旁路全自动透明代理 + 智能DNS的最佳实践和配置指导。下面为你提供详尽方案（以OpenWRT为例，也适用于常见N1盒子、斐讯、多种软路由等），涵盖网络结构、插件选择、核心配置、无感体验等全部细节。

1. 网络结构与目标

结构示意

Copy

1[终端设备们]
2   |
3[交换机/主路由]
4   |
5[主路由 (192.168.1.1)]
6   |
7[旁路盒子 (OpenWRT, 静态IP 192.168.1.2)]
8   |
9[互联网/VPN/代理节点]
10

• 旁路盒子通过LAN口连接，与主路由同网段
• 内网终端默认网关仍为主路由（192.168.1.1），无需改动
• 旁路有能力做：
  • 智能DNS（如 SmartDNS、AdGuard Home）
  • 透明代理（如 Passwall、Clash、SSR Plus）

2. 插件建议

• 透明代理：Clash、Passwall、SSR Plus、ShellClash（任选其一）
• 智能DNS：SmartDNS 或 AdGuard Home
• 旁路大师或类似“旁路路由脚本”简化配置

3. 部署思路与关键配置

1. 旁路盒基本设置

• LAN口静态IP，如192.168.1.2
• 关闭DHCP（极重要），确保主路由发放IP
• 网关和DNS设置为主路由（192.168.1.1），以便自身科学上网无障碍

2. 旁路“透明代理”配置

方案一：ARP欺骗 + 透明分流

• 使用旁路插件内置的ARP欺骗功能（ShellClash/旁路大师等）
• 旁路向全网广播，把网关（192.168.1.1）的MAC响应劫持成自己
• 终端HTTPS/TCP流量默认第一跳变为旁路盒
• 配置**“透明代理”模式**：
  • 国内流量直连
  • 国外（需要科学上网的域名/IP）走代理/VPN节点
  • 旁路盒自动分流，不需终端手动配置任何代理
• 下线即恢复：旁路断电/掉线时，ARP条目恢复，终端流量自动回主路由

方案二：物理桥接（串联）

（适合软路由或旁路盒有两个网口场景）

• 旁路盒WAN口连接主路由LAN，LAN口进交换机，实现真正桥接
• 所有流量必经旁路，转发策略与上同

方案三：策略路由/静态路由（高阶）

• 在主路由端配置静态路由或策略路由，将全部/部分流量转发至旁路盒进行透明代理
• 适用高阶场景，大众推荐用前两种方式更方便

3. 智能DNS配置

• 安装 SmartDNS/AdGuard Home，监听 192.168.1.2:53
• 配置国内DNS（如114.114.114.114等），国外DNS（1.1.1.1 / 8.8.8.8等公用）
• 设置“国内域名优先用国内DNS，国外域名优先用国外DNS”
• 加载加速/广告规则
• （可选）开启 DoH/DoT 加密功能

4. 主路由 DHCP 配置为“智能DNS优先”

• 在主路由DHCP设置中，把DNS分配为192.168.1.2
  例如 OpenWRT 下填写 6,192.168.1.2
  小米/华为/TP-Link等一般可以在“DHCP选项自定义”或者“手动指定DNS”填写
• 主路由和旁路盒设置成“禁止DNS污染”，避免补漏流量

4. 工作流程总结

1. 终端自动获取主路由分配的IP & 网关（通常是192.168.1.1）
2. DNS全部指向旁路盒（192.168.1.2），解析时：
   • 国内域名返回国内IP
   • 国外域名返回可访问IP
3. 启动透明代理，旁路盒分流所有科学上网流量（TCP/UDP代理规则可自定义）
4. 插上旁路盒即全网透明分流+智能DNS，无需终端手动设置
5. 拔掉或关闭旁路盒时，全网设备自动还原为主路由出网和主路由DNS，无需手动恢复（实现“无感”体验）

5. 实用插件/界面推荐

• 旁路智能DNS：SmartDNS/AdGuard Home（均有Web管理界面，支持日志与规则管理）
• 旁路代理：Passwall、Clash、SSR Plus 均有OpenWRT Luci界面可配置
• 一键旁路策略：ShellClash、旁路路由大师，有傻瓜式一键部署分流界面

6. 配置成功后检测方法

• 用 ip111.cn、ip.cn，国内外B站/油管/奈飞等测试分流和解析效果
• 关掉旁路盒，刷新DNS、切断电源，测试设备是否能自动恢复主路由模式（无感切换）

7. 安全与维护建议

• 旁路盒建议用优质电源，有条件可以加UPS，提升高可用，避免旁路盒掉电影响内网自动切换体验
• 保持旁路盒更新，关注插件安全补丁