怎么在OpenWrt中为快连kuailian配置透明代理规则？

功能定位：为什么要在OpenWrt做透明代理

把“快连kuailian透明代理”关键词先摆出来：它解决的是局域网设备无需装客户端、按规则自动分流国内外流量的痛点。相比在每台手机或电脑上开App，路由器端一次配置，电视、游戏机、IoT摄像头等沉默设备也能直接受益；同时利用Split-Tunneling 2.0，把网银、公司privacy tool等敏感域名排除在外，避免“打不开内网”的投诉。

OpenWrt 22.03之后，官方防火墙已默认迁移到nftables，而kuailian路由器插件（以下简称klpkg）在2026-02的更新里同步支持了nft与legacy iptables双栈。这意味着：老机型可继续用iptables+ipset，新机型推荐nftables+set，性能差异在百兆宽带下几乎感知不到，但CPU占用可下降约3–5个百分点（经验性观察，验证方法见文末）。

前置检查：版本、空间与账号

1. 系统与空间

在SSH里先跑df -h /，确保剩余空间>30 MB；klpkg本体约8 MB，但后续会拉取节点列表与AI路由库。若你用的是16 MB Flash老路由，建议把/tmp挂载到U盘或extroot，否则升级时可能写满。

2. 订阅状态

透明代理仍需有效账号。登录kuailian官网→控制台→路由器模式，复制“订阅链接”，注意勾选“启用NFT规则”才会下发nftables版分流脚本；若漏选，后续手动改也行，但得多敲三行命令。

最短可达路径：Web与CLI双通道

Web路径（LUCI）

1. 系统→软件包→更新列表；在“下载并安装软件包”输入luci-app-kuailian，点击确认。
2. 安装完成后，顶部菜单会出现“服务→快连透明代理”；首次进入会提示上传订阅链接，粘贴后保存。
3. 页面自动识别防火墙后端：nftables显示绿色“NFT”，iptables显示橙色“Legacy”；点击“生成规则”，大约数十秒后在“运行状态”看到“IPSet/NFT已加载，节点数5600+”即代表成功。
4. 切到“分流规则”标签，把局域网IP 192.168.1.2-192.168.1.199加入“代理集合”，网关自身192.168.1.1留空，避免SSH失联。
5. 点击“启用透明代理”，路由器会在后台依次执行klpkg-start；页面右上角出现“Connected”后，用接入同一LAN的手机访问ipinfo.io，若显示出口与宽带IP不同即生效。

CLI路径（掉坑回退用）

如果LUCI因为主题冲突打不开，可直接SSH：

opkg update
opkg install klpkg klpkg-nft # 或klpkg-legacy
uci set kuailian.global.enabled='1'
uci set kuailian.global.subscription='你的订阅链接'
uci commit kuailian
/etc/init.d/kuailian enable
/etc/init.d/kuailian start

观察日志：logread -e kuailian，若看到“nft set cn-ip size 14283”说明国内段已注入，无报错即可。

例外与副作用：哪些流量不该进隧道

透明代理默认劫持所有TCP+UDP 53/443/80，但以下三类建议直连：

• 银行类App：建行、工行检测到TUN接口会强制退出，可在“分流规则”里把*.ccb.com、*.icbc.com.cn加入直连域名。
• 公司L2TP/IPSec：如果路由器本身还要拨公司privacy tool，必须把远端网关IP写入直连IP集，否则会出现双重封装导致MTU黑洞。
• IPTV组播：运营商光猫vlan 51的UDP 224.0.0.0/4，走隧道会花屏；在“自定义防火墙规则”里加一条nft add rule inet fw4 mangle_prerouting ip daddr 224.0.0.0/4 return即可跳过。

警告：一旦把路由器自身IP写进代理集合，会导致opkg、NTP、DDNS全部走隧道，若节点不稳定就陷入“越断越连”死循环。务必留192.168.1.1在直连段。

验证与观测：三条命令确认无残留

1. nft list set inet fw4 kuailian_proxy 应显示IP段与端口集合；若为空，说明规则未注入。
2. iptables -t mangle -L PREROUTING | grep kuailian legacy模式下应看到跳转到KLCHAIN；若nft模式则无需此条。
3. curl -4 ipinfo.io/asn 在局域网任意终端运行，结果与宽带原生IP不同即分流生效；同时观察延迟，若>300 ms且抖动大，可手动把“AI加速”开关关闭，回退到静态节点。

回退方案：30秒恢复原网关

万一配置后全网断网，可SSH执行/etc/init.d/kuailian stop，再uci set kuailian.global.enabled='0' && uci commit，即可回到纯路由状态；若还担心规则残留，再跑nft flush set inet fw4 kuailian_proxy或ipset flush kuailian_proxy即可。全程不重启路由器，对家人上网零打扰。

性能边界：老机型该何时放弃

以MT7621（880 MHz双核）为例，在100 Mbps下行、NFT规则满载14283条的情况下，单核占用约45%，仍可跑满带宽；但在500 Mbps光纤时，CPU先触顶，速度卡在320 Mbps左右。此时要么：

• 换用硬件NAT机型（如IPQ6000以上），让流量offload不走ksoftirqd；
• 或在“节点筛选”里关闭“AI路由预测”，减少每秒NetFlow上报，CPU可再降8–10个百分点（经验性观察，验证：top -H对比sirq）。

与第三方DNS协同：避免循环查询

若你同时跑了AdGuardHome或SmartDNS，务必把127.0.0.1:5335设为上游，并在kuailian配置里勾选“跳过本地53端口”，否则会出现“kuailian→AdGuard→kuailian”死循环，导致网页空白。验证：（1）logread -e dnsmasq出现大量retry；（2）关闭透明代理后立刻恢复，即可确认。

适用/不适用场景清单

场景	准入条件	风险点
家庭千兆+NAS	CPU≥IPQ6000，RAM≥512 MB	老机型跑不满带宽
合租10人共享	同时在线≤20终端	P2P节点易被投诉
公司分部门	需子账号+日志	团队版涨价，成本翻倍
Web3空投工作室	需要50万+住宅IP	出口IP可能被交易所拉黑

最佳实践12条检查表

1. 升级前备份/etc/config/kuailian与防火墙配置。
2. 先关“AI路由预测”，稳定后再开，减少变量。
3. 把路由器管理IP写进直连，避免SSH失联。
4. 每季度用nft list ruleset | wc -l检查规则膨胀，超2万条就清理。
5. 银行、公司privacy tool、IPTV域名提前加入白名单。
6. 同时跑IPv6时，记得把ip6tables -t mangle或nft add table inet fw6一并配置，否则手机走v6会漏网。
7. 节点列表每周自动更新，若凌晨3点流量异常，先关“质量探针”再睡。
8. 500 Mbps以上宽带，务必开硬件NAT(offload)。
9. 合租环境把P2P Plus节点留给下载机，其他终端用普通节点，降低投诉。
10. 发现443端口RST，先切“人气节点”，再考虑专线。
11. 每月检查一次闪存剩余空间，日志别忘关debug。
12. 升级后若出现“Wintun.dll”类报错，按官方帖删除旧驱动再装。

FAQ（结构化数据）

总结与下一步

OpenWrt为快连kuailian配置透明代理的核心价值，是用一次性的路由器规则替代每台终端的客户端，既省电也省维护。本文给出的Web与CLI双路径、例外清单、性能边界与12条检查表，足以让家庭到小型工作室场景可复现落地。

下一步，你可以：

• 在测试环境先跑24小时，观察CPU、内存、日志三项指标；
• 把银行、公司privacy tool、IPTV域名写进白名单后，再全量推送家人使用；
• 若带宽≥500 Mbps且CPU顶满，考虑换IPQ6000以上新路由，或关闭AI预测功能。

只要遵循“先直连例外、再代理全局”的顺序，30秒内即可回退，风险可控。祝你配置顺利，享受无感分流的高速网络。