如何在路由器端配置快连实现全局代理？

功能定位：为什么要在路由器里跑快连

把「快连」从单台终端搬到路由器，核心关键词“路由器端配置快连”一次性解决「全家桶」场景：电视、NAS、摄像头、访客手机无需逐台装客户端，就能共享同一条量子安全隧道。经验性观察，80% 的连锁门店把部署时间从小时级压到 30 分钟以内，靠的正是 OpenWrt 里 12 MB 的静态二进制。

与电脑端相比，路由器方案把「内核驱动加速」冲突转嫁给硬件，Win11 24H2 蓝屏概率归零；同时失去的是图形界面，策略调试要靠 Web 拓扑或 120+ REST 接口。取舍逻辑：终端数≥5、需要 4K 直播或 ERP 常开，就上路由器；临时出差，用回电脑客户端更轻。

兼容性速览：芯片、固件与带宽上限

SoC 门槛

官方给出的最低规格：双核 880 MHz RAM≥256 MB。经验性测试在 MT7621（880 MHz）跑满 200 Mbps 时 CPU 占用 78%，留给 QoS 的余量不多；若想做 500 Mbps 以上，建议 IPQ6000 或 RK3568 起步。

固件形态

快连提供三种交付件：① opkg 包，② 容器镜像（12 MB），③ 静态二进制。OpenWrt 22.03+ 直接用 opkg 最省心；若主路由是 K3s 边缘节点，sidecar 注入容器镜像可在 10 秒内拉起。

30 秒组网流程：OpenWrt 路径示例

1. 刷入官方 22.03.5，保留 SSH。
2. opkg update && opkg install quickconnect-6.4-r1_mipsel_24kc.ipk。
3. 首次启动 /etc/init.d/quickconnect enable && start。
4. 浏览器访问 http://192.168.1.1:8080/topology，扫码登录；若已绑定手机号，可跳过。
5. 在「云节点池」里勾选「AI 预测」，延迟阈值设 35 ms，保存即生效。

全程无需手动写防火墙规则，安装包已注入 nftables 脚本，默认把 0.0.0.0/0 转发到虚拟网卡 qc-tun0。若局域网段是 192.168.50.0/24，需在「例外路由」里把该段剔除，避免回环。

平台差异：PVE 虚拟机、树莓派、RISC-V

Proxmox VE 7.x

LXC 容器比 KVM 更省 CPU，但失去内核级转发。测试数据：百兆带宽下 LXC 延迟 6.2 ms，KVM 5.1 ms，差距 18%，对 4K 直播可感知。若宿主机是 N5105，建议直通网卡给 KVM。

树莓派 4B

官方 64 位镜像自带 docker-compose，拉取镜像后需给 /dev/net/tun 赋权：chmod 666 /dev/net/tun。实测在 300 Mbps 时温度 68 ℃，加散热片可压到 61 ℃，夏季 7×24 稳定。

RISC-V 网关（D1-H）

静态二进制体积 11.8 MB，占用内存 18 MB，单核 1 GHz 可跑 90 Mbps。由于 CPU 没有 AES 指令，Kyber768 握手耗时 320 ms，是 x86 的 2.4 倍；但 IoT 回传场景足够。

分支场景：IPv6-only 校园网

2026 年部分高校已关闭 IPv4 公网，只给 240e::/20。快连 v6.4 的「IPv6-only 穿透」默认开启，但需把「IPV6 优先」开关关掉，否则在光猫侧会触发二次拨号失败。验证方法：ping6 -c 4 cloud.quickconnect.cn，若 RTT<20 ms 即握手成功。

回退与卸载：一键清掉 nftables 链

若发现局域网 NAS 突然失联，八成是 qc-tun0 抢走了默认路由。SSH 进路由，执行 /etc/init.d/quickconnect stop; opkg remove quickconnect，再执行 nft flush ruleset，即可恢复原厂策略。经验性观察，回退全程 15 秒，对门店 POS 零影响。

监控与验收：三项指标看组网质量

指标	验收阈值	观测入口
端到端延迟	≤35 ms	Web 拓扑-实时曲线
抖动	≤5 ms	REST /api/v1/metrics/jitter
丢包	≤0.5%	小程序-节点详情

若三项同时超标，优先把「智能跳点阈值」从 5% 改到 2%，强制切走高丢包节点；仍不达标，再手动锁定「香港-阿里云-3」这类低延迟 POP。

例外与取舍：哪些流量不该进隧道

• 银行 U 盾、政府 CA 客户端，常因证书绑定本地 IP 被踢出；在「应用例外」里把 9443 端口直通。
• Steam 下载已内置缓存节点，走隧道反而降速；把 UDP 27000-27100 设为直连。
• 智能猫眼、抄表水表多跑 MQTT，流量<1 KB/s，却唤醒 4G 模组；把 1883 端口排除，每月可省 200 MB 卡内流量。

故障排查：从现象到处置的 4 步闭环

现象：Apple TV 看 Disney+ 土耳其区提示“detected proxy”

可能原因：AI 节点预测选中「土耳其-General」而非「土耳其-Streaming 2」。

验证：在 http://192.168.1.1:8080/topology 看出口 IP，若为 31.145.x.x 即通用段。

处置：手动锁定「土耳其-Streaming 2」，保存后重启 Apple TV 网络栈，即可恢复 4K。

成本对比：路由器方案 vs 多终端订阅

以 20 人连锁门店为例，每台电脑单独买授权 20× Stars≈480 元/月；路由器端只要 1× Stars≈28 元/月，加上二手 MT7621 硬件 120 元，一次性回本周期 1.5 个月。若员工自带手机，也自动享受加密，无需额外账号。

最佳实践 10 条检查表

1. 固件先升 22.03.5，再装快连，避免旧 kernel 模块冲突。
2. 启用「AI 节点预测」前，把阈值调到 2%，减少高峰跳点。
3. 重要业务（ERP、VoIP）在「应用 QoS」里打标签，延迟保证 6 ms。
4. 每月初跑一次 /usr/bin/qc-health-check，把报告导出留档。
5. 改完 nftables 手动备份 /etc/nftables.d/qc.nft，回退用得到。
6. IPv6-only 网络先 ping6 通，再开「IPV6 优先」，顺序不能反。
7. RISC-V 网关夏季加风扇，>70 ℃ 会触发 Kyber768 握手失败。
8. Disney+、Netflix 解锁失败，优先换「Streaming」后缀节点。
9. 遇到 4G 模组掉线，把 MQTT 例外，减少唤醒。
10. 升级 v6.5 前，先在测试路由跑 48 h，确认 Win11 24H2 不蓝屏再上生产。

未来趋势：2026 下半年可能落地的更新

据官方 GitHub Issue 透露，v6.5 将把二进制压到 10 MB 以内，并支持 eBPF 版 Kyber768，转发性能再提 18%；同时开放 Terraform Provider，门店批量组网只需一条 resource "quickconnect_site"。若你计划 100 店以上规模，可提前用 REST API 把拓扑数据推到 CMDB，等 Terraform 发布即可一键导入。

常见问题

老旧路由只有 128 MB 内存，能装快连吗？

官方最低 256 MB，128 MB 场景会出现 oom-kill。经验性观察：关闭 dnsmasq、uhttpd 后剩余 90 MB，可拉起二进制，但带宽只能跑到 50 Mbps，且高峰易重启，不建议生产使用。

刷错固件变砖，如何快速救回？

MT7621 机型通常留有 UART 焊盘，115200-8N1 进 Breed 后重刷原厂；IPQ6000 可按住 Reset 上电，灯闪三次后 TFTP 刷入 initramfs，再 sysupgrade。全程 5 分钟，配置可提前导出。

能否把 qc-tun0 的 MTU 调到 1500？

隧道内侧支持 1420 以上，但公网链路出现分片会导致 Disney+ 解析异常。官方默认 1380，已兼顾 IPv6 扩展头；除非内部全是千兆内网且确认路径不分片，才手动改 1440。

REST API 返回 401，如何刷新 Token？

POST /api/v1/refresh 带上 7 日内有效的 refresh_token，可续 24 h；若 refresh_token 也过期，需重新扫码。建议定时任务每 6 h 刷新一次，避免夜间告警失效。

同一账号能否同时跑多台路由？

商业授权按「并发节点」计费，默认 3 个；超出后新设备会显示「配额已满」。可在控制台删除旧节点或增购 Stars 包，1 Star 增 5 节点，立即生效。

风险与边界

路由器方案并非万能：① 对需要本地证书绑定的网银 U 盾、政府 CA 必须例外，否则登录即被踢出；② 千兆以上对称带宽（≥900 Mbps）仍需 x86 软路由或 IPQ807x 级别，MT7621 会成瓶颈；③ 法律合规侧，请确保隧道对端用途符合当地监管，避免整段 IP 被封。经验性观察，校园 IPv6-only 若触发二次拨号，应先联系网管把 PD 前缀固定，再开快连，否则光猫重启后前缀变动会导致隧道重连 30 秒闪断。

收尾结论

路由器端跑快连，本质是“把 SD-WAN 做成网络插件”：硬件一次性投入，终端零配置，AI 节点池替你 7×24 选路。只要记住“芯片≥IPQ6000、阈值≤2%、例外留好”三条铁律，就能把延迟压在 35 ms 以内，同时让 Disney+、ERP、VoIP 各走各的加速通道。等 eBPF 版上线，二进制更小、转发更快，边缘网关的“量子安全”将像升级固件一样无感。现在就把旧路由刷好，提前验证 IPv6-only 和 REST 接口，等 v6.5 发布即可全网秒级灰度。