怎么在快连路由器模式下配置域名分流规则?
功能定位:域名分流到底解决什么问题
在快连(kuailian)的路由器模式下,所有局域网设备共享同一个出口。如果“一刀切”全部走代理,访问国内银行、IPTV、公司内网就会绕路卡顿。域名分流规则的作用就是:让指定域名走代理,其余保持直连,既节省带宽,也降低延迟。
与“分应用代理”不同,域名分流对终端透明,智能电视、NAS、游戏机等无法安装客户端的设备也能受益;与 IP 分流相比,域名规则可读性更高,且能跟随 CDN 变化自动生效,无需手动维护大量 IP 段。
版本差异与前置条件
截至当前最新版,域名分流仅在路由器模式下开放,客户端内置的“分应用白名单”与“智能分流”不能替代。官方固件要求:快连路由器插件 ≥ 7.5.0,底层需基于 OpenWrt 21 或更高。若你使用的是第三方编译固件,请先确认插件商店能检索到“快连路由器版”,否则刷机后会出现“找不到节点”的提示。
提示:老版本(7.4.x)只有 IP 分流,升级后原有规则会被清空,建议先导出配置再覆盖安装。
配置总览:三步完成首次分流
- 把快连插件切到“路由器模式”并选定一个出口节点;
- 在“域名分流”页面添加规则,支持通配符与 GEOIP 关键字;
- 保存后点击“重载 Dnsmasq”,局域网设备重新获取 DNS 即可生效。
下面按平台给出最短路径与常见分支。
OpenWrt 原生固件(含官方编译)
网络存储 → 软件包 → 更新列表 → 搜索“kuailian-router”安装。装完后顶部菜单会出现“快连”大图标,点进去 → 工作模式 → 路由器模式 → 保存应用。随后侧边栏新增“域名分流”子菜单,进入即可添加规则。
Padavan、老毛子固件
这些固件使用内置加速插件,入口在扩展功能 → 快连加速 → 模式切换。若看不到“域名分流”页,说明插件版本低于 7.5.0,需去下载区手动替换 kuailian-router.ipk,再执行一次 opkg install --force-reinstall。
X86 软路由 Docker 方案
部分玩家把插件跑在容器里,此时域名分流依赖容器内的 Dnsmasq。需要把宿主 53 端口绑定到容器,并在 docker-compose.yml 加 --dns=127.0.0.1,否则规则重载会失败。经验性观察:Docker 版重载耗时比原生多 2–3 倍,高峰时可能出现“规则未生效”假象,重启容器可恢复。
规则写法:通配符、GEOIP 与否定语法
域名分流支持三种写法,按行分隔:
*.google.com—— 匹配所有子域名;geoip:netflix—— 把 Netflix 旗下全部域名一次性导入;!*.edu.cn—— 否定语法,强制直连,优先级高于前面的通配。
规则自上而下逐行匹配,命中即停止。建议把最具体的否定规则放在最前面,减少误判。示例场景:家里小孩要访问“学而思网校”(*.xueersi.com),同时你又希望国外公开课走代理,可写:
!*.xueersi.com *.coursera.org *.edx.org geoip:google
保存后点击“重载 Dnsmasq”,再用路由器内置的 Nslookup 验证:nslookup www.coursera.org 返回的 IP 应是代理出口;而 nslookup www.xueersi.com 仍是本地运营商地址。
例外与取舍:哪些流量不该进分流
1. 银行与政务类:*.bank.com.cn、*.gov.cn 建议强制直连,否则会因为出口 IP 变动触发风控。可用否定语法 !*.gov.cn 置顶。
2. 内网域名:企业自建 GitLab、NAS 如果走代理,会无法解析;把 *.local、*.lan 加入否定列表。
3. IPv6 流量:目前域名分流仅作用于 IPv4 A 记录,AAAA 记录仍按默认路由。若运营商给的是 IPv6 优先,可能出现“解析走代理、实际流量直连”的混合路径,导致 Facebook App 提示“无网络”。临时办法是在路由器关闭 IPv6 或者把 AAAA 解析强制丢弃。
警告:盲目把
geoip:cn整段否定,会让 Apple 推送、微信视频通话全部直连,晚高峰可能出现拥塞。建议只把真正需要低延迟的国内业务写否定,其余默认走代理。
故障排查:规则不生效的五种常见原因
| 现象 | 可能原因 | 验证方法 | 处置 |
|---|---|---|---|
| Nslookup 仍返回本地 IP | Dnsmasq 缓存未刷新 | dig @192.168.1.1 example.com |
SSH 进路由执行 killall -HUP dnsmasq |
| 部分子域名失效 | 通配符层级不足 | *.example.com 不覆盖 a.b.example.com |
改为 **.example.com 或逐条补全 |
| 重启后规则消失 | 未保存至 /etc/kuailian/white.list | cat 该文件看是否为空 | 在 LuCI 界面点“保存并应用”,不要只点“保存” |
| 访问国外站点反而更慢 | 节点晚高峰拥塞 | 用插件内置 Ping 测同一域名不同节点 | 把该域名单独指向“香港 IEPL”节点,或调高切换阈值 |
| 微信视频电话断流 | 分应用白名单与域名分流同时启用,路由表冲突 | 关闭白名单后恢复 | 二选一:要么只用域名分流,要么回退到纯应用层代理 |
适用/不适用场景清单
高匹配场景
- 家庭影院:Apple TV、Chromecast 无法装客户端,靠域名分流即可解锁流媒体;
- 远程办公:公司 privacy tool 与快连共存,把 *.zoom.us 走代理,内网域名强制直连,互不干扰;
- 跨境电商:一台主路由带动整个工作室,30 台手机同时登录 TikTok,通过固定出口 IP 降低封号概率。
低匹配场景
- 校园网 802.1X 认证:部分高校会检测 MAC 与 IP 绑定,域名分流导致出口跳变,易被踢下线;
- 双栈 IPv6 优先网络:如前所述,AAAA 记录不受控,可能出现“半代理”状态;
- 需要精确端口转发的游戏主机:PS5、Xbox Live 对 UDP 特定端口要求严格,域名分流只解析一次,后续 NAT 类型可能变差,建议用“IP 分流+端口保留”。
最佳实践 10 条速查表
- 否定规则置顶,先保证金融、政府、内网必直连;
- 流媒体用 geoip:netflix、geoip:disney 批量导入,比单条域名省 80% 行数;
- 通配符深度不要超过三级,防止误伤 CDN;
- 每周手动“检查 GEOIP 更新”,保持新增流媒体域名同步;
- 大促前把电商直播域名(*.tmall.com、*.taobao.com)临时加否定,避免高峰抢券失败;
- 规则超过 500 行时,拆成 user.list、work.list 两个文件,用自定义包含语法减少主列表长度;
- 修改完先 dig 验证,再让全家设备生效,降低投诉风险;
- 与 AI 链路医生协同:把“域名分流”节点设为“香港 IEPL”,可减少跳节点概率;
- 开启“日志调试”仅排障时启用,平时关闭,防止 Flash 读写过多;
- 每月导出一次配置到本地 Git,回滚只需 30 秒。
FAQ:域名分流常见疑问
域名分流与 IP 分流能否同时开?
可以,IP 分流优先级更高。若同一目标同时命中,以 IP 规则为准。建议把冷门 IP 段写 IP 分流,主流域名写域名分流,减少维护量。
否定语法支持多少条?
经验性观察:700 行以内性能无感知;超过 1000 行后,Dnsmasq 重启耗时从 1 秒升至 5 秒。一般家庭 200 行足够。
升级插件后规则会丢吗?
7.5.0 起把规则持久化到 /etc/kuailian/white.list,覆盖安装不会丢。但降级回 7.4.x 会无法识别,需手动导出再导入。
如何验证规则实时生效?
用路由器内置 Nslookup 或 dig,看返回 IP 归属;再 traceroute 第一跳是否为 10.0.0.x(隧道网段)。两步一致即生效。
域名分流会影响局域网打印机等 mDNS 设备吗?
mDNS(*.local)不走 Dnsmasq,规则对其无效,打印机、HomePod 可正常发现。
收尾:下一步行动建议
读完本文,你已掌握快连路由器模式下配置域名分流规则的完整路径、语法细节与常见坑。立刻打开路由器后台,导出当前配置留底;随后用“否定+geoip”组合把最常用的 30 个域名写完,保存重载,再用 dig 验证。若家中设备超过 20 台,建议每周检查一次 GEOIP 更新,并在晚高峰用内置 Ping 测延迟,必要时把高流量域名单独指向低延迟节点。只要遵循“先否定、后批量、再细分”的三段式,域名分流就能在稳定性与性能之间取得最佳平衡。
未来版本若开放 IPv6 分流与端口级规则,维护成本还将进一步下降。当下先把基础打牢,等新特性落地即可一键升级。
