为什么要在 OpenWrt 上装 OpenClash

在手机或电脑上单独安装代理客户端,只适合「这一台设备」临时出站;而把 Clash 能力部署在 OpenWrt 软路由上,则由网关统一做规则分流与 DNS 决策,游戏机、电视、平板无需再装应用也能走策略组。社区常见的 OpenClash 是以 LuCI 为控制台的 Clash 发行方案,适合已能登录路由器后台、愿意阅读日志排障的进阶用户。

本站已有 Windows 上 Clash Verge RevmacOS ClashX ProAndroid Clash Meta 等单端教程;本文专注「路由器 + OpenClash」这一高搜索量、与桌面端互补的安装链路:OpenWrt OpenClash 安装完成后,你会在 Luci 里完成OpenWrt 订阅导入,并让局域网第一次稳定走节点。分流语义若仍陌生,可先扫一眼 国内直连与国外代理分流教程,再回到路由器侧落地。

💡
法律与合规提示 请确保你对路由器的修改、订阅来源与访问行为符合当地法规与服务条款;教程仅讨论技术配置,不提供任何非法用途指引。

前置条件:固件、空间与权限

开始 OpenClash 插件安装前,先确认三件事。第一,设备运行的是可刷写且来源可信的 OpenWrt(官方或知名衍生),并能通过浏览器打开 LuCI;第二,`opkg` 可用、闪存与内存余量足够容纳内核与规则文件,低端机型在开启重度规则或 Geo 数据时可能吃紧;第三,你掌握 SSH 或「故障恢复」手段,以便在误改防火墙后仍能进后台。记录下来处理器架构(如 aarch64x86_64)与主版本号,后续下载 ipk 或内核不会因架构不匹配而白忙一场。

若你打算让全屋终端都把网关指向路由器,可对照 局域网代理与 Wi‑Fi 共享 里关于「同一网段、同一网关」的叙述;OpenClash 侧则负责在网关本机把流量交给 Clash 核心处理。

软件源、依赖与安装途径

多数教程会让你在「系统 → 软件包」中更新列表,再搜索 luci-app-openclash 或维护者提供的包名。若官方源暂无,需按发行说明添加 feed 或手工安装 ipk。OpenWrt OpenClash 安装常伴随对 iptablesdnsmasq-fullcoreutilscurl 等依赖的拉取;固件若默认使用 nftables,要在 OpenClash 或绕过设置里选择与当前防火墙后端一致,否则会出现规则写了但不生效的现象。

安装完成后,在 LuCI「服务」菜单下应出现 OpenClash 入口。首次进入若提示下载 Meta 内核,按页面指引选择与本机架构匹配的版本;内核体积与 RAM 占用会直接影响老旧路由能否稳定运行,若频繁 OOM,应减少并发功能或考虑硬路由升级。不要把内核可执行文件放在临时目录,避免重启后被清理。

⚠️
备份再行 修改前导出当前防火墙与网络配置的备份;首次启用透明代理或 TUN 前,确保你仍能通过有线或 failsafe 恢复,以免被锁在路由器外。

Luci 首启:总开关、内核路径与日志

进入 OpenClash 主界面后,按顺序完成:启用插件总开关、指定或下载内核、确认配置文件存放路径。日志是排障生命线,建议保持「写入系统日志」或界面内实时日志窗打开,观察核心是否成功拉起、端口是否监听。若页面长时间停在「下载失败」,多半是路由器访问 GitHub 或镜像受阻,此时需在「运行模式设置」或系统层面临时提供可出站的网络,或换用国内可访问的内核镜像地址。

部分版本会区分 Clash 与 Clash.Meta 能力集;对新手而言,跟随 OpenClash 默认的 Meta 路线通常能获得更好的规则与出站特性,也与桌面端 Meta 系客户端概念对齐。确认 config.yaml 可由界面生成,避免手抄 YAML 时缩进错误。

OpenWrt 订阅导入与多配置管理

OpenWrt 订阅导入在界面中一般对应「配置订阅」或「订阅信息」分页:粘贴机场提供的 HTTPS 订阅链接,填写备注,设定更新间隔(例如每二十四小时)。保存后使用「更新配置文件」或等效按钮,让路由器拉取远端列表并合并进本地 YAML。订阅格式必须是 Clash 兼容;若机场只给通用链接,请在其用户中心选用 Clash / Meta 专用链,细节也可对照 订阅链接与多订阅管理

多机场用户可为不同订阅设策略组,再在规则里按域名或 geoip 分流;初阶目标建议先保证「默认出站」与「代理策略组」在界面可选且测速正常,再逐步加规则。更新失败时优先看日志里 HTTP 状态码与 TLS 报错,其次确认路由器系统时间正确,证书校验失败往往与时间漂移有关。

运行模式、透明代理与 DNS 要点

OpenClash 提供多种运行模式(如基于 iptables/nft 的转发与 Fake-IP、Redir-Host、以及 TUN 类能力),具体名称随版本略有差异。新手可先在文档推荐的传统 Redir-Host 或 Fake-IP 路径上跑通,再评估是否需要 TUN 以捕获更多本机进程流量。Fake-IP 对浏览体验友好,但部分网银或局域网服务可能对「假地址」敏感;遇到兼容问题时再切 Redir-Host 或按规则绕过,原理与 Fake-IP 与 Redir-Host 选型 一致。

DNS 段落必须与 Dnsmasq、上游解析协调,避免出现「所有查询都打给 Clash → Clash 又去问 Dnsmasq」的环路。常见做法是境外域名走 Clash 指定上游,国内域名直连国内公共 DNS,并在「绕过中国大陆」或等价选项中放行常见 CDN 与国内站点。Luci 应用过滤依赖正确的域名解析与策略命中,DNS 配错时,你会看到规则明明写了「走代理」,实际仍解析到污染地址。

局域网网关与首次验证

要验证软路由 Clash已生效,任选一台 LAN 内设备,将其 IPv4 网关与 DNS 设为路由器 LAN 地址(或在 DHCP 中统一下发)。在 OpenClash 中确认透明代理已启用且无红色报错,再在终端或浏览器访问境外测试页观察出口 IP 是否变为节点所在区域。若仅路由器本机能代理而下游不能,多半是转发未被接受或客户端仍使用运营商 DNS,可在 DHCP 选项里强制下发路由器为唯一 DNS。

连接日志里应能看到域名命中策略组与所选节点;若全部直连,检查规则顺序、GEO 数据是否加载、以及策略组默认是否指向了 DIRECT。第一次成功并不意味着长期稳定,建议连续观察 CPU、内存与温度,尤其在晚高峰大流量时。

Luci 应用过滤与策略细化

部分版本在 LuCI 中提供按应用或进程名应用过滤的扩展能力,用于让特定设备或应用固定走某策略组;不同固件对该能力的命名与实现差异较大。通用思路是:先保证全局透明代理与 DNS 正常,再在过滤列表里添加目标 MAC、IP 或应用关键词,保存后重启相关服务使规则生效。过滤规则与主规则冲突时,以界面标明的优先级为准,必要时导出配置在文本编辑器中整体审阅。

游戏与实时语音场景下,UDP 是否走代理、走哪一组节点,会显著影响延迟;可参考 UDP 分流与语音 中的思路,在路由器规则里为语音相关域名或 IP 段单独建策略。记住:网关级规则影响面广,每次大改后都在少数终端上回归测试,再推广到全屋。

常见问题与排障顺序

软件包搜索不到

刷新软件包列表、核对 OpenWrt 主版本与架构是否匹配维护者编译目标;必要时用手工 ipk 安装并手动解决依赖。不要混用不同主版本系统的内核模块包。

订阅正常但节点为空

查看更新日志是否拿到 HTML 页面而非 YAML;核对订阅是否需要额外 User-Agent 或客户端认证。尝试在 SSH 下用 curl -I 复现拉取,排除 LuCI 与命令行环境差异。

能 ping 通 IP 但网页打不开

优先怀疑 DNS 与 Fake-IP 组合;临时切至直连 DNS 测试。其次看是否命中广告拦截或安全规则误杀,再在连接日志里对照域名。

路由器卡顿或断流

降低规则集规模、关闭不必要组件、限制并发更新,或把重型 Geo 查询改为精简列表。硬件瓶颈时,网关级 Clash 并不是免费午餐。

文档索引与桌面端互补

路由侧配置熟练后,仍建议在主力机保留图形客户端作快速切换与抓包对比;本站 使用文档中心 可辅助理解端口、策略组与规则字段。把「网关兜底」和「单端精细」拆开,长期维护成本更低。

不少用户在OpenWrt OpenClash 安装路上会卡在:依赖版本与固件分叉不一致、订阅格式不兼容、或 DNS 环路导致「看似连接成功却什么都打不开」。相比之下,在 PC 或手机上使用图形化 Clash 客户端往往能做到订阅一键导入、节点状态直观可见、更新失败时提示更清晰——若你还需要在出差笔记本上快速复核节点质量,独立客户端仍是不可替代的一环。ClashFast针对这些痛点优化了导入流程与节点可用性监测,界面也对新手更友好;当你希望在路由器之外再备一套「随时可带走」的可靠客户端,不妨立即免费下载 Clash,与软路由 OpenClash 组合使用,覆盖从网关到移动终端的全场景。