软路由翻墙教程 — OpenWrt + OpenClash / iKuai

在软路由上使用 OpenClash 实现全家设备自动翻墙

OpenWrt + OpenClash

OpenWrt 01

方案概述

什么是软路由？

软路由（Soft Router）是指使用通用 x86/ARM 硬件配合路由固件（如 OpenWrt）实现的路由功能，与传统的硬路由（购买成品路由器）相对。软路由通常性能更强、可定制性更高。

为什么选择 OpenWrt + OpenClash？

OpenWrt：开源、稳定、可扩展的 Linux 路由系统，社区活跃，插件丰富
OpenClash：基于 Clash 内核的 OpenWrt 插件，支持订阅、分流、TUN 等完整功能

方案优势：全家设备自动代理、细粒度控制（按域名/IP 分流）、高性能、统一管理。

OpenWrt 02

硬件推荐

x86 迷你主机（首选）：常见型号 N100、N5105、J4125、J1900 等，功耗低、体积小、性能足够。建议选择双网口版本（WAN + LAN）。

其他选择：旧电脑（加装双网卡）、虚拟机（ESXi、Proxmox VE、Hyper-V 等）。

项目	最低配置	推荐配置
CPU	2 核	4 核及以上
内存	2GB	4GB 及以上
网口	双网口（WAN + LAN）	双千兆或 2.5G
存储	512MB	1GB 及以上

OpenWrt 03

OpenWrt 安装

1. 下载固件

官方 OpenWrt：openwrt.org 选择对应设备型号
ImmortalWrt：国内用户推荐，预装更多中文支持，immortalwrt.org

x86 设备通常选择 combined-ext4.img.gz 或 generic-ext4-combined.img.gz。

2. 写入存储

Windows 用户：使用 Rufus 或 balenaEtcher 将 .img 镜像写入 U 盘或硬盘，选择「原始磁盘镜像」模式。

# Linux 用户：解压后写入 U 盘（替换 /dev/sdX 为实际设备）
gunzip openwrt-xxx.img.gz
sudo dd if=openwrt-xxx.img of=/dev/sdX bs=4M status=progress

3. 首次启动：将 U 盘/硬盘插入设备，从该存储启动。默认 LAN IP 多为 192.168.1.1，用网线连接电脑访问 http://192.168.1.1。

OpenWrt 04

网络拓扑

模式一：软路由作为主路由

互联网 → 光猫 → [软路由 WAN] OpenWrt [LAN] → 交换机/设备

软路由负责拨号、NAT、DHCP；所有流量经软路由，OpenClash 可全局代理。

模式二：软路由作为旁路由（旁路网关）

互联网 → 主路由 → 交换机 → 设备
                   ↓
             [旁路由 OpenWrt]（仅 LAN，同网段）

主路由负责拨号、DHCP；旁路由只做代理网关，不参与拨号；客户端需将网关设为旁路由 IP，或由主路由 DHCP 推送。

旁路由配置要点：旁路由 LAN IP 与主路由同网段（如 192.168.1.2）；网关指向主路由；关闭 DHCP。

OpenWrt 05

安装 OpenClash

1. 更新软件源 — 进入 系统 → 软件包，点击「更新列表」。

2. 安装依赖 — 在「软件包」中搜索并安装：iptables、dnsmasq-full、coreutils、bash、curl、ca-certificates、ipset、libcap、kmod-tun 等。

# 或通过 SSH 安装
opkg update
opkg install iptables dnsmasq-full coreutils coreutils-nohup bash curl ca-certificates ipset libcap libcap-bin kmod-tun kmod-inet-diag

3. 下载 OpenClash ipk — 访问 OpenClash GitHub Releases，根据 CPU 架构选择 x86_64 或 ARM 版本。

4. 安装 — 在「系统 → 软件包」中点击「上传软件包」选择 ipk 安装，或 SSH 执行：opkg install /tmp/luci-app-openclash_xxx.ipk

安装完成后，在 服务 → OpenClash 中即可看到管理界面。

OpenWrt 06

导入订阅

方式一：订阅链接（推荐）

进入 OpenClash → 配置管理 → 订阅管理
点击「添加」，填入订阅 URL
点击「更新配置」下载节点列表
在「配置订阅」中选择刚更新的配置，点击「使用配置」

方式二：手动上传 YAML

从机场面板导出 Clash 配置，在 配置管理 中点击「上传」，选择 .yaml 文件，上传后选择该配置并「使用配置」。

OpenWrt 07

运行模式

Fake-IP 模式 vs Redir-Host 模式

模式	说明	适用场景
Fake-IP	用虚拟 IP 解析域名，减少 DNS 请求，降低延迟	推荐大多数用户，兼容性好
Redir-Host	真实 DNS 解析，再根据 IP 分流	部分老旧应用、特殊场景

建议默认使用 Fake-IP，若遇到某些应用异常再尝试 Redir-Host。

TUN / Mixed 模式：TUN 模式接管系统网络栈，可代理所有流量（含 UDP、游戏）；Mixed 模式兼顾兼容性与游戏加速。游戏加速、UDP 需求建议开启 TUN 或 Mixed。

OpenWrt 08

DNS 配置

在 OpenClash → DNS 设置 中：

本地 DNS 劫持：建议开启，避免 DNS 泄露
Fake-IP 范围：默认 198.18.0.1/16 即可
上游 DNS：选择可靠的公共 DNS（如 8.8.8.8、1.1.1.1、DoH）

避免 DNS 泄露：开启「DNS 劫持」，确保所有 DNS 请求经 OpenClash 处理；使用 DoH/DoT 加密上游；可访问 dnsleaktest.com 检查是否泄露。

OpenWrt 09

故障排除

OpenClash 无法启动 — 检查依赖是否完整安装；查看 系统 → 系统日志 或 OpenClash 日志；确认内核版本与 OpenClash 兼容。

核心下载失败 — 检查 OpenWrt 能否访问 GitHub；可手动从 Clash Meta Releases 下载对应架构的 clash-meta，上传到 /etc/openclash/core/。

DNS 解析循环 — 关闭主路由或旁路由上的重复 DNS 劫持；确保 dnsmasq 与 OpenClash 的 DNS 端口不冲突。

客户端无法上网 — 检查客户端网关是否指向 OpenWrt（旁路由模式）；确认 OpenClash 已启动且运行模式正确；检查防火墙规则是否放行。

iKuai + 旁路由

iKuai 01

iKuai + 旁路由方案概述

本方案以 iKuai 爱快 作为主路由，OpenWrt + OpenClash 作为旁路由，实现多 WAN、流控、行为管理等功能与翻墙代理的分离部署。

组件	职责	优势
iKuai 主路由	拨号、多 WAN 负载均衡、QoS 流控、行为管理、认证计费	企业级功能，适合多线接入、带宽管理
OpenWrt 旁路由	仅负责 Clash 代理	专注翻墙，主路由故障不影响代理；可单独重启升级

职责分离的好处：主路由稳定、代理独立、灵活切换（需要代理的设备指向旁路由，不需要的走主路由直连）。

iKuai 02

网络拓扑图

                        互联网
                           │
                           ▼
              ┌─────────────────────────┐
              │   iKuai 主路由           │
              │   - WAN 拨号/多线        │
              │   - LAN: 192.168.1.1    │
              │   - DHCP 服务器          │
              └───────────┬─────────────┘
                          │
                          ▼
              ┌─────────────────────────┐
              │       交换机 / LAN       │
              │   192.168.1.0/24         │
              └───┬─────────────────┬───┘
                  │                 │
        ┌─────────┘                 └─────────┐
        ▼                                     ▼
┌───────────────┐                   ┌─────────────────┐
│  OpenWrt 旁路由 │                   │  客户端设备      │
│  192.168.1.2   │◄── 网关指向 ──────│  网关: 192.168.1.2 │
│  仅 LAN，无 WAN │                   │  (需代理的设备)   │
│  OpenClash     │                   └─────────────────┘
└───────────────┘

说明：
- 主路由 iKuai 负责拨号、DHCP、流控
- 旁路由 OpenWrt 与主路由同网段，网关指向 iKuai
- 需要翻墙的设备：手动设置网关为 192.168.1.2，或由 iKuai DHCP 推送

iKuai 03

配置要点

iKuai 主路由：WAN 口配置拨号；LAN 口 IP 如 192.168.1.1；DHCP 服务端地址池如 192.168.1.100～192.168.1.200；可选：DHCP 推送旁路由为网关。

旁路由 OpenWrt：仅保留 LAN，删除或禁用 WAN；LAN 配置：IP 192.168.1.2、网关 192.168.1.1、DNS 192.168.1.1 或 8.8.8.8；关闭 DHCP；安装 OpenClash 并导入订阅。

避免路由循环：确认旁路由网关指向主路由，主路由 DHCP 的网关不要出现交叉指向。

iKuai 04

客户端指向方法

方法 A：单设备手动设置网关

在需要翻墙的设备上：Windows 网络适配器 → IPv4 → 手动设置网关为 192.168.1.2；手机/平板在 WiFi 高级设置中修改网关；智能电视若支持静态 IP，网关填 192.168.1.2。

方法 B：iKuai DHCP 推送网关

在 iKuai 的 DHCP 中，为指定客户端或地址池设置网关为 192.168.1.2，则这些设备会自动通过旁路由上网。

方法 C：iKuai 策略路由

使用 iKuai 的 流控分流 → 分流设置 或 端口分流，将特定 IP、MAC 或端口的流量指向旁路由 192.168.1.2，适合按用户、按应用精细控制。