如何通过路由器正确代理系统?

介绍

有时需要代理设备的流量，而不修改其软件。在处理物理设备或不支持代理的关键协议的软件时，这会非常有用。

市场上有一些第三方解决方案，通常以带有扩展功能的专用固件形式出现，适用于 Raspberry Pi 或其他单板计算机。这类固件的价格通常在 $400 到 $700 之间（不包括设备本身的费用）。

然而，这种选项并不实惠，因为设置复杂、价格昂贵，而且在相关论坛上的评价褒贬不一。

因此我们决定探索更具可及性的替代方案，让大家能以更少的成本完成相同的任务。

Keenetic 路由器

在寻找合适的路由器时，我们注意到了 Keenetic 系列。这些设备被宣传为具有高级功能且价格合理的解决方案。

优势

• 稳定性能和高吞吐量 — 得益于强大的硬件和优化的软件
• 灵活配置 — 适合新手和高级用户
• Mesh Wi-Fi 支持 — 可由多个设备组成无缝网络
• 安全性 — 定期更新、支持 WPA3 和内置保护机制
• 模块化系统 — 用户可通过 KeeneticOS 选择所需功能（VPN 客户端、服务器、代理、通道平衡等）
• 高级代理功能 — 支持 Socks5、OpenVPN、WireGuard、L2TP、PPTP 等连接协议
• 价格实惠 — 中端设备价格低于 $100
• 技术支持与活跃社区 — 专属论坛讨论活跃，用户数量庞大

型号与选择

本指南使用的是 Keenetic_Speedster_KN-3013[https://keenetic.com/en/keenetic-speedster]。

该型号有三个版本，主要区别在于处理器类型和闪存大小。推荐选择 KN-3013 或 KN-3012。而 KN-3010 不推荐使用，因为闪存容量不足。每个连接配置或安装的软件模块都会占用存储空间，更不用说操作系统本身了。

其他 Keenetic 路由器也适用，因为它们都运行 KeeneticOS，并支持所需的连接协议。

在选择设备时，请考虑以下规格：

• 闪存大小 — 推荐 128 MB 或以上
• 内存 — 至少 128 MB
• CPU 主频 — 推荐 800 MHz 或以上

包装内容

包装内包含：

• 路由器
• 以太网线
• 电源适配器（100-240V）
• 使用手册

准备设置

上面的图示清晰地展示了网络的工作方式。Keenetic 连接到主路由器，并创建一个独立的网络。此设置不会影响您家庭的主网络：主路由器仅作为连接互联网的网关，只有连接到 Keenetic 网络的设备才会被代理。

准备步骤：

1. 从包装中取出路由器，并调整天线以便使用。

2. 将路由器连接到电源。

3. 查看设备底部的贴纸，其中包含连接信息。

• SSID（Wi-Fi 网络名称）
• 密码
• 设置地址 — my.keenetic.net

接通电源后，路由器将自动创建 Wi-Fi 网络。请使用贴纸上的信息进行连接。

路由器设置

连接到 Wi-Fi 网络后，在设备上打开浏览器并访问 my.keenetic.net 以开始设置。

1. 语言选择

选择你偏好的语言并点击“运行向导”按钮

2. 使用场景

选择第一个选项：

“通过外部光纤、有线、卫星或 DSL 调制解调器设置互联网连接”

3. 区域设置

选择你的国家和时区。

4. 用户协议

同意使用条款。在此阶段，你可能需要等待几分钟才能激活复选框。

5. 管理员密码

设置用于登录设备控制面板的管理员密码。请务必保存好！

6. 媒体服务设置

选择第一个选项：

“现成的智能电视或媒体播放器（推荐）”

7. 互联网连接设置

由于 Keenetic 将连接到你的互联网提供商预配置的路由器，请点击“无 VLAN”。

8. 关闭主路由器（可选）

在大多数情况下，无需关闭主路由器。

9. 将 Keenetic 连接到主路由器

• 将 Keenetic 设备放在主路由器附近。
• 取出包装中的以太网网线。
• 将一端连接到主路由器（使用白色或黄色的以太网端口，不要使用蓝色端口！）。
• 将另一端连接到 Keenetic 的 WAN 端口（0）——它是蓝色的。

10. 打开主路由器电源

如果你在第 8 步中关闭了主路由器，请现在重新打开它。

11. 等待重启

等待设备完成重启（可能需要最多 2 分钟）。

12. 启用自动更新

允许设备自动安装更新。

13. 更新计划配置

更新过程可能会导致最多 60 秒的网络中断，因此建议设置一个合适的更新时间。如果不确定，请保留默认设置——你可以稍后更改它们。

14. 固件更新

等待固件更新完成（不会超过 3 分钟）。

15. Wi-Fi 网络设置

在此步骤中，你可以更改 Wi-Fi 网络名称和密码（默认与贴纸上的信息相同）。这些设置可以稍后更改。

16. 申请 Let's Encrypt 证书

Keenetic 会自动申请证书，以支持设备控制面板中的 HTTPS 连接。

当提示你加入产品改进计划时，选择拒绝。

18. 保存访问数据

此阶段建议保存设备的所有访问凭据。这将有助于避免将来重新配置。

19. 完成初始设置

点击“完成”。

20. 登录控制面板

设置完成后，你将被重定向到控制面板登录页面。输入：

• 用户名 — admin
• 密码 — 你在第 5 步中设置的密码

你现在已进入路由器控制面板。此时，它只是通过来自主路由器的网线传输互联网连接，未应用任何代理工具。

安装组件

1-2. 访问设置

• 前往 管理 → 系统设置
• 点击 "组件选项"

3. 验证并安装所需的组件

确保以下组件已安装：

• 代理客户端
• PPTP 客户端
• OpenVPN 客户端和服务器
• Wireguard VPN（如有需要）

如果缺少任何组件，请勾选其名称旁边的复选框，如下图所示。

4. 验证 DNS-over-TLS 支持

确保已安装 DNS-over-TLS 代理组件——它对于正确的代理操作是必需的。

5. 更新 KeeneticOS

选择所有必要的组件后，点击 "更新 KeeneticOS"。

6. 创建备份（可选）

此时，你可以创建设置的备份。

7. 确认组件安装

将出现一个标题为“安装更新”的窗口，列出要安装的组件。点击 "确认" 继续。

8. 等待更新

更新过程将不超过 3 分钟。

9. 重新登录控制面板

组件安装完成后，你将被重定向到登录页面。输入：

• 用户名 — admin
• 密码 — 你之前设置的密码

设置 SOCKS5 代理

1. 访问连接设置

前往 网络 → 其他连接。

2. 添加新连接

在此部分，你可以添加各种类型的连接：

• WireGuard
• PPTP 和 L2TP
• OpenVPN
• HTTP/S 和 SOCKS5 代理

重要：

• HTTP/S 代理在协议层面不支持 UDP。
• HTTP/S 代理在协议层面不支持 UDP。

我们将使用 SOCKS5 进行演示。在代理连接部分，点击 "创建连接"。

3. 配置连接

• 输入一个方便的连接名称。
• 勾选 "用于访问互联网"。
• 选择 SOCKS5 作为协议。

4. 输入代理详细信息

• 输入代理服务器的 IP:端口。
• 如果需要身份验证，输入你的登录名和密码。
• 点击 "保存"。

5. 启用连接

通过点击左侧的开关启用代理。

6. 配置代理的 DNS

连接启用后，Internet 列中将出现一个感叹号。这意味着需要配置 DNS。

7. 打开 DNS 设置

要配置 DNS，请前往 网络规则 → 网络安全。

8. 添加 DNS 服务器

在 DNS 配置标签中，点击 "添加服务器" 按钮。

9. DNS 配置

我们将使用 Google DNS：

• DNS 服务器类型："DNS-over-TLS"
• DNS 服务器地址：8.8.8.8:53
• 在底部，选择你的代理作为接口。

你可以使用任何 DNS 服务器，以下是支持的服务器：

• DoT（DNS over TLS）
• DoH（DNS over HTTPS）
• 常规 DNS

替代 DNS 服务器：

Cisco OpenDNS, LLC

208.67.220.220

208.67.222.222

Neustar Security Services

199.85.127.10

199.85.126.10

Neustar Security Services

64.6.65.6

64.6.64.6

The Constant Company, LLC

8.26.56.26

8.20.247.20

level3

209.244.0.3

209.244.0.4

4.2.2.1

4.2.2.2

4.2.2.3

4.2.2.4

Oracle Corporation

216.146.35.35 216.146.36.36

OVH SAS

5.135.183.146

The Constant Company

195.46.39.39

Amazon.com, Inc.

54.174.40.213 52.3.100.184

Level 3 Communications, Inc.

54.229.171.243

Amazon.com, Inc

54.183.15.10

Amazon Technologies Inc.

185.37.37.37

Cloudflare

82.196.13.196

Strong Technology, LLC

64.145.73.2 209.107.219.3

SoftLayer

104.236.217.252

Ripe

185.52.1.146

Amazon Technologies Inc

128.199.248.157 185.135.8.197

10. 验证代理是否就绪

设置 DNS 后，代理旁边的感叹号将消失，表明配置成功.

创建连接策略

11. 访问策略设置

进入互联网 → 连接策略。

12. 创建新策略

点击添加策略。

13. 命名连接策略

• 使用与代理相同的名称，以避免混淆。
• 点击 "保存"。

14-15. 激活策略

• 勾选代理左侧的框。
• 将其拖到顶部。
• 点击 "保存"（左下角按钮）。

16-17. 将策略应用到网络段

将策略应用于当前网络段。您还可以创建多个网络段并为其分配不同的策略，以同时使用不同的连接（例如，来自不同设备）。

• 进入我的网络和Wi-Fi → 家庭段。
• 在互联网流量处理规则中，选择已创建的策略。
• 点击 "保存"（左下角按钮）。

VPN 设置

在 KeeneticOS 中设置 VPN（OpenVPN，PPTP，L2TP）与代理配置类似，但有所不同。

1. 基本 VPN 设置

在设置窗口中，勾选以下选项：

• 用于访问互联网 – 允许此连接用于互联网访问。
• 从远程端获取路由 – 对于正确的 OpenVPN 功能必需。

重要：

通常无需为 VPN 单独设置 DNS，但这取决于您使用的配置。如果在测试中发现 DNS 泄漏，您可以手动指定一个 DNS 服务器。

2. 诊断连接问题

如果遇到连接问题，请检查日志：

• 进入管理 → 诊断。
• 点击显示日志，查看可能出错的详细信息。

3. 使用 OpenVPN 配置

重要：

KeeneticOS 没有单独的窗口用于输入 VPN 登录/密码。因此，您必须手动将凭据插入配置文件。

如何将登录和密码添加到配置文件

1. 打开您的 .ovpn 配置文件，使用文本编辑器。

2. 找到 auth-user-pass 行。

3. 将其替换为：

[code:```auth-user-pass username password auth-user-pass```]

其中：

• username — 您的登录名。
• password — 您的密码。

4. Keenetic OS 对 OpenVPN 配置的要求

Keenetic OS 仅支持特定的 OpenVPN 参数。支持的完整选项列表可以在以下链接查看： Openvpn24ManPage[https://community.openvpn.net/openvpn/wiki/Openvpn24ManPage]

使用不受支持的参数可能会导致错误并破坏 VPN 功能。例如，一些 OpenVPN 配置包含参数 setenv opt block-outside-dns，但 Keenetic OS 不支持此参数。为避免问题，请删除或注释掉该参数。

连接测试

我们将进行一系列测试，以评估在 Keenetic 路由器上使用 SOCKS5 代理的可行性。其他连接类型的结果可能不同。

使用连接到 Keenetic 网络的设备，启动 Linken Sphere 或任何其他浏览器。

如果使用 Linken Sphere：

• 创建一个新的会话。
• 选择直连作为连接类型（流量直接通过）。
• 将 WebRTC 切换到 "直连" 模式。这是充分利用外部代理的必要步骤。
• 启动会话。

1. 通过 WebRTC 检查 UDP 支持

访问：twilio[https://networktest.twilio.com/]

此检查工具有助于验证浏览器是否支持 WebRTC 通过 TURN 的 UDP 和 TCP。

所需的测试应该显示为通过状态，表示一切正常。

2. DNS 泄漏测试

访问：browserleaks[https://browserleaks.com/dns]

此测试可以揭示浏览器用来解析域名的 DNS 服务器。注意查看所有检测到的 DNS 服务器是否与预期的 ISP 和位置一致。

在上面的截图中，显示了一个单一的 ISP 和位置，这是一个良好的结果。

3. 通过 WebRTC 检查真实 IP 泄漏

访问：ipbinding[https://ipbinding.online/]

此测试有助于识别通过 SRTP 请求向 TURN 服务器的任何泄漏。

• 如果没有泄漏，显示的 IP 地址将与代理的 IP 相匹配。
• 如果有泄漏，您的真实 IP 地址将被显示。
• 如果请求被阻止，将显示错误或测试永远不会完成。

在我们的案例中，测试通过：显示的 IP 与代理的 IP 匹配。

4. Fake Vision 完整测试

访问：fv[https://fv.pro/]

这个一体化检查工具分析多个参数，包括浏览器指纹、环境和连接。

错误和不一致的结果会显示在摘要块中。在我们的测试中，代理 IP 出现在某些黑名单中，但这可以通过更换 IP 或代理来解决。其他所有测试都正常。

5. 检查 QUIC 支持

访问：quic[https://quic.nginx.org/]

QUIC 是基于 UDP 的传输协议。最近，反欺诈系统越来越多地考虑其支持情况。

使用 Keenetic 的 SOCKS5 时，QUIC 支持不存在，正如上图所示。可能通过其他连接协议启用 QUIC。

结论

使用 Keenetic 路由器提供了一种简单且经济的方式，可以为不支持此功能的设备代理流量。通过本指南中的测试，您可以提前评估此选项是否适合您。

完整的代理提供了许多优势，最小化了潜在的数据泄漏。然而，需要了解的是，所有连接设备的流量将通过代理（或 VPN）进行路由，连接的稳定性和速度取决于您的互联网服务提供商和您选择的代理服务。

免责声明：

我们不提供路由器设置服务，但所有必要的信息都可以在开放源代码中找到。按照本指南中的说明，您可以自己配置设备，并获得一个无需额外费用的工作解决方案。