OpenClash配置教程:快速掌握降低延迟、提高速度、确保安全的方法,包括redirect、tproxy、TUN等模式以及路由和防火墙设置。

youtube播放地址:https://youtu.be/s84CWgKus4U
OpenClash项目地址:https://github.com/vernesong/OpenClash
clash防泄露自定义模板:https://raw.githubusercontent.com/bulianglin/demo/main/nodnsleak.ini

视频文稿

简简单单,今天咱们继续软路由,前期的铺垫已经差不多了,希望你已经看过之前的内容,接下来开始介绍特殊上网插件,本期主要介绍openclash,针对很多朋友反馈我的教程看不懂,特别好入睡,所以本期教程分两部分,前半部分针对不喜欢折腾网络的朋友,你只需要跟着我操作即可,我不会解释为什么要这么做,你也不需要关心,后半部分针对进阶用户,以及部分失眠的朋友
我使用的固件是之前演示过的imm23.05,并且只安装了openclash插件,开始之前请确保你的软路由可以正常上网,并且如果你开启了其他代理插件的话要先关闭

打开刚安装的openclash,提示是否需要安装内核,点击取消,这就是openclash的主界面,目前最新版本是0.46.003,如果你和我一样用的是imm固件,可以直接在软件包里升级到最新版,来到插件设置,点击切换到fakeip模式,运行模式选择混合,如果你是旁路由结构,配置好之后出现国内网站无法上网的情况,需要勾选这里,效果相当于旁路由那期视频讲过的开启lan区域的ip动态伪装,如果没有这个问题的话就不要勾选,点击保存配置,剩下的不需要改动,全都按默认配置即可,如果你之前改动过,可以参考我的设置修改回来,来到版本更新标签页,需要在这里下载clash内核,正常情况这里会自动帮我们选择适合自己架构的内核版本,点击中间的检查并更新,下载permium版clash内核,点击之后不会有任何反应,可以在上方进入日志页面查看状态,显示内核下载失败,这是因为下载地址在有些地区被墙了,如果你和我一样出现这种情况,可以根据他的提示修改下载地址,跟着视频演示来到覆写设置,在这里随便选择一个下载地址,点击保存配置,接着重新回到版本更新,点击检查并更新,日志显示正在下载,需要耐心等待,下载成功之后,openclash会尝试启动,但我们还没有添加节点,所以启动失败,这是第二种下载内核的方法,回到版本更新,稍等片刻这里将会显示clash的版本信息,此时内核就算是安装好了,如果这种方式你也下载不了,可以先将内核下载到电脑上,再上传到路由器,首先需要确保电脑可以特殊上网,比如我要下载meta内核,点击下载到本地,接着来到配置管理,上传类型选择meta内核文件,选择刚才下载的内核文件,不需要解压,但需要注意文件名不能含有括号,点击上传,提示上传成功,回到版本更新,这样也可以成功安装内核,我这里只是为了给大家演示,你可以不用安装meta内核,以节省路由器空间

来到覆写设置,这些选项保持默认,将所有dns服务器全部取消勾选,来到dns设置,勾选自定义上游dns,和追加上游dns,其他保持默认,来到开发者选项,将这一行代码前面的#号删除,点击保存配置

来到配置订阅,点击添加,在这里添加你的机场订阅,随便给个名称,把你的机场订阅地址粘贴到这里,如果没有的话可以扫码屏幕二维码购买,这是本频道长期推荐的专线机场,高速稳定,适合在路由器上使用,如果你的订阅地址是clash格式,那就直接点击保存配置即可完成,如果不是clash格式或者不清楚的话,就勾选在线订阅转换,如果你有多个机场订阅的话,使用在线订阅转换可以合并多个订阅链接,每行一条,包括节点分享链接格式,将所有节点混合在一起生成一个配置文件,就不用切换机场订阅了

另外需要注意,使用别人的订阅转换存在隐私风险,之前也爆过远程执行漏洞,建议大家参考我之前的教程使用cf的worker自己搭建一个反代订阅转换,在这里输入你的反代地址,以我搭建的为例,不建议你用我的,我可能随时关闭,注意自己添加的转换网址,后面要加上/sub,按回车键添加并选中,如果你觉得麻烦的话就用openclash内置的那几个,其他保持默认,点击保存配置,这样我们就添加了一个机场了,如果你还有其他机场,可以继续添加,如果你的机场经常变动节点,可以勾选这里定期刷新,

最后点击更新配置,回到日志页面,此时就会开始启动openclash了,现在正在下载机场订阅,你需要确保你的机场订阅或者转换网址可以正常访问才能下载成功,openclash要干的事还挺多的,我们要做的就是静静等待他执行完成,当这里显示openclash启动成功的时候,也就意味着openclahs启动没有失败,回到主界面,这里显示绿色的运行中,如果你的节点没有问题的话,现在你家所有接入该路由器的网络设备应该都能特殊上网了,将电脑的代理工具关闭,直接访问谷歌,没有任何问题,对比你以前的配置,按我这样配置之后响应速度可能会有明显提升

回到主界面,点击这里可以进入网页控制面板,可以在这里切换节点等操作,用法和clash for windows类似,也可以使用这个面板,二者功能差不多,区别在于主题样式,按个人喜好选择,可以将这个网址添加到书签,下次直接访问这个网址就可以管理clash了,不需要登陆路由器后台,非常方便

最后讲一下dns泄漏,关于dns泄露的检测原理以及如何解决我已经做了好几期视频,该讲的都讲了没啥需要补充的,所以就不啰嗦了,直接讲配置方法。

对于大部分普通用户,使用刚才的配置方法就可以了,你访问谷歌youtube之类的黑名单网站不会泄漏给运营商,但如果你对个人隐私要求比较高,或者是做跨境电商,对网络环境有更高的要求,则推荐使用接下来的白名单模式,以减少平台潜在的检测因素,来到配置订阅,编辑刚才添加的机场,首先需要开启在线订阅转换,转换模版选择自定义模版,使用我给大家提供的配置模版,点击保存配置,最后更新配置,此时就会使用白名单模式,命中规则的就直连,其他全都交给节点处理,启动成功之后,控制面板也会发生改变,我给大家提供的配置模版只有手动选择和自动选择两个分组,此时可以进行dns泄漏检测,应该就不会出现国内dns服务器了,如果有的话建议回看视频检查和我的配置是否一致。

这样配置之后,大部分国内网站都是直连,但小众国内网站可能会走代理,所以建议自己维护一个规则列表,把自己常用的小众网站添加到直连即可,回到控制面板,进入连接页面,在这里可以看到网站走了代理还是直连,点击标签可以进行排序,这里有一个另类,出现了真实的ip地址,原因之前说过,clash处理udp请求的域名必须先解析成真实ip,这个域名是windows用来同步系统时间的,先将它过滤出来,可以看到这个请求是基于udp,当前我的系统时间不正确,可以点击这里进行同步,这条请求会走代理转发给节点服务器,但可以看到这里只有上传数据,没有下载数据,说明这个节点的udp不通,也就无法成功同步时间了,此时建议把这个域名添加到直连规则,进入配置管理,选择规则集文件列表,将这些默认的规则集全部删掉,新建一个文件,随便取个名字,比如windows,进入编辑,将你需要走直连的域名添加进去,每行一个,支持通配符,点击保存,来到规则附加,点击最下面的添加,如果你有多个机场都需要添加,那就选择添加到所有配置文件,类型选择file,你也可以使用http的方式,实现多端同步,规则类型选择domain,格式选择text,文件路径就选择我们刚才添加的windows,指定策略选择direct,也就是直连,点击保存配置,再点击应用配置,此时就会重新启动,启动之后可以在规则页面查看到刚才添加的规则集,有我们刚才添加的3条规则,接着再来尝试同步时间,就可以成功同步了,规则走的是直连,如果此时我还想添加其他网站,回到配置管理下的规则集列表,继续添加就行了,比如加个d.cn,点击保存配置,不需要重启openclash,直接回到控制面板,刷新一下,就会直接生效,变成4条规则了,此时访问d.cn的话,就会命中刚才的规则集走直连,手机软件里的网址也可以用这种方式添加,这样就能非常方便的控制小众网站走直连了

ok,针对小白用户的配置教程就到这里了,能满足绝大部分用户的使用需求,如果你想做出自己个性化的配置,那么看明白接下来的内容,基本上就难不倒你了。

先来创建一个最常见的家庭网络环境,你在运营商拉了一条宽带,他会给你分配一个光猫,一般来讲你会单独再买一台路由器连接光猫,路由器通过pppoe拨号获取运营商分配的公网IP2.2.2.2,同时路由器作为局域网的网关会有自己的内网ip地址,假设为192.168.2.1,家里的所有网络设备都会通过网线或者wifi连接到这台路由器,路由器通过DHCP为每一台网络设备分配一个内网ip以及默认网关、dns服务器等信息,一般情况下默认网关和dns服务器都是路由器,这是最常见的家庭网络拓扑

接着在路由器中运行openclash,假设此时我们在电脑上访问谷歌,首先需要发起dns请求来获取谷歌的ip地址,一般来讲电脑配置的dns服务器是路由器的ip地址,也就是会找路由器要谷歌的ip,会构建这么一个数据包,源端口是随机的空闲端口,目标端口为dns的默认端口53,源ip是自己的192.168.2.8,目标ip为路由器的192.168.2.1,如果你手动配置了dns为8.8.8.8之类的公网dns服务器,那目标ip就是8.8.8.8,不管目标是路由器还是公网ip,这条请求都会交给路由器,因为路由器是你通往互联网的网关

数据来到路由器内部,会先经过路由器里的防火墙,防火墙会判断这个数据包是要接收还是丢弃或者做其他特殊处理,用来配置防火墙的工具叫做iptables,一般我们会直接把iptables称之为防火墙,而我现在用的openwrt版本用nftables代替了iptables,二者的语法规则不一样,但作用是一样的,以下统称为防火墙

防火墙会在路由前prerouting,输入input、输出output、转发forward、路由后postrouting,这几个地方创建hook点,如果你玩过破解或者外挂之类的应该对hook不陌生,通过钩子函数改变程序原来的处理逻辑,简单理解就是可以拦截并篡改数据包

dns请求的数据包首先从eth1网卡进入到防火墙的路由前,顾名思义就是在路由之前要干的事,如果你的openclash配置的是dnsmasq转发,那么他会在PREROUTING链上,也就是路由前帮我们配置这条规则,意思是所有发往53号端口的UDP数据包,全都进行redirect,也就是重定向,将其重定向到路由器当前接口ip的53号端口,所以数据包的目标ip和端口变成了路由器的ip地址和53端口,并且这个行为会被连接追踪记录下来,默认情况下openwrt使用dnsmasq在53端口提供dns服务,而如果你的openclash配置的是防火墙转发,同样也是进行重定向,区别在重定向的目标端口是clash监听的7874端口,相当于绕过了dnsmasq,7874是openclash在覆写设置中配置的dns监听端口

这种修改目标ip的行为叫做dnat,所以这条规则是添加在nat表中,为了不涉及过多概念,我们不用在意他在哪个表中,只要知道他在路由前这里进行了处理即可

经过路由前的处理后,数据包才会开始进行路由,路由就是规定数据包该走哪条路,此时有两条路,走输入链或者走转发链,如果访问的目标是路由器,那么就走输入链,如果访问目标是公网ip,就走转发链,由于我们的数据包刚才经过了dnat,目标ip被重定向到路由器的ip,所以这个数据包将会走输入链进入路由器本身,并且会转发给clash监听的dns端口7874,如果你是通过dnsmasq转发,那么数据将会发给dnsmasq监听的53端口,而openclash会将dnsmasq的上游设置为clash的7874,所以这条请求最终还是会转发到clash的7874端口,兜这么一圈的原因是openclash有些功能需要依赖dnsmasq,比如绕过大陆ip

clash收到请求后,会帮我们获取谷歌的ip地址,clash处理dns的方式有redir-host模式和fake-ip模式,二者的区别之前我已经详细介绍过了,这里就不浪费时间讲解了,感兴趣的朋友可以回看,由于redir-host模式存在各种问题,clash内核已经弃用了,只剩下fakeip模式,但openclash依然保留了redir-host,用的就是我们之前讲过的+.*通配符,从fakeip模式回退到redir-host模式,但clash自己都不推荐用,所以建议使用fakeip模式,而clash.meta内核对原版clash的dns模块做了大量增强,可以解决redir-host存在的问题,使得redir-host模式在clash.meta内核中被保留,所以如果你非要用redir-host,建议使用meta内核

为了便于理解我们不引入fakeip,假设clash通过上游dns获取到了谷歌的ip为6.6.6.6,需要将结果返回给电脑,从路由器本身发出的数据包,会经过输出链和路由后,由于之前的redirect重定向行为被连接追踪记录了,数据返回的时候会将ip和端口修改回来,然后发送到电脑,注意电脑是和eth1连接,所以这个数据包会从eth1接口出去,接口能进能出,这点应该没什么疑问

电脑收到数据包之后,得到了谷歌的ip为6.6.6.6,于是向这个ip发起基于tcp的http请求获取谷歌首页内容,数据包来到路由器,和之前一样,会先来到路由前,除了刚才劫持53端口的dns请求,openclash还会在路由前帮我们配置这条防火墙规则,将所有tcp的数据包重定向到7892端口,所以数据包的目标ip和端口会被改成路由器的7892,也就是openclash中配置的流量转发端口,在clash配置文件中是redir-port,注意这个和dns的redir-host没有半毛钱关系,接着进行路由决策的时候发现目标ip是自己,于是数据包将会进入输入链,数据将会交给监听了7892端口的clash,clash收到数据后,可以通过一些手段获取到该数据包修改前的原始目标ip6.6.6.6和端口80,于是会根据分流规则帮我们进行代理,将访问谷歌的数据加密后发给接点服务器,假设节点服务器的ip是3.3.3.3,端口为8838,会构建这么一个数据包,并通过输出链和路由后将数据从wan口的eth0发出,后面节点的代理流程之前详细讲过,车轱辘话都快讲吐了就不再重复啰嗦了,总之clash会从eth0收到节点服务器返回经过加密的谷歌数据包,进来的数据包也需要经过路由前,openclash会在刚才的重定向规则之上帮我们添加这么一条规则,只要目标ip是发给本机的,就直接return返回,不继续向下处理其他规则,所以这个数据包不会执行下面的重定向操作,这些规则都是openclash启动后全都已经加好了,还有很多其他规则,我不可能把每条规则都讲一遍,所以把关键的规则挑出来讲一下,数据包来到路由,发现目标ip是自己,于是进入输入链,最终数据包将会交给clash,并通过clash解密后将谷歌数据发回给电脑,发回的步骤和刚才的dns响应是一样的,就不再啰嗦了

再来看一个情况,假设电脑的浏览器开启了强制quic访问,quic是基于udp的,访问谷歌的数据包将会使用udp发送给路由器,和之前一样,会先来到路由前,如果防火墙还是通过这条redirect的重定向规则,将udp数据的目标ip和端口改成本机clash监听的7892端口,通过目标ip将其路由到本机,clash收到数据后,不像tcp的面向连接,可以通过一些手段获取到该数据包的原始目标,udp是无连接的,无法获取到数据包原始的目标ip,所以redirect无法帮我们代理udp数据,只能处理dns劫持之类不需要访问udp目标的行为
解决方法是使用防火墙的tproxy透明代理模块,tproxy既能代理tcp,也能代理udp,对于udp的数据,openclash会在路由前帮我们添加这条规则,所有udp数据都通过tproxy模块转发给7895端口,并且给这个数据包打上一个mark,将其标记为354,其中7895就是clash监听的tproxy端口,在clash配置文件中是tproxy-port

需要注意的是tproxy并不会像redirect一样修改数据包的目标ip和目标端口,打的标记和端口保存在其他地方,数据包本身并没有发生改变,接着数据包准备开始路由,此时有两条路,如果是发给本机就走输入链,如果是发给公网ip就走转发链,很明显由于数据包的目标ip不是路由器,应该走forward转发链,再经过postrouting链到互联网,一般情况下是这么处理的,因为一般情况下路由表就是这么配的,但我们现在的情况并不一般,因为数据应该走输入链交给本机的clash处理,所以即使目标ip不是本机,我们也要想办法路由到本机,这就需要对路由表进行处理,openclash帮我们添加了一条路由规则和一条路由条目,路由规则要求打了mark 354的数据包就交给100的路由表进行路由,而100的路由表里只有openclash添加的这一条本地路由,将任何目标ip的数据包全都路由到本机

所以这个数据包不会走转发链,而是进入输入链并将其转发给clash监听的tproxy端口7895,clash的tproxy会进行特殊设置,让其能够监听任意ip地址,即使数据包不是发给自己的也能接收并处理,由于tproxy并没有改变数据包原来的目标ip和目标端口,所以clash可以很轻易的获取到需要代理的目标,从而帮我们代理udp数据,这就是为什么代理udp不能用redirect,而需要使用tproxy的原因,openclash的redir-host兼容模式和fakeip增强模式就是使用redirect代理tcp数据,用tproxy代理udp数据,前提是你在设置里开启了udp流量转发

除了代理其它设备发过来的数据包,tproxy也能代理由本机直接发起的数据包,流程要复杂一点,假设路由器要访问谷歌,由于tproxy工作在路由前这个位置,而本机发起的数据包是直接走输出链,经过路由后直接出去了

这样的话就没法交给tproxy处理,但我们可以在输出链上给数据包打mark触发重新路由,首先在这个位置,路由器已经经过了路由这一步操作,确定了目标ip是公网ip,应该从eth0发送出去,所以源ip为eth0接口的ip2.2.2.2,目标ip为谷歌的6.6.6.6,接着数据包来到输出链,openclash会在这里添加一条规则,将数据包打上mark 354,然后发送出去,防火墙会在这个位置检查是否需要重新路由,如果数据包被打了mark,或者像redirect做了dnat修改数据包目标ip之类的操作,就需要重新路由,所以会再次查看路由表,由于这次数据包被打了mark,此时就会命中之前的路由规则,将打了354标签的数据包使用100号路由表进行路由,也就是将所有目标ip的数据包发送到本机,于是通过127.0.0.1的回环口将数据重新路由到本机,数据将会来到路由前,之后的步骤就和处理局域网其他设备的数据一样了,会根据之前在路由前添加的tproxy规则将数据包重定向到7895端口,这样就实现了代理本机自己了。

另外有些教程中还会有这段配置,主要是针对已经建立了tproxy连接的socket直接打mark,不需要再进tproxy模块处理,可以提高性能

除了redirect代理tcp,tproxy代理udp的增强模式,openclash还有tun模式,这种模式可以不依赖防火墙规则,只需要配置好路由规则即可,简直是好棒棒,当开启tun模式之后,clash会创建一张虚拟网卡,首先路由器从物理网卡收到电脑访问谷歌的数据包,我们没有在路由前配置任何防火墙规则,于是直接进行路由,此时需要查看路由规则,由于clash配置了自动路由,于是会帮我们添加这4条路由规则,其他三条是系统自带的路由规则,路由规则是按优先级一条条匹配的,前面的数字就是优先级,先从0开始,这条规则的意思是所有数据包都进入local这张路由表,而这张路由表里都是本机网络接口的ip地址,由于数据并不是发给本机的,所以都不匹配,于是会继续向下匹配其他路由规则,这条的意思是任何人发来的数据包,如果目标端口不是53,那就走main路由表,但是要忽略前缀长度小于或等于0的路由条目,前缀长度在家庭网络速通那期视频讲过,由于我们的目的地址是6.6.6.6,下面这些路由条目都不匹配,而第一条default是默认路由,也就是访问任何目标都从这里走,那么访问6.6.6.6理应匹配这条路由从wan口转发出去,但这里的default就表示0.0.0.0/0,其中的/0就是前缀长度为0,根据刚才的路由规则,要忽略前缀长度小于或等于0的条目,所以这条路由被忽略了,这张表也没有匹配上,于是继续向下匹配其他路由规则,至于过滤掉53端口是因为要对本机的dns进行劫持,如果dns配置的是局域网其他设备,如果不过滤53端口的话会从这里漏出去,这条的意思是只要不是从本机发过来的数据包,就走这张100的路由表,我们的数据包是从其他电脑发过来的,并不是本机发起的,所以匹配了这条路由规则,而这张路由表里就只有一个条目,访问任何目标都通过utun接口发送,这个接口是由clash创建的虚拟网卡,所以数据将会从物理网卡,经过forward链转发到虚拟网卡utun,此时需要确保你的设备开启了ip转发,并且forward链允许数据包通过,这样数据包才能成功转发到虚拟网卡,clash可以直接从虚拟网卡里读写数据,读取到的是包含ip包头的完整数据,clash需要通过协议栈system或者gvisor对数据包进行拆包,解析出里面的数据,如果协议栈是system,那么数据会通过走一遍系统的网络协议栈来解析出里面的数据,为了数据能被路由到clash,还会进行nat处理,clash会在7777端口接收拆包后的数据,如果是gvisor,则会由clash内部基于gvisor的协议栈对数据进行解析,理论上来讲gvisor没有多余的重复拷贝性能会更好,system使用系统自带协议栈兼容性更好,但大家的应用场景和操作系统不同,代理局域网和代理本机也有区别,实际哪个效果更好很难说,

clash获取到数据包里的访问意图之后,通过物理网卡将数据加密后发送给代理节点,节点返回的加密数据会通过物理网卡发送到clash,clash对其进行解密,以system协议栈为例。clash将解密后的数据发送到虚拟网卡,以借助系统协议栈完成数据的封装,clash读取封装好的数据,进行反向nat,接着再写回虚拟网卡,再次进入路由决策,根据目标ip将数据转发给物理网卡eth1接口,这样电脑就能成功访问到谷歌了。

这就是tun的工作方式,不需要配置防火墙规则,直接通过路由规则实现透明代理,这也是之前讲过的,闲置电脑开启tun模式和ip转发之后,就能直接当旁路由了

不过openclash需要借助防火墙来支持更多的功能,所以他的tun模式还是配合防火墙打mark的方式来处理,没有开启clash的自动路由

最后还有一个混合模式,用redirect传输tcp,用tun传输udp,tun模式的tcp性能没有redirect高效,而tproxy代理udp数据有很多人会出现各种问题,所以出了个混合模式

最后简单看一下各项设置,在这里可以看到防火墙的配置,可以看到input输入链,forward转发链,output输出链,以及更多的自定义链,openclash添加的链在最下面,我这里用的是nftables,在这里看到的会被解析成方便人类阅读的格式,通过这条指令可以查看实际的样子,这些都是openclash添加的防火墙规则,每条链都有他的作用,可以看到这是一条dns劫持的规则,动作是redirect,有些朋友用的可能是iptables,可以通过这条指令查看相关规则,我的iptables没有配置任何规则,这些就是我们刚才讲过不同的链,使用ip a查看网络接口信息,这个utun接口就是clash开启的虚拟网卡接口,这个就是fakeip段,通过ip rule可以查看路由规则,openclash没有开启自动路由,所以clash没有添加路由规则,是通过打mark的方式进行路由,使用这条指令查看指定的354路由表,只有一条路由条目,全都路由到utun接口,也可以查看其他路由表,比如local,或者直接输入ip route可以查看主路由表main,tun模式代理局域网其他设备必须开启ip转发,可以通过这条指令查看,显示1就表示已开启ip转发,最后再给大家留个思考,使用redirect或者tproxy代理局域网其他设备,需要开启ip转发吗?大家可以试试

THE END