功能定位:为什么要把订阅写进固件
把快连订阅链接固化到 OpenWrt,相当于给路由器植入一张“自动更新节点表”。开机后路由自己拉取最新列表,家里手机、电脑、电视无需再装客户端,也能走同一条加密通道。相比每台设备单独登录,少了账号泄露风险,也避免移动端后台被杀导致断流。
该做法属于“路由级透明代理”,与“单设备 privacy tool”互补:前者重“零配置全家桶”,后者重“移动出差”。若你经常在家办公、看 4K 流媒体,又想让长辈的电视盒子无痛解锁,固件写入订阅就是最小维护量方案。
版本与硬件前提:先确认这三项
截至当前的最新版本,快连官方提供 WireGuard 2.9 订阅格式,兼容OpenWrt 21.02 以上内核。若你刷的是 19.07 或更老固件,需先升级,否则 nftables 语法差异会导致规则失效。
硬件层面,RAM≥128 MB、闪存≥16 MB 才能装下 luci-app-wireguard 与订阅更新脚本。以经验性观察,MT7621/AX6000 级别芯片在 200 M 宽带下 CPU 占用约 30%,千兆宽带建议选 ARMv8 路由,避免单核瓶颈。
操作路径:最快 7 步完成写入
1. 获取订阅链接
打开快连 Windows 客户端→右上角“设置”→“订阅与 API”→复制“WireGuard 订阅地址”。注意勾选“包含 IPv6”可省后续再配。
2. 路由后台装依赖
浏览器进 OpenWrt LuCI→系统→软件→更新列表→搜索并安装wireguard-tools luci-app-wireguard curl ca-certificates。若提示空间不足,先卸载 pppoe 多余语言包。
3. 创建更新脚本
# 写入 /usr/bin/kl-sub.sh #!/bin/sh SUB_URL="https://api.kuailian.com/wg/sub?key=你的密钥" curl -s $SUB_URL | wg-quick strip | uci batch uci commit network /etc/init.d/network reload
给执行权限:chmod +x /usr/bin/kl-sub.sh
4. 加入计划任务
LuCI→系统→计划任务,添加:0 4 * * * /usr/bin/kl-sub.sh,每天凌晨 4 点静默更新,避开用网高峰。
5. 防火墙分流
网络→防火墙→添加“快连”区域,入站拒绝、转发接受、出站覆盖 wan。然后 traffic rule 里把 192.168.31.0/24 整段绑定到快连区域,实现“国内直连、国外走隧道”的默认策略。
6. 开机自启
/etc/rc.local 末尾加:/usr/bin/kl-sub.sh,确保拨号完成后再拉订阅,防止 DNS 未就绪导致空列表。
7. 验证
SSH 执行wg show,若能看到 Endpoint 字段且 handshake 在 5 秒内,即代表隧道已通。再用手机访问 ipinfo.io,显示的地区与订阅节点一致即成功。
分支与回退:万一出错如何救场
若更新后全网断网,可在 LuCI 网络→接口→快连接口点击“停止”,系统会自动回退到 WAN 直连。再 SSH 进路由,把 /usr/bin/kl-sub.sh 改名,重启即可完全屏蔽订阅逻辑。
经验性观察:部分校园网会劫持 53 端口,导致 curl 下载订阅失败。此时可把脚本中的 curl 加上--dns-servers 8.8.8.8,或改用 DoH 方式,规避本地 DNS 污染。
平台差异:梅林、Padavan 能否照抄
梅林固件(asuswrt-merlin)自带 WireGuard 模块,但缺少 uci 系统,需把订阅转成 txt 后手动贴到“privacy tool Fusion”里,步骤类似,但无法自动更新。Padavan 老内核仅支持 2.6,WireGuard 需要第三方 kmod,稳定性一般,建议仅作临时过渡。
风险控制:什么时候不该用
若你家宽带为 IPv4 内网 CGNAT(100.64.x.x),WireGuard 握手可能因 UDP 被运营商限速而频繁掉线,此时应改用带 TCP 混淆的节点,或放弃路由级方案,改回客户端单播。
另外,多人共享同一订阅会同时消耗“在线设备数”额度。以当前最新版本为例,个人套餐默认 5 台,若路由算 1 台、下面挂 10 台终端,仍只计 1 台;但若你同时在手机端另开 App,就会再计 1 台。超出后新设备会被踢线,需到后台手动释放。
性能观测:如何知道路由顶不顶得住
安装luci-app-statistics,把 cpu、irq、wireguard 包速率打勾,采样 30 秒。经验性观察,当 4K 流媒体码率 60 Mbps 时,MT7621 的软中断占比 35% 为安全线;超过 50% 会出现偶发卡顿,此时应降低视频码率或换更强 SOC。
最佳实践清单:开机到交付 5 分钟
- 先备份固件:系统→备份/升级→生成存档。
- 确认订阅剩余设备数<80%,避免后续踢线。
- 脚本里加
logger,把更新结果写系统日志,排障更快。 - 防火墙区域务必“入站拒绝”,防止外部扫描 WireGuard 端口。
- 每季度手动换密钥,旧订阅地址即使泄露也立即失效。
FAQ:订阅写入后常见 5 问
梅林固件能否自动更新订阅?
官方未提供自动脚本,可借助第三方 Entware 的 cron 实现,但需自己维护转换格式,稳定性不如 OpenWrt。
订阅更新失败如何排查?
SSH 手动跑脚本看 curl 报错;若提示 403,多半是密钥超限,进客户端重置即可。
路由级代理后 Netflix 仍提示代理?
快连部分节点被 Netflix 标记,需在订阅里手动排除“Compliance”机房,或换用“原生解锁”标签节点。
能否只让指定设备走隧道?
防火墙 traffic rule 里把源 MAC 或 IP 绑定到快连区域即可,其余设备默认走 WAN。
升级 OpenWrt 后订阅会丢失吗?
保留配置升级通常不会丢,但建议先把 /usr/bin/kl-sub.sh 和 crontab 导出,升级完再还原。
结论与下一步
把快连订阅写进 OpenWrt,是“配置一次、全家躺赢”的低维护方案;核心代价是路由硬件性能与订阅设备额度。只要你的路由 SOC 够用、带宽非 CGNAT,按本文 7 步操作即可在 5 分钟内完成。下一步建议打开 statistics 插件,观察一周 CPU 曲线,再决定是否升级更强硬件或调整分流策略。