1. 前言与痛点
对于经常往返于国内外、或者从海外回国探亲办公的开发者与商务人士来说,回国上面临的最大痛点之一就是:如何稳定、无感地访问海外的开发环境、SaaS 服务以及协作工具(如 GitHub、Slack、Google Workspace 等)。
虽然电脑端可以通过安装各类代理客户端解决,但遇到以下场景时就会捉襟见肘:
- 多设备协作(手机、平板、电脑、开发板需要同时连接)。
- 临时出差,居住在酒店或没有固定宽带的场所,只能依赖手机热点。
- 客户端软件容易出现断连、DNS 污染或部分软件不走代理的问题。
本文将分享一套极其灵活且强大的移动网络解决方案:使用便携式 Wi-Fi 6 路由器 GL-iNet GL-MT3000 (Beryl AX),通过无线中继连接手机热点作为外网源,配合 HomeProxy (Sing-box 内核) 开启 TUN 模式 (接管 TCP/UDP),后端节点走 WebSocket (WS) 协议 传输,实现局域网设备下连即无感打通海外网络。
2. 方案架构与网络拓扑
本方案的核心思想是**“网关级透明代理”**。所有的代理握手、分流、DNS 解析都在路由器上完成,电脑和手机只需要连接路由器的 Wi-Fi 即可,不需要安装任何客户端。
graph LR
SubGraph1[本地局域网] --> Router[GL-MT3000 路由器]
PC[电脑 / 终端] -->|Wi-Fi / 网线| Router
PhoneHotspot[手机蜂窝网 + 热点] -.->|无线中继 WISP| Router
Router -->|WebSocket over TLS| VPS[海外代理服务器]
VPS -->|访问外网| Internet[海外互联网]
style Router fill:#f9f,stroke:#333,stroke-width:2px
style PhoneHotspot fill:#bbf,stroke:#333,stroke-width:2px
- 路由器:GL-iNet GL-MT3000 (Beryl AX),基于 MediaTek Filogic 820 芯片,出厂预装定制版 OpenWrt,性能强劲,处理加密流量毫无压力。
- 软件客户端:HomeProxy(基于 Sing-box),是目前 OpenWrt 社区中最推崇的原生透明代理插件之一。
- 传输层:WebSocket (WS) 协议。在手机热点这种移动通信 NAT 环境下,WS 协议具有较强的抗干扰性和稳定性。
3. 详细配置步骤
第一步:路由器无线中继(Repeater)连接手机热点
由于回国途中经常处于移动状态,手机蜂窝网是最方便的出口。
- 手机端准备:打开手机的“个人热点”,建议选择“最大兼容性”(即使用 2.4GHz 频段,若热点信号稳定可使用 5GHz 选项)。
- 路由器端连接:
- 登录 GL-MT3000 的后台控制面板(默认通常是
192.168.8.1)。 - 进入 “互联网” (Internet) 菜单,在 “无线中继” (Repeater) 板块中点击“扫描”。
- 找到并选择你的手机热点 SSID,输入密码,点击连接。
- 连接成功后,GL-MT3000 会将手机热点作为它的
WAN口,获取手机分配的局域网 IP。
- 登录 GL-MT3000 的后台控制面板(默认通常是
[!TIP] 手机中继模式下,建议在路由器后台将 “自动重新连接” 开启,防止手机锁屏或断开后路由器无法自动重连。
第二步:配置海外节点(WebSocket 协议)
确保你的节点服务端已配置好 WebSocket 传输层协议。以 HomeProxy 为例进行配置:
- 登录 OpenWrt 的 LuCI 界面,进入 Services -> HomeProxy。
- 切换到 “节点” (Nodes) 选项卡,点击添加节点。
- 配置参数要点:
- 协议 (Protocol):选择你的服务端协议(如 VMess / VLESS / Trojan / Shadowsocks)。
- 地址 (Address) & 端口 (Port):填入海外服务器的域名或 IP。
- 传输层配置 (Transport):
- 将传输类型设置为 WebSocket (ws)。
- Host:填写伪装域名。
- Path:填写你服务端设定的 WebSocket 路径(例如
/ray)。 - TLS 开启:建议勾选并配置正确证书以提高隐蔽性。
第三步:配置 HomeProxy 运行模式与 DNS
这一步是打通网络并防止 DNS 污染的关键。
1. 路由与代理模式(Routing Mode)
进入 HomeProxy 的主设置界面:
- 运行模式 (Running Mode):选择 “TUN 模式”。
- 协议支持:确保 TCP 和 UDP 同时勾选。TUN 模式会创建虚拟网卡,不仅能完美代理 TCP,对于语音、视频会议等强依赖 UDP 传输的场景也能全量代理。
- 代理模式 (Proxy Mode):选择 “规则分流”(Rule-based,国内流量直连,国外流量代理),或者在回国初期需要强代理时选择 “全局代理” (Global)。
2. DNS 配置
DNS 泄露和污染是回国网络不通的主要原因之一。在 HomeProxy 的 DNS 设置中:
- 国内 DNS (Direct DNS):可配置为腾讯的
119.29.29.29或阿里的223.5.5.5。 - 国外 DNS (Routed/Proxy DNS):手动指定为 Google DNS
8.8.8.8,并确保其解析请求全部路由至海外代理节点进行远端解析。这能有效绕过国内运营商的 DNS 劫持。
第四步:电脑端连接与验证
配置完成并保存应用 HomeProxy 后,所有的准备工作就结束了。
- 设备连接:电脑通过 Wi-Fi 连接到 GL-MT3000 路由器的无线网络。
- 测试连接:
- 电脑端打开终端,运行
ping 8.8.8.8或通过浏览器访问海外 IP。 - 访问
ipinfo.io检查出口 IP。此时,你应该会发现出口 IP 已经变成了你的海外代理服务器 IP。 - 尝试打开 GitHub、Slack 等服务,网络能够无缝加载,且无任何多余跳转。
- 电脑端打开终端,运行
4. 方案优化与避坑指南 (Troubleshooting)
在实际使用移动热点+路由代理时,你可能会遇到以下几个坑,可以通过这些手段进行优化:
1. 移动网络下的 MTU 问题
由于手机热点在蜂窝网络的基础上又进行了一次无线封装,可能导致数据包过大而被运营商丢弃,现象是**“能握手,但打开网页极慢或部分图片无法加载”**。
- 解决方案:在 OpenWrt 虚拟网卡或 HomeProxy TUN 接口中,将 MTU(最大传输单元) 从默认的 1500 调低到
1360或1400,能够大幅提升热点网络下的握手成功率。
2. 手机个人热点自动休眠
许多手机(特别是 iPhone)在没有检测到活跃的下挂设备一段时间后,会自动关闭个人热点广播。
- 解决方案:可以让电脑或路由器在后台保持微弱的发包(如
ping),或者在不需要使用时保持手机屏幕停留在“个人热点”页面。
3. 热点断连后快速切换
如果在户外或者酒店,除了手机热点,有时也有商用 Wi-Fi。GL-MT3000 支持多中继配置与优先级排序。你可以把常用的手机热点、酒店 Wi-Fi 都录入路由器的保存列表中,它会自动扫描并连接信号最强、可用度最高的 WAN 源。
5. 结语
通过 GL-MT3000 + 手机热点 + HomeProxy (TUN / WS) 的强强联合,我们用最低的硬件成本和最高的灵活性,实现了一个完全独立于本地物理宽带的“出海”网络网关。
这套方案不仅免去了每台设备单独安装客户端的烦恼,更利用了 TUN 模式和远端 DNS 解析实现了接近原生海外网络的无感体验。对于经常跨国差旅的极客和工程师,这无疑是行李箱中必不可少的“网络生存包”。
