快连如何在路由器固件启用全局智能分流？

功能定位：全局智能分流到底解决什么问题？

在路由器层面把“国内直连、境外加速”写进路由表，是跨境办公、游戏与流媒体场景下最干净、最省心的方案。快连 privacy tool 的“全局智能分流”把 AI 线路管家下沉到 OpenWrt，利用 nftables 与 ipset 动态维护国内网段，境外流量自动走 WireGuard 或 KLP 隧道，既避免客户端逐台配置，也防止了“漏网之鱼”绕路。

与桌面端 Split-App 不同，路由器侧的分流一旦启用，全屋终端零感知：Apple TV 升级系统、Switch 下载 DLC 都不会触发异常 IP。经验性观察，晚高峰 4K Disney+ 缓冲时间从 7 s 降到 2 s 以内，而国内网课延迟保持 8 ms 不变。

固件与硬件准入清单

官方插件包仅提供 aarch64、x86_64 与 mt7621 三种架构，内核要求 ≥5.4，最低剩余 ROM 12 MB、RAM 64 MB。若你用的是 2020 前的老路由，建议先刷入 ImmortalWrt 21.02 以上版本，再执行 opkg 安装，否则会出现 nft 指令段错误。

警告：运营商定制光猫桥接模式下，务必关闭 SIP ALG 与 IPv6 防火墙，否则分流规则会被上层 NAT 重写，导致“国内网站间歇打不开”。

安装与初始化：最短三步路径

1. 下载插件包

电脑浏览器进入快连官网 → 路由器 → OpenWrt，复制以“.ipk”结尾的链接。SSH 登录路由，执行：

wget -O /tmp/klsmart.ipk "刚才复制的链接"
opkg install /tmp/klsmart.ipk

若提示“kernel version not supported”，请升级固件或手动换用 snapshot 仓库。

2. 一键导入订阅

安装结束后，在 LuCI 顶部菜单会多出“快连”标签。首次进入需粘贴“路由器订阅码”（与桌面端不同，长度 48 位）。粘贴后点击“生成配置”，插件会拉取含 7600+ 节点的 json，并自动把延迟最低的 3 个节点设为 upstream。

3. 启用智能分流

切换至“分流设置”页，打开“启用 nft 智能分流”开关，下方会出现“中国大陆 IP 列表来源”下拉框，建议保持“APNIC+CNISP 每周自动更新”。保存并应用，路由会在 10 s 内重载 nftables，此时可断开 SSH，全程无需手动写规则。

自定义策略：何时该动默认配置？

默认规则把 UDP 443、TCP 80/443 以外的全部境外流量送进隧道，但企业内网、海外游戏 CDN 常常使用 8443、32400 等特殊端口。若出现“战网更新龟速”，可在“自定义端口”栏追加 1119/3724/32400，保存后仅重启 nft 表即可生效。

提示：端口白名单改动后，可用nft list set inet klsmart bypass_port实时查看是否被写进集合。

多拨与 IPv6 场景下的注意事项

若你启用了 mwan3 多拨，务必把“klsmart”接口加入 wan 区域，否则分流链会被 mwan3 的自定义掩码冲掉。IPv6 方面，插件默认只处理 IPv4 nft 表，如需把 HE Tunnelbroker 或电信 240e 段也纳入直连，请手动在“IPv6 额外前缀”输入 240e::/18，2001:470::/32，保存后重载。

故障排查：分流不生效时的四条自检

访问 ip111.cn，若显示“境外”，说明规则未被命中，先检查 nft 列表是否为空：nft list table inet klsmart
若列表正常，但 DNS 依旧返回境外 CDN，请确认 DHCP 下发的 DNS 为 223.5.5.5，而不是 8.8.8.8。
出现“国内网站打不开”，多半是 ipset 与 nft 冲突，关闭旧版 dnsmasq ipset 选项即可。
游戏掉线且日志显示“handshake timeout”，请把 MTU 从 1420 降到 1384，再测。

性能观测：如何验证加速效果？

插件内置 prometheus exporter，监听端口 9100，指标 klsmart_up_bytes 与 klsmart_down_bytes 按节点标签区分。配合 Grafana 模板（官方 GitHub 提供 ID 18621），可实时对比“直连”与“隧道”两条曲线的带宽占比。经验性观察，在 500 Mbps 家宽环境下，CPU 占用稳定在 18 %–22 %（mt7622 双核 1.35 GHz），未出现软中断跑满。

不适用场景清单

公司强制 Cisco AnyConnect，双隧道会触发重认证，建议用旁路由方案。
校园网 802.1X 认证，部分 BRAS 会把 TTL=64 且目标 10.0.0.0/8 的包也重定向到认证页，分流规则无效。
需要出口固定公网 IP 的电商店铺，因节点每日漂移，登录风控会弹验证码。
政府/医疗内网对境外流量零容忍，开启即违规。

最佳实践 7 条速查表

首次安装后，先跑 24 h 观测内存，若低于 20 MB 剩余，请关闭“实时延迟测速”。
每月第一周手动点“更新 IP 列表”，防止春运 CDN 调度变化导致误判。
把 NAS 的 MAC 地址写进“绕行设备列表”，可省 30 % 隧道流量。
IPv6 环境务必在“防火墙-常规”里勾选“允许转发”到 lan 口，否则 PlayStation 获取不到 NAT 类型 2。
远程帮父母调试，可在“维护-远程日志”里打开 24 h 上传，官方只保留 3 天，隐私风险可控。
游戏主机建议固定 192.168.2.x 段，并在插件里为该段单独指定香港节点，降低匹配延迟。
若节点订阅码泄露，先在官网“设备管理”踢掉旧路由，再重置订阅码，防止流量被盗。

版本差异与迁移建议

截至当前的最新版本 6.4.1 起，插件改用 nftables 替代 iptables，老用户从 6.3.x 升级时，系统会自动备份 /etc/config/klsmart 为 *.bak，但防火墙规则需手动清空旧链。建议升级前导出配置文件，升级后先“重置分流规则”，再逐项对照恢复，防止 syntax 冲突导致 LuCI 空白 502。

FAQ：路由器分流常见疑问

开启分流后，网飞仍检测代理怎么办？

把域名 *.netflix.com、*.nflxvideo.net 加入“强制隧道域名”，并重启 DNSMasq；若仍提示代理，请手动切换到“解锁”标签节点，这些 IP 已做原生 ASN 广播。

路由器 CPU 占用飙到 90 % 正常吗？

多发生在开启“AI 线路管家 3.0”实时测速时，每 30 s 对 300 节点打 50 并发 ping。可在“高级-性能”里把测速间隔调到 300 s，或关闭“后量子握手”，CPU 会立刻降到 30 % 以下。

能否让指定手机全程走隧道？

在“设备策略”里新增 MAC 绑定，选择“全局代理”即可；该优先级高于分流规则，适合需要固定出口 IP 的社媒运营机。

插件会记录日志吗？

本地仅保留连接计数与错误摘要，不含源 IP 或 URL；远程日志需用户手动开启，且 72 小时后自动擦除，符合 Cure53 零日志审计结论。

如何回退到官方原版固件？

先在“系统-备份/升级”里导出 art 与 eeprom，再用 Breed 刷回官方编程器固件即可；插件会自动卸载，不残留启动项。

收尾：下一步行动清单

读完若手边已有 OpenWrt 路由，可直接复制订阅码，按上文三步启用；若仍在选购，优先挑 aarch64 且 RAM ≥256 MB 的机型，给未来 6 年留余量。启用后先跑 48 h 观测 CPU 与内存，再逐步把游戏主机、NAS 加入自定义策略，切忌一次性全开。只要遵守“国内直连优先、境外按需加速”的原则，快连的全局智能分流就能在路由器端长期稳定服役，把跨境延迟压到肉眼无感，同时让报税、网课、4K 流媒体互不干扰。

📺 相关视频教程