快连怎样在路由器固件里配置透明代理？

功能定位：为什么要在路由器里做透明代理

把快连的透明代理下沉到路由器，核心目的是让网内所有终端无需单独安装客户端即可自动选路，既减轻移动端电量消耗，也便于团队级审计。相比在每台电脑重复登录账号，路由器一次配置即可把 UDP/TCP 流量按规则导向快连节点，出口 IP 统一，方便后续做日志留存与合规报表。

需要特别注意的是，透明代理不等于全局强制代理。借助策略路由，你可让视频流量走快连，而内网 OA 系统直连，从而兼顾带宽成本与审计颗粒度。

固件与硬件兼容性速览

截至当前的最新版本，快连官方仅提供基于 Linux 内核 4.14+ 的 Shell 脚本示例，因此路由器需满足：1. 可刷 OpenWrt / ImmortalWrt 或 Padavan；2. 剩余 Flash ≥ 32 MB、RAM ≥ 256 MB；3. 具备 Entware 或 opkg 软件源。经验性观察：MT7621、IPQ40xx、AX6 / AX3600 等常见机型在社区有现成可复现的编译配置，十分钟左右可完成刷机。

若你使用的是运营商定制光猫一体机，因无法获取 root，建议改用「旁路由」方案：把旧路由刷成 OpenWrt 后仅作透明代理网关，主路由继续拨号，减少保修争议。

前置准备：账号、令牌与审计白名单

快连提供API 令牌（Dashboard → 开发者 → 生成 Token）用于路由器无界面鉴权，令牌默认 30 天过期，可在到期前调用 /renew 延长。生成后请立即复制，窗口关闭即不可再见。

合规侧，建议先在「审计白名单」里把公司内网 IP 段（如 192.168.10.0/24）加入，防止出口 IP 频繁漂移导致第三方 SaaS 触发风控。该设置在全局生效，路由器继承账号策略，无需重复配置。

方案A：OpenWrt 主路由直接透明代理

1. 刷入固件与安装依赖

下载 ImmortalWrt 21.02+ sysupgrade.bin，在原生固件升级页刷入，不保留配置。重启后 SSH 进路由，执行：

opkg update
opkg install iptables-mod-tproxy ipset dnsmasq-full ca-bundle

若空间不足，可先用 opkg list-installed | grep -v 卸载原厂插件，或把软件目录挂载到 U 盘。

2. 下载快连路由脚本并注入令牌

在 /etc/quicklink 目录拉取官方示例脚本（具体路径因版本和安装方式而异，请以实际为准）：

wget -O /etc/quicklink/setup.sh https://cdn.quicklinkprivacy tool.com/router/openwrt/latest/setup.sh
chmod +x /etc/quicklink/setup.sh

编辑第 17 行，把 YOUR_TOKEN_HERE 替换为刚才复制的 API 令牌。脚本默认使用 QuickUDP，若需 WireGuard，可在同一文件里把 PROTO=quickudp 改为 wireguard。

3. 生成策略路由并开机自启

执行 /etc/quicklink/setup.sh install，脚本会自动：

• 创建 ipset 名为 ql_proxy，用于存放需要代理的 IP / 域名解析结果；
• 写入 iptables 规则，把标记 1 的流量导向 tproxy 监听端口（默认 UDP 7892）；
• 添加 dnsmasq 的 ipset 绑定，使匹配列表域名解析时自动进 ipset；
• 注册 /etc/init.d/quicklink 服务，并设为 90 优先级开机启动。

完成后重启网络：/etc/init.d/network restart，透明代理即生效。

方案B：旁路由（推荐小白与保修场景）

若主路由为运营商光猫且无法获取 root，可把旧路由刷成 OpenWrt，WAN 口闲置，LAN 口与主路由 LAN-LAN 对接，关闭旁路由 DHCP，仅作为二层网关。在主路由把 DHCP 的默认网关指向旁路由 LAN_IP（如 192.168.1.254），终端无感知即可走透明代理。

旁路由方案的优势是主路由固件不变，保修无忧；缺点是双 NAT 场景下需要额外静态路由，否则主路由下的 NAS 无法被外网反向访问。

验收指标：如何确认透明代理生效

1. 在任意终端打开 ip.skk.moe，若显示出口 IP 与快连控制台「当前节点」一致，说明已走代理；2. 在路由器执行 iptables -t mangle -L -v | grep ql_proxy，若 packets 计数随访问增长，则规则生效；3. 在控制台「实时流量」看板，若能看到该路由器 MAC 对应的上下行曲线，即证明 API 令牌与节点握手成功。

若发现国内站点被错代，检查 dnsmasq 的 ipset 列表是否误把国内 CDN 网段写进代理集合，可在 /etc/quicklink/user.list 加 !cn 段做排除。

常见故障与回退

现象：重启后无法上网

可能原因：tproxy 依赖的 kmod-ipt-tproxy 未随固件更新而自动迁移。处置：重新执行 opkg install iptables-mod-tproxy，并确认 /etc/modules.d/ 里已加载 xt_TPROXY。

现象：出口 IP 频繁跳动

快连默认 12 小时自动轮换 IP。若业务需要固定出口，可在控制台「节点锁定」选择「手动」并指定 IEPL 专线 IP，脚本会在下次握手时自动拉取静态配置。

性能与资源占用基线

经验性观察：MT7621A 双核 880 MHz 在 100 Mbps 对等光纤、30 终端并发场景，开启 QuickUDP 透明代理后，CPU 占用约 35%，内存占用 120 MB；若改用 WireGuard，CPU 升至 55%，但抖动略低。若带宽 ≥ 300 Mbps，建议换 IPQ50xx 或 x86 软路由，以免单核瓶颈。

如需详细数据，可在路由器安装 collectd+influxdb，把一分钟粒度的 CPU、softirq、内存写入时序库，再与控制台「端到端延迟」曲线对比，即可量化代理带来的额外负载。

合规与日志留存要点

根据快连 2025 年 PWC 审计报告，节点端为 RAM-disk 无盘架构，官方声称不保留用户级日志。但路由器侧你可自行留存 NAT 日志，用于事后溯源。方法：在 /etc/firewall.user 追加：

iptables -t nat -A POSTROUTING -m set --match-set ql_proxy dst -j LOG --log-prefix "QL-PROXY: " --log-level 4

日志会写入 /var/log/messages，配合 logrotate 按日切割并远程 rsync 到审计服务器即可满足「本地可溯源」要求，同时不违背供应商的零日志承诺。

不适用场景与替代方案

• 公司内网已部署零信任 SDP 网关，且要求终端装 Agent 才能准入，此时路由器透明代理会导致 Agent 识别不到真实出口，触发违规隔离；
• 家用宽带为 IPv6-only，而快连部分节点未开 IPv6，会导致 UDP 打洞失败，建议改用客户端分应用代理；
• 需要把出口 IP 加入第三方平台白名单，但业务流量 <1 Mbps，路由器 7×24 开机反而浪费电费，可直接用桌面客户端按需连接。

最佳实践清单（可直接打勾）

1. 刷机前用 WinSCP 备份原厂编程器固件，救砖无需返厂；
2. API 令牌写入脚本后，立即在 Shell 执行 history -c 防止泄漏；
3. 每周一次 opkg list-upgradable，升级前先在测试路由灰度；
4. 把 /etc/quicklink 加入 /etc/sysupgrade.conf，确保固件升级后配置不丢；
5. 对视频团队单独创建子账号，限速 200 Mbps，防止晚高峰挤占专线；
6. 启用 syslog 远程发送，日志服务器使用独立 VLAN，避免内网风暴。

下一步行动建议

若你刚拿到可刷路由器，建议先用旁路由方案体验一周，确认业务无异常后再决定是否把主路由替换为 OpenWrt；若公司已有多条 IEPL 专线，可申请快连企业 API，把固定出口 IP 与审计日志自动对接到 Splunk，实现「路由—代理—报表」全链路可审计。

透明代理一旦跑通，后续扩容只需在控制台加节点，路由器无需再次手动配置，真正达到「换线不换机」。现在就检查你的路由器型号是否已在 ImmortalWrt 支持列表，开始第一次刷机吧。

FAQ（常见问题）