OpenWrt에 OpenClash: 구독 가져오기와 전가 프록시 단계 설정
한 대의 PC에서 Clash를 돌리는 것과 달리, OpenWrt 위의 OpenClash(luci-app-openclash)은 가정 라우터에서 Clash·Meta 계열 코어를 돌려 스마트폰·태블릿·게임기·IoT까지 같은 규칙·정책 그룹 아래 두는 경로입니다. 이 글은 펌웨어에 플러그인을 올리고 구독 URL을 넣은 뒤, 메인 라우터 뒤의 우회 라우터 또는 직접 공유기 시나리오에서 DHCP 게이트웨이·방화벽·DNS를 맞추는 순서와, 데스크톱 클라이언트와 다른 전가 프록시 주의점을 정리합니다.
왜 라우터에서 Clash 계열을 쓰나
PC나 맥에 클라이언트를 두면 해당 기기만 깔끔하게 분류할 수 있습니다. 가족 구성원 기기마다 설치·업데이트를 반복하기 어렵고, 콘솔·스마트 TV처럼 프록시 설정이 불편한 장치는 LAN의 한 대 PC에 mixed-port를 열어 우회하는 방식이 흔합니다. 그 다음 단계가 라우터 한 지점에서 터널·규칙 엔진을 돌리는 것입니다. OpenWrt는 패키지 관리(opkg)와 커뮤니티 빌드가 잘 갖춰져 있어, 공유기 칩셋·플래시 용량만 맞으면 luci-app-openclash로 웹 UI에서 구독·프로필·로그를 다루기 쉽습니다.
다만 라우터는 항상 켜진 장비이므로 부하·발열·저장소 마모, 그리고 잘못된 방화벽 규칙으로 관리 화면까지 막히는 리스크를 함께 짚어야 합니다. 변경 전 설정 백업과 시리얼·안전 모드 복구 경로를 알아두는 것이 좋습니다.
토폴로지: 메인 라우터 vs 우회 라우터
우회 라우터(旁路由) 구성은 상위에 ISP 모뎀·메인 공유기를 두고, 그 LAN에 OpenWrt 기기를 하위 노드로 붙입니다. 메인이 DHCP와 Wi‑Fi를 유지하고, 우회 라우터는 고정 LAN IP를 받아 OpenClash만 담당합니다. 이 경우 가정 기기의 기본 게이트웨이·DNS를 우회 라우터 IP로 주거나, 메인에서 특정 기기만 정적 DHCP로 넘기는 식으로 “전가” 트래픽을 모읍니다.
반대로 OpenWrt가 유일한 메인 라우터이면 WAN은 ISP에 직결되고, LAN 브리지 전체가 OpenClash의 투명 프록시·TUN·리다이렉트 대상이 됩니다. 이쪽은 방화벽 존(lan/wan)과 포워딩이 한 장비에 모이므로 규칙이 단순해 보이지만, 펌웨어·커널 모듈 요구가 더 직접적으로 드러납니다.
한 줄 정리
우회 라우터는 “누가 게이트웨이를 가리키느냐”가 핵심이고, 메인 단독 OpenWrt는 “LAN 전체가 코어를 통과하도록 방화벽·DNS를 일관되게”가 핵심입니다.
설치 개요: luci-app-openclash
정확한 패키지 이름·의존성·커널 호환은 사용 중인 OpenWrt 버전·타깃 보드마다 다릅니다. 일반적인 흐름은 (1) 펌웨어와 아키텍처에 맞는 필수 커널·iptables/nft·kmod가 갖춰졌는지 확인하고, (2) OpenClash 저장소 또는 수동 ipk로 luci-app-openclash와 코어 바이너리를 설치하며, (3) LuCI에서 서비스를 켠 뒤 프로필 디렉터리에 기본 설정이 생성되는지 확인하는 것입니다.
펌웨어·스토리지
플래시가 빠듯한 기기는 코어·GEO 데이터·로그로 금방 찹니다. Extroot나 외부 저장소를 쓰는 경우가 많습니다. 공장 펌웨어 위에 바로 올리는 것은 지원·보안 측면에서 권장되지 않습니다—가능하면 공식·검증된 OpenWrt 빌드를 기준으로 하세요.
설치 직후에는 웹 UI(OpenClash 메뉴)에서 코어 종류(Meta/Clash 등)·실행 모드(예: fake-ip, redir-host 계열)를 선택하고, DNS 포트 하이재킹·IPv6 사용 여부를 집 환경에 맞게 정합니다. 여기서 잘못 고르면 “구독은 받았는데 이름이 안 풀린다”는 증상이 나므로, DNS·fake-ip 점검 글의 개념을 라우터 관점으로 옮겨 생각하면 좋습니다.
구독 가져오기와 프로필
OpenClash는 일반적으로 구독 링크를 등록하면 원격 설정을 받아 proxy-providers·rule-providers가 포함된 YAML을 합성합니다. 데스크톱과 같이 User-Agent·인증이 붙은 URL·자체 서명 HTTPS 이슈가 있을 수 있으므로, 실패 시에는 라우터에서 wget/curl로 같은 URL이 열리는지, 시간이 맞는지(NTP)부터 확인합니다.
구독 이후 권장 순서
- 업데이트 주기를 정하고 수동 한 번 실행으로 노드 목록이 채워지는지 본다.
- 규칙 모드에서 지역·스트리밍 도메인이 의도한 정책 그룹으로 가는지 로그로 확인한다.
- 메모리가 부족하면 프로바이더 수·캐시·GEO 경량화를 검토한다.
원격 규칙 세트가 크면 저사양 라우터에서 OOM이 날 수 있습니다. 이때는 규칙을 줄이거나, 서버·미니 PC에 Meta를 두고 라우터는 단순 전달만 하는 분리도 현실적인 대안입니다.
전가 프록시: DHCP·게이트웨이·DNS
“전가”를 제대로 하려면 앱이 쓰는 DNS 요청도 Clash 쪽 논리와 맞아야 합니다. 기기가 여전히 ISP DNS나 공용 8.8.8.8로 직접 물으면 fake-ip 설계와 어긋나 “연결은 됐는데 사이트만 안 열린다”는 패턴이 납니다. OpenWrt에서는 dnsmasq 하이재킹·방화벽으로 DNS 53번 리다이렉트 등을 OpenClash 문서에 맞춰 켜는 경우가 많습니다.
우회 라우터 시나리오에서는 메인 공유기의 DHCP가 기본 게이트웨이를 자기 자신으로 주는 경우가 대부분입니다. 전가를 원하면 해당 기기들에만 우회 라우터 IP를 게이트웨이·DNS로 주는 정적 DHCP 또는 수동 설정이 필요합니다. 메인에서 “모든 트래픽을 우회로” 보내려면 정책 라우팅이 필요해 난이도가 올라갑니다.
| 항목 | PC 클라이언트 | 라우터 OpenClash |
|---|---|---|
| 적용 범위 | 해당 OS·앱 | LAN(및 설정한 무선) 전체 |
| DNS | OS·브라우저 설정이 비교적 분명 | 하드웨어·스마트TV 등 하드코딩 DNS까지 고려 |
| 방화벽 | 로컬만 | FORWARD·NAT·존 정책 전체 |
방화벽과 루프·누출 방지
OpenClash를 켠 뒤 관리 웹이 안 열리거나, 특정 포트만 끊기면 존 간 전달·MASQUERADE·룰 순서를 의심합니다. 우회 라우터가 이중 NAT 아래에 있을 때 포트포워딩·관리 접속 경로가 꼬이기 쉽습니다. 가능하면 변경 전 룰셋을 내보내기하고, 한 번에 한 옵션만 바꿔 원인을 좁히세요.
합법·정책 준수
이 글은 합법적으로 부여된 네트워크에서의 기술 설명입니다. 지역 법령·이용약관·고용 계약을 위반하는 우회 용도에 사용해서는 안 됩니다.
문제 해결 체크리스트
- 시간 동기화(NTP): 구독 TLS·인증서 오류를 유발합니다.
- 메모리·저장소: 코어 크래시는 로그와
dmesg로 확인. - DNS 일관성: fake-ip/redir-host와 클라이언트 실제 질의 경로가 같은지.
- IPv6: IPv6가 우회 없이 나가면 “절반만 되는” 느낌이 납니다.
- 스위치·AP 모드: 브리지와 WAN/LAN 배치가 기대와 같은지.
PC·모바일 클라이언트와 병행
라우터에서 전가를 해도 특정 기기만 별도 프로필을 쓰고 싶다면 해당 기기에만 데스크톱 클라이언트를 두는 이중 구조가 됩니다. 이때 이중 터널이나 DNS 이중 처리에 주의하세요. 반대로 라우터는 집 전체 기본 경로만 담당하고, 고급 분류는 PC에서 TUN·프로세스 규칙으로 처리하는 혼합도 가능합니다.
휴대폰만 잠시 다른 노드를 쓰고 싶다면 LAN 프록시 글의 방식이 더 단순할 수 있습니다. 목표는 유지보수 가능한 단일 진실 공급원—구독과 규칙 버전을 어디를 기준으로 둘지 정하는 것입니다.
정리
OpenWrt에 OpenClash를 올리면 구독 한 번으로 가정 네트워크 전체에 동일한 분류 정책을 적용할 수 있습니다. 성공의 열쇠는 플러그인 설치만이 아니라 우회 라우터인지 메인인지에 따른 토폴로지, 그리고 PC와 달리 DNS·방화벽·이중 NAT가 한꺼번에 얽인다는 점을 이해하는 것입니다. 단계마다 백업하고 로그로 검증하면 운영 부담을 크게 줄일 수 있습니다.
Clash 계열 클라이언트를 내려받아 데스크톱·노트북 환경에서 규칙을 먼저 익힌 뒤 라우터 설정으로 옮기면 학습 곡선이 완만합니다.