Keenetic 路由器作为代理工具

引言

在工作中有时需要在不干预设备软件的情况下对设备的流量进行代理。如果你使用的是物理设备，或者是无法在不破坏必要协议功能的情况下启用代理的软件，这种方法会非常有用。

市面上确实存在一些来自独立开发者的解决方案，通常是为 Raspberry Pi 或其他单板计算机设计的功能增强型固件。这类固件的价格通常在 $400 到 $700 之间（不含设备本身的费用）。

然而，这种方案并不算便宜，配置复杂，价格高昂，且在专业论坛上评价褒贬不一。

因此，我们决定研究一些每个人都能负担得起的替代方案，以更低的成本实现相同的目标。

Keenetic 路由器

在寻找适合此任务的路由器时，我们注意到了 Keenetic 系列的设备。它们被定位为具有高级功能且价格合理的解决方案。

优点

• 稳定运行 和高性能，得益于强大的硬件和优化的软件
• 配置灵活 — 适合初学者和高级用户
• 支持 Mesh Wi-Fi — 可创建由多个设备组成的无缝网络
• 安全性 — 定期更新，支持 WPA3，内置攻击防护机制
• 模块化系统 — 用户可通过 KeeneticOS 自主选择所需功能（VPN 客户端、服务器、代理、通道负载均衡等）
• 高级代理功能 — 支持 Socks5、OpenVPN、WireGuard、L2TP、PPTP 等协议
• 价格亲民 — 中等配置的设备价格不超过 $100
• 支持与活跃社区 — 专业论坛讨论活跃，用户基础庞大

型号与选择

本指南中使用的是 Keenetic Speedster (KN-3013)。

该型号有三个版本，主要区别在于处理器和闪存容量。
推荐选择 KN-3013 或 KN-3012。而 KN-3010 不推荐，因为其闪存容量不足。每个连接配置或安装的软件模块都会占用一定空间，更不用说操作系统本身了。

Keenetic 系列的其他路由器也适用，因为它们都运行 KeeneticOS，支持所需的连接协议。

选择设备时应注意以下参数：

• 闪存容量 — 建议不低于 128 MB
• 内存容量 — 至少 128 MB
• 处理器主频 — 建议为 800 MHz 及以上

包装内容

包装内含：

• 路由器
• 以太网网线
• 电源适配器（100-240V）
• 说明书

设置准备

上图展示了网络的工作方式。Keenetic 连接至主路由器，并创建一个独立的网络。此连接方式不会影响家庭主网络：主路由器仅作为互联网出口，而仅有连接到 Keenetic 网络的设备将通过代理。

准备步骤：

#### 1. 从包装盒中取出路由器，并将天线调整至工作状态。
#### 2. 将路由器连接到电源。
#### 3. 查看设备底部的标签，上面有连接信息：

• SSID（Wi-Fi 网络名称）
• 密码
• 设置地址 — my.keenetic.net

通电后路由器会自动创建一个 Wi-Fi 网络。请使用标签上的信息进行连接。

路由器设置

连接到 Wi-Fi 网络后，在您的设备上打开浏览器并访问 my.keenetic.net 以开始设置。

#### 1. 选择语言
选择设备语言后点击 "Run wizard"

#### 2. 选择使用场景
选择第一个选项：
"To set up Internet access via an external fibre optic, cable, satellite or DSL modem"

#### 3. 设置地区
选择国家和时区。

#### 4. 接受用户协议
同意使用条款。在此步骤可能需要等待几分钟，直到复选框可点击。

#### 5. 设置管理员密码
设置一个管理员密码，用于登录设备管理面板。请务必妥善保存！

#### 6. 设置媒体服务
选择第一个选项：
"Off the shelf Smart TV or media player (Recommended)"

#### 7. 设置互联网连接
由于 Keenetic 将连接到您运营商已经配置好的主路由器，请点击 "WITHOUT VLAN"

#### 8. 关闭主路由器（可选）
在大多数情况下，您无需关闭主路由器。

9. 将 Keenetic 连接到主路由器

• 将 Keenetic 放置在主路由器旁边。
• 取出包装中的以太网网线。
• 将一端插入主路由器（请使用白色或黄色的以太网端口，不要使用蓝色端口！）
• 另一端插入 Keenetic 上的 WAN 接口（端口 0，蓝色）

#### 10. 打开主路由器
如果您在第 8 步关闭了主路由器，现在请重新打开。

#### 11. 等待设备重启
等待设备完成重启（大约需要 2 分钟）

#### 12. 启用自动更新
允许自动安装更新。

#### 13. 设置更新计划
更新过程可能会导致最多 60 秒的短暂中断，因此建议您设置一个合适的更新时间表。如果不确定，可保留默认设置，稍后可以更改。

#### 14. 固件更新
等待固件更新完成（最多约 3 分钟）

#### 15. 设置 Wi-Fi 网络
此步骤可更改 Wi-Fi 网络的名称和密码（默认与标签信息相同）。您可以在之后随时更改这些设置。

#### 16. 生成 Let's Encrypt 证书
Keenetic 将自动为管理面板的 HTTPS 连接生成证书。

#### 17. 拒绝参与改进计划
当系统询问您是否参与产品改进计划时，请选择拒绝。

#### 18. 保存访问数据
此时建议保存所有用于访问设备的数据，以避免今后需要重新配置。

#### 19. 完成初始设置
点击 "Finish"

#### 20. 登录管理面板
设置完成后，系统将重定向到管理面板的登录页面。请输入：

• 用户名 — admin
• 密码 — 即您在第 5 步中设置的密码

您现在位于路由器的管理面板中。此时，它只是通过电缆将主路由器的互联网连接中继过来，尚未启用任何代理功能。

安装组件

1-2. 进入设置界面

• 前往 Management → System Settings
• 点击 "Component options"

3. 检查并安装所需组件

请确保已安装以下组件：

• Proxy Client（代理客户端）
• PPTP Client（PPTP 客户端）
• OpenVPN Client and Server（OpenVPN 客户端与服务器）
• Wireguard VPN（如有需要）

如果某个组件未安装，请勾选其名称左侧的框，如下图所示。

#### 4. 检查 DNS-over-TLS 支持
务必确保已安装 DNS-over-TLS proxy，该组件对于代理功能的正常运行是必须的。

#### 5. 更新 KeeneticOS
选择所有必要组件后，点击 "Update KeeneticOS"

#### 6. 创建备份（可选）
此步骤您可以选择备份当前设置。

#### 7. 确认安装组件
在弹出的 Install updates 窗口中将列出即将安装的组件。点击 "Confirm" 以确认。

#### 8. 等待更新完成
更新过程不会超过 3 分钟。

#### 9. 重新登录管理面板
组件安装完成后，系统将跳转到登录页面。请输入：

• 用户名 — admin
• 密码 — 即您之前设置的密码。

配置 SOCKS5 代理

#### 1. 进入连接设置
进入 Internet → Other connections

#### 2. 添加新连接
在此页面可以添加不同类型的连接：

• WireGuard
• PPTP 和 L2TP
• OpenVPN
• HTTP/S 和 SOCKS5 代理

注意：

• HTTP/S 代理不支持 UDP 协议
• SOCKS5 在技术上支持 UDP，但并非所有代理服务都提供该功能

我们将以 SOCKS5 为例进行说明。在 Proxy Connections 区块点击 "Create connection"

3. 配置连接

• 为连接选择一个方便的名称
• 勾选 "Use for accessing the Internet"
• 选择 SOCKS5 作为协议

4. 输入代理数据

• 输入您的代理服务器的 IP:PORT
• 如果需要身份验证，请提供用户名和密码
• 点击 "Save"

#### 5. 启用连接
通过点击左侧的滑块启用代理

#### 6. 配置代理的 DNS
连接启用后，Internet 列中会出现一个感叹号。这表示需要配置 DNS。

#### 7. 打开 DNS 设置
要配置 DNS，请前往 Network Rules → Internet Safety

#### 8. 添加 DNS 服务器
在 DNS Configuration 标签中，点击 "Add server"

9. 配置 DNS

我们使用 Google 的 DNS：

• DNS 服务器类型: "DNS-over-TLS"
• DNS 服务器地址: 8.8.8.8:53
• 在下方选择 您的代理 作为接口

您也可以使用任何以下支持的 DNS 服务器：

• DoT (DNS over TLS)
• DoH (DNS over HTTPS)
• 常规 DNS

备用 DNS 服务器：

Cisco OpenDNS, LLC

``
208.67.220.220
208.67.222.222
``

Neustar Security Services

``
199.85.127.10
199.85.126.10
``

Neustar Security Services

``
64.6.65.6
64.6.64.6
``

The Constant Company, LLC

``
8.26.56.26
8.20.247.20
``

level3

``
209.244.0.3
209.244.0.4
4.2.2.1
4.2.2.2
4.2.2.3
4.2.2.4
``

Oracle Corporation

``
216.146.35.35
216.146.36.36
``

OVH SAS

``
5.135.183.146
``

The Constant Company

``
195.46.39.39
``

Amazon.com, Inc.

``
54.174.40.213
52.3.100.184
``

Level 3 Communications, Inc.

``
54.229.171.243
``

Amazon.com, Inc

``
54.183.15.10
``

Amazon Technologies Inc.

``
185.37.37.37
``

Cloudflare

``
82.196.13.196
``

Strong Technology, LLC

``
64.145.73.2
209.107.219.3
``

SoftLayer

``
104.236.217.252
``

Ripe

``
185.52.1.146
``

Amazon Technologies Inc

``
128.199.248.157
185.135.8.197
``

#### 10. 检查代理设置是否生效
配置完 DNS 后，代理旁边的感叹号会消失，表示配置成功。

创建连接策略

#### 11. 进入连接策略设置
前往 Internet → Connection Policies

#### 12. 创建新策略
点击 Add policy

13. 设置连接策略名称

• 为策略设置与代理相同的名称，以避免混淆
• 点击 "Save"

14-15. 激活连接策略

• 在您的代理旁边的左侧打勾
• 将其向上拖动
• 点击 "Save"（左下方按钮）

16-17. 将策略应用到网络段

将策略应用到当前的网络段。您也可以创建多个网络段，并为它们指定不同的策略，以同时使用多个连接（例如，不同设备使用不同连接）：

• 进入 My Networks and Wi-Fi → Home segment
• 在 Internet Traffic Handling Rules 中选择已创建的策略
• 点击 "Save"（左下方按钮）

VPN 设置

在 KeeneticOS 中配置 VPN（OpenVPN、PPTP、L2TP）与代理配置类似，但存在一些差异。

1. VPN 基本设置

在设置窗口中勾选以下选项：

• Use for accessing the Internet – 允许使用该连接访问互联网
• Obtain routes from the remote side – OpenVPN 正常工作需要此选项

重要提示：
通常情况下，VPN 不需要单独设置 DNS，但这取决于您所使用的配置文件。
如果在测试中发现 DNS 泄漏，可以手动指定 DNS 服务器。

2. 连接问题诊断

如果连接出现问题，请检查日志：

• 进入 Management → Diagnostics
• 点击 Show log 可查看详细信息，找出问题所在

3. OpenVPN 配置注意事项

重要提示：
KeeneticOS 没有单独的窗口用于输入 VPN 的登录名和密码。
因此，需要在配置文件中 手动填写用户凭据

如何在配置文件中填写登录名和密码

1. 在文本编辑器中打开您的 .ovpn 配置文件
2. 找到 auth-user-pass 这一行
3. 替换为以下内容：

``

username
password

``

其中：

• username — 您的用户名
• password — 您的密码

4. KeeneticOS 对 OpenVPN 配置文件的要求

KeeneticOS 仅支持特定的 OpenVPN 参数。
完整支持的选项列表请访问：
https://community.openvpn.net/openvpn/wiki/Openvpn24ManPage

使用不被支持的参数可能会导致错误并影响 VPN 功能。
例如，有些配置文件中包含 setenv opt block-outside-dns，但 KeeneticOS 不支持。为了避免问题，请删除或注释掉该参数。

连接测试

我们将进行一系列测试，以评估通过 Keenetic 路由器上的 SOCKS5 代理所能达到的效果。
如果使用其他连接类型，结果可能会有所不同。

使用连接到 Keenetic 网络的设备，启动 Linken Sphere 或任何其他浏览器。

如果您使用 Linken Sphere：

1. 创建一个新会话
2. 连接类型选择 Direct（流量直接传输）
3. 将 WebRTC 切换到 "Direct" 模式 — 以充分利用代理的所有特性
4. 启动会话

1. 通过 WebRTC 检测 UDP 支持

访问：https://networktest.twilio.com/

该检测工具可以验证浏览器是否支持通过 TURN 使用 UDP 和 TCP。
如果相关测试显示为 Pass，表示连接正常。

2. DNS 泄漏测试

访问：https://browserleaks.com/dns

此测试可显示浏览器正在使用哪些 DNS 服务器解析域名。
请确认所有 DNS 服务器均与期望的 ISP 和地理位置一致。

上图显示只有一个 ISP 和地区，结果良好。

3. WebRTC 实际 IP 泄漏检测

访问：https://ipbinding.online/

该测试可通过 SRTP 请求检查 TURN 服务器中的 IP 泄漏情况：

• 无泄漏：显示的 IP 与代理一致
• 有泄漏：将显示您的真实 IP
• 请求被拦截：将显示错误或检测无法完成

我们的测试结果良好：IP 与代理一致。

4. 使用 Fake Vision 进行综合检测

访问：https://fv.pro/

此综合工具可检测浏览器指纹、环境参数和网络连接情况。

异常和不一致信息将显示在 Summary 区块中。
如图，代理 IP 出现在部分黑名单中，但更换代理可解决。其他指标正常。

5. 检测 QUIC 协议支持情况

访问：https://quic.nginx.org/

QUIC 是一种基于 UDP 的传输协议，反欺诈系统越来越重视该项支持。

使用 Keenetic 的 SOCKS5 代理时，默认不支持 QUIC，测试图中已明确指出。
如需支持 QUIC，可尝试使用其他连接协议（如 VPN）。

结论

使用 Keenetic 路由器可轻松、经济地实现设备流量的代理，尤其适用于本身不具备代理功能的设备。
通过本文的测试，您可预先评估这一方案是否适合您的需求。

全面的流量代理能提供多种优势，最大程度地减少数据泄漏风险。
然而需要注意的是，所有连接设备的流量都会通过代理（或 VPN）传输，连接的稳定性和速度取决于您的互联网服务提供商及所选的代理服务。

免责声明：
我们不提供路由器设置服务，但所有必要信息均来自公开来源。
遵循本指南中的说明，您可自主完成设备设置，获得无需额外成本的有效解决方案。