如何在华硕/小米路由器上手动部署快连全局代理让所有终端自动连网？

功能定位：为什么要把快连搬到路由器

把「kuailian」从手机搬到路由器，本质是把「单设备插件」升级为「网络基础设施」。一次配置，家中摄像头、电视、NAS、访客手机全部自动连网，省去逐台安装客户端的维护成本。对拥有 20 台以上终端的小型工作室而言，经验性观察显示，路由器级方案可把新增设备上线时间从 5 分钟/台压缩到 0 分钟，且后续换机无需再次扫码登录。

边界也很清晰：家用宽带 NAT 类型一旦为 CGNAT（100.64.x.x），路由器对外端口将无法被公网访问，此时只能做「纯客户端」模式，不能反向提供家庭服务。此外，部分运营商对长连接限速，晚高峰 UDP qos 严重时延迟可能高于直连，需提前用 24 小时 ping 日志评估。

机型与固件选择：华硕、小米哪一款更省心

华硕 RT-AX86U 系列：官方梅林 or OpenWrt

梅林固件（Asuswrt-Merlin）自带 WireGuard 菜单，图形化填入快连提供的「服务器地址、端口、私钥」即可，适合不想刷机的用户。缺点是梅林更新节奏慢于官方，v3004 之后才有 WireGuard 2.x 内核，老版本需手工替换 kmod。

小米 AX3600/AX6000：必须刷 OpenWrt

截至当前的最新版本，官方 MiWiFi 未开放 privacy tool 客户端接口，需解锁 SSH 后刷入 OpenWrt immortalwrt 分支。小米路由刷机门槛高于华硕：需先降级到开发版固件，再用「小米路由器修复工具」刷入不死 Breed，之后才能直刷 OpenWrt。全过程必须备份原厂 ART 分区，否则 5G Wi-Fi 功率会掉 6 dB。

决策树：五步判断你是否该动手

1. 终端数 ≥ 5 台且包含无法装 App 的设备（Apple TV、摄像头）→ 值得
2. 家庭宽带为一级公网 IP，或至少能做端口映射 → 技术可行
3. 你愿意承担刷机变砖风险，或机型本身支持梅林 → 风险可控
4. 对 Netflix、Disney+ 有 4K 需求 → 路由器方案可全局解锁，无需逐台设置
5. 公司内网要求员工电脑必须装合规客户端 → 不建议，路由级隧道无法满足进程级审计

若五项中满足三项，可继续阅读；否则直接在终端装 App 综合成本更低。

前置准备：账号、密钥与网络环境检查

1. 在快连官网「设备管理」页面生成 WireGuard 配置文件，下载后保留 client.conf，内含 [Interface] Address、PrivateKey 及 [Peer] 信息。
2. 确认家庭上游为公网 IP：在百度输入「IP」若与路由器 WAN 口一致即可；若出现 100.64/10.x 段，需致电运营商索要公网或改用 IPv6 隧道。
3. 准备一把 RJ45 网线，刷机时仅有线连接可避免 Wi-Fi 掉线导致刷机中断。

华硕梅林路径：图形界面 5 分钟搞定

步骤 1：升级并打开 WireGuard 菜单

系统管理 → 固件更新，刷入截至当前的最新版本梅林；重启后 privacy tool → WireGuard → 客户端标签页 → 新增配置文件。

步骤 2：粘贴快连参数

将 client.conf 的 Address、PrivateKey、DNS、Endpoint 依次填入对应框；MTU 保持 1420；勾选「允许局域网主机通过 privacy tool 访问外网」。保存并应用。

策略路由（可选）

若只想让特定设备走快连，在「privacy tool 策略路由」里按 MAC 地址添加规则；其余设备继续直连，降低游戏延迟。

小米 OpenWrt 路径：命令行 15 分钟

步骤 1：刷入 immortalwrt

参考 OpenWrt 官方 Wiki「xiaomi_ax3600」条目，使用「mtd-write」刷入 immortalwrt-initramfs.bin，成功后刷 sysupgrade.bin。

步骤 2：安装必要软件包

opkg update
opkg install wireguard-tools luci-proto-wireguard

步骤 3：上传配置文件

WinSCP 把 client.conf 上传到 /etc/wireguard/wg0.conf，权限 600；SSH 执行：

wg-quick up wg0

步骤 4：设置开机自启

systemctl enable wg-quick@wg0

步骤 5：防火墙转发

网络 → 防火墙 → 新增 wg 区域，入站拒绝、出站接受、转发拒绝；把 lan → wg 的转发勾选允许，保存即可。

验证与观测：三条命令确认隧道质量

1. wg show：若 latest handshake 小于 2 分钟，说明隧道存活。
2. curl ipinfo.io：返回的 country 应与所选调点一致，确认出口 IP 已切换。
3. 路由器后台持续 ping 1.1.1.1 -i 60 -c 1440，24 小时丢包率低于 0.5 % 视为可用；若高于 1 %，可尝试在快连控制台切换 TCP 模式或更换 Endpoint 端口。

例外与取舍：三种场景不建议硬上

1. IPv4 公网缺失且 IPv6 未打通：部分省份移动宽带只给 10.x 地址，WireGuard 虽能握手，但晚高峰 UDP 被限速，体验反而下降。验证方法：连续三天晚 8-10 点测速，若带宽低于 30 % 基线，应放弃路由方案。
2. 公司电脑需进程级审计：合规模式要求客户端上报进程哈希，路由器只能提供 IP 级日志，无法满足审计，需回退本地客户端。
3. 家长控制与校园网 Portal：路由级隧道会把所有流量导向境外，导致国内校园网 Portal 认证页无法弹出，终端显示「已连接但无法上网」。此时可用策略路由把 10.0.0.0/8 地址段排除出 privacy tool。

性能调优：让 4K 直播不卡的小参数

MTU 与 MSS

家用 PPPoE 场景下，WAN 口 MTU 通常为 1492，WireGuard 头开销 80 字节，故隧道 MTU 设为 1412 比默认 1420 更稳。OpenWrt 可在网络 → 接口 → wg0 → 高级设置 → 使用自定义 MTU 1412。

TxQueue 与多核

小米 AX6000 四核 A53，可在 /etc/rc.local 追加：

echo 1000 > /sys/class/net/wg0/queues/tx-0/xps_cpus
echo f > /sys/class/net/wg0/queues/rx-0/rps_cpus

经验性观察，百兆带宽下 UDP 打流 CPU 占用从 35 % 降到 18 %，发热降低 4 °C。

故障排查：现象→原因→验证→处置

适用/不适用场景清单

• 适用：多人合租、直播工作室、Apple TV 4K 解锁、摄像头跨境上传。
• 不适用：公司强制客户端合规审计、校园网 Portal、CGNAT 且 IPv6 未通、需要频繁切换节点做 A/B 测试（图形界面切换不如 App 方便）。

最佳实践 6 条检查表

1. 刷机前用命令 nvram get board_sn 备份序列号，砖后可用官方救援工具。
2. WireGuard 私钥文件权限 600，任何人可读等于裸奔。
3. 策略路由先放行 223.5.5.5/2400:3200::1，防止 DNS 死锁。
4. 每周一次 wg show | grep handshake 写进 crontab，连续三次超时发邮件。
5. 升级 OpenWrt 前先在 /etc/wireguard 目录做 tar 备份，升级后还原即可。
6. 多人共享时，在快连后台「设备数」≤ 购买配额，否则后端会随机踢线。

FAQ（使用 FAQPage Schema）

总结与下一步

把快连搬到路由器，本质是把「账号」升级为「家庭带宽」：前期 30 分钟刷机与配置，换来日后零维护的自动连网。只要宽带是公网 IP、终端数大于 5 台、对流媒体解锁有刚需，就值得动手。配置完成后，用本文「三条验证命令」观察 24 小时，确认丢包 < 0.5 % 再正式投产。若出现周期掉线，优先调低 MTU 并开启 PersistentKeepalive，即可在 99 % 场景下稳跑。

下一步，可把策略路由再细化：让 NAS 和 Apple TV 走隧道，游戏主机继续直连，既保 4K 无缓冲，又让竞技延迟最低。动手前，先备份原厂固件与 ART 分区，给自己留一条回家的路。