OpenWrt旁路由设置保姆级教程

OpenWrt旁路由设置是很多新手必须面临的问题，对于国内用户，基本上都是用来做代理，为了不影响网络，往往将OpenWrt设备做旁路由使用，实现自己想要的功能，下面就给大家详细讲解如何正确的设置旁路由，这绝对是保姆级教程。

1. 什么是旁路由

旁路由是把 OpenWrt 放在现有主路由旁边工作的一种部署方式。主路由仍然负责拨号、NAT、无线覆盖和基础上网，OpenWrt 作为同一局域网里的第二台网关，给指定客户端提供 DNS、流量分流、透明代理、广告过滤、策略路由、内网服务等能力。

典型结构如下：

Internet
   |
光猫 / 上级网络
   |
主路由 192.168.1.1
   |
交换机 / Wi-Fi ---------------- OpenWrt 旁路由 192.168.1.2
   |
客户端 192.168.1.100

在这个结构里，OpenWrt 不接管整个网络，只服务于需要使用旁路由的设备。

2. 旁路由适合什么场景

旁路由适合下面这些情况：

不想替换现有主路由。
主路由性能稳定，只是缺少 OpenWrt 的高级功能。
只希望部分设备走 OpenWrt，例如电脑、电视、NAS、游戏机。
想降低折腾风险，OpenWrt 出问题时主路由和普通设备仍可上网。
家里已经有 Mesh 或运营商路由，不方便改成 OpenWrt 主路由。

如果你希望所有设备都无感使用 OpenWrt，且能接受 OpenWrt 承担拨号和 NAT，主路由模式通常更简单。旁路由的优势是灵活，代价是配置点更多。

我开发的OpenWrt应用过滤(OAF)插件也支持旁路模式，可以通过旁路模式控制终端上网行为，还可以查看上网记录。
OAF官网：www.openappfilter.com (一款OpenWrt上网行为管理插件)

3. 推荐IP规划

本文使用下面的示例地址：

设备	地址	说明
主路由	`192.168.1.1`	默认网关、拨号、上网出口
OpenWrt 旁路由	`192.168.1.2`	静态 LAN 地址
客户端	`192.168.1.100`	通过 DHCP 或手动配置获取
子网掩码	`255.255.255.0`	即 `/24`

如果你的主路由不是 192.168.1.1，请把文中的地址替换成你自己的网段。例如主路由是 192.168.31.1，OpenWrt 可以设置为 192.168.31.2。

4. 接线方式

旁路由最常见的接线方式是：

OpenWrt LAN 口  --->  主路由 LAN 口 / 交换机 / AP LAN 口

注意：

一般不要把 OpenWrt 的 WAN 口接到主路由，除非你明确要做双 NAT。
只使用 OpenWrt 的 LAN 口即可。
如果设备只有一个网口，这个网口通常直接作为 LAN 使用。
OpenWrt 和主路由必须在同一个二层网络里。

5. 配置 OpenWrt LAN 地址

示例：主路由是 192.168.1.1，OpenWrt 设置为 192.168.1.2：

uci set network.lan.proto="static"
uci set network.lan.ipaddr="192.168.1.2"
uci set network.lan.netmask="255.255.255.0"
uci set network.lan.gateway="192.168.1.1"
uci set network.lan.dns="192.168.1.1"
uci commit network
service network restart

OpenWrt图形界面配置：

如果是FanchmWrt，设置比较简单，在LAN设置中配置即可。

当然你也可以直接将LAN口设置为DHCP动态获取IP，这样都不用任何其他配置，不用关闭DHCP也不用手动设置DNS和网关， 
因为这些参数都由DHCP客户端完成设置了，唯一的弊端在于IP地址不固定，需要通过上级DHCP服务器查看，并且可能变化。 
如果你知道通过在上级路由器设置静态分配也可以这样操作，其实将OpenWrt设置为旁路由就是将LAN设置成正常上网的主机步骤，
所有的其他系统都可以作为旁路由，只要求系统能联网就行。
对于新手来说，还是不要设置为动态获取，否则可能导致无法访问路由器，因为你不知道LAN口的IP地址分配的是多少。

生效后原来的 OpenWrt 管理地址会变化。浏览器需要改用：

http://192.168.1.2

如果通过 SSH 操作，网络重启后也要重新连接：

ssh root@192.168.1.2

6. 关闭 OpenWrt DHCP 服务

旁路由模式下，通常由主路由继续负责 DHCP。OpenWrt 不应再给客户端分配地址，否则容易出现网关混乱。

关闭 LAN 侧 DHCP：

uci set dhcp.lan.ignore="1"
uci commit dhcp
service dnsmasq restart

如果你在 LuCI 操作，路径通常是：

网络 -> 接口 -> LAN -> DHCP 服务器 -> 忽略此接口

7. 设置 OpenWrt 自身能上网

旁路由本机需要能访问互联网，才能安装软件包、更新时间、解析 DNS。

在 OpenWrt 上测试：

ping 192.168.1.1
ping 223.5.5.5
nslookup openwrt.org
opkg update

如果能 ping 通主路由，但不能访问外网，重点检查：

network.lan.gateway 是否指向主路由。
network.lan.dns 是否可用。
主路由是否允许 OpenWrt 这个地址上网。

8. 让客户端使用旁路由

有两种常见方式。

方式一：客户端手动设置网关

这是最安全的方式，适合先测试。

在需要使用旁路由的电脑、电视或手机上手动设置：

项目	值
IP 地址	保持原地址或手动指定同网段地址
子网掩码	`255.255.255.0`
默认网关	`192.168.1.2`
DNS	`192.168.1.2` 或你需要的 DNS

设置后，只有这个客户端走 OpenWrt。其他设备仍走主路由。

方式二：主路由 DHCP 下发旁路由网关

如果希望所有 DHCP 客户端自动使用 OpenWrt，可以在主路由的 DHCP 设置里把默认网关改成 OpenWrt：

默认网关：192.168.1.2
DNS：192.168.1.2

注意主要是下发的网关要设置为旁路由的IP地址，DNS随意，设置为192.168.1.1或者公网DNS服务器都可以。

保存后，让客户端重新获取地址：

ipconfig /release
ipconfig /renew

Linux 或 macOS 可以断开重连网络，或重启网卡。

如果主路由不支持修改 DHCP 网关，可以保持主路由 DHCP 不变，只给需要的客户端手动配置网关。

9. DNS 配置建议

旁路由常常会承担 DNS 分流、广告过滤或本地域名解析，因此客户端 DNS 通常建议指向 OpenWrt：

DNS：192.168.1.2

OpenWrt 自己的上游 DNS 可以使用主路由，也可以使用公共 DNS。示例：

uci set network.lan.dns="223.5.5.5 119.29.29.29"
uci commit network
service network restart

如果你使用了 AdGuard Home、mosdns、smartdns 等服务，需要确认：

服务正在监听 192.168.1.2 或 0.0.0.0。
OpenWrt 防火墙允许 LAN 访问 DNS 端口。
客户端实际 DNS 是 OpenWrt，而不是主路由或运营商 DNS。

客户端检查 DNS：

nslookup openwrt.org

Windows 还可以查看：

ipconfig /all

10. IPv6 旁路由注意事项

IPv6 比 IPv4 更容易出现“看似设置了旁路由，但客户端仍然绕过 OpenWrt”的情况。原因是很多主路由会通过 RA 给客户端直接下发 IPv6 默认网关。

如果你不需要旁路由处理 IPv6，可以先在 OpenWrt 插件或策略里只处理 IPv4，让 IPv6 继续走主路由。

如果你希望 IPv6 也经过 OpenWrt，需要同时处理：

客户端的 IPv6 默认路由。
主路由 RA 通告。
OpenWrt 是否具备 IPv6 上游路由。
是否需要 NAT66、relay 或 NDP proxy。

如果做旁路模式，建议将ipv6关闭，如果没有关闭也没有配置IPv6旁路由，会导致IPv6走正常的转发流程，不会经过旁路处理，这样排查问题会比较麻烦。

11. LuCI 图形界面配置路径

如果不想使用命令行，可以通过 LuCI 设置。

修改 LAN 地址

网络 -> 接口 -> LAN -> 编辑
协议：静态地址
IPv4 地址：192.168.1.2
IPv4 子网掩码：255.255.255.0
IPv4 网关：192.168.1.1
使用自定义的 DNS 服务器：192.168.1.1

关闭 DHCP

网络 -> 接口 -> LAN -> 编辑 -> DHCP 服务器
勾选：忽略此接口

12. 完整命令示例

下面是一组常见配置示例，适用于：

主路由：192.168.1.1
OpenWrt 旁路由：192.168.1.2
OpenWrt 只使用 LAN 口接入主路由 LAN
DHCP 由主路由负责

# 配置 OpenWrt LAN 静态地址、网关、DNS
uci set network.lan.proto="static"
uci set network.lan.ipaddr="192.168.1.2"
uci set network.lan.netmask="255.255.255.0"
uci set network.lan.gateway="192.168.1.1"
uci set network.lan.dns="192.168.1.1"
uci commit network

# 关闭 OpenWrt LAN DHCP
uci set dhcp.lan.ignore="1"
uci commit dhcp

# 重启服务
service network restart
service dnsmasq restart

13. 验证旁路由是否生效

在客户端检查 IP、网关和 DNS：

Windows：

ipconfig /all
tracert 223.5.5.5
nslookup openwrt.org

Linux / macOS：

ip route
traceroute 223.5.5.5
nslookup openwrt.org

正常情况下：

客户端默认网关应是 192.168.1.2。
客户端DNS应是 192.168.1.2，或符合你的设计。
路由追踪第一跳应是 192.168.1.2。

14. 常见问题

改完后打不开 OpenWrt 后台怎么办？

确认电脑和 OpenWrt 在同一网段。例如 OpenWrt 改成 192.168.1.2 后，电脑也必须是 192.168.1.x。然后访问：

http://192.168.1.2

如果仍无法访问，可以把电脑手动设置为 192.168.1.10/24，网线直连 OpenWrt LAN 口后再尝试。

客户端设置了 OpenWrt 网关但不能上网？

重点检查：

OpenWrt 自己是否能上网。
OpenWrt 的网关是否是主路由。
主路由是否允许 OpenWrt 上网。
客户端默认网关是否确实是 OpenWrt。

为什么 DNS 已经指向 OpenWrt，但流量没有经过 OpenWrt？

DNS 和默认网关是两件事。DNS 指向 OpenWrt 只表示域名解析经过 OpenWrt，不代表所有流量都经过 OpenWrt。要让流量经过 OpenWrt，客户端默认网关也要指向 OpenWrt。

主路由 DHCP 不能改网关怎么办？

有三种办法：

只给需要的客户端手动设置网关。
关闭主路由 DHCP，改由 OpenWrt DHCP 下发地址、网关和 DNS。
换一个支持 DHCP Option 的主路由或单独部署 DHCP 服务。

如果要让 OpenWrt 接管 DHCP，需要确保网络里只有一个 DHCP 服务，避免地址分配冲突。

旁路由需要设置 WAN 口吗？

一般不需要。常规旁路由只用 LAN 口接入主路由 LAN 侧。WAN 口空着即可，也可以把 WAN 口加入 LAN 桥作为额外 LAN 口使用，但这属于额外配置。

需要关闭主路由 DHCP 吗？

不一定。最常见做法是保留主路由 DHCP，OpenWrt 关闭 DHCP。只有当主路由不能下发 OpenWrt 作为网关，且你希望所有设备自动走旁路由时，才考虑让 OpenWrt 接管 DHCP。

15. 推荐配置顺序

建议按下面顺序操作：

先改 OpenWrt LAN 静态地址。
设置 OpenWrt 网关和 DNS 指向主路由。
关闭 OpenWrt DHCP。
确认 OpenWrt 自己能上网。
找一台客户端手动设置网关为 OpenWrt。
测试稳定后，再考虑通过主路由 DHCP 批量下发。
IPv4 稳定后，再处理 IPv6 和其他高级功能。

16. 建议

对于新手，可以使用FanchmWrt，FanchmWrt基于OpenWrt稳定版本增加了易用的配置界面，并增加了很多企业级高级功能，比如上网行为管理、上网审计等，更加接近商用路由系统。配置旁路模式也更加直观，一个界面就可以完成配置。
官网： www.fanchmwrt.com