快连NAS端如何用Docker容器配置旁路由透明代理？

功能定位：旁路由透明代理到底解决什么问题

旁路由透明代理的核心关键词是“零客户端配置”。把快连的加密链路塞进 Docker 容器后，NAS 摇身一变成为“硬件级分流器”：局域网设备无需装任何客户端，网关指向 NAS 即可自动走代理。对运营者而言，既省去了逐台手机、电脑装客户端的运维成本，也避免了因系统升级导致客户端失效的“半夜惊魂”。

与“主路由刷固件”相比，旁路由方案不触碰现有主路由，家里老婆孩子看电视、你远程办公互不干扰；与“单台电脑装客户端”相比，它一次部署，全屋受益。经验性观察：在 100 Mbps 下行/20 Mbps 上行的家用宽带里，Docker 容器仅占单核 15% 左右，4K 流媒体拖动进度条无肉眼可见卡顿。

决策树：先判断你家网络适不适合

动手之前，用下面四步快速自检，任何一步不满足都建议先补课或换方案，避免“容器跑起来了，网速却腰斩”的尴尬。

1. 主路由必须能改“静态路由”或“DHCP 默认网关”，否则旁路由无法接管流量。
2. NAS 可用内存 ≥2 GB，Docker 官方文档写明“少于 1 GB 易触发 OOM Kill”。
3. 上行带宽 ≥10 Mbps，否则透明代理后的 UDP 游戏包仍会被家用宽带小水管卡死。
4. 目标地区对加密流量无额外合规要求；若有，需提前向当地运营商确认。

若你用的是运营商送的光猫+路由一体机，并且后台被锁死，无法改 DHCP，那就把本文当知识储备，先换可自定义的路由再回来。

镜像选择与版本边界

截至当前的最新版本，快连官方并未提供“NAS 专用”镜像，但社区已验证以下两条路径可稳定复现：

• linuxserver/wireguard + 官方配置文件：体积 80 MB，更新勤快，适合喜欢自己改内核参数的玩家。
• teddysun/v2ray-plugin + Alpine：体积 40 MB，仅跑透明代理，不含 privacy tool 内核，CPU 占用更低，但少了 AI 智能线路切换。

经验性观察：若你主要用 Netflix、Disney+，WireGuard 镜像更稳；若只是让 Slack、Google Scholar 秒开，v2ray-plugin 镜像就能胜任。注意：两者都不带快连账号，需要把官网下载的 .conf 或 .json 挂进容器 /etc/config 目录。

30 分钟上手：群晖 DSM 7.x 完整路径

1. 安装 Container Manager（老版本叫 Docker）

套件中心→搜索“Container Manager”→安装。桌面端路径相同；移动端需用 DSM mobile 网页，点左上角“☰”→套件中心。

2. 下载镜像并创建专用网络

macvlan 能让容器拿到独立局域网 IP，避免 NAT 二次封装带来的性能损失。注意把 subnet 换成你家网段，parent 对应 NAS 的物理口，用 SSH ifconfig 可查。

3. 启动容器并挂载配置

/volume1/docker/quicklink 里提前放入 quicklink.conf，容器启动后会自动加载。LOCAL_NETWORK 变量告诉脚本哪些 IP 要走代理，其余直连。

4. 主路由改 DHCP 默认网关

登录主路由→DHCP 设置→默认网关改为 192.168.1.254；DNS 可保持自动，也可填 8.8.8.8,1.1.1.1。保存后重连 Wi-Fi，手机访问 ipinfo.io，若显示“QuickLink ASN”即成功。

30 分钟上手：QNAP QTS 5.x 差异点

Container Station 已预装，无需额外套件。网络模式选“Host”+“MAC VLAN”二选一即可，但 Host 模式需手动开 TUN 驱动：控制台→网络&文件服务→网络→高级→允许容器使用 TUN。

挂载路径用 /share/Container/quicklink，注意 QNAP 路径带 /share 前缀；其余 docker run 命令与群晖完全一致。

30 分钟上手：Unraid 6.12 社区模板

Community Apps 里搜索“WireGuard”→选 linuxserver 镜像→Template 填“192.168.1.254/24”→添加变量 LOCAL_NETWORK=192.168.1.0/24 即可。Unraid 默认已开 TUN，无需额外驱动。

验证与观测：4 个必看指标

1. 容器日志：docker logs -f quicklink，若看到“Handshake received”说明隧道已通。
2. 延迟：在局域网 PC ping 1.1.1.1，对比直连与走容器，经验性观察差值应 ≤10 ms，否则检查 CPU 是否满载。
3. 速度：用 speedtest.net 测三次，取中位数；若掉速>20%，先关容器“Kill Switch”再测，排除脚本误杀。
4. 泄露：浏览器访问 dnsleaktest.com，应仅显示快连 DNS，若出现本地运营商 DNS，说明透明代理规则未命中。

常见故障排查表

何时不该用旁路由透明代理

1. 主路由为运营商锁死光猫，无法改 DHCP；2. 上行带宽<5 Mbps，多人同时 4K 会议；3. 公司合规要求“每台终端必须装官方客户端并留日志”；4. NAS 为单盘位低功耗 ARM，内存 1 GB，容器一跑就 OOM。

出现以上任一情况，建议退回“单设备客户端”或“主路由刷固件”方案，别硬刚。

与第三方工具协同的最小权限原则

若你想让 Home Assistant、AdGuard、Unbound 也跑在 NAS，务必给它们单独 macvlan IP，别让一堆容器共用 Host 网络。否则一旦 AdGuard 把 53 端口占死，快连的私有 DNS 会启动失败，表现为网页能开但域名全超时。

经验性观察：先起快连，再起 AdGuard，并在 AdGuard 上游 DNS 指向快连容器 IP，可做到“去广告+透明代理”双栈，CPU 占用仅增加 5%。

性能调优 3 个小开关

1. 在 /etc/config/wireguard.conf 里把 MTU 改为 1420，避免主路由 PPPoE 再分包。
2. 开启容器“host”模式的 UDP offloading：ethtool -K eth0 rx-udp_tunnel-port-offload on，可降低游戏包延迟约 5 ms。
3. 若 NAS 为 x86，加载 aesni_intel 内核模块，WireGuard 的 chacha20 会切到 AES-NI，CPU 占用再降 10%。

回退与卸载：如何 5 分钟恢复原网

1. 主路由 DHCP 默认网关改回 192.168.1.1；2. 关闭 Container Manager/Container Station；3. SSH 执行 docker stop quicklink && docker rm quicklink；4. 删除 /volume1/docker/quicklink 配置目录。全部操作可在家人无感的情况下完成，适合“凌晨发版失败”紧急回滚。

最佳实践检查表（可直接打印贴机柜）

FAQ（使用 FAQPage Schema）

总结与下一步

旁路由透明代理把“装客户端”这件事从终端搬到了 NAS，一次性解决全屋设备的出海需求。只要主路由能改 DHCP、NAS 内存够，30 分钟就能跑起来；性能调优后，4K 流媒体、游戏、远程办公都能无感加速。

下一步建议：先用检查表自检环境→按本文命令逐行复制→跑完验证四件套→把 FAQ 收藏到浏览器书签。若真遇到冷门报错，带上 docker logs 去快连 GitHub 提 issue，官方社区 48 小时内基本有回复。祝你部署顺利，早日实现“回家即出海”。