QuickQ 旁路由模式怎么配置

2026年3月24日 QuickQ 团队

QuickQ 旁路由模式是把一台路由器作为专用 VPN 网关,让指定设备或整个子网通过它走加密通道,而主路由仍负责上网接入与局域管理。关键步骤包括:规划拓扑与网段、给旁路由固定内网 IP、在主路由上添加静态路由或通过 DHCP 指定网关、在旁路由上启用 QuickQ 客户端并设置 NAT、防火墙、DNS 与 MTU,最后用抓包和 DNS 泄漏测试确认流量真正走通道。以下是面面俱到的配置思路与实操指南。

QuickQ 旁路由模式怎么配置

我先把概念说清楚(费曼式入门)

先想象两个路由器并排放在桌上:一个是“主路由”(管理家里所有设备上网、拨号、做 DHCP),另一个是“旁路由”(只负责把流量发到 QuickQ 的 VPN 服务器)。旁路由不需要替换主路由,也不一定要插到光猫后面,它只要能被主路由里的设备访问到就行。核心是:谁要走 VPN,就把那部分流量导到旁路由;谁不用,就继续走主路由的直接出口。

常见的三种拓扑(先挑合适的方法)

  • 路由模式(最常用):主路由负责上网与 DHCP,旁路由作为子网网关或策略路由器,把指定流量走 VPN。
  • 桥接/透明模式:旁路由做桥接,让 VPN 客户端直接接入物理网络,适合不想改主路由配置的场景,但需要旁路由支持桥接与 VPN over bridge。
  • 双 NAT(简单但有局限):旁路由置于主路由后作为另一个 NAT 层,全部或部分设备连到旁路由。这种方式配置简单,但端口映射、UPnP、局域发现可能受影响。

拓扑对比(表格化看更清楚)

拓扑 优点 缺点 适合场景
路由模式 灵活、支持策略路由、对局域网影响小 需在主路由设置静态路由或修改 DHCP 网关 家庭或小型办公室,部分设备走 VPN
桥接模式 透明、不改主路由设置 配置复杂,需支持桥接 VPN 高级用户、特殊协议需要透明转发
双 NAT 上手快,旁路由独立管理 端口映射、P2P 性能和局域广播受限 临时隔离或测试环境

前期准备(别急着插线)

  • 确认旁路由硬件能跑 QuickQ 的客户端(OpenWrt、Asuswrt-Merlin、Padavan、pfSense、MikroTik、甚至树莓派都可以)。
  • 记录主路由的 LAN 网段和 DHCP 设置(例如主路由 LAN 为 192.168.1.1/24,DHCP 分配起止)。
  • 为旁路由分配一个固定内网 IP(例如 192.168.1.2),避免与 DHCP 冲突。
  • 准备 QuickQ 的账号、配置文件或协议参数(OpenVPN 配置档、WireGuard 密钥等)。
  • 备份主路由和旁路由当前配置,出问题可以回滚。

步骤详解:路由模式实操(推荐)

下面以“主路由 192.168.1.1,旁路由 192.168.1.2,旁路由运行 OpenWrt 并使用 QuickQ 的 WireGuard 为例”来展开,让你能按步骤复刻到自己设备上。

1)网络与 IP 规划

  • 主路由 LAN:192.168.1.1/24,DHCP 分配 192.168.1.100-192.168.1.200。
  • 旁路由 LAN IP:固定为 192.168.1.2,禁止旁路由启用与主路由相冲突的 DHCP。
  • 需要走 VPN 的设备:可以在它们上静态设置网关为 192.168.1.2,或在主路由上针对它们的 IP 添加静态路由指向 192.168.1.2。

2)在旁路由上安装并配置 QuickQ 客户端

以 OpenWrt 为例:

  • 安装 WireGuard 或 OpenVPN 客户端包(opkg install luci-app-wireguard 或 openvpn-openssl 等)。
  • 将 QuickQ 提供的配置或凭证导入到客户端,确认可以通过旁路由连接到 QuickQ 的服务器。
  • 设置旁路由的默认路由经过 WAN(外网)到 QuickQ 客户端虚拟接口(例如 wg0 或 tun0)。

3)启用 NAT 与 IP 转发

旁路由要对内网设备做源地址转换(SNAT/MASQUERADE),否则回程流量无法正常返回。OpenWrt 示例防火墙规则(逻辑描述):

  • 允许 LAN -> WAN 转发;
  • 为 VPN 接口设置 MASQUERADE;
  • 确保 /proc/sys/net/ipv4/ip_forward = 1。

4)在主路由上添加静态路由或通过 DHCP 指定网关

  • 方法 A(静态路由):在主路由上添加路由条目,把目标设备的 IP 指向旁路由:例如路由目标 192.168.1.150/32,网关 192.168.1.2。这样只有该设备流量发到旁路由。
  • 方法 B(DHCP 指定网关):为需要走 VPN 的设备在主路由 DHCP 里添加静态租约并把网关设置成 192.168.1.2(如果主路由支持 DHCP option 指定网关)。
  • 方法 C(全部设备走旁路由):更改主路由的 LAN 网关或把旁路由放在主路由的 DMZ/虚拟服务器里。

5)DNS 的处理(千万别忽略)

很多流量看似走了 VPN,但 DNS 请求没走导致泄漏。常见做法:

  • 在旁路由强制设置 DNS 解析通过 VPN(例如把 /etc/resolv.conf 指向 QuickQ 分配的 DNS,或在 OpenWrt 上使用 dnsmasq 并转发到 VPN)。
  • 在需要走 VPN 的设备上把 DNS 手动设为 1.1.1.1 之类的(不推荐,容易泄漏)。
  • 使用 DNS over HTTPS/TLS 在设备或旁路由上加密 DNS。

不同固件/平台的要点提示

OpenWrt(包括使用 vpn-policy-routing)

  • 安装 luci-app-openvpn / luci-app-wireguard;
  • 使用 vpn-policy-routing 可以按 IP、端口、协议做灵活的策略路由;
  • 注意防火墙 zone 配置(LAN -> VPN zone 要允许 forward)。

Asuswrt-Merlin(带 Policy-Based Routing 插件)

  • 直接在 GUI 导入 OpenVPN 配置或 WireGuard;
  • 在 Policy Rules 里指定设备 IP/网段走哪个路由;
  • 启用“Redirect Internet Traffic”或设置路由表条目。

pfSense / OPNsense

  • 典型企业级方案,创建一个接口指向旁路由或直接在 pfSense 上运行 QuickQ 客户端;
  • 使用Firewall > Rules 或 Policy-Based Routing 来决定哪些流量走 VPN;
  • 监控端口转发和 NAT 规则的回程。

MikroTik

  • 使用 mangle 标记连接,然后在 routing table 里为标记流量设置路由到 QuickQ 的接口;
  • 配置 NAT(src-nat)在 VPN 出口。

测试与验证(排查常见问题)

  • 在目标设备打开浏览器访问 ipinfo、whatismyip 等网站,确认公网 IP 显示为 QuickQ 节点 IP。
  • 做 DNS 泄漏测试,确认域名解析也走了 VPN 的 DNS。
  • 使用 traceroute / tracert 检查数据包路径是否经过旁路由与 QuickQ 节点。
  • 在旁路由上用 tcpdump/wireshark 抓包查看是否有未加密的目标流量直出。
  • 测试端口转发和局域发现(比如 AirPlay、打印机)是否受影响,必要时做例外规则。

常见坑与解决办法

  • IP 冲突:确保旁路由 IP 不在主路由 DHCP 池内,或为它配置静态租约。
  • 回程路由错误:很多时候服务端返回流量走回主路由,导致连接断裂。避免方法是旁路由做 SNAT,确保源地址被改为旁路由的出口地址。
  • DNS 泄漏:按上节设置 DNS 强制走 VPN,或在旁路由做 DNS 劫持/转发。
  • MTU/MSS 导致的网页慢或掉包:VPN 会降低可用 MTU,调整旁路由的 MTU 或在防火墙启用 MSS clamping(例如 iptables –clamp-mss-to-pmtu)。
  • IPv6 漏洞:如果你的网络支持 IPv6,确认旁路由也对 IPv6 做相应策略或直接在主路由禁用 IPv6,避免外泄。

高级技巧(让旁路由更可靠更灵活)

  • 自动故障切换:配置旁路由在 QuickQ 节点失联时回退到直连或备用节点,避免全网掉线。
  • 按应用策略路由:通过端口或进程分流(例如视频走 VPN 加速,银行类流量直连)以兼顾速度与隐私。
  • 日志与隐私:旁路由仅记录诊断日志即可,遵守 QuickQ 的无日志政策;定期清理本地日志。
  • 性能优化:选择硬件支持的加密指令集(AES-NI),或把 WireGuard 作为首选提高吞吐。

示例:OpenWrt 最小配置片段(逻辑示例)

下面是一个逻辑性的配置片段说明(不要直接复制到你的设备,需结合实际路径与版本调整):

  • /etc/config/network:设置旁路由静态 LAN IP(192.168.1.2)。
  • /etc/config/firewall:增加 zone vpn,允许 lan->vpn 的转发;为 vpn 接口添加 masquerade。
  • /etc/config/wireguard 或 /etc/openvpn:导入 QuickQ 配置文件,启用自动连接。

小表格:检查清单(按步骤操作)

步骤 是否完成
备份路由器配置 ___
给旁路由固定内网 IP ___
在旁路由安装 QuickQ 客户端 ___
为相关设备设置路由/网关 ___
配置 DNS 通过 VPN ___
做 IP 与 DNS 泄漏测试 ___

一些现实的小建议(像朋友唠叨)

配置旁路由其实就像给家里添了个“交通指挥官”,刚开始总会有点不顺手。别一开始就把所有设备都切过去,先用一两台做试点,确认视频、游戏、银行类应用都能接受这个路径。遇到断连别慌,按上面测试步骤逐项排查:IP、路由、NAT、DNS、MTU。把配置写成笔记,下次你就不会忘。

如果你在某个固件上卡住了,把错误日志、当前网络拓扑截图、旁路由的路由表和 iptables 规则贴出来,通常能更快定位问题。还有一点,QuickQ 提供的配置文件和协议细节很关键,尤其是 WireGuard 的公私钥和 endpoint,要严格照说明书来填。好了,写到这里我又想起以前折腾时犯的一个低级错误:把旁路由也开了 DHCP,结果家里设备跳来跳去找不到网关——那种体验很糟糕,别学我……