在过去,大多数教程都提到,使用 iKuai 的同时如果想要实现科学上网,通常需要额外配备一个 Openwrt 旁路由专门负责特定设备,这些设备通常需要把网关和 DNS 修改为旁路由 IP ,虽然同样能达成目标。而流控是 iKuai 一直以来宣传的强项,但这样一来,iKuai 几乎在网络结构中失去了意义。
前段时间我写了一个基于 Mesh 思路的网络面板HY2 SCALE。在设计初期,出口代理包含了常规 VPN 协议 L2TP/IKEv2 ,这也意味着它几乎可以原生接入 iKuai ,并借助 iKuai 的流控把特定应用分流到特定节点,不必再额外加一层旁路由、抬高整体网络复杂度。
这个项目本来并不是专门为 iKuai 准备的,但我注意到可以和 @joyanhui 大佬的ikuai-bypass分流规则自动导入工具配合,实现真正“扔掉旁路由”。
在先前的主题已对 Mesh 的实现和相关概念展开了介绍。本主题主要分享关于在 iKuai 系统上结合HY2SCALE和ikuai-bypass的分流使用,所以发在 宽带疑症群 节点。以下内容围绕 iKuai v4 (免费版或企业版均可)进行,确保你正在使用 iKuai v4 ,例如图中为 4.0.211-beta 企业版。 
如果你拥有自己的海外 VPS ,只需在本机(或 iKuai 应用市场)部署后,任意一方连接对方;如果你的服务商直接提供了 Hysteria2 协议的节点,在面板中可直接作为 NATIVE 进行添加。
你可以在这里找到HY2SCALE和ikuai-bypass用于 iKuai v 的应用市场安装包 ipkg: https://github.com/FrankoonG/hy2scale/releases https://github.com/joyanhui/ikuai-bypass/releases
图中表示在 iKuai v4 以插件的方式安装了 HY2SCALE 和 ikuai-bypass(自动导入用于区分国内外流量的域名/IP 列表供分流使用)
如果你正在使用 iKuai 企业版 v4 ,你可以使用性能更高的 IKEv2 与 iKuai 进行对接,首先需要配置 iKuai 的内置证书。以下将以 IKEv2 的对接为例。 
在 HY2SCALE 里配置你机场提供的 hysteria2 协议的节点,演示图中我预配置了不同地区的多跳节点,我选择了us/us-east/us-east-va,给用户 frank 作为出口路由。iKuai 的 IKEv2 客户端( L2TP 同理)配置 frank 用户名。图三成功获取到本地 IP 即为连接成功。 
简单配置 ikuai-bypass 后,我这里配置了域名规则的出口指向 iKuai 的 VPN 客户端的接口名称iked_h2s_us。如果分流生效后,你的内网终端将经过us/us-east/us-east-va(美国东部)节点上网。
注意事项
- 与 iKuai 之间的 L2TP/IKEv2 的连接可能会因为较长时间断开连接导致下次启动 HY2SCALE 后也无法获取到本地 IP ,此时只需要手动停止,再启动 VPN 客户端即可。
- 将 HY2SCALE 安装在 iKuai 里不是必须的,安装在同内网的其它主机和正确配置容器权限,iKuai 网关同样可以连接 L2TP/IKEv2 。
- 如果在 WSL 的容器环境,L2TP 因为缺少对应内核模块,只能使用 IKEv2 。需要确保 iKuai 为企业版。
- 当前 iKuai 免费版和企业版仍然处于测试中,可能因为偶然系统更新导致插件失效。即使未来 iKuai 进一步收紧应用市场权限,正如上面所说,你仍然可以安装在第二台主机上由 iKuai 连接。
第 1 条附言 2 天前
经网友提醒,已确认iKuai v4免费版只允许安装1个本地应用,而企业版是无限制的(爱快你这么做真的合理吗?本就已经功能残缺的免费版,有必要再补这一刀吗?)。
如果是免费版,可以只安装一个HY2SCALE,因为需要用到一些权限;而ikuai-bypass可以直接从docker部署,不会有任何功能缺失。
 | 1 feunterban 3 天前 有必要吗?我是直接指定 cn ip 以外的流量通过虚拟 wan 到 openwrt 的 |
 | 2 crime1024 3 天前 免费版爱快可以用吗 |
 | 3 dizhang 3 天前 我是在爱快主路由里面用它自己的虚拟机功能虚拟一个 linux 系统,安装 immortalwrt ,里面科学,然后需要科学的设备指向这个 wrt 系统就可以了啊。 |
 | 4 Frankom OP @feunterban @dizhang 这也是我开头提到的老方法,虽然很有效,但有很明显缺点。一是增加网络结构复杂度,openwrt 的插件不会一直稳定下去;二是虚拟机必然带来性能损耗。 openwrt 回程到 iKuai 作为 wan 是在 ikuai-bypass 后来探索出的路子,如果 iKuai 是物理机,还要额外浪费一个物理网口。如果是 aio 不在讨论范围内。 最重要的是,老方法绕一圈 openwrt ,但每次只能接一个节点,按这样的方法你如果需要连接多个节点,就需要同时开多个 openwrt 。可能你会说,把终端的网关和 DNS 指向 openwrt ,交给科学上网插件处理规则,但这样的话 iKuai 的意义在哪里呢,并且也无法保证 openwrt 稳定不崩溃。 网络结构向来都是越简单越好,这也是我这个思路的核心所在。 |
5 BlueFang 2 天前 还是旁路由吧,用爱快分流的下一跳网关功能,指定 ip 分组的设备会从旁路由走数据,而家人的手机和其他公用设备例如小爱音箱之类走正常流量,旁路由瞎折腾搞掉线了也不会影响家人。 |
1 | 7 PeiXyJ 2 天前 为什么你的爱快样式和我的爱快样式不一样啊? |
| 8 Frankom OP |
 | 10 a56143575 2 天前 多谢指点 |
 | 11 Mast 19 小时 0 分钟前 还是感谢分享,但是目前你这个方案还是太费劲了 |
 | 13 runishiwo 9 小时 54 分钟前 ikuaibypass 推荐的 ikuai op wan lan 互指挺好的,一直在用 |
| 14 Mast 8 小时 39 分钟前 @Frankom 哈哈,绝不是挑刺啊,兄弟你问我的,我就说几点 机场订阅链接无法一键导入(最大痛点) HY2SCALE 当前只支持手动单个节点添加( NATIVE 方式填 hysteria2:// 完整链接)。 机场通常给一堆订阅( Clash/Hysteria2 订阅链接),你得自己解析订阅 → 一个一个复制粘贴节点进去。 没有批量导入功能,这是目前最反人类的地方,尤其是节点多的用户。 图形界面配置步骤多且分散 HY2SCALE 里要先加节点 → 创建用户 → 绑定出口 → 生成 VPN 凭证。 iKuai 里再去新建 IKEv2/L2TP 客户端,填用户名密码、服务器地址( HY2SCALE 给的)。 ikuai-bypass 还要单独配规则出口指向具体 VPN 接口名( iked_h2s_xxx )。 来回切界面,容易搞错。 IKEv2 证书配置额外繁琐(企业版推荐方式) 需要按 Wiki 手动在 iKuai 里导入/生成证书,免费版只能用 L2TP (速度稍差)。 免费版限制 只能装一个本地 ipkg ,ikuai-bypass 得走 Docker ,多了额外步骤。 我觉得集成进去更方便 其他小问题: 连接断开后要手动重启 VPN 客户端。 规则更新依赖 ikuai-bypass 定时任务,初次调试要多试几次。 |
Select Language