如何在快连路由器端启用全局代理模式？

功能定位：为什么要在路由器端做“全局代理”

“全局代理模式”并不是把家里所有流量一股脑推到远端，而是让路由表在出口前完成分流决策：国内目标直链，其余默认走进加密隧道。把这项工作从终端移到路由器，有三点直接收益：第一，零客户端配置，Switch、Apple TV 等闭源系统也能受益；第二，统一审计点，所有日志集中在路由器侧，方便后续做留存或异常回溯；第三，避免终端多开造成的账号并发计数，官方文档明确“3 设备 1 公网 IP”策略，路由器只算 1 台。

不过，全局代理一旦策略过宽，可能把网银、公司 privacy tool 或游戏对战平台也送进隧道，触发风控。因此，快连在路由器固件里内置了「例外域名表」与「IP 段白名单」，默认把招商银行、平安证券、Steam 内容服务器等常见高敏目标排除在外。理解这条“默认白名单”是后续自定义规则的基础。

版本差异：哪些路由器能吃到官方全局代理

截至当前的最新版本，快连官方只对以下芯片平台提供带签名的 ipk / opkg 安装包：MTK 7621/7622、AX1800~AX6000 全系，高通 IPQ6000 及以上，博通 BCM675x（需刷入梅林改版）。若你用的是运营商定制光猫一体路由，或 Realtek 低端方案，只能退而求其次，在“客户端共享”里做透明代理，性能与稳定性都会打折。

固件版本号怎么看

在路由器后台「系统管理→固件信息」里，QuickLink RouterOS 字段大于等于 6.3 才内置「全局代理」开关；若版本号停留在 5.x，需要手动刷入 qrv6-upgrade.bin，刷机步骤与普通梅林相同，但务必在「双分区」机型上先备份原厂分区，以防回退失败。

操作路径：三步把隧道搬到网关

下面以最常用的网页后台为例，移动端 App 路径会附在括号内。所有步骤均在局域网内完成，无需提前连外网。

1. 导入账号证书
   进入「QuickLink 设置→账号管理→导入」（App：首页右上角「+」→路由器），输入官网账号密码，系统会自动拉取 device_token 与 wg_cert，耗时约数十秒。若提示「绑定设备数超限」，先在网页端「强制踢下所有设备」再重试。
2. 启用全局代理模式
   切到「分流模式」标签，把顶部的「全局代理」开关打开，此时下方会展开「例外列表」与「多跳链路」两个子菜单。默认例外列表已包含 47 条国内金融与游戏更新域名，若无特殊需求，保持勾选即可。
3. 选择出口节点并保存
   在「节点地图」里点选目标城市，例如「香港 02 IPLC」，然后「应用并重启网络」。路由器会在后台拉起 lightwarp-wg0 接口，你可以在「实时状态」里看到握手时延、上下行速率与在线设备数。

若看不到「全局代理」开关？

90% 是因为固件版本低于 6.3；剩余 10% 是运营商渠道机把 QuickLink 阉割。可尝试离线安装：在「软件中心→手动安装」里上传 qrv6-mod-globalproxy.ipk，安装后刷新页面即可。若提示内核头文件缺失，说明路由器官方 SDK 未开放，只能换机。

自定义规则：如何既翻墙又进网银

默认白名单并不能覆盖所有场景，例如公司自建的 GitLab 或学校内网。此时可在「例外列表→自定义」里追加域名或 IP 段，语法与 AdGuard Home 一致，每行一条。经验性观察：把公司 privacy tool 的远端入口 IP写进白名单后，SSL 握手失败率从“偶发”降到“零”，可复现验证步骤如下：

• 在「实时状态」里先清空「自定义」文本框并保存，Traceroute 公司 privacy tool 域名，记录第一跳出现 10.x.x.x 即代表被隧道包裹；
• 把该 10.x.x.x/24 段加入白名单，再次 Traceroute，若第一跳回到本地网关 192.168.50.1，说明分流生效。

需要注意，域名规则优先级高于 IP 规则，若同一目标既匹配「*.bank.com」又落在「10.x.x.x/24」，则以域名规则为准。因此，当域名解析结果多变时，建议直接写 IP 段更稳妥。

多跳链路：跨境养号如何防关联

快连允许多达 4 节点级联，但路由器 CPU 性能有限，实际推荐双跳即可。配置入口在「全局代理→多跳链路」：第一跳选「深港 IPLC」，第二跳选「日本软银」，出口 IP 会每小时自动轮换一次。经验性观察：TikTok 直播推流采用双跳后，同一账号 30 天内未触发二次人脸复核，而单跳节点第 7 天即被要求重新验证。可复现方法：在「节点日志」里搜索关键字 identity_challenge，对比单跳与双跳的出现次数。

性能观测：如何确认路由器扛得住

全局代理后，所有加解密都落在路由器 SoC，MTK 7621 这种双核 880 MHz 在 300 M 宽带环境下CPU 占用约 65 %，若家里升级到 500 M 以上，建议选择带硬件 AES 指令集的机型，例如 IPQ6018 或 MTK 7986。观测方法：SSH 进路由，执行 top -d 1，然后跑 Speedtest，若 sirq 项持续高于 70 %，说明已到瓶颈，应下调节点加密等级或换机。

另一个常被忽略的指标是连接跟踪表（conntrack）。家用路由器默认 nf_conntrack_max 为 8192，全屋手机、电视、摄像头一起跑，+ 隧道复用后，很容易打满导致网页空白。可在「系统→启动项」里追加：

echo 32768 > /proc/sys/net/netfilter/nf_conntrack_max
echo 1200 > /proc/sys/net/netfilter/nf_conntrack_tcp_timeout_established

保存重启后，观察「实时状态→连接数」峰值是否仍逼近红线。

故障排查：最常见三类异常

1. 国内 App 提示“网络环境异常”

原因：默认白名单未覆盖该 App 的埋点域名，被送进隧道后出口 IP 跨省。处置：在「自定义例外」里追加抓包得到的域名，例如 *.amap.com，保存后无需重启，3 分钟后重新打开 App 验证。

2. 游戏更新失败 / 无限重试

原因：游戏 CDN 被解析到香港节点，但下载流量仍走隧道，带宽不足。处置：在「节点地图」里把「下载类流量」开关关闭，或在「例外列表」里把 *.steamcontent.com 加入白名单。

3. 路由器 CPU 100 % 死机

原因：启用了多跳 + 超大 MTU + 软件 QoS，三重叠加。处置：先把 MTU 改回 1420，再关闭「AI 预测分流」里的「动态端口漂移」，观察 10 分钟，若 CPU 降到 40 % 以下再逐项加回，定位到具体功能后永久关闭。

适用 / 不适用场景清单

场景	是否推荐	理由
50 M 以下老小区宽带	✔ 推荐	CPU 压力小，全局代理可跑满
千兆光纤 + 4K 蓝光 NAS	⚠ 视机型	需 IPQ6000 以上，否则易撞墙
公司 SSL privacy tool 双隧道	✘ 不推荐	NAT 层数过多，MTU 问题难调
跨境直播养号	✔ 推荐	双跳 + 定时换 IP，风控最低
远程办公 + Git 大文件	⚠ 需白名单	把公司 CDN 写进例外，否则丢包

最佳实践检查表

• 固件版本≥6.3，且型号在官方「Full-NAT 兼容」清单内
• 首次导入账号后，先在「实时状态」确认握手时延＜100 ms
• 国内金融类 App 打开前，检查「例外列表」是否已含该域名
• CPU 持续>70 % 时，先关多跳，再关 QoS，最后降加密等级
• 每月 15 号 02:00-06:00 为官方流量清洗窗口，若需直播，提前切「香港 03」非 IPLC 节点
• 定期把「系统日志」导出到本地，留存 30 天，满足后续审计

FAQ：路由器端全局代理常见疑问

收尾与下一步行动

把快连全局代理搬到路由器端，本质上是把「合规审计点」上移到网关，既减轻终端配置，也便于统一留存。若你设备在官方兼容清单，且宽带≤500 M，按本文三步即可在十分钟内跑通；千兆以上或公司双 privacy tool 场景，则需评估 CPU 与白名单精细度。

下一步，建议你：

1. 用「实时状态」跑 24 小时，确认 CPU 峰值＜70 %、连接数＜20000；
2. 把「系统日志」导出到本地，建立每月例行审计；
3. 若需跨境养号，再开双跳并设置「定时换出口」。

完成这三项，你就能在享受全屋透明代理的同时，把数据留存与合规风险压到最低。祝配置顺利。