一、旁路由解决什么问题?和「主路由刷机」有何不同

旁路由指:主路由继续承担NAT、Wi‑Fi、DHCP等家庭默认出口职责;额外的一台设备(本文为一台装 OpenWrt软路由)只负责在局域网内提供透明或网关级代理,上面跑 Clash(Mihomo 内核)及你的订阅与分流规则。这样,电视与手机不必单独导入订阅,只要它们的默认网关DNS指向这台旁路由(或通过主路由 DHCP 选项下发),就能与你在旁路由上维护的同一套规则对齐。

与「把主路由刷成 OpenWrt 再装 Clash」相比,旁路由方案对现网侵入更小:光猫/运营商送的路由可以不动,家里已有 mesh 或硬路由也可以保留。代价是你需要多一根网线、多占一个 LAN 口,并理解谁发 DHCP、谁当默认网关这一层关系,否则容易出现能获取 IP 却上不了网只有国内站能开、海外半通等现象。下文用一套常见地址示例说明;你家里的网段若不同,只需整体平移数字,保持主路由与旁路由在同一二层网段内可互通即可。

二、拓扑与接线:网线插哪几个口

最常见、也最容易向家人解释的方案是旁路由单臂接主路由 LAN

  1. 主路由WAN 仍接光猫或上级网络;LAN 口引出网线。
  2. 这根网线接入旁路由的 WAN 口(若你的设备只有一个网口,则需通过交换机扩展或改用其它拓扑,本文先覆盖双口/多口常见情形)。
  3. 家中其它设备(电视、手机无线连接等)仍然挂在主路由的 LAN 或 Wi‑Fi下,不强制接到旁路由的 LAN 口——关键是路由与 DHCP 层面的下一跳,而不是物理上必须直连旁路由。

部分用户会把旁路由的 LAN 也接入交换机与主路由同一广播域,做桥接或关闭旁路由 NAT,这类进阶拓扑能减少一层地址翻译,但排错时对「谁在答 ARP、谁在做 DNS」要求更高。若你刚开始搭建,建议先按「旁路由 WAN 从主路由拿地址、旁路由提供网关代理服务」的主线走通,再考虑合并网段或桥接。无论哪种接法,请避免形成环路:不要随意把主路由 LAN 与旁路由 LAN 对插成圈,除非你明确在交换机上做了隔离与 STP 配置。

三、地址规划:用一组数字贯穿全文

下面用示例网段贯穿后文,便于你对照修改:

  • 主路由 LAN:192.168.1.0/24,主路由 LAN 口地址为 192.168.1.1
  • 旁路由在主网段上的地址(通常落在 WAN 侧或桥接后的接口):192.168.1.2(建议静态绑定,避免 DHCP 续租漂移)。
  • 旁路由若另设独立 LAN 网段(如 192.168.2.0/24),仅在你采用「下级网段」方案时需要;纯旁路由网关模式可简化为旁路由服务都监听在 192.168.1.2 上。

实际部署时,请在主路由管理界面把旁路由的 MAC 与 192.168.1.2静态 DHCP 分配,或在旁路由 WAN 上写静态 IP,二者选其一保证稳定。地址一旦漂移,所有手动填网关的设备会集体失效。

四、OpenWrt 上 WAN 与防火墙:先能 ping 通主路由

登录 OpenWrt(通常为 192.168.1.2 或出厂默认地址,具体以刷机文档为准)。在「网络 → 接口」中检查 WAN

  • 协议可选 DHCP 客户端(从主路由领地址)或静态地址,目标都是让旁路由在 192.168.1.0/24 内有一个稳定可达的 IPv4。
  • 网关填写主路由 LAN 地址 192.168.1.1;DNS 可先填主路由或公共 DNS,后续会改为由 Clash 接管。
  • 确认防火墙区域:WAN 一般在 wan 区域,LAN 在 lan 区域;若你仅通过 WAN 接主网,需保证从主网其它设备能访问旁路由上的代理与 DNS 端口(见下一节),必要时在防火墙中放行来自 lan 转发到本机的入站(具体菜单名因 OpenWrt 版本而异)。

先完成基础连通:从旁路由 SSH 执行 ping 192.168.1.1ping 8.8.8.8,确认链路无问题,再装 Clash 插件。若此处不通,不要先折腾规则,优先查接线、VLAN、以及主路由是否开了AP 隔离导致无线客户端无法访问有线旁路由。

五、旁路由上的 Clash:监听、透明代理与 TUN

OpenWrt 上常见做法是通过 OpenClash 等插件管理 Mihomo/Clash 内核与订阅。与本站桌面客户端教程相比,路由器侧多涉及iptables/nft 重定向TUN 网卡。你可以先明确目标模式:

  • 网关模式:终端把默认网关设为 192.168.1.2,由旁路由做下一跳;Clash 使用重定向TUN 接管 TCP/UDP。适合电视盒子、游戏机、未装代理 App 的手机。
  • 仅 DNS 或仅 HTTP 代理:部分设备只支持填 PAC/HTTP 代理,不适合全局;电视系统往往更依赖网关/DNS 方案。

启用 TUN 前,建议阅读《Clash TUN 模式开启方法》以理解系统路由与内核接管的关系;路由器上还要留意内存与 CPU是否撑得住全屋并发。插件界面中通常可切换「绕过中国大陆」「仅代理列表」等预设,但与你自定义分流规则的关系要以实际 config.yaml 为准,避免界面勾选项与手写规则互相覆盖。

若你尚未熟悉订阅与策略组命名,可先完成《Clash 订阅链接怎么用》中的导入思路,再在路由器插件里绑定同一逻辑——家庭多终端场景下,维护一份旁路由配置往往比在每台手机重复导入更省心。

六、DHCP 与默认网关:指主路由还是旁路由

这是最容易混淆的一步。常见两种做法:

做法 A(推荐新手分段上线):主路由继续为全屋发 DHCP,默认网关仍为主路由 192.168.1.1;仅对需要代理的设备,在DHCP 静态分配里单独把网关改为 192.168.1.2,或在终端上手动设置静态 IP。这样老人机、智能家居等可保持直连,不被强制走代理。

做法 B(全屋默认走旁路由):在主路由 DHCP 设置里把默认网关改为 192.168.1.2,DNS 也指向旁路由。此时旁路由必须具备正确的回程路由,让非代理流量仍能经主路由访问国内网络;若旁路由 NAT 或策略配置不当,会出现「国内网站也打不开」。上线前务必在旁路由上验证国内直连规则是否生效。

部分主路由固件支持 DHCP Option(如 Option 3 网关、Option 6 DNS)按 MAC 下发不同参数,可用来只对指定 MAC 下发旁路由网关,实现与做法 A 等价的自动化。若你的主路由不支持,退回到终端侧静态配置同样可行。

七、DNS:与分流规则同样关键

仅改网关不改 DNS,常出现海外域名解析仍走运营商 DNS、或 fake-ip 与真实连接不一致的「半通」。务实建议:

  • 需要走旁路由代理的终端,把 DNS 指到 192.168.1.2(或 Clash 在文档中声明的 DNS 监听地址)。
  • 在 Mihomo/Clash 配置中明确 nameserverfallback,避免局域网 DNS 环路;路由器插件一般提供模板,仍建议你在修改后观察连接日志中的域名是否与解析一致。
  • 若电视 App 硬编码 DoH/DoT,绕过本地 DNS,需要靠TUN或更细的策略处理,这类情况要单独抓包或看连接记录。

八、电视与机顶盒:优先用网关,而不是装 APK

安卓电视或盒子往往不便安装或长期前台运行代理客户端。更稳妥的是:

  1. 在路由器 DHCP 中为电视网卡 MAC 绑定 IP,并把网关与 DNS指到旁路由。
  2. 在 Clash 中为流媒体域名维护分流规则(可按地区、服务拆分策略组),避免「全局一个节点」导致版权或区域检测异常。
  3. 若播放仍卡顿,先在旁路由上确认UDP是否被正确转发(部分插件默认仅 TCP),并对照连接日志看实际命中域名。

若你还有游戏主机场景,可延伸阅读《Switch 2 联机与 eShop:热点与旁路由接入思路》,理解游戏机不跑 Clash 客户端时,网关与 NAT 类型如何协同。

九、手机:全局走旁路由或与电脑方案混搭

手机可以像电视一样,通过 Wi‑Fi 高级选项把网关改为 192.168.1.2,从而无感使用旁路由上的同一套规则;也可以在需要时切回「自动 DHCP」,仅使用主路由出口。若你更习惯装客户端精细分流,也可在手机仍用独立 App,与旁路由并存——注意避免双代理链(系统 VPN + 透明代理)导致异常。

电脑侧 allow-lan相比,旁路由方案的优势是终端侧零配置或一次配置;代价是旁路由故障会影响所有依赖它的设备,建议保留快速改回主路由网关的备忘步骤

十、验证与排错清单

建议按顺序自检:

  1. 主路由与旁路由互 ping,LAN 侧设备能 ping 通 192.168.1.2
  2. 旁路由上 Clash 进程运行中,订阅未过期;在插件日志或上游面板能看到测试连接成功。
  3. 某台测试机只改网关为旁路由后,访问国内站点仍走直连或预期策略;访问目标海外站点时,连接日志出现对应会话。
  4. 若「国内正常、海外全挂」,怀疑旁路由默认路由未指回主路由或防火墙拦截转发。
  5. 若「网页能开、视频 CDN 异常」,多为DNS 与连接不一致或 UDP/QUIC 未进内核,回到 DNS 与 TUN 设置。

通用端口、内核与订阅错误仍可对《Clash 常见报错解决方案》;Linux 单机部署可参考《Linux 下跑 Clash:Mihomo 与 systemd》,与路由器插件在进程托管上思路相近。

十一、小结

OpenWrt 旁路由Clash的本质,是在不改主路由的前提下,把局域网网关DNS 有选择地指向一台长期在线的软路由,让电视盒子代理与手机等终端共用一套分流规则,减少重复配置。相比每台设备单独维护客户端,一体化规则在家人共用网络时往往更省事;相比纯科普类文章,本文刻意写清接线、WAN/LAN、DHCP 网关指哪、哪些设备走旁路由等可执行步骤,便于你对照自家拓扑微调。若你还需要在 PC 上用图形客户端统一管理订阅与备份,可从本站获取安装包:→ 立即免费下载 Clash,开启流畅上网新体验