爱快 iKuai 科学上网新思路，扔掉旁路由！

This topic created in 51 days ago, the information mentioned may be changed or developed.

在过去，大多数教程都提到，使用 iKuai 的同时如果想要实现科学上网，通常需要额外配备一个 Openwrt 旁路由专门负责特定设备，这些设备通常需要把网关和 DNS 修改为旁路由 IP ，虽然同样能达成目标。而流控是 iKuai 一直以来宣传的强项，但这样一来，iKuai 几乎在网络结构中失去了意义。

前段时间我写了一个基于 Mesh 思路的网络面板HY2 SCALE。在设计初期，出口代理包含了常规 VPN 协议 L2TP/IKEv2 ，这也意味着它几乎可以原生接入 iKuai ，并借助 iKuai 的流控把特定应用分流到特定节点，不必再额外加一层旁路由、抬高整体网络复杂度。

这个项目本来并不是专门为 iKuai 准备的，但我注意到可以和 @joyanhui 大佬的ikuai-bypass分流规则自动导入工具配合，实现真正“扔掉旁路由”。

在先前的主题已对 Mesh 的实现和相关概念展开了介绍。本主题主要分享关于在 iKuai 系统上结合HY2SCALE和ikuai-bypass的分流使用，所以发在宽带疑症群节点。以下内容围绕 iKuai v4 （免费版或企业版均可）进行，确保你正在使用 iKuai v4 ，例如图中为 4.0.211-beta 企业版。

如果你拥有自己的海外 VPS ，只需在本机（或 iKuai 应用市场）部署后，任意一方连接对方；如果你的服务商直接提供了 Hysteria2 协议的节点，在面板中可直接作为 NATIVE 进行添加。

你可以在这里找到HY2SCALE和ikuai-bypass用于 iKuai v4 的应用市场安装包 ipkg： https://github.com/FrankoonG/hy2scale/releases https://github.com/joyanhui/ikuai-bypass/releases

图中表示在 iKuai v4 以插件的方式安装了 HY2SCALE 和 ikuai-bypass（自动导入用于区分国内外流量的域名/IP 列表供分流使用）

如果你正在使用 iKuai 企业版 v4 ，你可以使用性能更高的 IKEv2 与 iKuai 进行对接，首先需要配置 iKuai 的内置证书。以下将以 IKEv2 的对接为例。

在 HY2SCALE 里配置你机场提供的 hysteria2 协议的节点，演示图中我预配置了不同地区的多跳节点，我选择了us/us-east/us-east-va，给用户 frank 作为出口路由。iKuai 的 IKEv2 客户端（ L2TP 同理）配置 frank 用户名。图三成功获取到本地 IP 即为连接成功。

简单配置 ikuai-bypass 后，我这里配置了域名规则的出口指向 iKuai 的 VPN 客户端的接口名称iked_h2s_us。如果分流生效后，你的内网终端将经过us/us-east/us-east-va（美国东部）节点上网。

注意事项

与 iKuai 之间的 L2TP/IKEv2 的连接可能会因为较长时间断开连接导致下次启动 HY2SCALE 后也无法获取到本地 IP ，此时只需要手动停止，再启动 VPN 客户端即可。
将 HY2SCALE 安装在 iKuai 里不是必须的，安装在同内网的其它主机和正确配置容器权限，iKuai 网关同样可以连接 L2TP/IKEv2 。
如果在 WSL 的容器环境，L2TP 因为缺少对应内核模块，只能使用 IKEv2 。需要确保 iKuai 为企业版。
当前 iKuai 免费版和企业版仍然处于测试中，可能因为偶然系统更新导致插件失效。即使未来 iKuai 进一步收紧应用市场权限，正如上面所说，你仍然可以安装在第二台主机上由 iKuai 连接。

Supplement 1 · Apr 23

经网友提醒，已确认iKuai v4免费版只允许安装1个本地应用，而企业版是无限制的~~（爱快你这么做真的合理吗？本就已经功能残缺的免费版，有必要再补这一刀吗？）~~。

如果是免费版，可以只安装一个HY2SCALE，因为需要用到一些权限；而ikuai-bypass可以直接从docker部署，不会有任何功能缺失。

ikuai

科学上网

分流

15 replies

feunterban

Apr 22

有必要吗？我是直接指定 cn ip 以外的流量通过虚拟 wan 到 openwrt 的

crime1024

Apr 22

免费版爱快可以用吗

dizhang

Apr 22

我是在爱快主路由里面用它自己的虚拟机功能虚拟一个 linux 系统，安装 immortalwrt ，里面科学，然后需要科学的设备指向这个 wrt 系统就可以了啊。

Frankom

Apr 22

@feunterban
@dizhang
这也是我开头提到的老方法，虽然很有效，但有很明显缺点。一是增加网络结构复杂度，openwrt 的插件不会一直稳定下去；二是虚拟机必然带来性能损耗。

openwrt 回程到 iKuai 作为 wan 是在 ikuai-bypass 后来探索出的路子，如果 iKuai 是物理机，还要额外浪费一个物理网口。如果是 aio 不在讨论范围内。

最重要的是，老方法绕一圈 openwrt ，但每次只能接一个节点，按这样的方法你如果需要连接多个节点，就需要同时开多个 openwrt 。可能你会说，把终端的网关和 DNS 指向 openwrt ，交给科学上网插件处理规则，但这样的话 iKuai 的意义在哪里呢，并且也无法保证 openwrt 稳定不崩溃。

网络结构向来都是越简单越好，这也是我这个思路的核心所在。

BlueFang

Apr 23

还是旁路由吧，用爱快分流的下一跳网关功能，指定 ip 分组的设备会从旁路由走数据，而家人的手机和其他公用设备例如小爱音箱之类走正常流量，旁路由瞎折腾搞掉线了也不会影响家人。

tallest

Apr 23

@crime1024 免费版只允许安装一个本地应用

PeiXyJ

Apr 23

为什么你的爱快样式和我的爱快样式不一样啊?

Frankom

Apr 23

@crime1024 免费版也是完全可用的。
@tallest 经过测试，这是确认属实的，感谢补充。这种情况可以只安装一个 HY2SCALE ，因为需要用到一些特殊权限，而 ikuai-bypass 可以完全在 docker 手动配置，最终也可以达成目标。

dizhang

Apr 23

@Frankom 多谢指点

a56143575

Apr 23

多谢指点

Mast

Apr 25

还是感谢分享，但是目前你这个方案还是太费劲了

Frankom

Apr 25

@Mast 可以说的详细点吗？具体在哪些步骤比较繁琐？

runishiwo

Apr 25

ikuaibypass 推荐的 ikuai op wan lan 互指挺好的，一直在用

Mast

Apr 25

@Frankom 哈哈，绝不是挑刺啊，兄弟你问我的，我就说几点
机场订阅链接无法一键导入（最大痛点）
HY2SCALE 当前只支持手动单个节点添加（ NATIVE 方式填 hysteria2:// 完整链接）。
机场通常给一堆订阅（ Clash/Hysteria2 订阅链接），你得自己解析订阅 → 一个一个复制粘贴节点进去。
没有批量导入功能，这是目前最反人类的地方，尤其是节点多的用户。
图形界面配置步骤多且分散
HY2SCALE 里要先加节点 → 创建用户 → 绑定出口 → 生成 VPN 凭证。
iKuai 里再去新建 IKEv2/L2TP 客户端，填用户名密码、服务器地址（ HY2SCALE 给的）。
ikuai-bypass 还要单独配规则出口指向具体 VPN 接口名（ iked_h2s_xxx ）。
来回切界面，容易搞错。

IKEv2 证书配置额外繁琐（企业版推荐方式）
需要按 Wiki 手动在 iKuai 里导入/生成证书，免费版只能用 L2TP （速度稍差）。
免费版限制
只能装一个本地 ipkg ，ikuai-bypass 得走 Docker ，多了额外步骤。
我觉得集成进去更方便

其他小问题：

连接断开后要手动重启 VPN 客户端。
规则更新依赖 ikuai-bypass 定时任务，初次调试要多试几次。

fengyaochen

Apr 26

旁路由挺好用，哪怕是 IPV6 也是可以搞成类似旁路由的