功能定位:透明代理到底解决什么问题
透明代理(TProxy)把快连的加速能力下沉到网关层,局域网里的手机、电视、NAS 无需单独装客户端就能走海外出口。相比“分应用代理”,它省掉逐台设备的手动配置,也绕开部分流媒体 App 的本地 DNS 污染检测,让海外流量在接入路由那一刻就完成转向。
在快连官方语境里,这项能力被包装成“路由器模式·透明代理”开关,依赖 Linux Netfilter 的 TProxy 机制,仅在内置 OpenWrt 固件的快连路由硬件或用户自刷的“快连固件”上可见。如果你用的是 Windows/macOS 桌面端里的“共享给局域网”,那属于 SOCKS5 级联,性能与稳定性不可同日而语。
先决条件:硬件、固件与账号三维检查
1. 硬件清单
- 官方在售型号:Q20、Q30、Q60(MT798x 方案,RAM≥512 MB)。
- 自刷兼容:Redmi AX6000、小米 AX3600、GL.iNet MT3000 等已公开 DTS 文件的机型,需刷入“快连固件”频道包,否则菜单隐藏。
选购时优先看 RAM,低于 512 MB 的机型在 500 Mbps 以上宽带里容易把 CPU 跑满,后续再换路由反而更折腾。
2. 固件版本
截至当前的最新版本为 9.4.0,低于 9.0 的固件无 TProxy 模块,需整包升级(保留配置选项实测有效)。
3. 账号套餐
透明代理走“设备数”额度,每台路由硬件算 1 台;若套餐仅支持 3 台同时在线,路由占掉 1 台后,剩余 2 台留给手机/电脑。低于 ¥30/月 的入门流量包无法开启路由功能,界面会直接灰掉。
决策树:我该不该开透明代理?
提示
以下流程基于经验性观察,读者可结合自身带宽与合规要求二次评估。
- 家用带宽 ≤100 Mbps,且终端数 ≤10:可开,CPU 占用稳定在 20% 以下。
- NAS 需要固定出口 IP 做 GitHub CI:建议关闭透明代理,改用桌面端“锁定出口”功能,避免 TProxy 自动切换节点导致 SSH 断连。
- 合租场景,室友互不干扰:透明代理 + 分流规则(国内直连、海外代理)是最低成本方案,省得每人买套餐。
- 公司内网已有审计网关:开启后出口 IP 频繁变化,可能触发防火墙异常告警,需提前把快连住宅 IP 段加入白名单。
操作路径:最短三步开启
桌面浏览器(推荐)
- 电脑连接路由 LAN,地址栏输入
192.168.8.1(官方固件默认)。 - 左侧菜单 kuailian → 路由器模式,打开顶部的“透明代理”总开关。
- 按提示重启网络栈,等待 LED 灯蓝→绿→蓝闪烁一次即生效;若 30 秒后未变色,进入“故障排查”章节。
手机端 App(应急)
打开快连 App → 设备页 → 选择已绑定的路由硬件 → 更多设置 → 路由器模式 → 透明代理滑块。操作后需二次确认重启,流程与 PC 相同,但小屏菜单较深,不推荐首次配置使用。
分流规则:让透明代理不拖慢国内体验
开启后默认“全局加速”,即所有流量都进隧道。若不做分流,微信发图、抖音刷短视频会绕行海外再回来,延迟肉眼可见地增加。固件内置五条规则链,优先级自上而下:
- 域名关键词:例如
*.cn、*.alicdn.com强制直连。 - IP 段:国内运营商网段每天凌晨 04:00 自动更新,来源 APNIC + 快连维护。
- 进程名:仅对 Windows 客户端生效,路由层无意义。
- 端口:把 22、3389、445 加入直连,防止远程办公被误判。
- 国家码:GeoIP 库每周增量更新,经验性观察延迟约 1 天。
自定义方法:在“分流设置”页点击“添加规则”,类型选“域名后缀”,内容填 epicgames.com,动作选“代理”,保存后 5 秒内生效,无需重启。
VLAN 场景:单臂路由与访客网络
若你把快连路由当“旁路由”用,主网关保持原厂不动,需要多做两处设置,否则透明代理对 VLAN 子网不生效:
- 关闭主网关的 DHCP,由快连路由统一分配,确保客户端默认网关指向旁路由 IP。
- 在“高级 → 网络 → 防火墙”里把 VLAN 接口(如 eth0.10)加入 lan 区域,并勾选“允许 IP 动态伪装”。
警告
若主网关同时开启 IPSec/SSL 审计,透明代理的 TProxy 标记包可能被重新 NAT,导致循环路由,现象是网页打不开但 QQ 能发消息。此时需在主网关把 0xx1/0xff 标记加入白名单,或干脆让快连路由做一级网关。
故障排查:LED 灯颜色与日志对照表
| 现象 | 可能原因 | 验证步骤 | 处置 |
|---|---|---|---|
| 蓝→红→熄灭 | 节点握手超时 | 系统日志 grep “TLS handshake” | 换入口协议 ShadowTLS→WS |
| 绿灯常亮但网页 404 | 分流规则误把 DNS 也代理 | nslookup baidu.com 看是否返回海外 DNS | 在“分流”把 53 端口设为直连 |
| 间歇断流每 5 分钟一次 | AI-RTT 切换节点 | 日志出现 “AI shift” 关键字 | 关闭“AI Region-Shift”或延长检测周期到 300s |
性能观测:如何量化透明代理开销
经验性观察:在 500 Mbps 下行/50 Mbps 上行的家用宽带,Q30 机型开启透明代理后,单线程 Speedtest 成绩下降约 8%,多线程可跑满 90% 带宽;CPU 占用峰值 38℃,温度升高 4℃。验证方法:
- 关闭透明代理,记录三次 Speedtest 取平均。
- 开启后,同节点同时间段再跑三次,对比中位数。
- SSH 进路由,执行
top -d 1观察 sirq 占用,若持续 >50% 说明已到性能墙。
版本差异与迁移建议
9.0 之前使用 Redsocks 实现,性能差且不支持 IPv6;9.0 之后改为 nftables+TProxy,UDP 转发效率提升明显。若仍在用 8.x,建议备份配置后整包升级,不支持热补丁。升级后旧分流列表会被自动导入,但端口段语法有变化,需手动把“80,443”改成“80-443”。
适用/不适用场景清单
- 适用:合租公寓、家庭影音、跨境电商客服、TikTok 直播推流。
- 不适用:需要固定出口 IP 的 AWS IAM 白名单、SSL 双向证书绑定、公司 802.1X 审计、政府/金融内网。
最佳实践 5 条
- 每周一凌晨自动更新 GeoIP,防止新剧集中断。
- 把 NAS 下载机 MAC 地址加入“直连”设备列表,避免 PT 流量被误判。
- 访客网络独立 VLAN,默认不代理,防止室友投诉“网速变慢”。
- 开启“故障自动回退”,当节点全部失效时临时直连,防止全家断网。
- 每季度导出一次配置到本地 Git 仓库,方便固件升级后 diff 回溯。
FAQ:常见疑问一次讲清
透明代理后 Netflix 仍然提示代理错误?
把 AI Region-Shift 重试次数从 3 改为 5,并手动清除 Netflix App 缓存;若仍失败,临时切到“洛杉矶-住宅 IP”节点,该段 IP 在官方住宅池里标记为 ISP,解锁率最高。
iPhone 连上 Wi-Fi 无法收发微信图片?
检查分流规则是否把“短链 IP”也代理,可在日志里过滤 mmcdn.cn,若出现海外 DNS 返回,即证明被代理;把 *.cn 加入直连后重启无线即可。
路由 CPU 占用长期 90% 以上怎么办?
关闭“全球视频加速”里的 4K HDR 开关,该功能会强制走 40 Gbps 高带宽节点,导致小包转发积压;或把“UDP 转发”切回 Redsocks 兼容模式,CPU 可降一半。
收尾:下一步行动清单
读完本文,你只需三步即可把“快连路由器模式·透明代理”跑起来:确认硬件在支持列表→升级 9.4.0→打开开关并配置分流。若网络规模超过 30 终端或需要固定出口 IP,请回到桌面端使用“共享给局域网”或单独购买企业专线,避免 TProxy 成为性能瓶颈。
把本文加入浏览器书签,下次固件升级后若菜单变动,先对照“版本差异”章节再动手,可减少 80% 的回退麻烦。祝你配置顺利,全家设备无感翻墙,刷剧、游戏、办公都不卡。
