功能定位:为什么要在路由器里写订阅
把快连订阅链接写进 OpenWrt,相当于给整屋设备发一张“全球通行证”:手机、电视、游戏机无需单独装客户端,开机即走代理。相比在终端上逐台配置,路由器方案一次性解决三件事:统一分流规则、零配置新增设备、后台自动更新节点,减少因订阅过期导致的手动维护。
但路由侧代理并非“装了一定更快”。如果宽带本身<100 Mbps,且终端数量≤3,CPU 性能较弱的路由器反而可能成为瓶颈;此时让终端自己跑快连客户端,延迟表现通常更低。因此先评估硬件余量,再决定“全屋”是否值得。
前置条件与兼容性清单
硬件底线
- RAM ≥512 MB,闪存 ≥128 MB,否则订阅节点>100 条时 dnsmasq 容易 OOM。
- CPU 架构 mips74kc/armv7 及以上,能跑满 200 Mbps 的 AES-256-GCM;想跑 WireGuard 千兆,建议 armv8/aarch64。
固件版本
以 OpenWrt 22.03 及以上为例,低于 21 的旧版 firewall 规则与 nftables 混用,会出现“透明代理失效”现象。如果仍在 19.07,请先升级 sysupgrade,再执行下文步骤,避免来回回滚。
方案 A:官方 ShellClash 插件一键导入
安装插件
ShellClash 是社区维护的轻量级 Clash 封装,支持快连原生订阅格式。SSH 登录路由,逐行复制:
wget -O /tmp/install.sh https://raw.githubusercontent.com/juewuy/ShellClash/master/install.sh sh /tmp/install.sh
脚本会自动识别固件路径,把二进制装到 /usr/share/clash。安装完输入 clash 进入 TUI,选择“导入订阅”。
写入快连订阅
在 TUI 里选 4(在线订阅),粘贴快连网页版“路由订阅”地址(格式 https://api.quicklinkprivacy tool.com/sub/xxxx?flag=clash)。ShellClash 会下载并转换成 clash 规则,默认每 6 h 更新一次。完成后选 1 启动内核,透明代理即生效。
方案 B:手动写 Passwall2 订阅(适合 LuCI 党)
安装 Passwall2
登录 LuCI → 系统 → 软件包 → 更新列表,搜索 luci-app-passwall2 安装。若提示依赖缺失,先添加官方源:
src/gz openwrt_core https://downloads.openwrt.org/releases/22.03.5/targets/...
填写订阅
进入 服务 → Passwall2 → 订阅设置 → 新增,把快连“路由订阅”地址贴到“订阅 URL”,类型选“Clash”。保存后点“更新订阅”,节点会自动出现在节点列表。接着在“基本设置”里选负载模式(默认“绕过大陆”即可),保存 & 应用。
分流规则:让国内 App 直连、海外走代理
无论 ShellClash 还是 Passwall2,都内置“绕过局域网及大陆”规则,基于 GeoSite/GeoIP 每日更新。经验性观察:把流媒体域名(netflix.com,disneyplus.com)单独拎到“强制代理”列表,可缓解晚高峰 CDN 抽风导致的 4K 降码。
自动更新与故障回退
定时更新
ShellClash 默认 6 h、Passwall2 默认 4 h 拉取订阅。可在计划任务里追加日志,方便排障:
0 */6 * * * /usr/share/clash/clash -f && logger "clash订阅更新完成"
回退节点
当订阅更新后全屋断网,SSH 输入 /etc/init.d/clash stop 立即切回直连,再手动还原 /usr/share/clash/config.yaml 上一次备份。建议每次更新前让脚本自动 cp 一份带时间戳的备份,回滚只需重命名文件。
性能监测:如何验证“全屋代理”生效
- 访问 ip.skk.moe,若显示海外出口 IP,则透明代理已通。
- 在路由里
iftop -i any观察 WAN 口实时速率,同时用 4K 电视播放 Netflix,若 CPU 占用<60%,说明性能余量足够。 - 连续 ping 1.1.1.1,晚高峰延迟波动<30 ms,可视为节点质量合格;若>100 ms,考虑在订阅里手动剔除高延迟入口。
不适用场景与副作用
- 百兆以下小宽带 + 20 条以内终端:路由 CPU 长期空转,收益有限,不如终端本地跑快连客户端。
- 公司内网需 802.1X 认证:透明代理会导致认证包被转发到海外,直接掉网。此时应改用“仅游戏/海外域名”分流,或回退到客户端方案。
- 需要随时切换不同地区流媒体:路由规则更新后需 30 s~1 min 生效,频繁换区体验不如客户端点选节点直观。
FAQ:常见疑问一次讲清
订阅链接泄露会不会被滥用?
快连订阅默认绑定账号 UUID,单 IP 并发超限会触发 429 限速;若仍担心,可在“路由订阅”页面点击“重置密钥”,旧链接立即失效。
更新后个别国内网站打不开?
通常是 GeoSite 版本滞后,把域名加入“直连列表”并重启 dnsmasq 即可;若急用,先临时关闭“绕过大陆”开关验证是否规则问题。
能否一条订阅同时给两台路由用?
可以,但出口 IP 相同会被快连算作同一账号;若带宽需求高,建议用主路由+AP 模式,而非两条独立 WAN 同时拨号。
最佳实践速查表
| 步骤 | 检查点 | 达标值 |
|---|---|---|
| 1. 升级固件 | 内核 ≥5.10 | nftables 兼容 |
| 2. 测速 | 单核 CPU 跑 256-GCM | ≥200 Mbps |
| 3. 订阅更新 | cron 日志 | 无 4xx/5xx |
| 4. 备份 | yaml 带时间戳 | ≥3 份 |
收尾:下一步行动
若硬件达标,直接选 ShellClash 可 10 分钟跑完全屋代理;若偏爱图形界面,用 Passwall2 更直观。配置完务必跑一遍性能监测,确认 CPU 占用与延迟都在可接受范围。未来若宽带升级或节点扩容,只需在订阅页面重置密钥,路由端零改动即可同步最新入口,真正做到“写好一次,躺平一年”。
