旁路由设置教程 — 部分设备精准翻墙

快速导航

• 一、什么是旁路由
• 二、旁路由 vs 主路由
• 三、网络拓扑
• 四、旁路由通用配置步骤
• 五、OpenWrt 旁路由配置
• 六、iStoreOS 旁路由配置
• 七、客户端设备指向方法
• 八、稳定性优化
• 九、常见问题 FAQ

什么是旁路由

旁路由（也叫旁路网关）是局域网中一台专门负责代理转发的设备。它不替代你的主路由——主路由继续负责拨号上网和 DHCP，旁路由只做一件事：让经过它的流量走代理。

需要翻墙的设备把网关指向旁路由，流量就会先经过旁路由上的代理工具（OpenClash、PassWall 等），再转发到主路由出去。不需要翻墙的设备继续走主路由直连，互不影响。

旁路由 vs 主路由方案对比

大多数家庭和小型办公场景推荐旁路由模式——灵活、安全、易维护。

网络拓扑

标准旁路由架构

互联网 → 光猫 → 主路由（拨号 + DHCP）
                         │
                    LAN 交换机
                   ┌─────┼─────┐
                   │     │     │
                旁路由  电脑   手机
           (192.168.1.2)
            OpenClash
             PassWall

  需要翻墙的设备 → 网关设为 192.168.1.2
  不需要翻墙的设备 → 网关保持 192.168.1.1（主路由）

关键要点

• 旁路由与主路由在同一网段（如都是 192.168.1.x）
• 旁路由只接一根网线到交换机或主路由 LAN 口，不需要 WAN 口
• 旁路由的网关指向主路由（192.168.1.1），形成 "设备 → 旁路由 → 主路由 → 互联网" 的链路
• 旁路由关闭 DHCP，由主路由统一分配 IP

旁路由通用配置步骤

无论你使用 OpenWrt、iStoreOS 还是其他系统，旁路由的核心配置逻辑都是一样的：

步骤 1：设置 LAN 口静态 IP

步骤 2：关闭 DHCP

旁路由必须关闭 DHCP 服务，否则局域网内会出现两个 DHCP 服务器导致 IP 冲突。

步骤 3：配置防火墙

确保旁路由能正确转发流量：

• 入站：接受
• 出站：接受
• 转发：接受

添加 NAT 伪装规则（在防火墙自定义规则中）：

iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE

如果 LAN 接口名为 br-lan，则：

iptables -t nat -I POSTROUTING -o br-lan -j MASQUERADE

步骤 4：安装代理工具并导入订阅

安装 OpenClash、PassWall 等代理工具，导入你的机场订阅链接。详细安装步骤请参考：

• OpenWrt + OpenClash 安装教程
• iStoreOS + PassWall 安装教程

步骤 5：验证

1. 在旁路由终端执行 ping google.com，确认旁路由本机能翻墙
2. 在客户端设备上将网关改为旁路由 IP，打开浏览器访问 google.com
3. 访问 dnsleaktest.com 检查 DNS 是否泄露

OpenWrt 旁路由配置

网络接口配置

进入 网络 → 接口 → LAN → 编辑：

1. 协议：静态地址
2. IPv4 地址：192.168.1.2（示例）
3. 子网掩码：255.255.255.0
4. IPv4 网关：192.168.1.1（主路由 IP）
5. DNS 服务器：192.168.1.1

如果存在 WAN 接口，将其删除或禁用——旁路由不需要 WAN。

关闭 DHCP

在 LAN 接口编辑页面 → DHCP 服务器 选项卡 → 勾选 "忽略此接口"。

防火墙

进入 网络 → 防火墙 → 常规设置：入站/出站/转发均设为"接受"。在 自定义规则 中添加 NAT 伪装规则（见上方步骤 3）。

安装代理工具

详见 软路由教程 — OpenClash 安装与配置。

iStoreOS 旁路由配置

iStoreOS 提供了可视化的网络向导，旁路由配置更简单。

使用网络向导（推荐）

1. 浏览器访问 iStoreOS 管理地址（默认 http://192.168.100.1）
2. 点击首页的 「网络向导」
3. 选择 「旁路由设置」
4. 填写静态 IP（如 192.168.1.2）和主路由 IP（192.168.1.1）
5. DNS 服务器填主路由 IP
6. 点击保存，系统会自动关闭 DHCP 并配置好网络

防火墙补充配置

进入 网络 → 防火墙 → 常规设置：入站/出站/转发均设为"接受"。在 自定义规则 中添加：

iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE

安装代理工具

详见 iStoreOS 教程 — PassWall / OpenClash 安装。

参考：iStoreOS 官方旁路由文档

客户端设备指向方法

旁路由配好后，需要让客户端设备的流量经过旁路由。有三种方式：

方法 A：逐台手动设置网关（最简单）

适合只有几台设备需要翻墙的场景。

方法 B：主路由 DHCP 推送网关（全自动）

在主路由的 DHCP 设置中，将默认网关改为旁路由 IP（192.168.1.2）。所有通过 DHCP 获取 IP 的设备会自动把流量发给旁路由。

方法 C：DHCP 标签分组（精准控制，推荐）

在 OpenWrt/iStoreOS 主路由的 DHCP/DNS 设置中，可以为特定设备分配不同的网关：

1. 进入 网络 → DHCP/DNS → 高级设置
2. 添加 DHCP 标签，例如 t_proxy
3. 为该标签设置 DHCP 选项：3,192.168.1.2（网关）和 6,192.168.1.2（DNS）
4. 在 静态地址分配 中，为需要翻墙的设备 MAC 地址绑定 t_proxy 标签

效果：带标签的设备自动走旁路由翻墙，其他设备走主路由直连。设备端无需做任何修改。

稳定性优化

DNS 防泄漏

代理工具（OpenClash/PassWall）通常会接管 DNS 解析。确保：

• 代理工具的 DNS 劫持 / 接管系统 DNS 功能已开启
• 主路由和旁路由不要同时劫持 53 端口，否则会循环
• 使用 DoH/DoT 加密上游 DNS（如 https://dns.google/dns-query）
• 验证：访问 dnsleaktest.com

IPv6 处理

如果代理工具不支持完整的 IPv6 代理，建议在旁路由上关闭 IPv6。否则"IPv4 走代理、IPv6 直连"会导致流媒体地区判断异常或 IP 泄露。

操作：网络 → 接口 → LAN → DHCP 服务器 → IPv6 设置 → 全部禁用（RA / DHCPv6 / NDP 代理均关闭）。

MTU 调整

虚拟化环境（ESXi/PVE）中如果遇到"能 ping 通但网页加载不全"或"图片加载失败"，尝试将旁路由的 LAN 接口 MTU 从默认 1500 降低到 1400–1480。

硬件看门狗

长期运行的旁路由建议在 系统 → 启动项 中启用硬件看门狗（watchdog），防止系统卡死时无法自动恢复。

常见问题 FAQ

Q1：旁路由和主路由用同一台设备可以吗？

不可以。旁路由的意义就是与主路由分离，各司其职。如果只有一台设备，建议直接用主路由模式。

Q2：旁路由需要双网口吗？

不需要。旁路由只用一个 LAN 口连接到主路由/交换机，不需要 WAN 口。单网口的迷你主机、树莓派、虚拟机都可以做旁路由。

Q3：旁路由关机/重启后，其他设备还能上网吗？

网关指向旁路由的设备会断网（因为网关不可达）。其他设备不受影响。如果需要临时绕过旁路由，在设备上将网关改回主路由 IP 即可。

Q4：修改网关后能上网但速度很慢？

常见原因：① 代理节点本身速度慢，换一个节点试试；② 旁路由硬件性能不足（CPU 占满）；③ MTU 不匹配，参考上方 MTU 调整。

Q5：部分网站/App 打不开，但 Google 能用？

可能是分流规则问题。检查代理工具的规则设置，确认目标域名/IP 被正确分流到代理或直连。也可能是 DNS 污染——开启代理工具的 DNS 接管功能。

Q6：旁路由配好了但客户端无法上网？

按以下顺序排查：

1. 旁路由本机能否 ping 8.8.8.8？不能 → 旁路由网关配置有误
2. 旁路由本机能否 ping google.com？不能 → DNS 或代理工具未启动
3. 客户端能否 ping 192.168.1.2（旁路由）？不能 → 网线/网络不通
4. 以上都通但浏览器打不开 → 检查防火墙转发规则和 NAT 伪装是否配置

Q7：iStoreOS 和 OpenWrt 哪个更适合做旁路由？

iStoreOS 更适合新手——网络向导一键配置旁路由，iStore 软件中心安装插件更方便。OpenWrt 更适合有 Linux 基础的用户——可定制性更高，社区资源更丰富。两者本质都是 OpenWrt，代理效果无差异。