OpenWrt 装 OpenClash:订阅导入与全屋代理逐步配置
许多用户已在电脑或手机上使用 Clash 系客户端;若希望全家设备默认走同一套分流与订阅,把核心搬到路由器是常见路径。OpenWrt 上的 luci-app-openclash(常简称 OpenClash)提供 Web 界面与内核管理,把「导入订阅 → 选节点 → 透明代理 / TUN」收敛到路由层面。本文说明与 单台 PC 开 mixed-port 不同的网关角色、旁路由与主路由拓扑、以及路由器上更突出的防火墙转发与 DNS 协同问题,便于你按步骤完成安装与验证。
为什么选路由器而不是一直用电脑当网关
在局域网里让手机、电视、游戏机走代理,可以只在某台电脑上开 allow-lan 与 mixed-port,再把其他设备的 HTTP/SOCKS 指过去——这在 《局域网共享代理》 一文已有说明。缺点是:电脑要常开、休眠会断流、部分设备不支持手动代理或行为不一致。把 Clash / Mihomo 核心放到 7×24 运行的 OpenWrt 上,由路由器做默认网关或透明转发,更接近「全屋一套策略」:DHCP 下发同一网关与 DNS,终端无需逐个配置。
OpenClash 本质是运行在路由器上的图形化封装:负责拉取订阅、合并规则、调用内核、并在 LuCI 里开关透明代理、UDP、TUN 等模式。不同固件与芯片上,内核特性与 iptables/nft 支持程度不同,因此没有一条命令适用所有机型,但工程顺序是通用的:先保证固件与依赖完整,再导入订阅,最后处理网关与 DNS。
拓扑先定:主路由直连还是旁路由挂接
旁路由(旁路网关)指 OpenWrt 设备与现有主路由并联:主路由继续拨号或接光猫,LAN 下挂一台「专门跑 OpenClash」的小路由;上网设备把默认网关指到旁路由 LAN IP,或只在 DHCP 里对特定主机下发该网关。优点是不动主路由固件、回滚简单;要注意双 NAT、环路与主路由 UPnP 与游戏端口映射是否仍符合预期。
若 OpenWrt 本身就是唯一主路由(拨号或静态 WAN 在 OpenWrt 上),则全屋 DHCP、DNS 与防火墙策略都在同一台完成,逻辑更直白,但对刷机与稳定性要求更高。两种拓扑下,OpenClash 都要处理:LAN → 内核 → 策略组 → 出口,以及本机与转发的 DNS 查询是否被正确劫持到 Clash。
记忆要点
旁路由场景请确认仅旁路由开启 DHCP或主路由 DHCP 只把网关指到旁路由,避免同一网段两个设备抢着发地址。改网关后用手机访问国内站点测一遍,确认没有「能 QQ 不能网页」的典型 DNS 错乱。
安装 luci-app-openclash:固件、空间与依赖
官方与第三方 OpenWrt 的软件源版本、内核模块不尽相同。常见路径包括:在 SSH 或「系统 → 软件」中 opkg update 后安装 luci-app-openclash 及其依赖;或从社区下载与当前固件架构、内核版本匹配的 .ipk 手动安装。安装前请确认闪存剩余空间足够容纳核心与规则集,弱路由上同时开 TUN 与大量规则可能吃满 CPU。
透明代理与 TUN 往往依赖 iptables / nftables、kmod-tun 等;若界面提示内核模块缺失,需要在对应固件频道核对是否需自编译或更换带完整 kmod 的分支。此处无法替代你设备厂商的发行说明——请以同一机型、同一 OpenWrt 大版本的教程为准,避免混用不同架构的 ipk。
安装后建议立刻做的几件事
- 在「服务 → OpenClash」中查看内核版本与运行状态,能正常下载并启动内核再继续。
- 记录 OpenClash 使用的混合端口、DNS 监听端口(界面中一般会标注),后面排错要用。
- 先不要全开透明代理:订阅拉通、规则能匹配、本机诊断工具(如内置连接测试)通过后再开全局转发。
订阅导入与配置档
在 LuCI 的 OpenClash 页面中,通常有「配置文件订阅」「策略组」「规则订阅」等分区。把机场提供的 HTTPS 订阅 URL 填入,设置自动更新间隔,保存后执行更新配置。若下载失败,优先检查路由器系统时间是否正确、WAN 是否已能访问订阅域名、以及证书校验是否与机场要求一致——思路与 《Android 订阅导入排查》 类似,只是报错界面在 LuCI 或日志里。
导入成功后,在策略组里选好默认节点与漏网策略(常见为 MATCH 指向代理或直连),再进入运行模式:规则模式适合日常;全局仅建议短时测通。若你熟悉 YAML,也可在「配置编辑」中查看与桌面端相同的 proxy-providers、rules 结构,便于与 Linux 无头部署 的配置对照迁移。
全屋代理:网关、DHCP 与透明模式
要让未手动设代理的设备也走 Clash,需要让它们的流量经过 OpenWrt 上的内核监听端口。OpenClash 通常提供Redir-Host / Fake-IP、TUN 等模式选项(名称随版本略有差异)。启用后,结合「防火墙」里的转发规则或插件自动下发的 iptables/nft 规则,把 LAN 侧访问外网的连接重定向到本地 Clash 进程。
同时要在「网络 → 接口 / DHCP」中确认:客户端默认网关是 OpenWrt(或旁路由)LAN 地址;DNS 建议先指向路由 LAN IP,由 dnsmasq 与 OpenClash 协同,再决定是转发到 Clash DNS还是仅劫持 53 端口——错误组合会导致「国内站也绕了一圈」或「解析走了运营商 DNS 规则全失效」。这与 PC 上只改「系统代理」或开 TUN 的体验不同:路由器是整网的 DNS 与转发中枢。
| 场景 | 与 PC 客户端的主要差异 |
|---|---|
| 防火墙 | 需明确 lan → wan 转发、INPUT 是否放行本机 DNS/插件端口;旁路由还要注意与主路由的访问控制。 |
| DNS | 全屋设备查询先到路由器;fake-ip、dnsmasq 上游、DoH 绕过需统一设计,参见下文与 DNS 排查文。 |
| UDP / 游戏 | 透明代理对 UDP 的处理与内核选项相关;竞技游戏若延迟异常,先尝试直连或精简规则,再查是否双 NAT。 |
DNS 与防火墙:最容易翻车的两处
DNS:别让终端绕过路由器
若配置使用 fake-ip,域名解析由 Clash 返回虚拟地址,再由内核对连接做策略;若部分设备使用私有 DNS、DoH或硬编码公共 DNS,会绕过路由器上的劫持,表现为规则不生效或「国内直连站点也慢」。处理思路包括:在路由器上限制或重定向 53 端口、在 OpenClash 中启用与 fake-ip 匹配的 DNS 插件选项、以及关闭客户端的「安全 DNS」类功能做对比测试。
防火墙:区域与转发
OpenWrt 的 firewall4(nft) 与旧版 iptables 界面不同,但原则不变:允许 LAN 转发、放行本机必要端口、避免误把 Clash 监听端口挡在 INPUT 之外。旁路由场景若主路由与旁路由网段互通,还要避免对管理端口(如 80/443/22)的访问被错误丢弃。改规则时一次只动一类设置,并保留串口或 failsafe 恢复方式。
合规与风险
请在你有权配置的网络与设备上操作,并遵守当地法律法规与服务条款。路由器错误配置可能导致整网断网或管理界面无法访问;生产环境务必先备份配置再实验。
验证顺序:从路由本机到下游设备
建议按顺序验证:① OpenWrt 本机 ping 与外网;② OpenClash 日志中有订阅节点与规则命中;③ 接在 LAN 的电脑先不设系统代理,仅依赖透明转发访问测试页;④ 再测手机 Wi‑Fi。若仅本机通、下游不通,重点查 DHCP 网关、子网掩码与防火墙转发;若网页开而解析怪,回到 DNS 链路与 fake-ip。
# Example: on router SSH, check if clash listener is open (port varies)
# netstat -lnp | grep clash
# or: ss -lnup | grep mihomo
具体命令与端口以你当前 OpenClash 版本界面为准。
实操检查清单
- 固件架构与内核与所装 ipk 一致;闪存与内存余量可接受。
- 订阅更新成功,策略组可选,规则模式非全局长期运行。
- 拓扑清晰:主路由或旁路由的网关、DHCP、DNS 无冲突。
- 透明代理 / TUN 与防火墙、DNS 劫持策略一致;已排除客户端 DoH 干扰。
- 用多台设备、国内外站点联合验证后再固化配置。
与桌面端互补
路由器侧 OpenClash 负责全屋默认策略;桌面仍可使用独立客户端做进程级细分(例如 游戏与商店分流)。按场景组合,比强行「一台设备扛所有」更可维护。