OpenWrt 路由器配置 Trojan：全局代理与性能优化实战

• 为什么要在 OpenWrt 上做全局代理？
• Trojan 基本原理与在路由器上的角色
• 全局代理的部署拓扑与权衡
• 性能瓶颈与优化策略
• 1. 合理选择 Trojan 实现
• 2. TLS 加密与会话复用
• 3. 硬件加速与卸载
• 4. 调整 MTU 与分片
• 5. 控制并发与连接数
• 6. DNS 与 SNI 处理
• 可观察性与故障排查要点
• 实用场景与部署建议
• 未来趋势与思考

为什么要在 OpenWrt 上做全局代理？

在家用路由器上部署代理服务，尤其是把整个局域网流量走代理，能把客户端设备的配置复杂度降到最低：手机、电视、IoT 设备都无需单独设置即可享受统一的上网策略。此外，Router 端集中化管理也便于做流量监控、QoS、带宽分配等。选择基于 Trojan 的方案，主要优点是其基于 TLS 的隐蔽性与高兼容性，能够较好地伪装成普通 HTTPS 流量，从而在众多网络环境下更易穿透。

Trojan 基本原理与在路由器上的角色

Trojan 本质上是一个基于 TLS 的代理协议，客户端建立 TLS 连接并进行简单的密码校验，服务端在 TLS 解密后转发流量到目标地址。对比 SOCKS 或 Shadowsocks，Trojan 的特点是：

• 伪装性强：看起来像标准的 HTTPS 流量，难以被流量特征检测准确区分。
• 简单可靠：协议头部简洁，握手逻辑简单，易于在资源受限的路由器上运行。
• 与 TLS 生态结合：可以共用域名证书、CDN 等策略，进一步提升稳定性和隐蔽性。

在 OpenWrt 上，Trojan 组件通常运行在路由器用户空间，负责接收来自内网的代理请求，并将其通过加密通道传到远端服务器。关键在于如何把内网流量“劫持”到 Trojan 客户端上，以及如何保证路由器转发性能。

全局代理的部署拓扑与权衡

实现“全局代理”有几种常见做法：

• 透明代理（TProxy / NAT 劫持）：在路由器上拦截所有出网连接，重定向到 Trojan 本地进程。优点是无客户端配置；缺点是需要内核支持 TProxy，配置复杂且对某些应用会有兼容性问题。
• 默认网关策略（策略路由）：修改路由表或使用 iptables 标记将所有流量发往代理接口。实现简单，但需要注意 DNS 泄露与本地服务端口冲突。
• 客户端走代理（分流或强制代理）：通过 DHCP 或静态路由让特定设备走代理，适用于只需代理部分设备的场景。

选择哪种方式要在“透明性”和“稳定性/兼容性”间权衡。对于家用路由器，全局透明代理最方便；但要确保内核、NAT 表与防火墙规则正确配合，防止本地管理流量被误导或循环。

性能瓶颈与优化策略

路由器作为网络边界设备，性能瓶颈主要来自 CPU、网络栈以及加密计算。以下是针对这些瓶颈的实战优化建议：

1. 合理选择 Trojan 实现

Trojan 有多个实现（如 trojan-go、trojan-python 等），在资源受限设备上应优先选择用 Go 等编译成静态二进制的实现，得益于更高的单线程性能和较好的并发支持。某些实现支持多路复用或连接池，能减少 TLS 握手频率，从而降低 CPU 开销。

2. TLS 加密与会话复用

频繁的 TLS 握手消耗 CPU 与延迟。使用长连接、启用 session resumption、以及使用支持 multiplex 的 Trojan 实现都能有效降低握手次数。结合服务器端配置合理的 keep-alive 超时时间，能在兼顾稳定与资源占用间取得平衡。

3. 硬件加速与卸载

部分商业或高级路由器支持 AES-NI、Crypto 算法硬件加速或网络包转发卸载（如 NAT HW Offload）。在 OpenWrt 上启用硬件卸载可以显著提高吞吐量并降低 CPU 使用率，但同时要注意兼容性问题：某些卸载功能可能绕过 netfilter，导致透明代理规则失效。

4. 调整 MTU 与分片

加密隧道会增加报文头部，若 MTU 未调整会导致分片或 PMTU 问题，表现为网页加载慢或部分服务异常。通过合理设置 WAN/隧道接口的 MTU，避免大量分片，可以提升传输效率。

5. 控制并发与连接数

路由器不像服务器有海量内存，过多并发会触及文件描述符或内存限制。可以在 Trojan 客户端层设置并发连接上限、连接池大小，或者通过 QOS 将大流量应用限速，避免单个设备抢占全部带宽。

6. DNS 与 SNI 处理

DNS 泄露是透明代理最大的常见问题之一。需要保证 DNS 请求也走代理或使用本地 DNS 转发到受信任的解析器。同时，Trojan 依赖 SNI/域名与证书匹配进行伪装，服务端和客户端的域名配置、证书续期要同步维护。

可观察性与故障排查要点

在路由器上部署代理后，出现断流或性能下降时，常见排查步骤包括：

• 查看路由器 CPU、内存、连接数、网络带宽使用情况。
• 确认透明代理规则是否生效，是否有本地 DNS 泄露或被软件重写默认 DNS。
• 检查 TLS 握手失败或证书错误，排查 SNI 与证书是否一致，证书是否由 CDNs 引起变动。
• 逐步关闭硬件卸载、QoS 或其他网络加速功能，观察是否为兼容性问题。

日志是最直接的诊断线索。合理调整日志级别以捕获关键错误，但注意高频日志会增加存储与 CPU 负担。

实用场景与部署建议

对家庭和小型办公室用户，建议的实践路径：

1. 先在资源较好的设备（如 x86 或较强的 ARM 路由器）上做测试环境，验证 Trojan 实现、证书配置与分流策略。
2. 选择支持会话复用与连接池的实现，开启长连接，减少握手频率。
3. 优先通过策略路由+DNS 转发实现稳定性，再评估是否启用透明代理以提升“零配置”体验。
4. 在生产环境中监控关键指标（CPU、连接数、丢包、RTT），并根据观察结果逐步调整 MTU、并发限制与硬件卸载设置。

未来趋势与思考

随着流量分析与 TLS 指纹识别技术进步，单纯依靠协议伪装的方案面对逐渐聪明的检测手段会有更多挑战。未来部署应该更多结合：

• 多层混淆：在 TLS 之上结合流量混淆、随机包长等手段减少特征。
• 中心化管理：通过统一的证书、CDN 与智能调度，提升可用性与负载均衡能力。
• 硬件友好实现：优化实现以适配路由器硬件特性，减少对 CPU 的依赖。

在 OpenWrt 上做全局代理既是技术挑战，也是工程权衡：稳定性、性能与隐蔽性三者不可兼得全部最优，需要根据实际网络环境和设备能力做出合理选择。