家庭网络终极方案 (Pro Max)
家庭网络终极方案 (Pro Max)
周二 1月 06 2026
2030 字 · 9 分钟
家庭网络终极方案 (Pro Max):Clash + AGH + 隐形 IPv6 完美融合
1. 序言
在折腾家庭网络的过程中,我们经常面临一个“不可能三角”。为了解决痛点,我们制定了本方案的核心目标:
- 既要:NAS 拥有公网 IPv6,实现 PT 满速下载与 Lucky 远程直连。
- 又要:Netflix/Disney+ 认为我只有 IPv4,从而走代理通道解锁 4K 画质。
- 还要:国内上网极速、无广告,且国外访问无 DNS 污染。
本文将提供一套基于 Clash 的终极分流架构。无论你是 “爱快 + OpenWrt 双路由” 还是 “OpenWrt 单路由”,都能通过本教程实现上述愿景。
2. 架构逻辑与 IP 规划
我们将网络流量处理分为严密的三层:
- 物理层 (路由器):只发 IPv6 地址,不发 IPv6 DNS。确保设备物理上能通 IPv6,但逻辑上不知道 IPv6 域名的存在。
- 调度层 (Clash Meta):核心大脑。拦截所有 DNS 请求,利用
nameserver-policy进行精准分流:- 国外流量 -> 走代理 (Fake-IP) -> 强制 IPv4 -> 解锁 Netflix。
- 国内流量 -> 转发给本地 953 端口 -> 直连无延迟。
- 净化层 (AdGuard Home):国内清洗。监听 953 端口,接收国内流量,拦截广告并查询国内 DNS。
IP 与端口规划 (示例)
| 设备角色 | IP 地址 | 端口 | 职责 |
|---|---|---|---|
| 爱快 / 主 OP | 192.168.3.1 | - | 拨号、DHCP (发 IP)、IPv6 铺路 |
| OpenWrt | 192.168.3.2 | 53 | 网关、运行 Clash |
| AdGuard Home | 127.0.0.1 | 953 | 运行在 OpenWrt 本机,负责国内解析 |
3. 第一步:基础网络设置 (分场景)
请根据您的硬件架构,选择 场景 A 或 场景 B。
3.1 场景 A:双路由架构 (爱快主路由 + OpenWrt 旁路由)
适用人群:性能最强、最稳定的方案。爱快负责拨号和流控,OpenWrt 专注做网关。
在此架构下,我们需要分别配置爱快和 OpenWrt 的接口对接。
3.1.1 OpenWrt 旁路由接口设置
进入 OpenWrt 后台 网络 -> 接口 -> LAN -> 修改:
- IPv4 地址:设置一个固定 IP (如
192.168.3.2)。 - IPv4 网关:指向爱快 (如
192.168.3.1)。 - IPv4 广播:留空或默认。
- 使用自定义的 DNS 服务器:指向爱快 (如
192.168.3.1) 或223.5.5.5。- 注意:这是 OpenWrt 自身上网用的 DNS,不影响 Clash 分流。
- DHCP 服务器:✅ 勾选“忽略此接口” (关掉 DHCP,让爱快发 IP)。
- IPv6 设置:RA 和 DHCPv6 服务全部选择 “禁用” (由爱快接管)。
3.1.2 爱快主路由 DHCP 设置 (强制流量走旁路由)
进入爱快后台 网络设置 -> DHCP 服务端:
- 找到服务:点击你的 DHCP 服务进行修改。
- 网关:填入 OpenWrt 的 IP (如
192.168.3.2)。 - 首选 DNS:填入 OpenWrt 的 IP (如
192.168.3.2)。- 原理:让所有连接爱快的设备,网关和 DNS 都自动指向 OpenWrt,从而被 Clash 接管。
- 备选 DNS:留空 (千万别填 114 或阿里,否则流量会绕过 Clash)。
3.1.3 爱快 IPv6 设置 (隐形关键)
进入爱快后台 网络设置 -> IPv6 -> IPv6 设置:
- DHCPv6:✅ 开启。
- DHCPv6 模式:无状态 (Stateless) 或 有状态均可。
- IPv6 DNS:❌ 必须取消勾选 (这是防止 Netflix 漏油的最关键一步!)。
- 原理:爱快只负责给设备发“身份证”(IP),但不告诉设备 IPv6 的“电话本”(DNS) 在哪。
3.2 场景 B:单路由架构 (OpenWrt 主路由拨号)
适用人群:一台 OpenWrt All-in-One,负责拨号和所有服务。
进入 OpenWrt 后台 网络 -> 接口 -> LAN -> 修改:
- 基本设置:IP 地址设为网关 IP (如
192.168.3.1)。 - DHCPv6 / RA 设置 (切换到下方 DHCP 服务器 -> IPv6 设置):
- 路由通告服务 (RA):选择 “服务器模式”。
- DHCPv6 服务:选择 “服务器模式”。
- 总是通告默认路由:✅ 勾选。
- DNS 关键设置 (切换到“高级设置”选项卡):
- 找到 “通告的 DNS 服务器”。
- 留空 (默认推路由器 IPv4 地址) 或者 手动填入 LAN 口 IPv4 地址 (如
192.168.3.1)。 - 警告:绝对不要填运营商的 IPv6 DNS,也不要填
2400:3200::1等公共 IPv6 DNS。
4. 第二步:配置 AdGuard Home (国内净化)
我们需要 AGH 运行在 OpenWrt 本机,作为 Clash 的“国内下游”。
- 修改端口:将 DNS 监听端口改为
953(避开 53 冲突)。 - 上游 DNS:只填国内 DNS (如
tls://dns.alidns.com)。 - 双重保险:在 AGH 设置中勾选 “丢弃 IPv6 地址解析”。
- 目的:确保国内域名也只返回 IPv4,速度更快且杜绝泄露。
5. 第三步:配置 Clash Meta (核心大脑)
这是本方案的灵魂。我们将放弃繁琐的 GUI 勾选,直接注入 “大师级 DNS 配置”。
5.1 准备工作
- 确保 Clash 的内核版本已切换为 Meta,否则不支持
nameserver-policy。
5.2 注入 DNS 配置
在 Clash 中,你可以通过 “配置管理” -> “修改配置文件”,或者使用 “覆写设置” -> “DNS 设置”,将以下 YAML 代码替换进去:
YAML
dns:
enable: true
listen: 0.0.0.0:1053
ipv6: false # <--- 核心!彻底屏蔽 IPv6 DNS 解析,Netflix 不漏油
respect-rules: true
enhanced-mode: fake-ip
fake-ip-range: 198.18.0.1/16
fake-ip-filter-mode: blacklist
# [Fake-IP 过滤白名单]
# 作用:让国内域名不走 Fake-IP,直接向 AGH 拿到真实 IP,方便 Geosite 规则匹配和直连
fake-ip-filter:
- "rule-set:cn_domain,private_domain"
- "+.lan"
- "+.local"
# [默认 DNS (Bootstrap)]
# 作用:Clash 启动时解析节点域名用
default-nameserver:
- 223.5.5.5
- 127.0.0.1:953 # 指向本机 953 端口的 AGH
# [策略分流 (Nameserver Policy)] <--- 核心!Meta 内核专属
# 作用:强制 国内/私有/苹果/Steam 域名转发给本机 AGH (953) 处理
nameserver-policy:
"geosite:cn,private,apple,steam@cn,category-games@cn": "127.0.0.1:953"
# [国外/兜底 DNS]
# 作用:没匹配到 Policy 的国外域名走这里 (走代理)
nameserver:
- "https://dns.cloudflare.com/dns-query"
- "https://dns.google/dns-query"
# [代理节点 DNS]
proxy-server-nameserver:
- 223.5.5.5
- 119.29.29.295.3 补充设置
- Clash 全局设置 -> DNS 设置:勾选 “本地 DNS 劫持” 为 Dnsmasq 转发。
- Clash 流量控制:勾选 “禁用 QUIC” (防止 Netflix 走 UDP 穿透)。
6. 第四步:客户端避坑 (Lucky & 手机)
路由器的“大脑”已经配置完美,现在要防止“四肢”不听指挥。
6.1 Lucky / DDNS 设置 (NAS 玩家必看)
由于 Clash 屏蔽了 IPv6 DNS,Lucky 无法通过网页探测 IPv6。
- IPv6 获取方式:改为 “通过网卡/接口获取 (Interface)”。
- 接口:选择包含
240e/2408公网地址的物理网卡。- 原理:直接读取网卡数据,绕过 DNS 限制,实现 NAS 直连公网。
6.2 手机/电脑:关闭“私人 DNS”
- Android/Chrome:务必关闭 “私人 DNS” 或 “安全 DNS”。
- 否则流量会绕过 Clash 的拦截,直接询问谷歌/阿里,导致 Netflix 再次漏油。
7. 最终效果验收
配置完成后,你的网络将呈现出一种“完美精分”的状态:
- 验证 Netflix (隐形 IPv6):
- 访问
test-ipv6.com:显示 “你没有 IPv6” (恭喜!DNS 屏蔽生效)。 - 打开 Netflix:4K 秒开,
fast.com跑满机场速度。
- 访问
- 验证 NAS (物理 IPv6):
- 电脑终端输入
ipconfig:能看到240x开头的公网地址。 - NAS 下载 PT:连接状态显示 “正常”,速度跑满宽带上行。
- 电脑终端输入
- 验证分流 (Clash Meta):
nslookup www.baidu.com:返回真实 IP (180.x.x.x),AGH 日志有记录 (走国内清洗)。nslookup www.google.com:返回 Fake-IP (198.18.x.x),AGH 无记录 (走 Clash 代理)。
8. 总结
这套方案利用 Clash 强大的 nameserver-policy 功能,实现了最精准的流量切割:
- 国内流量 -> AGH -> 真实 IP -> 直连。
- 国外流量 -> Clash -> Fake-IP -> 代理 (IPv4)。
- NAS 流量 -> 网卡直读 -> 真实 IPv6 -> 直连。
一句话总结:只要 ipconfig 里有 IPv6,哪怕网页测不出来,你的配置就是满分的!
Created with ❤️ by 十三
Thanks for reading!
家庭网络终极方案 (Pro Max)
周二 1月 06 2026
2030 字 · 9 分钟
-
-
Comments