OpenWrt Pass Wall2 配置教程

前言

Pass Wall2 有以下优点:

  1. 完美解决 DNS 泄露 问题 。
  2. 完美支持 IPv4 / IPv6 双栈共存(无需关闭或禁止解析 IPv6 DNS 记录) 。
  3. 支持 IPv6 连接 zerotier 进行全隧道上网 。
  4. 内置 广告过滤(去广告) 功能 。
  5. 纯净独立运行,无需额外套用任何其他 DNS 插件

一、 规则管理(Xray 分流规则配置)

首先,我们需要在规则管理中删除所有默认规则,并严格按照优先级依次创建 Reject(拒绝)Direct(直连)Proxy(代理) 三条规则 。

⚠️ 重要提示(优先级问题): 规则的排序越靠上,优先级就越高。请务必保证最终的规则顺序为:Reject ➡️ Direct ➡️ Proxy

进入 OpenWrt 后台,点击 服务 ➡️ PassWall 2 ➡️ 规则管理 ➡️ Xray 分流规则

1. 添加 Reject(去广告)规则

  • 备注Reject
  • 网络TCP UDP
  • 域名:(填入下方内容,用于过滤广告) Plaintextgeosite:category-ads-all

2. 添加 Direct(直连/绕过)规则

  • 备注Direct
  • 网络TCP UDP
  • 域名:(填入下方内容,主要包含内网及国内域名) Plaintextxn–ngstr-lra8j.com geosite:private geosite:cn
  • IP:(填入下方内容,主要包含内网及国内 IP 范围) Plaintextgeoip:private geoip:cn

3. 添加 Proxy(国外代理)规则

  • 备注Proxy(或 Piroocy
  • 网络TCP UDP
  • 域名:(填入下方内容,用于国外域名走代理) Plaintextgeosite:geolocation-!cn

💡 规则释义参考表

| 填入的内容 | 实际作用 / 释义 | | geosite:category-ads-all | 去广告 | | xn--ngstr-lra8j.com | 谷歌商店(解决商店连接问题) | | geosite:private / geoip:private | 内网地址 / 内网 IP | | geosite:cn / geoip:cn | 国内域名 / 国内 IP | | geosite:geolocation-!cn | 国外域名(非中国大陆流量) |

二、 高级设置

点击导航栏的 高级设置 进行全局网络微调 :

  1. UDP 转发设置:如果不使用 UDP 代理,建议把 UDP 不转发端口 改成 ➖所有 即可 。
  2. TCP 转发设置:设置 TCP 转发端口仅网页(即仅允许代理 80443 这两个常用网页端口) 。
  3. TCP 代理方式:可以直接改成 TPROXY,或者保持默认的 REDIRECT(注:后续如果勾选了 IPv6 透明代理,系统会自动变更为 TPROXY) 。
  4. IPv6 代理:如果你的节点支持 IPv4/IPv6 互通,或者节点拥有 IPv6 的出口 IP,可以勾选 IPv6透明代理(TProxy),反之则不勾选 。

三、 修改节点配置(创建 Xray 分流总节点)

我们需要创建一个特殊的“分流总节点”,让流量根据我们在第一步设置的规则进行分发 。

点击 节点列表 ➡️ 添加或修改一个节点,将其配置为分流节点 :

  • 节点备注Xray分流:[分流总节点](或自定义易记名称)

  • 类型Xray

  • 协议名称分流

  • 分流规则对应设置

    1. Reject 设置为:黑洞(丢弃)
    2. Direct 设置为:直连(绕过)
    3. Proxy 设置为:默认(代理)

  • 默认(*默认):按照您自己的实际需求,选择一个您平时最常用的、能正常上网海淘的节点 。⚠️ 注:此处不要留空,必须选择一个有效的落地代理节点 。

  • 域名解析策略:设置为 AsIs(即跳过 IP 匹配,只匹配域名,极大提升解析和分流效率) 。

  • 域名匹配算法:保持默认的 hybrid

四、 基本设置与 DNS 配置

点击导航栏的 基本设置,切换到 DNS 选项卡 :

1. DNS 基础配置

  • 远程 DNS 协议:选择 DoH
  • 远程 DNS DoH:选择 CloudFlare(或其它标准安全 DNS)
  • 远程 DNS 出站:必须设置为 远程(走代理) 。💡 注释:远程 DNS 出站一定要走代理,否则直连大概率无法解析或不通,虽然会稍微增加一点点延迟,但能确保绝对安全、不泄露 。
  • FakeDNS 选项勾选 FakeDNS

2. DNS 工作原理解析

  • 匹配 Proxy 规则的域名:一旦匹配上代理规则,FakeDNS 模块会直接返回一个“假 IP”给客户端作为 DNS 响应(例如 198.18.0.0/16),最后将真实的域名请求直接打包发送给远端 VPS 节点,由 VPS 在它的海外网络环境中进行真正的 IP 解析 。
  • 未匹配 Proxy 规则的域名(如国内网站):会使用本地设置的 CloudFlare 远程 DNS 进行解析,获取真实 IP 并直连 。由于 Pass Wall2 开启了嗅探功能,它会探测 HTTP 请求里的真实域名,因此即使本地解析出的真实 IP 遭遇了 DNS 污染,也完全不会影响正常访问 。

🔍 如何验证 DNS 状态? 电脑打开 CMD 窗口,分别运行以下命令: * nslookup youtube.com ➡️ 查看是否返回 FakeIP 机制下的假 IP 。 * nslookup ipleak.net ➡️ 查看本地真实解析情况 。

五、 开启主开关

最后一步,切换回 基本设置主要 选项卡 :

  1. 节点选择:将 节点 一栏选择为您刚才创建的 Xray分流:[分流总节点]
  2. 主开关勾选 主开关
  3. 保存应用:点击页面底部的 保存并应用