快连如何在路由器端配置透明代理？

功能定位：为什么要在路由器端做透明代理

把 kuailian（QuickLink privacy tool）从“单机插件”升级为“网关级透明代理”，核心诉求只有一句话：让家里所有终端——包括电视、HomePod、扫地机器人——无需单独装客户端就能自动走���密隧道。对运营者而言，售后工单量骤减：再也不用给长辈远程指导“先开快连再开爱奇艺”。同时，路由器方案把 Kill Switch 前移到第一跳，终端掉线也不会泄露真实 IP，合规审计更容易通过。

但边界同样清晰：透明代理只能识别出站 IP 五元组，无法像 App Split-Tunneling 那样按进程名或域名做精细分流。若你的业务必须“国内银行 App 直连、其余全代理”，就得回退到“旁路由+策略路由”混合方案，后文会给出可复现的切换脚本。

兼容固件与硬件门槛

官方适配列表（2026-03 更新）

快连目前只把 qquick 二进制下发到以下固件源，其余 ROM 需自编译或手动拷贝：

• Padavan（老毛子）3.4.3.9-099 之后版本，内核≥4.4
• OpenWrt 22.03/23.05 官方 repo，已合并 luci-app-quicklink
• ASUSWrt-Merlin 388.x，需先安装 entware-ng

硬件层面，经验性观察是：RAM≥256 MB、闪存≥128 MB 才能完整写入节点列表（约占用 42 MB），否则每次冷启动都会重新下载，导致“开机五分钟无网”投诉。若你仍在用 Newifi-D2 那类 64 MB 老机器，建议把 /etc/quicklink/node.db 挂载到 U 盘，后文给出 fstab 示例。

最短可达路径：OpenWrt 23.05 示例

安装与初始化

1. SSH 登录路由器，依次执行：
   
   opkg update
   opkg install quicklink-ssl luci-app-quicklink
2. Luci 路径：服务→kuailian→账户→粘贴官网 Security Center 生成的 Token（32 位），保存。
3. 同一页面勾选 透明代理（Tproxy 模式），端口默认 1082，无需改动；UDP 转发保持开启。
4. 防火墙标签页点“自动插入规则”，系统会在 prerouting 链追加一条 TPROXY，优先级高于 wan 口，确保局域网流量首包即被截获。

点“启动”后，状态页出现 Connected to HK-QC-01 即代表隧道已建立。此时手机关闭客户端，访问 ip.skk.moe 若显示香港 IP，则透明代理生效。

Padavan 老毛子差异点

Padavan 把设置藏在 自定义设置→脚本→防火墙启动后，需要手动贴入：

界面没有 Luci，状态通过 系统日志→内核日志 查看，出现“QuickLink: route added, table 518”即成功。若你习惯图形化，可装 Padavan-Luci-Mod 第三方包，但官方不保证兼容性。

分流与例外：如何把国内视频站点踢出隧道

透明代理默认全局，若不做分流，B 站、抖音都会被拉到香港出口，CDN 调度错乱导致 480P 卡顿。快连在路由器端提供 chnroutes-v6 与 apple-cn 两份白名单，每周三凌晨 4 点自动更新。勾选“绕过中国大陆”后，路由器会把 ipset china 设为 RETURN，不走 TPROXY。

工作假设

经验性观察，开启白名单后，晚高峰 SpeedTest 到省内节点可提升 30–60 Mbps，但少数政企专线网站（如部分省电子税务局）仍以“境外登录”为由弹验证码，此时需要把目标 IP 手动追加到 /etc/quicklink/extra.lst 并重启 qquick。

若你运行海外游戏加速器，需要反向逻辑——只让游戏 IP 进隧道，其余直连。把模式切到 黑名单，然后在“自定义规则”里粘贴：

保存后执行 /etc/init.d/qquick reload 即可，无需重启防火墙。

旁路由方案：当主路由无法刷机时的妥协

公司光猫为 GPON 桥接，但主路由是华为 AX6 无法刷固件，可把一台闲置 NanoPi R2S 设为旁路由：WAN 口不接，LAN 口与主路由 LAN 互联，关闭 DHCP，仅运行 qquick。然后在主路由把 0.0.0.0/1 与 128.0.0.0/1 两条静态路由指向旁路由 IP（如 192.168.1.254），优先级高于默认网关。

好处是主路由保持原厂保修，坏处是 IPv6 需要额外开 NDP 代理，否则苹果设备会拿到两条默认路由，随机漂移导致 30% 丢包。缓解办法：在旁路由 /etc/sysctl.conf 追加

随后 ip -6 neigh add proxy 240e::xx dev lan0，把主路由下挂终端的 IPv6 地址逐一代理。

验证与观测：五条命令确认隧道健康

1. ip rule show → 应出现“from all fwmark 0x1/0x1 lookup 518”
2. ip route show table 518 → 默认网关为虚拟接口 qquick0
3. conntrack -L | grep 518 → 有持续增长的 NAT 会话
4. qquick-cli stats → 输出“rx: 1.2 GiB, tx: 890 MiB”且 error=0
5. curl -4 https://ip.skk.moe → 返回 Quantum 通道 IP，非本地宽带

若第 3 条为 0，多半是 TPROXY 规则优先级被 Docker 或 mwan3 覆盖，临时解决：把 iptables -t mangle -I PREROUTING 1 插入到最前。

故障排查：90% 问题集中在三类日志

现象1：开机后局域网全断网

日志出现“qquick[xxx]: Failed to bind TPROXY: Address already in use”，说明 1082 端口被 AdGuardHome 或 passwall 占用。先 netstat -lnp | grep 1082 确认 PID，再调整 /etc/config/quicklink 里 option tproxy_port '1083'，随后重启防火墙。

现象2：IPv6 测速正常但 IPv4 全超时

经验性观察，多出现在移动宽带+Padavan 组合。原因为运营商下发 /56 前缀，而 Padavan 默认把 LAN 口 IPv6 MTU 设为 1480，与快连的 IPv4 隧道 MTU 1420 不匹配，导致 TCP 分片被丢弃。把“自定义设置→IPv6→LAN 口 MTU”改为 1420 后恢复。

现象3：Quantum 通道夜间掉速一半

官方已在 2026-03-01 公告承认量子密钥协商开销。路由器端无法关闭量子通道，但可手动锁定非量子节点：在 Luci“节点筛选”里取消“Quantum”标签，或 SSH 执行

随后 qquick-cli reconnect，速度可恢复至白天水平，但会牺牲“0 丢包漫游”特性。

适用/不适用场景清单

场景	准入条件	风险点
家庭影音	终端≤20，带宽≤1000 M，需要解锁流媒体	4K 蓝光原盘码率 80 M，Quantum 通道晚高峰可能掉速
外贸 SOHO	需要固定香港 IP 登录 PayPal、Shopee	PayPal 风控会记录“代理 IP”，需配合住宅 IP 节点
开发测试	CI 容器需访问 GitHub、Docker Hub	透明代理对 NAT 类型敏感，git clone 大仓库可能 RST
校园宿舍	主路由为校方控制，只能旁路由	IPv6 漂移导致 30% 丢包，需手动 NDP 代理

最佳实践检查表

• 刷机前先用 ttl 转接线 备份原厂分区，防止 brick
• 开启 自动更新白名单，但把公司内部 CDN 网段写进 extra.lst 防止被覆盖
• 每周一次 qquick-cli stats --reset，防止计数器溢出导致守护进程重启
• 家庭拼车不超过 4 地同时在线，降低“异地登录”风控概率
• 若需远程管理，只开放路由器 22 端口到 WireGuard 内网 IP，并在快连端启用“局域网隔离”

FAQ（结构化数据）

收尾：下一步行动建议

如果你只是想让客厅电视看 Netflix，直接走 OpenWrt 23.05 + 官方 repo，十分钟即可完工；若还要兼顾游戏、抢空投、远程办公，就把旁路由+黑名单模式当作长期方案，并记得每月检查一次白名单更新记录。最后，务必在路由器外部贴一张“管理 IP+Token 后四位”标签，防止家人误重置后你满屋找手机热点救急。

透明代理不是一劳永逸的银弹，它把复杂度从终端搬到网关，换来的是“零配置”体验。只要你在初始阶段把分流规则、Kill Switch、日志监控三条线理清楚，后续基本可以实现“无人值守”。下次量子通道再掉速，你就知道该去取消 Quantum 标签，而不是在微信群狂刷“快连崩了”。