功能定位:旁路代理到底解决什么问题
“快连路由器旁路代理”的核心思路是:在路由器本地保留国内直连,仅把匹配规则的外网流量交给快连 privacy tool 隧道。相比“全局代理”,它把 CPU 占用与延迟压到最低,同时让 Apple TV、Switch 等无法装客户端的设备也能自动分流。
经验性观察:在 100 Mbps 宽带、15 台终端的 SOHO 场景,开启旁路后,路由器峰值负载下降约三成,Netflix 4K 缓冲时间从 6 s 级缩短到 2 s 级。代价是规则写错时,国内网银、游戏更新会被误切隧道,导致“能看片却付不了款”的尴尬。
版本与硬件前提:先确认你能否用
截至当前的最新版本,快连 privacy tool 6.3.0 起正式把“旁路代理”下沉到路由器固件,支持下列两条线:
- MTK 798x/MTK 7622 芯片的官改固件(路由器后台顶部出现“QuickConnect”标签页)
- x86_64 软路由 Docker 镜像(镜像名 quickconnect/bypass-gateway,体积 37 MB)
若你用的是 2025 年以前刷的“老快连固件”,界面无“旁路代理”开关,只能退回“电脑端共享网关”模式,或重刷最新版。重刷会清空配置,务必先导出。
操作总览:三步把路由器变成分流网关
- 在路由器打开旁路代理,生成 Socks5/HTTP 混合端口(默认 7890)
- 把需要走隧道的域名、IP 或端口写成规则并导入
- 在 DHCP 设置里把网关与 DNS 指回路由器,局域网设备零配置生效
下面按平台差异给出最短路径。
桌面浏览器进入路由器后台
手机也可,但屏幕小容易点错。建议用 Chrome/Edge,地址栏输入 192.168.50.1(或你改过的新 LAN IP)。登录后,顶部菜单若有“QuickConnect”即代表固件已集成;若只有“privacy tool 客户端”字样,则需升级。
开启旁路代理开关
路径:QuickConnect → 旁路代理 → 启用旁路模式。首次开启会弹出“选择物理出口”,一定选“WAN”而非“USB-4G”,否则第二天你插 U 盘下载会把流量全部切走,导致 4G 卡超额限速。
提示
开关打开后,路由器会新建虚拟网卡 qc-bypass,默认占用 10.0.0.0/24 地址池,不要和你现有网段冲突。
导入规则:三种写法各有利弊
快连官方内置“大陆白名单”规则,每周二 04:00 自动拉新,但经验性观察:遇到 CDN 边缘节点变更,会有 4 h 级空窗。进阶用户更喜欢“黑名单”或“分应用”模式。
- 黑名单:只写需要走隧道的域名,如 *.netflix.com、*.googlevideo.com;优点是国内网站 0 误伤,缺点是一有新服务就要加。
- 白名单:写国内 IP 段,其余全部走隧道;适合海淘卖家,把 Amazon、PayPal 一网打尽,但国内直播会被绕路。
- 分端口:把 443 以外流量全部直连,仅加密网页;游戏更新走 80 端口能省流量,但遇到 QUIC/443 视频会漏网。
导入按钮在“规则管理→上传 YAML”,兼容 Clash 格式,不必改关键字。上传后点“热重载”,路由器 5 s 内生效,无需重启。
局域网侧配置:让设备自动发现网关
最懒办法:在 DHCP 设置里把“默认网关”写成路由器 LAN IP(如 192.168.50.1),DNS 写 223.5.5.5,8.8.8.8。iOS、Android、Switch 拿到地址后立刻生效,无需手动改 Wi-Fi 代理。
若你家用的是自建 AdGuardHome,可把上游 DNS 指到 192.168.50.1:53,再把 AdGuard 的“上游代理”打开,就能在过滤广告的同时保留分流逻辑。
验证与观测:四条命令判断成败
curl -x socks5://192.168.50.1:7890 https://ipinfo.io返回地区应为“日本/美国/香港”等隧道出口curl https://ipinfo.io直连应显示你本地宽带 ISP- 在路由器后台“实时监控→连接列表”里,能看到 qc-bypass 接口有 UDP 流量,且 WAN 口仍有大量直连 TCP
- 打开国内银行 App,若仍能调出“本机设备绑定”页面,说明白名单生效;若提示“境外登录被拒绝”,则把该域名加入直连名单并热重载
警告
部分视频 App 使用 QUIC 协议,默认走 UDP 443,规则若只写 TCP 会漏网。解决办法:在“高级→核心选项”里勾选“UDP 转发”,同时把 QUIC 强制降级为 TCP,代价是首次连接会慢约 200 ms。
常见失败分支与回退方案
1. 升级 6.3.0 后,后台找不到“旁路代理”页:说明固件未集成,需到官网下载对应机型的“整合版”重新刷机,再导入配置备份。
2. 打开开关后整个局域网断网:八成是虚拟网卡地址池与主路由冲突,把 qc-bypass 网段改成 172.31.255.0/24 即可。
3. 规则导入报错“line 45: unknown key payload”:YAML 里混进了 Clash Meta 的专属字段,快连内核尚未支持,用官方模板删掉 payload 段落再传。
适用场景清单:谁最值得开
- 家庭 4K 追剧:Apple TV、Chromecast 无法装客户端,却要看 Netflix 和 Disney+
- 跨境店铺管理:Amazon 卖家需要固定住宅 IP,防关联审核
- 高校实验室:多人同时查 Google Scholar,又不想每人买账号
- 游戏直播:只把语音服务器走隧道,游戏流量保持低延迟
不适用场景:何时不该用
- 公司内网有 SSL 审计:旁路会把证书链打断,导致邮件客户端无法握手
- NAS 远程 PT 下载:P2P 节点过多,路由器 CPU 扛不住 5000+ 并发连接
- 双拨聚合宽带:部分运营商会把第二条拨号识别为“副卡”,触发 30 秒重拨,隧道会频繁掉线
最佳实践十条:快速落地检查表
- 先备份路由器配置,再开旁路开关
- 规则用黑名单起步,国内网银测试通过后再加白
- 上传 YAML 前,用在线 YAML Lint 检查缩进
- 每周二自动更新后,抽 5 分钟刷一下银行 App,确认没被误切
- 把游戏主机 IP 加入“锁定节点”白名单,防止 AI 选路乱跳
- 打开“UDP 转发”前,先确认 NAS 没有跑 QUIC 下载,否则 CPU 飙升
- 多人合租账号时,把路由器后台密码与 Wi-Fi 密码分开,防止规则被误删
- 远程排查时,先在“系统→调试”里打开 SSH,仅允许 LAN 地址访问
- 每季度导出一次规则到 GitHub 私有仓库,方便回滚
- 若需 IPv6,先把光猫改为桥接,再在“IPv6 设置”里关闭 PD 前缀代理,避免地址泄露
FAQ:官方未写明的五个疑问
旁路代理会降低无线速率吗?
经验性观察:在 Wi-Fi 6 80 MHz、500 Mbps 宽带下,开旁路后 5 GHz 单设备 Speedtest 仍能跑满,CPU 占用增加 8%–12%。若用 Wi-Fi 7 160 MHz 且同时 4K 投屏,建议把“转发线程”手动调到 4 核,否则会出现偶发降速。
规则多久生效?需要重启路由器吗?
不需要。上传 YAML 后点“热重载”,5 s 内新连接即按新规则分流;已建立的 TCP 长连接会等到超时或手动断开才切换。
能否把旁路代理端口映射到公网?
技术上可以,但违反《计算机信息网络国际联网管理暂行规定》,官方固件已把端口绑定在 LAN 接口。若强行改防火墙,下次升级会被覆盖,且失去保修。
家用 Mesh 节点需要每台都开旁路吗?
不需要。只要主路由开旁路并把 DHCP 网关指回自己,Mesh AP 设为“桥接模式”即可,否则二级路由会把流量二次 NAT,导致 Xbox 语音失败。
规则冲突时哪条优先?
自上而下匹配,首次命中即停止。建议把最具体的域名放前面,把“GEOIP,CN”这类大段放末尾,可节省 15% CPU 时间。
收尾:下一步行动建议
如果你只想让 Apple TV 无感看 Netflix,用默认黑名单即可;若你是 Amazon 店群运营,务必把住宅 IP 节点写死,并每周检查规则更新。先备份、后实验、再逐步扩大范围,是避免“全家断网”的唯一安全绳。
现在就登录路由器后台,确认固件是否为“截至当前的最新版本”,按本文顺序开启旁路代理,上传第一条黑名单规则,用 curl 验证出口——十分钟内,你的局域网就能实现“国内直飞、国外翻墙”的分流体验。
