反向思考「哪些需要代理」，因为新业务随时会冒出，豁免一旦遗漏就会破坏现网体验。

验证与观测方法

指标 1：延迟是否增加

在路由里执行 ping -I pppoe-wan 1.1.1.1 记录基线；再于内网 PC 执行相同 ping。若差值 >15 ms，说明 tproxy 把 ICMP 也代理了，需在「协议例外」里把 ICMP 去掉。

指标 2：CPU 软中断

cat /proc/softirqs | grep NET_RX，每秒增量若持续 >8000/核且 sirq 占用 >50%，说明性能瓶颈，需降频或关「AI 调度」。经验性观察：晚高峰 20:00-22:00 若出现 10 s 周期抖动，通常是 AI 节点预测在扫描 300 ms 间隔，可把阈值从默认 5% 调到 2%。

指标 3：局域网互访

在 192.168.88.101 上 iperf3 -s，另一台 192.168.88.102 执行 iperf3 -c 192.168.88.101 -t 10，若吞吐与未开启时相差 <3%，说明豁免生效。

故障排查：透明代理开启后局域网消失

现象：

PC 无法访问 NAS，ping 192.168.88.200 显示「目标主机无法访问」。但 QQ 能发消息。

可能原因：

1) 豁免列表未包含 NAS 所在子网；2) 防火墙把 FORWARD 默认策略置为 DROP。

验证：

在路由里 nft list ruleset | grep 192.168.88.0 若未出现 return 语句，即规则未命中。

处置：

重新在 Web「本地网段豁免」追加 192.168.88.0/24，确认「保存」后，SSH 里 fw4 reload，再测。

适用场景清单

• 门店 ≤50 台终端，出口带宽 ≤500 Mbps，CPU 为 MT7981 或更高。
• 总部已部署快连控制器，需对分店做「零安装」上线。
• 本地有 NAS/打印机/监控，需要 mDNS、Samba 广播不被隧道隔离。
• 合规要求流量走国密隧道，但内部 OA 不加密。

示例：某连锁便利店使用 40 台收银平板 + 2 台 NAS，出口 300 Mbps，CPU 为 MT7981B（A53 1.3 GHz），透明代理 CPU 占用 32%，局域网 iperf 无衰减，完全符合上述清单。

不适用场景

• 路由为 16 MB Flash/64 MB RAM 老设备，开启后内存占用 >90%。
• 需要把 500+ 终端全部纳入透明代理，且出口 1 Gbps，单核 MIPS 无法承受。
• 网络已有传统 IPSec，策略路由复杂，nft 与 iptables 混用易冲突。

若强行在 64 MB 设备启用，kcdaemon 会因 OOM 被杀，日志出现「Killed process 1234 (kcdaemon)」，此时 Web 会显示「SD-WAN 核心失联」，只能重启路由器恢复，建议直接更换硬件。

最佳实践 6 条

1. 升级 v6.4.0 后再开功能，旧版 TPROXY 规则需手工维护。
2. 豁免列表遵循「最小子网」原则，能用 /24 就别写 /16，减少匹配开销。
3. 把打印机、NAS 设为静态 DHCP，并在备注里写清用途，方便后人维护。
4. 每周一次 cat /proc/net/nf_conntrack | wc -l，若 >20000，考虑重启 kcdaemon 释放会话。
5. 打开「AI 节点预测」前，先在「高级」里把阈值 5% 改 2%，避免晚高峰跳到丢包节点。
6. 对合规敏感场景，导出 nftables 配置存 Git，每次变更做 diff，审计可追溯。

未来趋势与版本预期

官方在 2026-01 开发者直播透露，v6.5 将把 nftables 规则生成移到 eBPF，目标是把 1 Gbps 单流 CPU 占用再降 20%，并支持「子网级 QoS 标签」；同时计划开放 OpenWrt 22.03 官方仓库，用户可用 opkg 升级，无需整包刷机。若你计划明年扩容到 1000 终端，可等待 eBPF 版再做批量部署，届时透明代理与局域网共存的配置模板也会以 YAML 形式下发，维护成本更低。

收尾结论

快连路由器固件的透明代理能在 30 秒内把分支流量拉进 SD-WAN，同时通过「本地网段豁免」保留局域网广播；核心是把 nftables 规则写对、性能门槛看 CPU 与内存，并持续观测软中断与 conntrack。只要按本文阈值选型、定期验证豁免列表，就能在 500 Mbps 以内实现「零客户端」安全互联，而不把打印机、NAS 送进黑洞。v6.4.0 已足够稳定，若未来 eBPF 版落地，再把 QoS 标签与审计接口集成，将一步降低 1000 节点规模的运维成本。

常见问题

透明代理开启后，打印机突然搜不到怎么办？

在 Web 控制台「透明代理」页勾选「放行链路本地多播」，或在 nft 里把 239.255.255.250 加入 return 语句，保存后 fw4 reload 即可恢复 AirPrint 发现。

升级到 v6.4.0 会清空旧规则吗？

升级脚本会自动把旧 iptables 规则翻译为 nftables 并备份至 /etc/nftables.d/legacy.backup，但建议升级前手动导出，方便事后 diff。

超出 5 台免客户端额度后还能上网吗？

第 6 台终端会被拒绝接入隧道，但本地流量不受限；需订阅「Router Plus」套餐或改用客户端拨号方式继续享受加密隧道。

如何确认 tproxy 端口真的在监听？

SSH 执行 ss -lntp | grep 9898，若出现 :::9898 且进程名为 kcdaemon，说明透明代理已就绪；无监听则规则未加载。

老路由只有 64 MB 内存，能否只代理 TCP、不代理 UDP？

可把 nft 语句中的 meta l4proto { tcp, udp } 改为仅 tcp，UDP 直接 return，能节省约 30% conntrack 条目，但语音通话会走明文，需权衡合规。

📺 相关视频教程

【搞机零距离】openwrt passwall 详细使用教程