1 为何要在路由器上做透明代理
许多用户先在 PC 或手机上安装 Clash 系客户端,这已经能解决「单设备翻墙」;但当电视盒子、游戏机、平板和访客设备都要用时,逐台安装与维护成本很高。路由器代理把分流逻辑前移到网关:局域网内设备只要把默认网关和 DNS指向运行 Clash 的那台路由,就能在无需单独配置系统代理的前提下,让流量进入同一套规则——这正是透明代理与「局域网全局代理」常被一起提及的原因。
OpenWrt 是社区驱动的路由器固件,支持插件与脚本扩展;OpenClash 作为其上的 Clash 图形化插件,把订阅更新、内核选择、规则与 DNS 选项集中在 LuCI 界面里,降低了在嵌入式设备上维护 YAML 的难度。本文聚焦旁路由等常见家庭拓扑下的思路与检查项,具体菜单名称可能随 OpenClash 版本略有差异,请以你设备上的界面为准。
若你尚未持有 Clash 兼容订阅,可先在桌面端用《订阅转换完全指南》把机场原始链接转为 YAML 或订阅地址,再导入路由器侧插件,避免在路由小屏幕上手工拼节点。
2 拓扑:主路由、旁路由与网关
旁路由(最常见)
许多家庭已有运营商光猫或品牌主路由,不便刷机。常见做法是增加一台刷好 OpenWrt 的旁路由:它接在主路由 LAN 下,拿到同一网段的 IP;你在主路由或各终端上,把默认网关改为旁路由地址,把 DNS 改为旁路由或插件指定的地址。这样主路由仍负责拨号/NAT,旁路由专注做透明代理与分流,故障时也可一键把网关改回主路由以快速回退。
单臂路由与网段规划
无论主路由还是旁路由方案,请避免双 DHCP 冲突:同一 LAN 内只应有一台设备对普通终端下发地址,或明确划分 VLAN。若旁路由与主路由同时开 DHCP 且地址池重叠,会出现随机拿不到网关、设备间歇断网等问题。规划时记下旁路由固定 IP、子网掩码与主路由管理地址,后续排障会省大量时间。
性能与带机量
OpenClash 背后是 Mihomo/Clash 内核与加密隧道,CPU 与内存会持续参与加解密。入门 x86 软路由通常比低端 ARM 盒子更从容;若同时在线设备多、还要跑大量规则集,留意温度与负载,必要时降低并发策略或精简规则。
3 OpenWrt 与 OpenClash 部署要点
安装路径因固件源、架构与作者发布渠道而异,本文不绑定某一固定命令。实操上你通常需要:确认闪存空间与依赖库足够;在系统软件包或作者说明中安装 OpenClash;在 LuCI 中启用服务并选择内核(常见为 Meta/Mihomo 系)。首次启动前建议备份当前网络配置,避免插件调试阶段把管理口锁死。
更新策略上,建议内核、Geo 数据、规则集与插件分开看待:盲目一键「全量升级」有时会带来配置字段不兼容;更稳妥是小步升级并在低峰时段验证。若设备通过 opkg 管理软件包,注意与作者提供的 .ipk 是否同源,混用不同构建链可能引发依赖冲突。
与桌面 Clash Verge Rev 类似,路由器侧也要重视配置文件可读性与可回滚:在 LuCI 中每次大改前导出一份备份,或保留上一份可用的 YAML 片段,出现问题时能快速退回。
4 透明代理:TUN 与 Redir 怎么理解
「透明」指终端应用无需配置 HTTP/SOCKS 代理地址,内核或防火墙在转发层把流量交给 Clash。常见实现包括基于 iptables/nftables 的 Redir 与虚拟网卡式的 TUN。Redir 更贴近传统「端口_redirect」思路;TUN 能覆盖更多协议路径,但在部分固件上需要额外内核模块与权限。
选择时不必死记硬背名词:若你发现某些 UDP 应用异常、或日志显示部分连接未进入内核,可尝试在插件中切换模式并观察;同时确认绕过中国大陆 IP、绕过局域网等开关是否符合预期,避免把内网管理流量也送进隧道。
与 桌面 TUN 教程对照理解会更直观:桌面是在本机建虚拟网卡;路由器则是在网关上对转发流量做等价处理,目标都是让「不会配代理」的应用也能走规则。
5 DHCP、网关与 DNS 下发
旁路由场景下,关键是让终端把网关指到 OpenWrt 设备。你可以在主路由的 DHCP 里改「默认网关」为旁路由 IP,或关闭主路由 DHCP、改由旁路由统一下发——两种都能工作,但务必保证地址池、DNS、租期一致且唯一。若只用部分设备走代理,也可用 DHCP 静态绑定或划分访客 SSID,避免全家强制上同一策略。
DNS 是第二道坎:若终端仍使用运营商 DNS,可能出现解析与规则不一致、FakeIP 行为异常等问题。常见做法是让 DHCP 把 DNS 指到旁路由,由 OpenClash 或 dnsmasq 按 Clash 设计做分流。更深层的防泄漏与 FakeIP 细节,可与《彻底防止 DNS 泄漏》一起阅读,把路由器与桌面端的 DNS 策略对齐。
IPv6 若开启,注意是否出现「走了 v6 直连而绕过 v4 代理」的分裂路径。若你暂时不需要 IPv6,可在网络设置中关闭或仅保留与策略一致的转发方式,减少一半排障变量。
6 OpenClash 内:订阅、运行模式与绕过局域网
在 LuCI 的 OpenClash 页面,通常先完成订阅 URL 或本地配置的导入,再选择运行模式为规则(Rule)。与手机客户端一样,日常应优先让 rules 决定直连与代理;长期停在全局代理会增加延迟与路由 CPU 占用。导入后务必执行一次更新订阅,并确认策略组中出现节点列表。
「绕过局域网」与「绕过中国大陆 IP」类选项用于保护内网管理与国内站点体验;若你误关相关选项,可能出现路由器管理页打不开、局域网 NAS 访问异常等。调整顺序时记住:规则越靠前越优先,自定义规则应小步添加并随时可删。
若使用远程 Rule Provider,请关注更新周期与上游可用性;社区规则集与ACL4SSR 类方案在桌面端如何配合,在路由器端同样适用,只是调试入口换成了 Web。
7 验证步骤与常见故障
最小验证路径
在任意局域网设备上,先确认网关与 DNS已指向旁路由或插件要求;再在 Clash 日志中观察是否有连接记录。用浏览器打开熟悉的 IP 检测页对比出口,比单纯「能否打开某站」更能定位是 DNS 问题还是规则问题。
能上网但规则不生效
多为模式不是 Rule、订阅未更新或DNS 仍走运营商。逐项核对:运行模式、当前激活的配置档、以及终端侧是否缓存了旧 DHCP 租约(可尝试重连 Wi‑Fi)。
内网服务异常
检查绕过局域网与自定义规则是否把内网段送进了代理;必要时为管理 IP、NAS、打印机添加更高优先级直连规则。
CPU 飙高或发热严重
尝试降低并发节点测速频率、精简规则集、关闭不必要的嗅探或实验特性;长期高负载可考虑更换更强设备或把重任务留在桌面客户端。
8 与「电脑做局域网网关」方案对比
本站《Switch / PS5 局域网网关》讲的是让一台常开的电脑运行 Clash 并开放局域网端口,主机把代理指向电脑。这种方案部署快、适合已有高性能 PC 的用户;但电脑休眠、系统更新或游戏全屏时可能影响稳定性。
OpenClash + OpenWrt 的优势在于7×24 专用网关:功耗低、无桌面系统干扰,更适合「全家多设备长期走同一套规则」。代价是需要额外硬件与刷机学习成本。二者并非互斥:你可以先用电脑网关验证分流逻辑,再迁移到路由器固化。
PC 与手机上的图形客户端在诊断、抓包、改订阅上仍更顺手;很多家庭会选择路由负责默认出口,重要设备再装客户端做双保险。需要 Windows/macOS/Android 安装包时,请使用本站下载页,避免从不明镜像获取安装包。
9 合规与账号安全提示
路由器长期在线意味着订阅 Token、面板密码与 SSH 密钥暴露面更大。请使用强密码、关闭公网不必要的管理端口映射,并定期更新固件与插件。若设备支持,优先用密钥登录 SSH,避免弱口令被扫库。
对宽带合约与机房政策保持知情:某些运营商对「长期大流量上行」敏感。理性使用、避免异常流量模式,是对自己与网络环境负责的做法。
10 总结
用 OpenClash 在 OpenWrt 上实现透明代理,本质是把网关、DNS 与 Clash 规则三件事对齐:终端无感接入,路由器统一分流,从手机到电视再到游戏机都能共享同一套策略。相比仅在单设备装客户端,这是更接近「局域网全局代理」的工程化方案,也与旁路由、软路由等搜索需求天然契合。
落地时不必一次到位:先理清拓扑与 DHCP,再导入订阅、用 Rule 模式验证,最后才折腾精细规则与 IPv6。与零散工具拼凑相比,把家庭网络收敛到 Clash 系工作流(路由 + 桌面 Clash Verge Rev 等)在可维护性和排障效率上通常明显更好。
若你还需要在电脑或手机上单独调试订阅与规则,可从本站下载页获取各平台客户端,与路由器方案互为备份。
