科技熊工作室科技熊工作室 · 攻略
攻略 / 客户端进阶

路由器 / 软路由全屋翻墙指南:OpenWrt + OpenClash 从选硬件到分流配置(2026)

📅 2026-07-02 ⏱ 约 21 分钟

在电脑、手机上装个客户端点一下连上,已经是很多人的日常。但家里真正难搞的是那些「装不了客户端」的设备:电视盒子、智能电视、PS5 / Switch 这类游戏主机、投影仪、平板、访客的手机。它们要么没有第三方代理 App,要么每台都单独配一遍太麻烦。

路由器 / 软路由翻墙解决的就是这件事:把代理放在网络的出口上,全屋所有设备只要连了这台路由器(有线或无线),流量就自动按规则分流,国内网站直连、国外网站走代理,设备本身完全无感,也不用装任何东西。

这篇是本站攻略里最详尽的一篇,从选硬件、选固件、选插件,一直讲到完整的配置步骤和排障。核心方案是社区最成熟的组合:OpenWrt 系统 + OpenClash 插件(内核用 Mihomo / Clash.Meta)。科技熊的订阅本身就是标准 Mihomo(Clash.Meta)订阅,在 OpenClash 里直接填订阅链接即可,和电脑手机端用的是同一份订阅。

一、先想清楚:主路由还是旁路由

动手买硬件前,先决定这台设备在你家网络里怎么摆。这决定了配置难度和风险。

  • 主路由模式:软路由 / 刷好的路由器直接接光猫,负责 PPPoE 拨号、做全屋的网关和 DHCP。所有设备的流量天然从它出去,接管最彻底,但一旦配置出错,全家断网,改回来也麻烦。适合愿意折腾、想一步到位的人。
  • 旁路由模式:保留你现在的主路由不动,把软路由挂在它旁边(接一根网线到主路由的 LAN 口)。需要走代理的设备,把网关和 DNS 手动指向这台软路由,或在主路由 DHCP 里把默认网关改成软路由的 IP。流量就绕道软路由出去,其余设备照常直连。

新手强烈建议先从旁路由入手。它不改动你现有的网络,出问题拔掉那根线、或把网关改回主路由,全家立刻恢复正常,试错成本极低。等玩熟了再考虑主路由。下面的硬件和配置对两种模式都通用,差别只在最后网关怎么指。

二、硬件怎么选:三档预算与选购要点

翻墙对路由器的核心要求是加密转发性能——代理流量要在设备上做加解密,CPU 扛不住就会「限速」,你办了千兆宽带却只能跑出两三百兆。所以选硬件本质是选 CPU。按预算和折腾程度分三档。

入门档:开箱即用的 GL.iNet(最省事)

GL.iNet(国内也叫「捷力网络」)的路由器出厂固件就是基于 OpenWrt 的分支,自带简化版图形界面,同时保留完整的 LuCI 高级设置,可以直接用 opkg 装 OpenClash,几乎不用刷机。适合完全不想折腾底层的新手。

  • GL-MT3000(Beryl AX):口袋型旅行路由,AX3000 规格的 Wi-Fi 6,一个 2.5G WAN 口 + 一个千兆 LAN 口 + USB 3.0,海外售价约 90 美元(国内到手约 ¥600-700)。体积小、性能够日常,出差住酒店也能带着用。
  • GL-MT6000(Flint 2):定位家用高性能路由,AX6000 双频 Wi-Fi 6,两个 2.5G 网口,WireGuard 实测可达约 900Mbps,内置 AdGuard Home 去广告,售价约 140-160 美元(约 ¥1000)。适合作为全屋主力,多设备并发更从容。
  • GL.iNet 也有 Wi-Fi 7 的新一代旅行路由 Beryl 7(GL-MT3600BE)、Slate 7(GL-BE3600),预算充足、想上 Wi-Fi 7 可以关注,但 Wi-Fi 6 的 MT3000 / MT6000 目前性价比和成熟度更好。

GL.iNet 的短板是同价位纯硬件性能不如自己攒的 x86,胜在省心、开箱即用、社区教程多。

进阶档:可刷 OpenWrt 的家用路由(性价比高,但要刷机)

买一台支持刷机的普通家用路由,自己刷上 OpenWrt / ImmortalWrt,是性价比路线。代表型号:

  • 小米 / 红米 AX3000T:用联发科 MT7981 芯片(双核 ARM Cortex-A53),是近年刷机圈的热门口粮机,促销时百来到两百多元就能拿下,社区支持成熟。可刷 ImmortalWrt(固件名形如 immortalwrt-mediatek-mt7981-xiaomi_mi-router-ax3000t-...)。注意它有硬件改版(AX3000Tv2、an8855 网口版等),务必先确认自己手上的批次,下载对应固件,否则可能刷失败。
  • 红米 AX6S:老牌口粮机,MT7621 芯片(双核 MIPS,主频约 880MHz),256MB 内存。刷机流程稍繁琐——需要用路由器 SN 码在小米开发者页面算出 root 密码,Telnet 开 SSH,再刷 factory.bin。它的 CPU 偏老,加密转发上限大约在几百兆,跑满千兆代理会吃力,适合宽带不高、设备不多的场景。
  • 同类还有 Cudy TR3000 等 MT7981 机型,思路一致。

刷机的通用注意事项:有变砖风险,动手前在恩山论坛或对应固件的 GitHub 项目里找准你这个型号、这个硬件版本的教程和「救砖」方法;准备好原厂固件以便刷回;U-Boot / 双分区备份能救命。刷机不可逆的心理准备要有。

高阶档:x86 软路由(性能最强,适合大户型 / 多设备 / 高带宽)

如果你家是千兆甚至 2000M 宽带、设备几十台、还想顺带跑 NAS / 下载 / 虚拟机,直接上 x86 迷你主机做软路由。当前的甜点是 Intel N100 平台

  • N100 是 4 核 4 线程、TDP 仅 6W(峰值约 25W)、支持 DDR5 的低功耗 U,综合性能约等于老 i3,比前代 N5105 提升明显。关键是 x86 带 AES-NI 硬件加密指令,代理的加解密几乎不占额外开销,能轻松跑满千兆、应付 2000M 宽带。
  • 常见形态是带 2-6 个 2.5G 网口(多用 Intel I226-V 网卡)的迷你准系统,裸机(不含内存硬盘)约 ¥800-900,配好内存和固态的整机约 ¥1000-1500。畅网(CWWK)、天钡(Topton)等品牌都有现成整机。
  • 想要 ARM 低功耗方案,FriendlyElec 的 NanoPi R4S / R5S(双网口)也是经典软路由,功耗更低、体积更小。

x86 软路由本身通常不带无线,需要另接一台 AP 或原路由做无线发射(这也天然契合旁路由玩法)。

选购要点小结

不管选哪档,盯住这四项:

  1. CPU 决定速度天花板:这是最重要的一项。老 MIPS(如 MT7621)只能跑几百兆代理;MT7981 这类新 ARM 好一些;x86(N100)有 AES-NI 硬解,代理加密几乎无损耗。性能不足的直接后果就是翻墙时被路由器 CPU 卡住限速。
  2. 内存:OpenClash 加上各种规则集(GEOIP / GEOSITE 数据库)很吃内存,路由器建议 ≥256MB,x86 建议 ≥8GB,多设备高并发时更明显。
  3. 有线口速率:宽带上千兆就认准 2.5G 网口,别让百兆 / 千兆口成为瓶颈。
  4. 无线标准:全屋无线设备多,Wi-Fi 6(AX)起步,预算够可上 Wi-Fi 7,直接影响多设备同时在线的体验。

三、固件为什么用 OpenWrt(顺便说说 DD-WRT)

选好硬件,接下来是刷什么系统。这里要礼貌纠正一个常见误解:不少人一提「路由器刷机翻墙」就想到 DD-WRT,但如果你的目标是在路由器上跑 Clash / Mihomo 这类订阅式代理,主流且顺手的生态是 OpenWrt,不是 DD-WRT。

三种固件的区别:

  • 原厂固件:厂商封闭系统,功能被锁死,装不了第三方插件,基本没法做透明代理。
  • DD-WRT:老牌开源固件,历史悠久、稳定,但它的强项在传统 VPN(OpenVPN / WireGuard 集成得很好)和无线管理。要在它上面跑 Clash 系透明代理,需要自己折腾内核、iptables 规则和订阅更新,社区现成插件很少,非常不方便。这不是说 DD-WRT 不好,而是它的生态方向和「订阅式代理」不对路。
  • OpenWrt:开源 Linux 路由系统,带 opkg 包管理和 LuCI 网页界面,插件生态最丰富,Clash / Mihomo 相关的透明代理插件(OpenClash、Nikki 等)都长在这个生态里,装一个 ipk 包就能用。ImmortalWrt 是 OpenWrt 的一个分支,对国内设备型号和中文环境更友好,很多刷机教程用的就是它,配置逻辑与 OpenWrt 一致。

结论很简单:跑 Clash 订阅,认准 OpenWrt / ImmortalWrt。

四、插件用 OpenClash(内核是 Mihomo)

在 OpenWrt 上跑 Clash 订阅,最主流的插件是 OpenClash(项目 vernesong/OpenClash,安装包名 luci-app-openclash)。它是插件外壳,负责图形界面和规则管理,真正干活的是它调用的内核——现在默认用 Mihomo(也就是 Clash.Meta),原生支持 VLESS、Hysteria2、AnyTLS 等新协议。

要理解一个关键点:OpenClash 装完不会自带内核,内核要单独下载。这也是新手最容易卡住的地方(下文会讲怎么装、怎么排查)。

如果你更想要轻量、配置简单的方案,可以看备选插件 Nikki(前身是 luci-app-mihomo,项目 nikkinikki-org/OpenWrt-nikki)。它直接基于 Mihomo 内核,配置文件就是原生 Clash YAML,界面更清爽,对新协议跟进快,适合只想快速导入订阅、不需要 OpenClash 那一大堆高级选项的人。同类还有 momo、mihomoTProxy 等。本文以 OpenClash 为主线讲,因为它教程最多、遇到问题最容易搜到答案;Nikki 的思路(导入订阅 → 选模式 → 更新拿节点 → 分流)是相通的。

五、手把手配置:从装系统到全屋分流

下面以 OpenWrt + OpenClash 为例走一遍完整流程。不同版本界面文案会有微调,以你的实际版本为准(截至 2026 年年中 OpenClash 约为 v0.47 系列)。

第 1 步:装好 OpenWrt

  • GL.iNet 机型出厂即 OpenWrt 分支,跳过刷机,直接进后台。
  • 红米 / 小米等机型:按你型号的教程刷入 OpenWrt / ImmortalWrt(解锁 SSH → 刷 factory / sysupgrade 固件)。
  • x86 软路由:用官方 img 镜像通过 balenaEtcher / 物理机写盘工具写入硬盘启动。

进入 LuCI 后台(默认多为 192.168.1.1 或 GL.iNet 的 192.168.8.1),确认能正常上网(国内网站能开)再继续。

第 2 步:安装 OpenClash 及其依赖

  1. 用 SSH 连上路由器,执行 uname -m 看架构:aarch64 是 ARMv8(多数新 ARM 路由 / NanoPi),x86_64 是 x86 软路由,mipsel 是老 MIPS 机型。记住这个值,下内核时要对上。
  2. 到 OpenClash 的 GitHub Releases 页下载 luci-app-openclash_x.x.x_all.ipk(这个外壳包不分架构,all 通用)。
  3. 在 LuCI「系统 → 软件包 → 上传软件包」里上传并安装。
  4. 缺依赖会报错,SSH 里补齐:
    opkg update && opkg install coreutils-nohup bash iptables dnsmasq-full curl jsonfilter ca-certificates ip-full ipset ruby ruby-yaml kmod-tun

    若提示 dnsmasq 冲突,先卸载默认版再装完整版:

    opkg remove dnsmasq && opkg install dnsmasq-full

    dnsmasq-full 是后面做 DNS 分流、防泄露的前提,别省。

第 3 步:装 Mihomo 内核(最关键的一步)

OpenClash 装好后,界面里「插件设置 → 版本更新」有内核下载入口。选 Meta / Mihomo 内核,点在线下载。国内直连 GitHub 常常拉不动,可以在 OpenClash 设置里填一个加速镜像地址,或手动下载对应架构的内核文件,放到 /etc/openclash/core/ 目录下(文件名通常为 clash_meta),赋可执行权限。

判断内核装没装好:回到 OpenClash 主页,如果「启动」按钮可以点、点了不会立刻变灰,基本就是内核就位了;若启动键秒变灰或报「未找到内核」,就是这一步没成,回去重下。

第 4 步:导入科技熊订阅链接

科技熊的订阅是标准 Mihomo(Clash.Meta)订阅,直接把订阅 URL 填进去即可,不需要手写任何配置文件。

  • 路径:服务 → OpenClash → 全局设置(或「配置订阅」)→ 添加订阅
  • 粘贴你的订阅链接,订阅类型选「Clash Meta」或「通用」(选错类型会解析不出节点)。
  • 保存。

在科技熊会员中心复制订阅链接时,直接复制「Clash / Mihomo」那条即可,桌面端和路由器端用的是同一条。

第 5 步:选运行模式和内核

在 OpenClash 的「运行模式」里:

  • 内核:选 Meta(Mihomo),这样才支持新协议。
  • 模式
    • Fake-IP:客户端发起 DNS 请求时立刻返回一个保留地址(198.18.x.x 段),同时后台异步查真实解析,响应更快、网页打开更跟手,是多数人的推荐默认。
    • Redir-Host:先等真实 DNS 解析结果再决定分流,响应略慢,但可以「绕过大陆 IP」,对性能弱的老设备更省力。
  • 配套的接管方式一般选 TUN 模式(虚拟网卡接管,TCP / UDP 全覆盖,游戏和音视频体验更好)。

拿不准就先用 Fake-IP + Meta 内核 + TUN,这是当前最省心的组合。

第 6 步:更新订阅,拿到节点

填完订阅后,一定要点「更新配置 / 更新订阅」这个动作(只点「保存」不会去拉节点)。更新成功后,配置文件里会出现 proxies: 开头的节点列表,OpenClash 主页也能看到节点数。这时点「启动」,服务跑起来。

第 7 步:分流——国内直连,国外走代理

这是全屋代理的灵魂:不能让所有流量都走代理(那样又慢又费流量,国内网站还可能被节点绕远),要让国内网站直连、只有被墙的才走代理。

OpenClash 用的是 Clash 规则体系,默认自带的规则集就包含按地理库分流的规则,核心两条思路:

  • GEOIP,CN,DIRECT:目标 IP 属于中国大陆的,直连。
  • GEOSITE,cn,DIRECT / GEOSITE,geolocation-!cn,PROXY:按域名归属分流,国内域名直连,非国内域名走代理。
  • 最后兜底 MATCH,PROXY(或漏网直连,看你的策略)。

这些 GEOIP / GEOSITE 数据库就是前面强调「内存要够」的原因。默认配置对绝大多数人已经够用,进阶用户可以在「覆写设置」里自定义规则,或用第三方规则集(如按 GitHub、Telegram、流媒体分组走不同节点)。想深入理解规则如何自上而下匹配、策略组怎么组,可参考 Clash Verge Rev 进阶指南 里的分流章节,规则语法在所有 Clash 系客户端是通用的。

第 8 步:DNS 防泄露

DNS 泄露指的是:你在走代理,但域名解析却用了本地 / 运营商 DNS,一来暴露了你在访问哪些网站,二来国外网站解析到了「就近但错误」的节点导致打不开或被投毒。路由器全屋代理下这一步尤其重要。

在 OpenClash 里的做法:

  • 开启「DNS 劫持」/「防止 DNS 泄露」,让 OpenClash 接管 53 端口的解析。若与系统 dnsmasq 抢 53 端口,可在 /etc/config/dhcp 给 dnsmasq 加 option port '5353' 让路,或按 OpenClash 提示启用 DNS 转发。
  • 配好后要做到:国内域名用国内 DNS 解析(如 223.5.5.5),国外域名走代理远程解析(在节点那侧解析,避免污染)。Fake-IP 模式配合 fallback-filter 能较好地实现这一点。
  • 验证:全屋任一设备上开 browserleaks.com/dnsipleak.net,看解析出口是不是你的节点、有没有暴露真实运营商 DNS。

六、常见坑与排查

按出现频率排列,照着一条条查:

  • 内核没装成功(启动键变灰 / 提示无内核):最高频。SSH 进去看 /etc/openclash/core/ 里有没有 clash_meta 文件、有没有可执行权限;GitHub 拉不动就换镜像或手动放文件。
  • 订阅拉不到节点:先 SSH 里 curl -v '你的订阅URL' 测通不通——路由器本身还没能上网(先有网才能拉订阅,旁路由要先能通过主路由出网)、订阅类型选错、或内核不支持订阅里的协议,都会导致节点为空。科技熊订阅务必选「Clash Meta / 通用」。
  • DNS 泄露 / 部分网站打不开:多半是 DNS 劫持没开或 dnsmasq 端口冲突。按上面第 8 步处理,改端口、装 dnsmasq-full、开防泄露。
  • 速度上不去、翻墙很慢:先排除是不是路由器 CPU 性能不足(老 MIPS 机型跑千兆代理会满载限速),看后台 CPU 占用;再确认节点本身和宽带质量。这正是选硬件时要盯 CPU 的原因。
  • 有线通了、Wi-Fi 不走代理(或反过来):主路由模式下透明代理接管整个 LAN,有线无线的下游设备应当都自动走;如果只有一部分生效,检查是不是把设备接到了没被接管的口 / 网段,或旁路由模式下那台设备的网关 / DNS 没指向软路由。旁路由要在设备或主路由 DHCP 里把网关和 DNS 都改成软路由 IP,两者缺一都可能导致部分设备漏走。
  • 全家断网、进不去后台:别慌。旁路由模式直接拔掉软路由那根线即可恢复;主路由模式可 SSH 执行 /etc/init.d/openclash stop 停服务,或进 LuCI 关掉透明代理再慢慢查。所以前面才建议新手从旁路由起步。

七、全屋多设备并发,和科技熊的关系

路由器全屋代理最大的特点是「设备多、常年在线、并发高」——电视在放剧、主机在联机、几部手机同时刷,都从同一个出口出去。这对两样东西有要求:订阅要通用套餐的设备数要够

科技熊在这两点上正好对得上:

  • 订阅是标准 Mihomo(Clash.Meta)订阅,OpenClash、Nikki 等任何 Mihomo 内核的插件都能直接填 URL 导入,不用为路由器单独准备什么。桌面、手机、路由器共用同一条订阅。
  • 每个节点提供两个入口:[主](走 BGP IEPL 专线加速)和 [备](走本地网络直连境外节点作灾备,按 [主] 的一半即 0.5x 计流量)。全屋设备多、跑流量大时,0.5x 的备线能让套餐流量更耐用。
  • 套餐按同时在线设备数分档,比如御玺档支持 8 台设备同时在线,比较契合软路由 / 全屋这种多设备并发的场景;设备不多的家庭用中间档即可。你可以先用新用户 ¥1 体验档(1GB / 1 天)在路由器上跑通整套流程,确认硬件性能和分流都正常,再决定长期用哪档。
  • 台湾节点用的是家宽(住宅)IP 而非机房 IP,对流媒体检测和 AI 风控更友好——全屋电视 / 盒子看流媒体时,解锁成功率更稳。想让客厅电视顺畅看奈飞(Netflix)、Disney+ 这些,可以参考 流媒体解锁指南 的分区与节点选择。

配好路由器后,家里各类设备还想装点被墙的 App、走各自的账号,可以看 出海 App 下载与激活合集。更多主题的攻略在 攻略中心首页

要不要用路由器方案、用哪档硬件和套餐,完全由你的宽带、设备数量和折腾意愿决定。这篇给的是一套可以照着落地的通用方法,科技熊只是其中一个「订阅直接导入、多设备够用」的可选项——先在便宜的体验档上把整套跑通,是最稳妥的开始方式。

关于科技熊工作室

重资本自建 IEPL 物理隔离专线,多链路高可用架构。对上网体验有极致追求的非主流工作室,从 2017 年起致力为全球用户提供稳定的网络加速服务。

本文最后更新:2026-07-02