PassWall2 完全配置教程:iStoreOS 从零到能访问 Google 的最短路径
视频主要目标
Section titled “视频主要目标”在 iStoreOS 软路由上部署 PassWall2 26.5,实现路由器级透明代理:境内流量直连不绕路,境外受限流量自动经由代理出口,接入路由器的所有设备无需任何客户端配置。
- 通过官方签名 opkg 源完成 PassWall2 及全部依赖安装
- 导入订阅链接并获取可用出口节点列表
- 配置 China 直连规则(geoip:cn + geosite:cn)
- 配置代理兜底规则,验证 Google 可正常访问
视频主要内容
Section titled “视频主要内容”- 一键写入 PassWall 官方 Feed 并安装
- 导入订阅链接,拉取节点列表
- 启用代理,选定出口节点
- 配置 China 直连 + 代理兜底分流规则
- 全链路四连验证
iStoreOS系统固件官方下载地址(一定要从官网下载,确保固件干净、安全): https://site.istoreos.com
- 代理订阅 URL
第一步:添加 PassWall Feed 并安装
Section titled “第一步:添加 PassWall Feed 并安装”1)SSH 登录路由器
Section titled “1)SSH 登录路由器”SSH 工具连接软路由,用户名:root,密码:登录后台的密码
2)导入签名公钥
Section titled “2)导入签名公钥”wget -O ipk.pub https://sourceforge.net/projects/openwrt-passwall-build/files/ipk.pub/downloadopkg-key add ipk.pub3)添加软件源(正式版)
Section titled “3)添加软件源(正式版)”自动识别架构和版本:
read release arch << EOF$(. /etc/openwrt_release ; echo $DISTRIB_RELEASE $DISTRIB_ARCH)EOFrelease="$(echo "$release" | sed -E 's/^([0-9]+\.[0-9]+).*/\1/')"sed -i '/passwall/d' /etc/opkg/customfeeds.conffor feed in passwall_luci passwall_packages passwall2; do echo "src/gz $feed https://master.dl.sourceforge.net/project/openwrt-passwall-build/releases/packages-$release/$arch/$feed" >> /etc/opkg/customfeeds.confdone这段命令会自动往 /etc/opkg/customfeeds.conf 写入 3 行源:
- passwall_luci — Web 界面
- passwall_packages — 依赖组件(sing-box / xray-core 等)
- passwall2 — PassWall2 主程序
4):安装 LuCI 界面 + 代理内核 + 语言包
Section titled “4):安装 LuCI 界面 + 代理内核 + 语言包”opkg updateopkg install luci-app-passwall2 xray-core sing-box luci-i18n-passwall2-zh-cn💡 xray-core 是最主流的代理内核,也可换成
sing-box或同时安装两者。luci-app-passwall2 本身不自动拉取内核,必须显式安装。
第二步:导入订阅,拉取节点列表
Section titled “第二步:导入订阅,拉取节点列表”刷新浏览器,进入 LuCI → Services → PassWall2 → 节点订阅。
点击 添加,填写:
| 字段 | 填法 |
|---|---|
| 备注 | 随意,如 my-sub |
| URL | 粘贴订阅链接 |
| 自动更新 | 开启,间隔 24 小时 |
保存并应用 → 点击 手动更新
第三步:启用代理,指定出口节点
Section titled “第三步:启用代理,指定出口节点”进入 基本设置 → 主要 标签:
- 主开关 → 开启
- 节点 → 下拉列表有两种模式,按需选择:
| 模式 | 下拉中显示 | 效果 |
|---|---|---|
| 单节点 | Xray Socks: [节点名] 等具体节点 | 所有流量走这个节点,无分流 |
| Xray 分流 | Xray 分流: [xxx] | 按规则路由:国内直连、境外走代理 |
- 选「Xray 分流: [xxx]」→ 点旁边的「编辑」按钮,进入第四步的分流配置页
📌 DNS 配置在独立的 DNS 标签页,默认值(直连查询策略 UseIP、远程 DNS 1.1.1.1)对新手已够用,无需改动。
第四步:配置分流规则
Section titled “第四步:配置分流规则”分两个位置完成:先在「规则管理」定义匹配条件,再在「Xray 分流节点」分配出口。
4.1 在「规则管理」中新建 3 条规则
Section titled “4.1 在「规则管理」中新建 3 条规则”进入顶部菜单「规则管理」→ 逐条点「添加」,每条只填备注和对应字段,其余保持默认:
| 备注 | 域名字段填写 | IP 字段填写 | 作用 |
|---|---|---|---|
reject-ads | geosite:category-ads-all | (留空) | 广告域名 |
private-direct | (留空) | geoip:private | 局域网 / NAS |
china | geosite:cn | geoip:cn | 国内 IP / 域名 |
📌 兜底代理规则不需要单独创建——Xray 分流节点映射表里的「默认」行就是兜底,代替原设计中的
proxy-default。
4.2 在「Xray 分流节点」中分配出口
Section titled “4.2 在「Xray 分流节点」中分配出口”回到「基本设置 → 主要」→ 节点旁点「编辑」→ 进入分流节点配置页。
上半部分全局设置保持默认(域名解析策略 IPOnDemand、FakeDNS 关闭、直连 DNS 写入 IPSet 开启、GeoIP 数据解析开启)。
下半部分映射表:3 条新建规则会出现在列表中,按以下顺序和出口配置(顺序影响优先级,拒绝规则须最靠前):
| 规则 | 节点(出口) | 说明 |
|---|---|---|
reject-ads | 黑洞(屏蔽) | 广告请求直接丢弃 |
private-direct | 直连 | 局域网不走代理 |
china | 直连 | 国内 IP/域名 直连 |
| 默认 | 选你的代理节点 | 兜底:其余全走代理 |
💡 「关闭(不使用)」≠ 直连,表示该规则行不生效、流量继续向下匹配。给规则分配「直连」必须在节点下拉里明确选「直连」。
点右下角 保存并应用。
📌 ChatGPT / Netflix / Steam 不在 geosite:cn 内,自动落到「默认」行走代理,只要节点支持即可访问。下期进阶视频讲如何为它们指定专属节点分组。
第五步:全链路四连验证
Section titled “第五步:全链路四连验证”从接入路由器的设备(手机 / 电脑)上逐项确认:
| 验证项 | 方法 | 期望结果 | 不达标 → 回哪步 |
|---|---|---|---|
| 代理出口 | 浏览器访问 google.com | 正常加载,无超时 | 第三步:在基本设置中重新选延迟低的节点 |
| 国内直连出口 | 浏览器访问 https://ip.skk.moe | 「国内侧」显示你的家庭宽带 ISP,「国外侧」显示代理节点的境外 IP | 第四步:检查 china行出口是否设为「直连」 |
| 局域网 | 访问局域网地址 | 正常访问,无超时 | 第四步:检查 private-direct 行出口是否设为「直连」 |
⚠️ 免责声明:本教程仅供技术学习与网络安全研究交流,请遵守您所在国家/地区的相关法律法规及目标平台的服务条款,切勿用于任何违法用途。