第一步先禁用LAN、WAN的ipv6，因为目前此方案的透明代理模式不支持ipv6，如果存在ipv6网络可能会有各种尴尬的问题：

LAN口设置里，将这三个改成已禁用即可：

至于禁用WAN口ipv6，如果你不需要路由器自身翻墙，则可以忽略这一步，否则：

①看看WAN6口有没有获取到IPv6地址，如果均没有跳到③，如果有跳到②；

②删掉WAN6口，保存，重连WAN口，稍等一会儿再看WAN口有没有ipv6，如果没有就完成设置了，如果有，跳到③

③修改WAN口设置，在高级设置里把获取ipv6地址改成禁用

PS：如果你想搞得彻底点，可以不管上面的步骤，直接在/etc/sysctl.conf里面添加两行：

切换到“服务器管理”选项卡，点击“添加”来增加一个服务器配置信息。你也可以同时添加多个服务器配置信息，如下图：

添加一个服务器配置后，就要填写服务器配置（如下图），服务器地址、服务器端口、密码、加密方式是必须的。建议在别名中为当前配置文件起一个名字；填入信息后保存&应用。插件名称和插件参数留空，因为插件的使用不是本文的讨论范围。 服务器地址需要填入IP地址。

接着切换到“访问控制”页面，一种配置举例如下图（ 不要抄图中的设置，每个人的情况不同，请参考下文的说明，根据自己情况设置！ ）：

简单的说明一下图中配置的应用场景：

路由器多人共用，只有我使用shadowsocks，因此设置“代理类型”为“直接连接”，此时连入路由的设备访问网络时候默认直连，不走shadowsocks；而我有一台PC、一部手机、一台平板需要走代理，在“内网主机”中配置这三台设备的IP的代理类型为“正常代理”，还有一台PS4，联网游戏需要全局代理，设置他的IP（图中192.168.X.102）的代理类型为“全局代理”；还有一台下载机和一个物联网监控设备，不能让它们走代理，设置他们的IP（192.168.X.103/105）为“直接连接”。

具体使用时，需要根据自己的情况设置。多数情况设置代理类型为“正常代理”即可。具体每个选项的解释如下：

外网区域：控制访问哪些外网地址时走代理/不走代理

忽略列表文件 ：访问在这个列表中的IP时，不经过shadowsocks代理。这个方案使用chnroute文件作为忽略文件，只有配置了这个文件，shadowsocks才可以自动区分国内和国外IP。由于安装ChinaDNS的带有这个路由表文件，就选择“ChinaDNS路由表”。

不过这个列表需要定期更新，ChinaDNS安装时候附带的那个比较老旧了，需要更新，执行以下命令手动更新（建议ss开启时候更新，更新完后记得重启ss），请确保看到进度条走满，并检查最终的 / etc / chinadns_chnroute . txt 文件，文件中应该是每行一个CIDR。更新过程如果中断，请重试，更新前请备份之前的文件以免出问题。更新完成后，需要重启shadowsocks。

强制走代理IP ：这个列表中的IP强制走shadowsocks代理，填入8.8.8.8和8.8.4.4，其他按需添加。

内网区域：控制连入路由的设备访问网络时候的代理方式

共三种代理方式可选：

1.正常代理：使用外网区域设置的方式。

2.直接连接：忽略外网区域的设置，不走代理。

3.全局代理：忽略外网区域的设置，强制走代理。

具体到每个选项：

网络接口 ：shadowsocks只作用于勾选了的网络接口。默认OpenWRT/LEDE只有一个LAN区域，此处也只会显示一个接口，也就是：“桥接：br-lan”；一般情况勾选它就行。当路由配置了多个LAN区域时候，则会显示多个，比如配置了访客网络，勾选访客网络的接口就可以让shadowsocks的配置在访客网络中生效；如果你不想让访客访问网络时走代理，那么这里不勾选即可。

代理类型 ：连入路由的设备访问网络时，默认的代理方式。

代理自身 ：路由设备自身访问网络时的代理方式。使用本文方案时请选择“正常代理”或者“全局”，否则会导致DNS解析出问题，稍后我会修改方案，避免出现这种尴尬状况。

内网主机 ：单独配置内网特定IP的代理方式，优先级更高。需要为设备划分固定IP地址已达到最佳效果。

全部完成后，点击保存&应用。

最后切换到常规设置，来完成最终的配置：

运行状态：

透明代理 ： ss-redir的运行状态，shadowosocks代理的基础服务，提供TCP/UDP透明代理。

socks5代理 ：ss-local的运行状态，shadowsocks的socks5代理功能，路由器作为socks5代理服务器。

端口转发 ：ss-tunnel的运行状态，通常用作转发DNS。

透明代理：

主服务器 ：透明代理使用的默认服务器（TCP透明代理、端口转发两个功能会使用这里选择的服务器），此处从列表中选择你需要使用的服务器。

UDP服务器 ：UDP透明代理使用的服务器，可以和主服务器一致，也可以不同（也就是可以使用不同的服务器分别代理TCP和UDP连接）。在代理一些外服网络游戏的时候可能比较有用，其他多数情况下可以关闭。开启此项需要服务器支持，服务器端需要开启UDP功能。

本地端口 ：shadowsocks服务需要占用一个路由器端口，推荐保留默认，但不能和其他运行的程序有冲突，也不能和下面”socks5代理”和“端口转发”中的本地端口冲突。

更新MTU ：手工指定MTU值传递给shadowsocks。通常PPPoE宽带连接为1492（也是此处默认值），网线直连以太网为1500。通过执行 ifconfig 可查看MTU值（找到wan口对应网卡设备即可）。也可以通过ping命令测试，具体步骤请超出本文讨论范围，不再叙述。

socks5代理：

有需要就开吧，不知道有用没的话就停用。

端口转发：

通常用于转发DNS请求，本文的方法未用到此功能，不用开启。如需要UDP方式的国外DNS解析，可用这个功能替换掉dns-forwarder.

最后再次保存&应用，并刷新页面，看到“运行状态”中对应的项目显示运行中即表示成功。

1. 避免高端口走代理

在访问控制→附加参数中选择自定义，填入 - m multiport -- dports 22 : 1023 , 5228 ，这样可以避免高端口走代理（22:1023是指的代理22~1023所有的端口，后面跟的5228是google play store下载时用到的端口）。P2P类下载软件，多使用高端口，这样的设置可以避免此类软件走代理从而产生高额流量。也可以选择只代理53/80/443（至代理DNS、HTTP、HTTPS流量），或者选择无（不按端口区分走不走代理），请根据情况酌情选择。

如需代理FTP，请选择无，或者确保服务端是主动模式时代理对应的端口（通常是20和21）

你也可以自定义，其实就是iptables的额外参数，举例：

需求： 系统内核版本≥3.7，shadowsocks-libev≥3.0.4，luci-app-shadowsocks≥1.6.3；shadowsocks服务端开启tcp fast open。

保存并应用即可。

2. 多服务器负载均衡

负载均衡可以使用多个服务器同时代理，使用时不同的TCP连接会分别分配到不同的服务器上，因此在多线程下载/上传时候可以做到带宽叠加提升速度。1.7.0版本加入此特性，使用方法也很简单，点击主服务器右边的加号再添加一个服务器即可，使用前请确保CPU不成为性能瓶颈，否则也只是徒增负载而已。注意使用多服务器负载均衡时, 可能会导致某些网站登录异常。

下面的描述针对使用多核心CPU的用户：

上面的配置其实是对HK2和HK1两个服务器分别开了一个进程，如果使用的是多核心CPU的路由器，建议使用多服务负载均衡，将进程数开到和CPU核心数（有超线程技术的则是和线程数）保持一致。如果不想使用多服务器负载均衡，只是想使用单一服务器，或者只有一个服务器可用，那么可以添加相同的主服务器，这样虽然对于网速没有改善，不过可以充分利用多核心的性能。

三、DNS配置

到此虽然shadowsocks配置完成，不过还没有进行DNS部分的配置，只有完成了DNS的配置才能解决DNS污染并优化DNS解析，接下来的部分来对DNS的配置进行说明。

PS：DNS的调试可以使用 dig 。

PS：路由性能不好的，慎用China-List。

四、按域名指定是否走代理（可选）

这一部分的配置用于替代 “ 三.III.2. 添加gfwlist和China-List配置文件 ”中的步骤。请在完成“ 三.III.2. 添加gfwlist和China-List配置文件 ”前面的配置后进行这一部分的配置。

下面的步骤会使用我编写的脚本来自动生成配置文件，脚本放在github维护，可能随时更新，可到 gfwlist2dnsmasq , openwrt-scripts 查看最近更新的动态。

先使用dnsmasq-full替换掉原有的dnsmasq，由于先卸载dnsmasq后很可能会导致后面下载dnsmasq-full包的时候无法域名解析，从而导致下载失败，因此这里使用一个取巧的办法，先尝试安装dnsmasq-full:

然后将ipk包上传到路由器/tmp目录，并执行如下命令：