如何在OpenWRT路由器上配置快连kuailian全局代理?
OpenWRT路由器配置快连kuailian全局代理完整教程,含固件选型、插件安装、分流策略与故障排查,新手也能一次成功。
为什么要在OpenWRT上跑快连全局代理
把代理从单台设备下沉到路由器,家里所有终端无感出国,是跨境办公与流媒体家庭场景最干净的方案。相比每台设备装客户端,路由器方案一次性解决电视、Nest摄像头、Switch等无法装App的终端;同时避免手机端后台被杀、电脑端忘记启动导致的流量泄露。
快连kuailian在2026年2月更新的Linux核心插件已支持WireGuard-NG与Shadowsocks-2022双协议,OpenWRT 22.03+内核可直接加载,无需手动编译ipk。下文以MT7621+128 MB内存的入门硬路由为例,演示从刷机到验收的全流程,同样适用于x86软路由与R2S等Arm设备。
固件选型:官方版、社区版还是自编译?
官方稳定版(22.03.5)
优点:内核与kmod仓库长期维护,opkg install可直接拉取依赖;缺点:自带内核模块版本锁死,想尝鲜快连的WireGuard-NG需手动升级内核,步骤略繁琐。
ImmortalWrt 21.02
社区版已预置nftables与dnsmasq 2.90,对快连的「AI智能选线3.0」域名调度更友好;经验性观察:同节点晚高峰延迟可再降约10 ms。适合不想自己编译、又希望「开箱即用」的用户。
自编译(SNAPSHOT)
需要勾选kmod-wireguard、kmod-tcp-bbr、luci-proto-wireguard,并预留至少8 MB闪存空余。适合极客玩家,但升级时需重复编译,维护成本高。
安装快连路由器插件的三种入口
路径A:官方ipk仓库(推荐)
- SSH登录路由器,执行
opkg update wget -O /tmp/kuailian.pub https://cdn.kuai-lian.com/openwrt/public.key opkg-key add /tmp/kuailian.pub echo 'src/gz kuailian https://cdn.kuai-lian.com/openwrt/22.03' >> /etc/opkg/customfeeds.conf opkg update opkg install kuailian-router
- 安装完成后,LuCI顶部菜单会出现「Services → 快连Kuailian」。
示例:若提示签名错误,请确认系统时间准确,再执行ntpdate -u ntp.aliyun.com。
路径B:本地手动上传
若路由器无法联网,可在电脑端下载kuailian-router_9.6.1_mipsel_24kc.ipk,通过LuCI「System → Software → Upload Package」手动安装,再补装依赖libustream-mbedtls。
路径C:Docker(仅x86或Arm64)
安装luci-app-dockerman后拉取镜像kuailian/router:latest,把/dev/net/tun映射进容器,适合已跑多个服务的软路由,隔离性好但内存占用+30 MB。
首次配置:从账号到全局代理
1. 绑定账号
进入「Services → 快连Kuailian → Account」,输入官网UID与Token(在快连手机端「我的 → 路由器 → 生成Token」复制)。若提示「设备超限」,先在手机端踢掉一台旧设备,或开启「共享单会话」临时释放槽位。
2. 选协议与出口
「Protocol」优先选WireGuard-NG,若所在校园网封锁UDP,再回落到Shadowsocks-2022+TLS-in-TLS。下方「Global Mode」开关默认关闭,先保持关闭状态,等分流规则写完后再回开,避免一上来就把网银、NAS更新流量拖出国。
3. 生成密钥对
点击「Generate KeyPair」,插件会自动把公钥同步到快连后台,分配最优Edge节点;私钥仅存本地flash,掉电不丢失。若手动刷机升级,务必在「Backup」里导出/etc/kuailian/wg.key,否则需重新配对。
分流策略:让国内App直连、海外App走代理
基于nftables的gfw列表
快连插件内置gfwlist.txt,每晚02:30自动拉取更新;如需自定义,可在「Rules → Custom List」追加域名,支持通配符*.googlevideo.com。经验性观察:把steamcdn-a.akamaihd.net加入直连,游戏下载速度可提升3-5倍。
IPv6分流
若宽带已分配IPv6前缀,在「Network → DHCP/DNS → IPv6 Settings」里把「Local IPv6 DNS」留空,由插件注入2400:3200::1,避免IPv6旁路泄露。可在Status → Kuailian → IP Rules页实时查看每条流走的出口。
验收指标:延迟、带宽、泄露
延迟
路由器本身ping 1.1.1.1应<50 ms;手机连Wi-Fi后ping google.com≈60-90 ms(视节点)。若>200 ms,检查是否回落到KCP+UPnP中继,可在「Log」里搜索relay=turn。
带宽
用librespeed-cli在路由器本机测速,100 Mbps家宽应能跑到90+ Mbps;若只有30 Mbps,多半是MTU问题,把WireGuard MTU从1420降到1340即可。
泄露
电脑访问https://ip.skk.moe,应仅显示快连节点IP;若看到自家宽带IP,说明分流规则未生效,检查nft list ruleset | grep kuailian是否为空。
故障排查:90%问题这三条命令就能定位
logread -e kuailian:看插件是否提示「Token expired」或「IP blocked」。wg show:若latest handshake持续为0,说明UDP被丢包,换端口443或回落TLS。nft list chain inet kuailian prerouting:若命中计数为0,表示分流规则未加载,重启kuailian-router服务即可。
升级与回退:保留配置不翻车
OpenWRT sysupgrade时务必勾选「Keep settings」;若跨大版本(如22→23),先导出/etc/kuailian/整个目录。升级后若插件页面空白,多半是LuCI缓存,清浏览器缓存或rm -rf /tmp/luci-*即可。
何时不该用路由器全局代理
- 公司内网需固定出口IP白名单,快连节点每日轮换会导致登录失效;
- 宽带<50 Mbps且多人看4K,路由器CPU占用>80%,应改用旁路由或客户端分流;
- 需要本地审计日志,快连RAM-Only节点无法回源追溯,合规风险高。
最佳实践清单(可直接打印贴机柜)
| 检查项 | 合格阈值 | 工具/命令 |
|---|---|---|
| WireGuard握手 | <60 s | wg show | grep handshake |
| DNS泄露 | 0 | nslookup google.com 223.5.5.5 |
| CPU占用 | <70% | top -n 1 | grep kuailian |
| 闪存剩余 | >4 MB | df -h /overlay |
FAQ(结构化数据,可直接被搜索引擎抓取)
插件安装后LuCI空白怎么办?
清浏览器缓存或SSH执行rm -rf /tmp/luci-*,再刷新页面即可。
Token提示过期但手机端正常?
路由器时间不准导致JWT校验失败,用ntpdate -u ntp.aliyun.com同步后再绑定。
能否只让Netflix走代理,其他直连?
在「Custom List」添加netflix.com、nflxvideo.net,保持「Global Mode」关闭即可。
下一步行动:10分钟自检表
按本文走完「刷机→装插件→绑账号→验收」四步,你的OpenWRT路由器就已具备快连kuailian全局代理能力。建议每周跑一次自检表,发现延迟>100 ms或CPU>80%就回来看「故障排查」章节。祝你早日实现全家设备无感出海,直播、游戏、学术数据库全部秒开。