很多人刷好 OpenWrt、装好 luci-app-openclash 之后,真正卡在的是三个连续动作:把机场订阅装进路由器、让内核切到你想要的出站策略组节点、最后用面板里的一键测速或批量延迟把明显坏的线路筛掉。和 Windows 桌面上的 Clash GUI 相比,网关侧多了一个 LAN/Dnsmasq/防火墙钩子层,因此在界面名称上会显得散一些,但一旦把链路走通,全家的手机、平板、电视都能共用同一套 Mihomo(Clash Meta) 规则。本文按实测顺序拆分:不写抽象概念堆砌,而是一步一步告诉你一般可以在哪个菜单点上完成「订阅导入」「策略组切换」「测延迟」三件事,并单列常见误判,便于你对照自检。

OpenClash 在路由器网关上的角色是什么

可以把 OpenClash 理解成运行在路由器上的一个 Mihomo 内核看守进程加上 LuCI 皮肤:它读出 Clash YAML,建立入站监听与转发链(根据你选用的 TUN/Redir/混合兼容模式而不尽相同),再根据规则把流量送往不同出站。你在网页里点的每一个策略组(Selector),本质是告诉内核:某类域名或某一跳连接接下来走哪一个节点或哪一种自动选择算法。这与 Verge Rev 里打开「配置文件 → 分组」是同一种语义;差别在于:OpenWrt 还要同时照顾运营商 DNS、内网网关回环和家长控制等周边服务,所以如果「订阅导入了却全局仍直连」,多数不是内核单独坏了,而是载入链或 DNS/模式没对齐。

阅读下文时请先建立心理模型:订阅只是原材料,真正把规则与节点带进内存的是更新并载入后的配置文件策略组切换只是改运行时选择,不会重写 YAML;而一键测速只是给节点列表做健康体检,它不代替真实业务流量的体验。

固件差异化提示:不同 OpenClash fork 与日构建中,菜单词条可能写成「配置文件管理」「Subscribe」「配置文件订阅」「服务器与组」等。若找不到完全一致的字样,用侧边栏中与 Clash 配置、内核、DNS 辅助相关的同一组菜单去对照即可——逻辑永远是「先有订阅条目 → 再合成或下载配置 → 再载入运行」。

开始前的自检:避免后面白点按钮

在浏览器地址栏访问路由器的局域网管理 IP(形如 192.168.1.1),能正常进入LuCI OpenClash 插件主页。确认 WAN 已连通且系统时间别太离谱(TLS 校验会因此失败);在「系统软件包」层面最好已经给闪存腾出几十兆空间,免得下载配置半截写爆 /overlay。若你还开了 IPv6 中继SFE 分流卸载(offload)绕过大陆 IP等第三方脚本,可先记录下来:后面若出现「局域网设备偶发劫持失败」,往往与 nftables/iptables 重复打标或多层 DNS 监听有关——这类属于进阶排障范畴,文末会给出核验顺序但不展开刷机脚本修改。

建议准备两样东西抄写在本机备忘录:机场 HTTPS 订阅地址(注意是否带 token、是否只允许单 IP);以及机场页面提供的测速或使用说明截图,里面的策略模板名称常能映射到配置文件里的 Selector 英文名,后面切策略组时不用盲猜。

第一步:在 LuCI 里完成订阅导入(或远端配置)

这是最常被搜索成「OpenClash 订阅怎么导入」「OpenWrt clash 怎么用订阅」的步骤。实务上一般分为两类:A. 只给订阅 URL,让 OpenClash 拉远端节点列表转成 YAML;或 B. 直接填入机场提供的整张配置下载地址/文件。多数用户走 A。

操作流程通常如下: 进入 OpenClash 下的配置文件订阅/订阅管理/Subscribe这类页面。 新增一条订阅,填入名称别名(例:airline-01)与订阅地址栏;若机场要求 UA 或跳过证书校验,按其公告在进阶选项/HTTP 头部里补齐——否则常见现象是订阅更新成功但列表为空或频繁 403 保存后先不要急着开总开关:点一次订阅更新/检查全部订阅,观察日志末尾是否写出「已成功拉取」「节点数非零」。若你看到「配置文件格式错误」,多半是订阅拿到的并不是 Clash 模板而是 Base64 SSR 明文混排,需要先让机场勾选 Clash/Mihomo 格式或换converter 订阅。

B 类用户若直接使用「远端配置」「Profile URL」一栏,要确保链接返回的是已完成变量替换的可运行 YAML,路由器端 CPU 解压大规则集可能稍慢——第一次载入多等几秒属正常。C 类极少见:手工上传本地 .yaml 时,注意不要混入错误的字节序标记或 UTF-8 BOM,以免解析器误判编码。

第二步:下载或合成配置,并让内核真正载入它

很多人误以为「订阅绿了」就代表可以上网:OpenClash 还需要把订阅合并进当前激活的那一份运行时配置并 reload。在控制台找到配置更新/一键生成/写入并应用/更新配置文件(名称因版本而异)按钮,触发后盯住内核日志/运行日志:应有「切换到配置 xxx」「RULE 模式」「启动成功」「监听端口就绪」一类的行。若没有,而是反复「订阅转换失败」,请回到上一步核对订阅内容与 UA。

载入后要确认运行模式/工作模式与你拓扑匹配——小白常问「OpenClash 怎么用」,一半困惑来自这里:RULE/Rule 表示按配置文件里的 GEOIP/DOMAIN-KEYWORD 等条目分流;GLOBAL 表示绝大多数流量跟一个全局 Selector 出国;某些定制固件还带绕过大陆跳过本地的快捷开关。DNS 模式若选 fake-ip,客户端侧 DNS 会先被路由器劫持成虚拟应答,再配合 Sniffer 回填真实域名对某些视频 App 兼容性更好但并非万能;改成 redir-host 则更像传统 Dnsmasq 转发链路。第一次跑通时不要贪多开一个「兼容性实验」同时又开「第三方 Dnsmasq 插件」,先保证OpenClash 单独接管链路能通再上强度。

完成载入后不要忘记打开总开关/启用 OpenClash 服务,随后在「运行状态」「连接数」一页看到出站连接开始跳动;若全部为 0 且你已在内网浏览器访问外链,十有八九是iptables 钩子没挂上防火墙区域WAN DNS 回填仍落在运营商解析,请对照官方 Wiki 的版本说明启用对应 Firewall 挂载点

第三步:全局、规则与 DNS 模式要如何搭配理解

本节不是让你背名词,而是为了后面「切策略组」时知道你正在改谁的默认出口。简记:GLOBAL Selector 控制「没有更细条目命中时的兜底出站」;每一条 DOMAIN/IP 命中则优先于兜底。若你看到网页测 IP 仍为国内机房,往往不是节点没挂上,而是你访问的那条 URL 在大陆规则里写的是 DIRECT,或者浏览器走了 QUIC/DoH 绕过了路由器 DNS。OpenWrt OpenClash 玩家可以在仪表盘/连接/日志关键字里搜目标域名核对「Policy」列是否如预期落到你的机场组。

若局域网存在旁路由拓扑,要确保DHCP 下发的网关与 DNS 指到正确设备——主路由与旁路由两份 OpenClash 同时「抢分流」是最容易制造灵异现象的作法,实践上应保持单点出口代理

第四步:切换策略组与节点(SELECTOR 怎么用)

真正对应用户意图里「节点切换」「策略组」的操作,几乎全部发生在OpenClash 的代理/策略视图或对接的外部 Dashboard(Yacd/Meta Dashboard)中。若在 LuCI 里只有表格没图形,可把插件自带的Open Dashboard 链接点开,用你的路由器登录口令或令牌进入。

  1. 在左侧找到策略/Proxies/Selector列表,从上到下浏览各个Select类型分组:一般会看到 AUTOPROXY流媒体电报 等中英混合命名。
  2. 先改AUTO/自动选择/url-test这一组底下的优选节点候选池是否包含你希望参与竞速的成员;再在Select组里单击目标节点单项完成切换——界面常见反馈是勾选或小红点移动到新的线条上。
  3. 若分组显示 FALLBACK 或使用 relay 链式中继,说明机场模板引入了故障转移或链式中转:此时「切换节点」可能只是改中继入口,出站 IP 仍会显示第二跳;判断是否生效应看整条链的最后一跳 ASN
  4. 对家庭用户而言,可把常用组的Select固定为你信任的单个节点以降低抖动;流媒体组单独锁区由机场决定是否提供对应解锁节点。

若保存后瞬时恢复成旧选项,通常是DASHBOARD 断开重连读的仍是缓存,或配置文件被定时任务又自动拉回远程——检查「配置文件定时更新」「订阅 Cron」是否开过短周期覆盖。

第五步:一键测速、连通探针与如何把数字读对

站内搜「一键测速」的人,最关心的是两件事:哪些节点不可用,以及哪条线路对你家的联通/电信出口更合拍。OpenClash 多数发行在节点表的右上方提供批量测试/Check All/延迟测试/TCP Ping按钮;也有的仅提供 HTTP /delay 探针对固定 URL。使用前请选一个与你日常访问区域接近的探测目标(有的版本允许在配置文件里改写 proxy-groups 的 tolerance 或 lazy 开关)。点开始测试后:TCP RST超时、或负数基本可以视为不可用;两位数毫秒在国内落地节点上并不少见,两位数跳到三位数则说明链路抖动或远端拥塞开始显现

测完之后不要立刻得出结论:再打开 PC 无痕窗口访问 IP 探测站,并与路由器日志中的策略命中比对。移动端若使用iOS 私密中继Android 私密 DNS,经常会出现「路由器上已经代理,手机上仍显示运营商 IP」的假阴性——这时请先关掉端到端绕过功能再复核。

若你希望把「一键测速」的结果沉淀为更快的自动组,可在机场模板允许的范围内调小 url-testintervaltolerance,代价是路由器会周期性吵醒每个节点,低性能设备可能 CPU 告警;路由器玩家宜在lazy: true 与实测需求之间权衡。

失败时按顺序勾这张清单就够了

  • 配置是否在跑:总开关与服务状态一页是否绿色,内核版本号是否与订阅要求一致。
  • DNS 链路:客户端拿到的解析是否先到路由器 fake-ip/转发端口;dignslookup 输出有无异常。
  • 策略命中:目标域名是否走了 DIRECT/REJECT/意外广告规则。
  • 防火墙与循环:是否出现 LAN→LAN→WAN 的回环放行错误;可先临时关闭访客网络隔离再测。
  • 时间与证书:路由系统时间漂移>五分钟时,优先对时。

延伸阅读:常见问题与误区

不少教程把OpenWrt clash 怎么用写成「勾选三个神秘开关就好」,但现实里OpenClash与 Dnsmasq、nftables、以及不同 SoC offload 的互动会让症状高度相似。「导入订阅成功」仅表示远端文本拉下来了;是否真的进入内核请以运行时策略页面能否列出同款节点别名为准。「一键测速全绿」也不代表流媒体解锁一定成功:版权商的检测域名往往独立走另一条规则。「路由器」级方案的优势在于一次配置,多终端受益——前提是你愿意为网关稳定性承担固件升级的维护窗口。

若你同时拥有台式机 Clash GUIOpenWrt 网关代理,推荐把「复杂规则试错」留在桌面完成后,再以导出 YAML/订阅的方式同步到路由器,减少在 LuCI 上反复手改缩进的事故率。

为什么我仍建议你掌握桌面版 Clash 作为对照环境

许多路由器专用工具为了追求「全家桶开箱」,会在隐藏层做黑箱二进制不可审计的远端策略回源,一旦链路异常你只能全盘重装镜像;另一类老旧 App 还停留在单协议 Socks,既不能写细粒度 GEOIP/PROCESS 规则,也难以与 Mihomo Sniffer、TUN 等对齐。相对的,Clash/Mihomo 生态把配置文件、连接日志与策略语义摆到台面上:OpenClashOpenWrt 上做的其实是同一份 YAML 的网关化部署——你可以在 Verge Rev 里验证规则无误,再在路由器上当「长期在线的透明中枢」。当你需要临时换机房、对齐协议栈或对比延迟曲线时,桌面端往往能更快试错;稳定后再固化到网关,就能把维护成本压得最低。

如果你正在从零搭一套可读、可分流的代理栈,并希望各平台共用同一语义,不妨从本站整理的多平台 Clash 发行版入口获取与你设备匹配的客户端,再结合本文的网关思路把「怎么用」连成一条端到端链路。

立即免费下载 Clash,开启流畅上网新体验 →