1 왜 라우터에서 투명 프록시를 쓰는가
PC나 스마트폰에 Clash 계열 클라이언트를 올리면 「한 기기」 문제는 잘 해결됩니다. 그러나 TV 셋톱박스, 게임기, 태블릿, 손님 기기까지 모두 커버하려면 기기마다 설치·유지보수 부담이 큽니다. 라우터 프록시는 분류 로직을 기본 게이트웨이 앞으로 옮깁니다. LAN의 기기가 DHCP로 받은 기본 게이트웨이와 DNS만 OpenWrt 쪽으로 맞추면, 시스템 프록시를 일일이 넣지 않아도 트래픽이 같은 Clash 규칙으로 들어가는데, 이것이 흔히 말하는 투명 프록시와 「LAN 전역에 가까운 프록시」가 함께 언급되는 이유입니다.
OpenWRT(OpenWrt)는 커뮤니티 기반 라우터 펌웨어로 패키지·스크립트 확장이 가능하고, OpenClash는 그 위에서 구독 갱신·코어 선택·규칙과 DNS 옵션을 LuCI에 모아 둔 Clash용 플러그인입니다. 본문은 사이드 라우터 등 가정에서 자주 쓰는 토폴로지와 점검 항목을 다루며, 메뉴 이름은 OpenClash 버전에 따라 다를 수 있으니 실제 화면을 기준으로 삼으시면 됩니다.
Clash 호환 구독이 아직 없다면 데스크톱에서 먼저 《구독 변환 가이드》로 공항 원본 링크를 YAML·구독 주소로 바꾼 뒤 라우터 플러그인에 넣는 편이 작은 화면에서 손으로 노드를 맞추는 것보다 낫습니다.
2 토폴로지: 메인 라우터·사이드 라우터·게이트웨이
사이드 라우터(가장 흔함)
이미 통신사 모뎀이나 브랜드 메인 라우터가 있고 펌웨어 교체가 부담스러울 때가 많습니다. 이때 OpenWrt가 깔린 사이드 라우터를 LAN에 하나 더 두는 방식이 흔합니다. 사이드 장치는 메인과 같은 대역에서 IP를 받고, 메인 라우터나 각 단말에서 기본 게이트웨이를 사이드 IP로, DNS를 사이드 또는 플러그인이 정한 주소로 바꿉니다. 메인은 여전히 회선·NAT을 담당하고 사이드는 투명 프록시와 분류에 집중하므로, 문제가 생기면 게이트웨이만 메인으로 되돌려 빠르게 롤백할 수 있습니다.
올인원 메인 게이트웨이
OpenWrt 장비가 ISP에 바로 붙는 올인원 모델도 많습니다. WAN은 모뎀에, LAN은 Wi‑Fi·이더넷을 묶고 OpenClash가 LAN에서 나가는 트래픽을 가로챕니다. DHCP로 게이트웨이와 DNS를 라우터 하나로 맞추면 이해하기 쉽고, 하드웨어가 버틸 때는 「기본적으로 전부 프록시」에 가장 깔끔합니다.
단일 DHCP와 대역 설계
메인이든 사이드든 이중 DHCP 충돌은 피해야 합니다. 같은 LAN에서 일반 단말에 주소를 주는 DHCP는 한 대이거나 VLAN으로 명확히 나눠야 합니다. 메인과 사이드가 동시에 DHCP를 켜고 풀이 겹치면 게이트웨이가 엇갈리거나 단말이 간헐적으로 끊깁니다. 사이드 고정 IP, 서브넷 마스크, 메인 관리 주소를 메모해 두면 이후 투명 프록시 트러블슈팅 시간을 크게 줄일 수 있습니다.
성능과 동시 접속
라우터에서의 투명 프록시는 단순 NAT보다 부담이 큽니다. 큰 규칙 세트·GeoIP·주기 작업을 쓸 계획이면 RAM이 넉넉한 기기가 유리하고, 로그·프로파일·캐시된 Rule Provider는 플래시를 잡아먹습니다. 저가 ARM 박스보다 x86 소프트 라우터가 여유 있는 경우가 많고, 규칙 세트가 크고 기기 수가 많으면 발열·부하를 모니터링하고 규칙을 줄이거나 정책을 완화하는 것이 안전합니다. 변경 전에는 설정을 백업하고, 방화벽 존을 잘못 짚었을 때를 대비해 192.168.1.1 등 관리 주소에 유선으로 닿을 준비를 해 두세요.
3 OpenWrt와 OpenClash 배포 요점
설치 경로는 펌웨어 소스·아키텍처·배포 채널마다 달라 특정 명령 하나로 고정하지 않습니다. 실무에서는 플래시 용량과 의존 라이브러리가 충분한지 확인한 뒤 OpenClash를 설치하고, LuCI에서 서비스를 켠 다음 코어(보통 Meta/Mihomo 계열)를 선택합니다. 첫 기동 전에 현재 네트워크 설정을 백업해 두면 플러그인 실험 중 관리 포트가 막히는 상황을 줄일 수 있습니다.
갱신은 코어·Geo 데이터·규칙 프로바이더·플러그인을 구분해 보는 편이 안전합니다. 한 번에 「전부 최신」으로 올리면 설정 필드 불일치가 날 수 있어, 한가할 때 단계적으로 올리고 검증하는 것이 좋습니다. opkg로 관리한다면 작성자가 제공하는 .ipk와 저장소 빌드가 같은 계열인지 확인하세요. 스냅샷 빌드는 LuCI가 빠져 있거나 패키지 ABI가 하루아침에 바뀔 수 있어, 가정용 메인 라우터에는 안정 브랜치와 고정 패키지가 보통 더 낫습니다.
데스크톱 Clash Verge Rev와 마찬가지로 라우터에서도 설정 가독성과 롤백이 중요합니다. LuCI에서 큰 변경 전에 백업을 내보내거나 직전에 동작하던 YAML 조각을 남겨 두면 문제 발생 시 빠르게 되돌릴 수 있습니다.
4 투명 프록시: TUN과 Redir 이해하기
「투명」이란 앱이 HTTP/SOCKS 프록시 주소를 직접 넣지 않아도 커널이나 방화벽이 전달 계층에서 트래픽을 Clash에 넘긴다는 뜻입니다. OpenClash는 TCP 리다이렉트·TUN 캡처·커널에 따라 eBPF 보조 경로 등을 조합해 제공할 수 있습니다. Redir는 전통적인 포트 리다이렉트에 가깝고 CPU 부담이 상대적으로 적은 편이며, TUN은 더 많은 경로를 덮을 수 있으나 일부 펌웨어에서는 커널 모듈과 권한이 추가로 필요합니다. 빌드마다 메뉴 이름이 조금씩 다르므로 LuCI의 설명 문구를 함께 읽으세요.
이름을 외울 필요는 없습니다. 특정 UDP 앱이 이상하거나 로그에 코어로 들어오지 않는 연결이 보이면 플러그인에서 모드를 바꿔 보고, 국내 IP 우회·LAN 우회 같은 스위치가 의도대로인지 확인하세요. 관리 트래픽까지 터널로 보내면 안 됩니다.
데스크톱 TUN 가이드와 대응해 보면 이해가 빠릅니다. 데스크톱은 본기에 가상 NIC를 만들고, 라우터는 게이트웨이에서 포워딩 트래픽을 비슷하게 처리해 「프록시 설정이 없는」 앱도 규칙을 타게 합니다.
5 DHCP·게이트웨이·DNS 하향
사이드 라우터에서는 단말이 게이트웨이를 OpenWrt 장치로 가리키게 만드는 것이 핵심입니다. 메인 DHCP에서 기본 게이트웨이 옵션을 사이드 IP로 바꾸거나, 메인 DHCP를 끄고 사이드에서만 내릴 수도 있습니다. 둘 다 가능하지만 주소 풀·DNS·임대 시간이 일관되고 DHCP가 한 경로로만 내려가야 합니다. TV·콘솔은 정적 임대를 두면 주소가 바뀌어 생기는 혼선을 줄일 수 있습니다. 일부 기기만 프록시를 쓰려면 DHCP 정적 바인딩이나 게스트 SSID로 나누는 방법도 있습니다.
DNS가 두 번째 관문입니다. 단말이 여전히 통신사 DNS를 쓰면 규칙과 해석이 어긋나거나 FakeIP 동작이 꼬일 수 있습니다. 흔히 DHCP로 DNS를 라우터로 보내고 OpenClash 또는 dnsmasq가 Clash 설계에 맞게 Mihomo로 넘깁니다. 목표는 「라우터가 DNS를 받고 TCP와 같은 정책 엔진으로 넘긴다」는 한 가지 이야기로 맞추는 것입니다. FakeIP·누설 방지를 더 깊게 다루려면 《Meta 코어 DNS 누설 방지》를 함께 읽고 라우터와 데스크톱 정책을 맞추면 좋습니다.
IoT를 프록시 없이 VLAN으로 나눈다면 방화벽 존도 그에 맞춰야 합니다. 모든 카메라가 먼 출구로 나갈 필요는 없고, 신뢰 LAN·게스트 Wi‑Fi·IoT 구획을 나누는 것이 OpenWrt 존 모델과도 잘 맞습니다.
IPv6를 켠 경우 「v6는 직통·v4만 프록시」처럼 경로가 갈라지지 않게 주의하세요. 당분간 IPv6를 끄거나 정책과 맞는 전달만 남기면 변수를 절반으로 줄일 수 있습니다.
# Align these three or expect odd leaks:
1) LAN clients use the router as DNS (DHCP option 6).
2) The router DNS path feeds Mihomo / OpenClash, not ISP only.
3) Firewall redirects match TCP/UDP for your transparent mode.6 OpenClash: 구독·운용 모드·LAN 우회
LuCI의 OpenClash 화면에서는 보통 구독 URL 또는 로컬 설정을 먼저 넣고, 운용 모드를 Rule로 둡니다. 모바일 클라이언트와 같이 일상적으로는 rules가 직접·프록시를 나누게 두는 것이 좋고, 장시간 글로벌 프록시만 쓰면 지연과 CPU 부담이 커집니다. 가져온 뒤 구독 갱신을 한 번 실행하고 정책 그룹에 노드가 보이는지 확인하세요.
「LAN 우회」「국내 IP 우회」류 옵션은 내부 관리·국내 사이트 경험을 지키기 위한 것입니다. 잘못 끄면 라우터 관리 페이지나 NAS 접속이 꼬일 수 있습니다. 규칙은 앞에 있을수록 우선이므로 사용자 규칙은 조금씩 추가하고 필요 없으면 바로 제거할 수 있게 두세요.
원격 Rule Provider를 쓰면 갱신 주기와 업스트림 상태를 함께 봐야 합니다. 커뮤니티 규칙과 ACL4SSR 계열은 데스크톱에서 쓰던 것과 같은 맥락으로 라우터 웹에서도 적용할 수 있으나, 디버깅 입구만 LuCI로 바뀝니다.
7 검증과 자주 나는 문제
최소 검증 순서
임의의 LAN 기기에서 게이트웨이와 DNS가 사이드 또는 플러그인 요구와 일치하는지 확인한 뒤, OpenClash 로그에 연결이 찍히는지 봅니다. 익숙한 IP 확인 페이지로 출구를 비교하면 「사이트만 안 열림」인지 DNS 문제인지 규칙 문제인지 빨리 갈립니다. 경쟁 온라인 게임은 UDP 타이밍에 민감하므로, 아웃바운드가 UDP를 지원하더라도 홉이 늘면 지연은 줄지 않습니다. 민감한 타이틀은 퍼블리셔 CDN에 DIRECT 규칙을 두거나 터널을 우회하는 서브넷을 쓰는 경우가 많습니다. 스트리밍 박스는 지역·DNS가 바뀌면 라이선스 동작이 달라질 수 있으니, 먼저 테스트 노트북 한 대에만 투명 모드를 켠 뒤 DHCP 범위를 넓히는 식으로 단계적으로 검증하세요.
인터넷은 되는데 규칙이 안 먹을 때
모드가 Rule이 아님, 구독이 오래됨, DNS가 여전히 통신사 같은 경우가 많습니다. 운용 모드·활성 프로파일·단말의 오래된 DHCP 임대(와이파이 재연결)를 순서대로 확인하세요.
내부 서비스가 이상할 때
LAN 우회와 사용자 규칙이 내부 대역을 프록시로 보내지 않는지 확인하고, 관리 IP·NAS·프린터는 더 높은 우선순위로 직접 연결 규칙을 둘 수 있습니다.
처리량이 떨어지거나 구독 갱신이 실패할 때
하드웨어 오프로드는 주의해서 켜세요. 일부 경로는 커스텀 체인을 우회합니다. 속도 테스트 중 top으로 CPU를 보고, 임베디드에서는 NTP·인증서 저장소·HTTPS 가져오기용 DNS가 맞는지도 확인하세요. 복구용으로 페일세이프 부트·OpenClash 자동 시작 끄기·백업 복원 순서를 미리 메모해 두면 좋습니다.
8 「PC가 LAN 게이트웨이」 방식과 비교
《Switch·PS5 LAN 프록시》 글은 항상 켜 둔 PC에서 Clash를 돌리고 LAN 포트를 열어 콘솔이 PC를 프록시로 쓰게 하는 흐름을 다룹니다. 이미 고성능 PC가 있고 소수 기기만 공유하면 구축이 빠릅니다. 다만 절전·업데이트·풀스크린 게임 중에는 안정성이 흔들릴 수 있습니다.
OpenClash + OpenWrt는 24시간 전용 게이트웨이라 전력·OS 간섭이 적고, TV·휴대폰처럼 프록시 UI가 없는 기기에 유리합니다. 콘솔마다 IP를 찾거나 Windows 방화벽 예외를 줄 필요도 적습니다. 대신 하드웨어와 펌웨어 학습 비용이 듭니다. 둘은 배타적이 아니라, PC로 분류 로직을 검증한 뒤 라우터로 옮겨 고정하는 식으로 많이 씁니다. Linux 서버만 다룬 경험이 있다면 Mihomo systemd 가이드와 개념은 맞닿아 있으나 라우터에는 스위치 칩과 방화벽 존이 추가됩니다.
PC·스마트폰 클라이언트는 진단·구독 편집에 여전히 편합니다. 라우터는 기본 출구를, 중요 기기는 클라이언트로 이중화하는 구성도 흔합니다. Windows·macOS·Android 패키지는 이 사이트 다운로드 페이지를 이용하고, 출처 불명 미러는 피하세요. YAML을 다듬은 뒤 라우터 프로파일로 올릴 때도 데스크톱 패키지와 라우터용 패키지를 헷갈리지 않도록 구분해 두면 안전합니다.
9 준수·계정 보안
라우터가 상시 구동이면 구독 토큰·패널 비밀번호·SSH 노출 면이 커집니다. 강한 비밀번호, 불필요한 WAN 관리 포트 포워딩 금지, 펌웨어·플러그인 정기 갱신을 권장합니다. 가능하면 SSH는 키 로그인으로 두고, LuCI는 필요 시 HTTPS로 제한하세요. 게스트 Wi‑Fi가 관리망·NAS에 닿지 않게 존을 나누는 것도 잊지 마세요.
회선 약관과 트래픽 패턴도 인지하세요. 펌웨어 변경은 보증·ISP 장비 정책과 충돌할 수 있으며, 국경을 넘는 라우팅은 현지 법·계약을 스스로 준수해야 합니다. 비정상적인 장기 대량 업링드는 통신사 정책과 맞지 않을 수 있습니다. 합리적인 사용이 본인과 네트워크 환경 모두를 보호합니다.
10 정리
OpenClash로 OpenWrt에서 투명 프록시를 쓰는 핵심은 게이트웨이·DNS·Clash 규칙을 한 줄로 맞추는 일입니다. 단말은 별도 앱 없이 Wi‑Fi에 붙기만 하고, 라우터가 정책을 통일하면 휴대폰부터 TV·게임기까지 같은 전략을 공유합니다. 단일 기기 클라이언트만 쓸 때보다 「LAN 전역에 가까운 프록시」에 더 가깝고, 사이드 라우터·소프트 라우터 검색 의도와도 잘 맞습니다.
처음부터 완벽할 필요는 없습니다. 토폴로지와 DHCP를 먼저 정리하고 구독을 넣은 뒤 Rule 모드로 검증하고, 그다음 세부 규칙과 IPv6를 다루면 됩니다. 커뮤니티 패키지와 LuCI가 코어 갱신과 운용 토글을 보여 주므로 iptables 레시피만 쌓아 두는 것보다 유지보수가 쉬운 편입니다. FakeIP·DoH 업스트림·IPv6 계획까지 DNS 소양을 갖추면 스트리밍은 안정적으로, 재부팅은 줄어듭니다. 개발용으로 노트북에서 커널급 캡처가 필요할 때는 데스크톱 Clash 클라이언트가 자연스러운 보조가 됩니다.
PC나 스마트폰에서 구독·규칙을 따로 조율해야 한다면 각 플랫폼 클라이언트는 라우터 구성과 백업 역할을 함께할 수 있습니다.
