一、為什麼用「旁路由」而不是換掉主路由
許多家庭環境是電信小烏龍或自購主路由已穩定運作:PPPoE、IPv6、Mesh、家長控制都已調好。若為了跑代理而整臺換成 OpenWrt,遷移成本高、家人也怕斷網。旁路由的做法是:主路由幾乎不改,只在區網多接一台裝了 OpenWrt 的機器,上面跑 Clash 核心(常見為 OpenClash、ShellClash、自行編譯的 Mihomo 等),專心處理分流規則與出口。
這樣做的好處是:電視盒子代理與手機可以共用同一套 YAML/同一個訂閱,你只需在旁路由上更新規則一次;主路由仍可維持原廠介面給長輩用。缺點是拓撲與DHCP 閘道若沒釐清,容易出現「部分裝置繞過旁路由直連」或「雙重 NAT、迴圈」——下文會用步驟避開。
二、拓撲與接線:最常見的「LAN 對 LAN」旁掛
實務上最穩、也最常被問到的是:主路由的 LAN 埠拉網路線接到旁路由的 LAN 埠(注意:是兩邊都接 LAN,不是把旁路由當第二台 PPPoE 路由器)。此時旁路由的 WAN 往往閒置不用,或僅在進階拓撲才會接到上層;若你剛入門,請先記住「旁路由先當區網裡的一台內網設備」,不要讓它再撥一次號。
接好線後,兩臺設備應在同一個 IPv4 子網路內彼此 ping 得到。例如主路由是 192.168.1.1/24,旁路由建議設成固定 IP如 192.168.1.2,子網路遮罩 255.255.255.0,閘道與 DNS 先指向主路由 192.168.1.1(讓旁路由自己上網更新與對時正常)。這樣旁路由本身能連外,之後再把 Clash 的透明轉發指向正確介面。
若主路由開啟了 AP 隔離、訪客網路或不同 VLAN,請確認電視、手機與旁路由落在可互通的同一 L2 區段;否則裝置無法把封包送到旁路由當區域網路閘道。
三、WAN/LAN 在旁路由上怎麼理解
在「LAN 對 LAN」模式下,旁路由的 WAN 介面通常沒有對外線路,可在 OpenWrt 介面中停用或忽略,避免誤設成另一個 DHCP 伺服器對外發放位址。重點放在 LAN:它必須持有前述固定 IP,且與主路由區網同網段。
有些教學會把旁路由設成「WAN 接主路由 LAN」——可行,但牽涉 NAT、防火牆區域與預設路由,較容易在更新韌體或外掛時被還原成難除錯狀態。對多數只想軟路由跑 Clash 的使用者,優先採單層內網、旁路由僅一個 LAN IP 的模型,維護成本最低。
四、DHCP 誰發、閘道指誰:兩種乾淨做法
旁路由要生效,核心條件是:目標裝置的預設閘道要嘛是旁路由 IP,要嘛經由主路由轉發到旁路由(進階)。最常見兩種做法如下。
做法 A:主路由繼續發 DHCP,只改閘道選項。若主路由支援自訂 DHCP Option(常見為 Option 3「路由器」),把預設閘道從 192.168.1.1 改成旁路由 192.168.1.2。這樣手機、電視盒自動取得的新租約就會把所有對外流量先送到旁路由,再由 Clash 決定直連或代理。主路由仍提供 DNS 下發也可,但實務上多會改由旁路由或 Clash 接管 DNS,以免客戶端繞過規則(見後文)。
做法 B:關閉主路由 DHCP,只讓旁路由發放。適合願意精簡管理的人:主路由關 DHCP,旁路由開 DHCP,預設閘道填自己。缺點是若旁路由離線,區網新裝置可能拿不到 IP,需保留緊急接線或暫時改回主路由發放。
做法 C(裝置級):維持主路由 DHCP 不變,只在電視盒、手機上手動設定靜態 IP,並把閘道改成旁路由。適合想「只有幾臺設備走代理」的人;缺點是要逐台操作。若你希望「整屋同一套規則」,仍以 A 或 B 較省事。若你曾在電腦上用過 allow-lan 給手動代理,概念可對照《Clash 開啟區域網路代理》,差別在旁路由是用閘道/透明代理承接,而不是單一電腦埠。
五、OpenWrt 基礎:防火牆、轉發與「別和主路由搶 DHCP」
在固定 LAN IP 之後,請在 LuCI 或 UCI 確認:旁路由的 DHCP若與主路由同時開在網段內,會造成兩套位址發放衝突。若採做法 A,通常建議關閉旁路由的 DHCP,只保留主路由發放;若採做法 B,則反過來關閉主路由。
防火牆方面,透明代理依賴轉發與 NAT 規則是否正確;不同 Clash 外掛精靈會自動寫入 iptables/nft 規則。若你手動編譯,請確保 forward 允許 LAN→WAN 或對應區域,並避免把旁路由誤設成「純 AP」而擋掉本機轉發。遇到更新後規則消失,多半是外掛開機順序問題,可排程延遲啟動或檢查 firewall.user。
六、在旁路由上跑 Clash:透明代理、DNS 與分流
OpenWrt 上安裝 Clash 的方式因社群套件而異,但目標一致:讓區網客戶端無感把 TCP/UDP(視模式與核心能力)交給 Mihomo 處理,並以規則決定走哪個策略組。多數使用者會開啟 Redir/TUN 類透明代理,並在 DNS 上配合 fake-ip 或 redir-host,避免域名解析與實際連線出口不一致。
DNS特別關鍵:若手機仍向主路由查詢,而主路由把 DNS 指到電信或公共解析,可能出現「規則寫了域名卻命中錯誤 IP」的體感。實務上常見作法是:由旁路由或 Clash 作為區網 DNS下發,或在主路由上把 DNS 指到旁路由;並在規則裡處理國內/國外分流與污染對策。若你想先打好桌面/伺服器上的核心觀念,可延伸閱讀《Linux 上跑 Clash:Mihomo 與 systemd》中的 DNS 與服務常駐思路(OpenWrt 上則多由外掛封裝)。
分流規則維護在旁路由後,電視與手機都不必各自匯入訂閱;這正是「共用一套分流」的含義。訂閱匯入與語法基礎可對照《Clash 訂閱連結與匯入》。若你希望少數裝置改走本機 App(例如外出時只帶手機),可再參考《Android 安裝 ClashMeta》,與家中旁路由互補而非重複。
七、電視盒與手機:怎麼確定「有走旁路由」
電視或機上盒多數跑 Android 或封閉系統,未必能裝代理 App。用旁路由當預設閘道後,它們的 YouTube、Netflix、內建瀏覽器流量會依你的規則進代理或直連。請在路由器後台或旁路由連線日誌中,確認電視盒的 IP 出現於命中規則的連線裡;若完全沒有,代表閘道或透明代理未生效。
手機若使用 DHCP,請在取得租約後檢查「路由器/預設閘道」是否為旁路由 IP。若你用手動 Wi‑Fi IP,請同步把 DNS 指到旁路由或可信上游,避免分裂 DNS。iOS 若難以設閘道,可考慮改由主路由 DHCP 統一下發閘道(做法 A)。
八、常見坑:迴圈、雙 NAT、與主路由 UPnP
迴圈常發生在旁路由預設閘道設錯——例如旁路由把自己的閘道設成自己,或主路由又把閘道指回旁路由而同時旁路由把閘道指主路由卻沒正確路由。請維持清晰關係:旁路由對外上網經主路由;區網客戶端對外先經旁路由再經主路由出去。
雙 NAT在「WAN 接主路由」型拓撲較常見;LAN 旁掛模式若設定得當,可減少一層。遊戲與 P2P 若異常,需檢查主路由的埠轉發是否仍指向正確內網主機。
若你同時在遊戲機場景用筆電熱點,可與《Switch 共享熱點》對照:旁路由是「常駐閘道」,熱點是「臨時二層」,兩者可並存於不同使用情境。
九、要不要開 TUN、與主路由的關係
在旁路由上,TUN模式能覆蓋更多不遵守系統代理的程式,與你在電腦客戶端開 TUN 的動機類似;細節可參《Clash TUN 模式開啟方法》。要注意的是:透明代理與 TUN 同時由不同外掛管理時,避免重複劫持同一流量;更新核心後若斷網,先關閉 TUN 再逐項排查。
十、可照抄檢查清單
- 主路由 LAN → 旁路由 LAN 已接線,旁路由 LAN 設固定 IP與主路由同網段
- 僅一台設備在該網段發放 DHCP,避免與主路由衝突
- 目標裝置的預設閘道為旁路由 IP,或主路由 DHCP 已下發正確閘道
- Clash/Mihomo 已啟用透明代理,防火牆與開機順序正常
- DNS 與規則一致,連線日誌可看到客戶端 IP 命中策略
- 旁路由離線時有備援方案(暫改回主路由閘道或開主路由 DHCP)
十一、小結
用OpenWrt 旁路由集中跑 Clash,本質是把「分流規則與訂閱」收斂到單一區域網路閘道,讓電視盒子代理與手機不必重複設定。把接線、IP、DHCP 閘道指哪三件事做對,再處理 DNS 與透明代理,就能穩定共用一套規則。相較於每台裝置各自裝客戶端,旁路由在客廳與行動裝置之間的一致性通常更好,也方便你在家用網路中做統一稽核。
若你希望在桌面環境先熟悉圖形客戶端與 Mihomo 能力,再映射到路由器場景,可從本站提供的官方維護用戶端入手。→ 立即免費下載 Clash,開啟流暢上網新體驗