功能定位:为什么选透明代理
核心关键词“kuailian 路由器 透明代理”解决的是“每台终端都要装客户端”的维护噩梦。把握手、分流、DNS 劫持放在网关,电视、IoT 等闭源设备也能无感走 IEPL 专线,且后续升级节点无需再动终端。
与“分应用代理”相比,透明代理对系统零侵入;与“旁路由”相比,性能损耗更低,单核 MIPS 路由在 100 Mbps 宽带下经验性观察 CPU 占用约 30%—40%,仍留有余量。
前置条件与兼容性清单
固件版本
截至当前的最新版本,官方提供 ipk/merlin 安装包:OpenWrt 21.02 及以上、梅林 386.5 及以上。低于此版本缺少 nftables 支持,无法完成 UDP 全链路转发。
硬件性能阈值
建议 ARM v8 或 MIPS 1000 MHz 以上,RAM ≥256 MB;百兆光纤可跑满,千兆宽带请选 x86 软路由,否则晚高峰 IEPL 节点 100-120 Mbps 会触顶。
操作路径:OpenWrt 为例
- 用 WinSCP 把官方下载的 quicklink-tra.ipk 上传到 /tmp。
- SSH 登录路由,执行
opkg install /tmp/quicklink-tra.ipk,自动装妥 nftables、kmod-tun 依赖。 - 进入 LuCI → 服务 → 快连透明代理,粘贴“订阅链接”(网页后台“路由器订阅”子标签),点击解析,会列出 32 条 IEPL 节点。
- 勾选“UDP 转发”“DNS 劫持”,保存并应用;页面顶部出现“Running”即成功。
- 手机断开 Wi-Fi 再连,访问 ipv6-test.com,若 DNS 地址显示为“日本/新加坡”且丢包 0%,验收通过。
提示:梅林路径为“扩展功能 → 快连插件”,缺少“DNS 劫持”复选框,需手动在“自定义 dnsmasq”追加
server=/#/127.0.0.1#5353。
分支场景:旁路由 vs 主路由
若主路由为运营商光猫无法刷固件,可把 OpenWrt 小盒子设为旁路由,仅负责代理分流。此时需关闭主路由 DHCP,让旁路由分配网关 192.168.2.1,并在快连插件里把“局域网流量”网段写成 192.168.1.0/24,避免回环。
经验性观察:旁路由方案多一次 NAT,延迟增加 2-3 ms,但换来的是零风险变砖,适合租房或公司网络。
例外与分流:合规模式怎么开
kuailian 的“合规模式”白名单已内置 300+ 国内域名,但高校 IPv6 教育网常被误伤。可在 LuCI → 快连 → 白名单 → 高级,手动追加 *.edu.cn 并勾选“强制直连 IPv6”,保存后 30 秒生效,无需重启。
若家里 NAS 需要被外网访问,不要把 NAS IP 写入代理列表;同时把端口转发规则写在“端口转发”页而非系统防火墙,否则 nftables 优先级会覆盖。
监控与验收:三项指标
| 指标 | 测量工具 | 达标阈值 |
|---|---|---|
| 握手延迟 | curl -w "%{time_connect}" | ≤800 ms |
| 晚高峰带宽 | fast.com 连续 5 次 | ≥100 Mbps |
| UDP 丢包 | 《原神》内置网络诊断 | ≤0.3% |
任何一项连续三天不达标,应回到插件页切换“AI 预测加速”关闭,再手动指定香港 IEPL 节点,观察是否改善。
故障排查:90% 问题集中在这
现象:网页能开但 App 提示“无网络”
原因:Android 部分 App 走 QUIC,默认 443 UDP 被劫持失败。处置:在插件“UDP 转发”里把 443 端口排除,或关闭 QUIC-Multipath v2。
现象:插件状态 Running,但国内 CDN 龟速
原因:DNS 解析被重定向到海外,返回了海外 CDN 地址。验证:nslookup 淘宝.com 若看到 23.x.x.x 即属此情况。处置:在白名单追加“taobao.com, tmall.com”并勾选“强制直连”。
何时不该用透明代理
- 公司内网需 802.1x 认证,路由无法替代客户端。
- IPv6 Only 网络,插件当前仅支持 NAT64,游戏可能无法匹配。
- 主路由为 Wi-Fi 6E 万兆,CPU 已占满 90%,再加 nftables 会掉速。
警告:家庭共享子账号若主号被封,子号会同步掉线;透明代理无法隔离账号风险,仅减少客户端安装量。
最佳实践 7 条速查表
- 升级固件前先在插件页点“导出配置”,升级后一键导入,可复现步骤。
- 每周三凌晨 4 点自动重启路由,清空 conntrack,避免长时间运行丢包。
- 把 NAS、打印机、摄像头 IP 写进“强制直连”,防止远程打印失败。
- 游戏主机 PS5 需开放 UDP 9307-9308,写在“端口转发”而非系统防火墙。
- IoT 设备固件更新走 80 端口,若发现更新失败,临时关闭“合规模式”再升级。
- 节点切换后,务必在电脑端
ipconfig /flushdns,否则旧解析缓存持续 5 分钟。 - 把“AI 预测加速”当实验功能,晚高峰若跳 Ping 超过 3 次,立即回退手动节点。
版本差异与迁移建议
v5.2 之前使用 iptables,规则多且重启后易丢失;v5.3 起全面切 nftables,支持集合(set)级动态更新,切换时需在“系统 → 启动项”禁用旧的 iptables 脚本,避免双规则冲突。
迁移步骤:先卸载旧插件 → 重启 → 装新 ipk → 导入订阅 → 手工核对白名单。旧版导出的 json 配置不兼容,需重新勾选。
FAQ:常见 5 问
梅林固件装完插件找不到菜单?
需先安装软件中心 1.7 及以上,再刷入 20 分钟重启两次,才会在“扩展功能”出现。
透明代理后 IPTV 卡顿怎么办?
把机顶盒 MAC 地址绑定 192.168.1.x,并在“强制直连”里写整个 192.168.1.x/24,重启机顶盒即可。
能否只让特定 SSID 走代理?
OpenWrt 新建 guest SSID → 接口 → 防火墙区域新建 guestzone → 在快连插件“网段列表”里仅写入 guestzone 网段,主 SSID 保持直连。
插件升级会清空节点吗?
订阅链接会保留,但手动添加的“单节点”会被清空;升级前用“导出配置”备份即可。
如何确认 DNS 无泄漏?
访问 dnsleaktest.com,若只出现“日本/新加坡”且 ISP 为 Kuailian,即无泄漏;若出现本地运营商,检查“DNS 劫持”是否勾选。
收尾:下一步行动
透明代理把“装客户端”这件事一次性下沉到路由器,后续维护只剩节点订阅与例外分流。先按本文验收表跑一遍数据,确认晚高峰带宽与 UDP 丢包达标,再把家人设备分批接入;若出现个别 App 异常,用白名单精准回退即可。
记得每季度回来看一眼插件更新日志,官方已承诺“无广告”,但节点线路会动态增删,保持订阅链接常新,才能让全屋设备持续享受 IEPL 专线带来的低延迟。
未来版本若加入 WireGuard 内核转发与 IPv6 全链路支持,可进一步降低 5-8 ms 延迟;当下先把 nftables 吃透,后续升级只需替换内核模块,无需重配规则。
