OpenWrt 裝 OpenClash:訂閱匯入與全屋代理逐步配置
許多使用者已熟悉在 Windows、macOS 或手機上跑 Clash 類客戶端;若要讓電視、遊戲機、智慧家電與訪客手機不必逐台設定,就會轉向路由器方案。OpenWrt 搭配圖形外掛 OpenClash(常見套件名 luci-app-openclash)能把訂閱匯入、規則分流、DNS 與透明代理收斂在單一裝置。本篇說明與桌上型客戶端不同的拓撲選擇(主路由或旁路由)、防火牆/轉發與DNS 劫持要點,協助您完成全屋代理的實務路徑。
為什麼要改在路由器上跑 Clash
桌上型或筆電上的 Clash 只影響本機;若開 區網 mixed-port 與 allow-lan,仍要維持一台長開機的電腦,且手機改代理、防火牆與睡眠喚醒都會增加變因。把邏輯搬到路由器後,區網內裝置只要取得正確的預設閘道與 DNS,就能沿用同一套規則集,對「全家都要能連」的需求特別直覺。
路由器場景的代價是:CPU、記憶體與 Flash成為瓶頸;韌體分支多,核心版本與相依套件必須與社群教學或您使用的套件庫對齊。本文提供工程概念與檢查順序,實際選用的 OpenWrt 版本、OpenClash 釋出與訂閱格式,仍請以您裝置與服務商說明為準。
拓撲先決:主路由、旁路由與閘道
在動手裝套件前,請先畫清誰是區網的預設閘道,否則訂閱再漂亮,流量也不會經過 OpenClash。
主路由模式(OpenWrt 即家裡唯一路由器)
光數據機或外部線路接到 OpenWrt 的 WAN,LAN 對內發 DHCP。此時全屋裝置的閘道自然指向 OpenWrt,OpenClash 只需在本機處理透明代理、NAT 與DNS 轉發,概念上最接近「整台軟路由」。
旁路由模式(主路由仍負責發 DHCP)
常見於電信小烏或原廠路由器無法刷機:主路由繼續上網與發放 IP,但把預設閘道或DNS指到旁邊那台 OpenWrt(旁路由)。此時要同時確認:
- 旁路由的 LAN 網段與主路由不衝突,且靜態位址或保留 IP 固定。
- 主路由若發 DHCP,需把閘道改為旁路由 LAN IP,或讓特定裝置手動指定閘道。
- 旁路由關閉 DHCP 伺服器(由主路由發)或僅在獨立 VLAN/第二網段提供服務——實作依您家網路設計而定,重點是流量路徑只有一條故事線,不要雙重 NAT 卻又閘道指錯。
心智模型
OpenClash 是「區網內的決策引擎」:封包要先到得了這台路由器,才談得上規則命中。請先確認 ping 閘道、再談節點延遲。
安裝 luci-app-openclash(概念流程)
不同編譯的 OpenWrt 使用opkg 套件庫或自備的 .ipk。一般流程是:確認架構(aarch64、x86_64 等)與核心版本 → 安裝相依(常見為 iptables/nftables、dnsmasq、ca-bundle 等,依套件宣告為準)→ 安裝 OpenClash 本體與 LuCI 介面。首次啟動後,介面會引導您下載或指定Meta/Premium 等核心,請依裝置效能選擇;老舊機型建議保守模式,避免同時開啟過多功能導致 OOM。
韌體與授權
請從可信來源取得套件或韌體,並遵守當地法規與服務條款。本文僅討論您有權管理的網路設備與合法訂閱。
訂閱匯入與設定檔
在 LuCI 的 OpenClash 頁面中,通常可新增訂閱連結(與桌面客戶端類似),並設定更新間隔與備份。匯入成功後,請在介面中確認節點清單、策略組與規則集是否載入;若訂閱使用自簽憑證或內網網址,需在路由器上開放對應HTTPS 驗證或改走可解析的網址。
與 PC 不同的是:路由器上的設定檔路徑、重載方式由服務腳本管理;修改 YAML 後應透過 OpenClash 提供的套用/重啟,避免手動與 LuCI 狀態不同步。若您曾遇過「顯示連上卻無法上網」,可交叉閱讀站內 DNS 與 fake-ip 排查 的邏輯,但路由器端還要多檢查下一節的劫持與轉發。
防火牆、透明代理與「和 PC 不一樣」之處
桌上型 Clash 常用系統代理或本機 TUN;在 OpenWrt 上,OpenClash 會與netfilter(iptables 或 nft)協作,把區網轉往 WAN 的流量導向本機 Clash 監聽埠,再依規則決定 DIRECT 或 PROXY。因此您會在教學中看到轉發規則、PREROUTING、繞過區網段等選項——這些對應的是閘道設備角色,而不是單一使用者帳號的權限問題。
| 項目 | PC 客戶端 | OpenWrt+OpenClash |
|---|---|---|
| 攔截範圍 | 通常限本機行程 | 可涵蓋整個 LAN(視設定) |
| 關鍵設定 | TUN/系統代理、允許區網 | 轉發規則、繞過內網、DNS 重導 |
| 除錯 | 工作管理員、本機日誌 | 防火牆計數、OpenClash 日誌、tcpdump |
若您同時在區網內開多台代理,請注意路由優先順序,避免雙重攔截或閘道迴圈。
DNS、劫持與 fake-ip
路由器是區網的DNS 中樞:OpenClash 常搭配dnsmasq 轉發或53 埠劫持,把查詢導向 Clash 的上游邏輯。若客戶端硬編碼 DoH/DoT(部分瀏覽器或 App),可能繞過路由器 DNS,出現「規則顯示走代理,實際連線卻不像」的現象。處理思路包括:在路由器層攔截 853/443 的 DNS(進階)、或在裝置端關閉安全 DNS,讓查詢回到區網。
fake-ip 在路由器上同樣會影響區網內多裝置的解析一致性;若某些裝置需要真實 IP(例如區網互連、投屏),請善用 fake-ip-filter 或改採 redir-host 等模式,並參考訂閱與核心文件。整體原則與 DNS 專文 一致,但影響面是整屋,調整時建議一次改一項。
完成「全屋代理」的實務檢查
建議順序
- 單機連到路由器 LAN,確認取得正確 IP/閘道/DNS。
- 在 OpenClash 內做節點延遲測試與規則命中檢查(先排除訂閱本身故障)。
- 開啟透明代理相關選項後,用客戶端瀏覽外部 IP 與 DNS 洩漏測試頁比對。
- 再接到第二台裝置(手機關閉行動數據)重複驗證。
- 最後才調整旁路由、VLAN 或進階分流。
若只有部分裝置需要代理,也可用策略路由、裝置專用 DHCP 或不同 SSID/網段分流,避免全家強制同一策略造成影音或遊戲體感下降。
效能、散熱與穩定性
全屋走路由器時,同時連線數與加密流量會拉高 CPU 負載;若頻繁當機或重啟,請檢查溫度、電源供應是否足夠,並在 OpenClash 中關閉非必要的實驗功能。長期運行建議啟用訂閱定期更新與設定備份,重大改版前先匯出設定。
常見問題
已匯入訂閱,但手機仍不走代理
優先檢查手機的預設閘道是否為 OpenWrt/旁路由 LAN IP,以及DNS是否仍指向電信或公共 DNS 導致繞過劫持。
開啟 OpenClash 後整屋斷網
可能是閘道迴圈、DNS 迴圈或防火牆規則誤攔 WAN。請先暫停 OpenClash 服務,恢復路由可 ping 外網後,再逐步啟用透明代理與 DNS 選項。
IPv6 異常
若環境啟用 IPv6,需決定是否一併納管或暫時關閉客戶端 IPv6,避免流量繞過 IPv4 規則。實作與您 ISP、韌體選項高度相關。
與桌上型、伺服器方案的銜接
若您已在 Linux 無頭環境 跑過 Meta 核心與 systemd,會熟悉訂閱與重載;OpenWrt 只是把這套搬到嵌入式 Linux,並加上 LuCI 與防火牆整合。家中若仍需要單機強大規則(例如遊戲進程分流),可並存 TUN 與進程規則 一文中的思路,但路由器上通常以域名/GEOIP為主。
結語
OpenWrt 與 OpenClash 的價值在於把分流決策收斂到網路邊界,讓全屋裝置共享同一套可維護的規則。請從拓撲與閘道著手,再處理訂閱與 DNS,最後才微調效能與進階分流。若您也需要在電腦或手機上單獨使用 Clash,可從本站下載頁取得客戶端。