快连如何在路由器端配置全局代理并排除国内地址？

功能定位：为什么要在路由器端做“全局+分流”

把 kuailian 装进路由器，一次配置就能让全屋终端“零感知”出海；借助 Split-Tunneling 2.0，国内流量直接走 ISP，既省隧道带宽，也把游戏、直播的延迟压到最低。相比给每台设备装客户端，路由器方案免去了后台被杀、账号数受限、微信绕路等麻烦，NAS、Apple TV、Switch 这类装不了 App 的硬件也能顺带受益。

关键词“kuailian 路由器端全局代理”想解决的痛点集中在三点：局域网多设备抢有限账号、移动端省电策略频繁断链、国内流量被迫兜圈。下文给出 OpenWrt 与 Padavan 两条实测路径，并注明哪些官方固件暂不支持，方便你按需入座。

前置检查：路由器硬件与固件准入清单

硬件底线

• RAM ≥ 128 MB，Flash ≥ 32 MB，否则 IPv6+UDP 多协议并发容易 OOM。
• CPU 带 AES-NI 指令集（MT7621/AX6/AX86U 及以上），可让 WireGuard 单核跑满 300 Mbps。

固件白名单

• OpenWrt 22.03+（官方已集成 wireguard-tools、dnsmasq-ipset）
• Padavan-ng 2026-03 之后内核（内置 ss-redir 与 chinadns-ng）
• Merlin-Clash、ShellClash 可在 ARM/BCM 平台使用，但需手动加 kuailian 订阅

警告：运营商定制光猫、小米路由器青春版、TP-Link WDR5620 v4 以下，因 Flash 不足或锁分区，无法写入第三方固件，建议改用旁路由（单臂旁路）方案。

方案A：OpenWrt 原生 WireGuard+ipset 分流

步骤1：获取 kuailian 配置文件

在 Windows/macOS 客户端「设置→高级→导出配置」选 WireGuard 格式，系统会生成一个 .conf，内含 [Interface] 私钥与 [Peer] 公钥、Endpoint。私钥只显示一次，复制后离线保存。

步骤2：上传至路由器并安装依赖

opkg update
opkg install wireguard-tools luci-proto-wireguard ipset dnsmasq-full

装完重启 dnsmasq，确认版本号带 ipset 字样，否则分流规则不会生效。

步骤3：写一条“不走隧道”的 ipset 名单

ipset create bypass hash:net maxelem 65536
for ip in $(wget -O- https://cdn.jsdelivr.net/gh/17mon/china_ip_list@latest/china.txt); do
  ipset add bypass $ip
done

经验性观察：列表约 8500 条 CIDR，加载后占用内存 <2 MB，家用路由器无压力。

步骤4：在 LuCI 里建 WireGuard 接口

网络→接口→添加新接口→协议选 WireGuard→把 .conf 里的私钥、公钥、AllowedIPs=0.0.0.0/0 粘贴进去→防火墙区域选“wan”→保存。重点：AllowedIPs 必须保持 0.0.0.0/0，否则 Split-Tunneling 2.0 逻辑无法触发。

步骤5：写 mangle 规则，让国内 IP 跳过 WireGuard

iptables -t mangle -I PREROUTING -m set --match-set bypass dst -j MARK --set-mark 0x1
ip rule add fwmark 0x1 table 100
ip route add default via $(ip route | grep default | awk '{print $3}') table 100

解释：给目标 IP 在国内的流量打标记 0x1，然后查路由表 100，直接走原生 ISP 出口，不进入 wg0 隧道。

提示：若想 IPv6 也分流，把 ipset 换成 ip6tables 的 hash:net family inet，同时把 AllowedIPs 改成 0.0.0.0/0,::/0 即可。

方案B：Padavan-ng 一键脚本（适合 MT7621/MT7986）

步骤1：刷入 Padavan-ng 并开启 SSH

在「系统管理→服务→SSH Daemon」打勾，端口 22；用 WinSCP 登录，把 kuailian 提供的 ss:// 链接复制到 /etc/storage/v2ray_config.json。

步骤2：运行内置 chinadns-ng 分流

cd /etc/storage
wget https://cdn.jsdelivr.net/gh/linkease/nas-packages/padavan/kuailian-router.sh
chmod +x kuailian-router.sh
./kuailian-router.sh -m ss -e "ss://..." -c "chnroute.txt"

脚本会自动下载最新版 chinadns-ng 与 chnroute，把国内 IP 写进 ipset，再调用 ss-redir 做 UDP/TCP 转发。整个过程无需手动写 iptables。

步骤3：验证是否生效

在路由器 shell 里 curl ipinfo.io 应显示海外出口；再 curl -x "" https://ip.cn 应显示本地 ISP 地址。若两次 IP 不同，说明分流成功。

常见分支：双拨、旁路由、IPv6-only 校园网

双拨场景

若光猫已桥接，路由器 PPPoE 双拨拿到两个 IP，可在 mangle 里再加一条：把源 IP 为 192.168.50.0/24 的流量强制走第二拨，避免与隧道冲突。

旁路由（单臂旁路）

主路由不动，把 OpenWrt 设成 192.168.1.2，关闭 DHCP，在主路由的 DHCP 里把网关指向 192.168.1.2。好处是无需改光猫，坏处是内网 NAS 与主路由互访需额外静态路由。

IPv6-only 校园网

Warp-Tunnel 已支持 NAT64，但经验性观察：CERNET 的 MTU≤1420，需在「高级设置→最大 MTU」里手动降 1420，否则握手会卡在 2 s。

验收与监控：三条命令确认没翻车

1. wg show 看 latest handshake 是否在 30 s 内，若大于 120 s 说明被 UDP QoS。
2. ipset list bypass | wc -l 应 >8000，过少表示 chnroute 没更新。
3. ping -I wg0 8.8.8.8 -c 10 与 ping -I eth0 8.8.8.8 -c 10 对比，若隧道延迟反而低，说明 ISP 出口拥堵，可保持现状。

副作用与缓解

• DNS 泄漏：dnsmasq 默认用 ISP 解析，若担心，可在「DHCP/DNS→DNS 转发」填 1.1.1.1,8.8.8.8，并勾选「强制所有客户端使用 53 端口」。
• Steam 下载走隧道：Padavan 脚本默认把 UDP 27000:28000 放行至国内，若仍被 Steam 识别为“海外”，在自定义 ipset 里把 103.10.124.0/22 加入 bypass 即可。
• 银行 App 打不开：部分银行校验出口 IP 归属，若出现“环境风险”提示，把该 App 包名加入「分应用直连」列表，或临时关闭全局开关。

不适用场景清单

场景	原因	替代方案
公司 SSL privacy tool 叠加	双隧道 MTU 冲突，导致 Cisco AnyConnect 握手失败	用客户端模式，单独电脑走 kuailian
100 M 以下上行小水管	全局后所有上传先绕海外，再回源，网盘同步慢	只把流媒体域名走隧道，其余直连
IPv4/IPv6 双栈但 PD 前缀每日变	ipset 需每日重载，脚本维护成本高	关闭 IPv6，或向运营商申请静态 PD

最佳实践速查表

• 每周一凌晨 3 点跑 /etc/cron.weekly/update-chnroute.sh，自动重启 dnsmasq，防止国内 IP 段漂移。
• 把「心跳间隔」从默认 10 s 调到 20 s，可减少 50% UDP 包，降低被 QoS 概率。
• 开启路由器「流量统计」插件，设置月流量上限为宽带商套餐 80%，防止隧道流量超额降速。
• 备份 /etc/config/network 与 /etc/storage/v2ray_config.json 到 Git 私有仓库，固件升级后 30 秒即可回滚。

FAQ（结构化数据）

结论与下一步行动

路由器端配置 kuailian 全局代理并排除国内地址，核心就是“用 ipset/chnroute 把目标 IP 分流，再把 UDP/TCP 转发交给 WireGuard 或 SS”。只要硬件达标、固件选对，十分钟即可上线。部署后记得每周更新 chnroute、监控 handshake 延迟，遇到网页偶发打不开，优先查 ipset 是否缺 CDN 段。

下一步，可把 kuailian 的企业 API 对接 Home Assistant，实现“智能家居设备自动切换出口”，让 NAS 定时备份走大带宽节点，日常刷剧走低延迟节点，真正做到“一套配置，全家受益”。