← 返回首页

从 .bat 文件导入路由到 Keenetic

Keenetic 可以上传 Windows route ADD 格式的文件并自动将所有路由应用到选定的接口。NetRoute Pro 正是生成此类文件 — 您只需下载并上传即可。

命令语法

Keenetic CLI(config 模式):

(config)> ip route <CIDR> <VPN_IF>

示例:

(config)> ip route 1.1.1.0/24 Wireguard0

等效的 .bat(Windows route ADD 格式 — NetRoute Pro 生成的格式,Keenetic 通过 Web 界面接受上传):

route ADD 1.1.1.0 MASK 255.255.255.0 0.0.0.0

上传 .bat 时路由会自动绑定到所选的 VPN 接口 — 每行的 gateway 值被忽略。如果仅在 CLI 中临时使用,(config)> ip route 形式是准确的。

准备工作

步骤 1. 在 NetRoute Pro 中生成 .bat 文件

  1. 在 Chrome 中打开目标网站
  2. 点击扩展栏中的 NetRoute Pro 图标
  3. 选择 Windows 平台 — 这是 Keenetic 接受的格式
  4. 网关可以是任意值(例如 0.0.0.0)— 上传时绑定到接口时 Keenetic 会忽略它
  5. 选择聚合掩码(推荐 /24
  6. 点击 Analyze Website
  7. 将结果下载为 .bat 文件
提示:在扩展中启用 RIPE BGP 优化 — 它会用真实公告的 BGP 前缀替换单个 IP。这提供稳定的路由,不会因 Cloudflare/Fastly 轮换 IP 而失效。注意:RIPE BGP 会返回该 AS 公告的所有前缀 — 对于多租户 CDN(Cloudflare AS13335、AWS AS16509、DigitalOcean AS14061)可能是数万个 IP,涵盖无关站点。BGP 优化适合单租户 AS;多租户 CDN 请保持常规 /24 CIDR 聚合。

步骤 2. 打开 Keenetic 的路由部分

  1. 打开 http://my.keenetic.net 或路由器的 IP
  2. 以管理员身份登录
  3. 转到 管理 → 路由
  4. 选择 IPv4 路由 标签页

步骤 3. 上传文件并绑定到 VPN 接口

  1. 点击 上传 按钮
  2. 选择下载的 .bat 文件
  3. 接口 下拉菜单中,选择您的 VPN 隧道
    • 接口名称取决于您的配置和 VPN 提供商 — 每个用户都不同
    • 如果不确定 — 请在 Internet 部分查看 VPN 使用哪个接口
  4. 确认上传

完成 — 文件中的所有路由都已添加并绑定到所选 VPN 接口。Keenetic 忽略 .bat 文件中的网关值;流量通过所选接口流动。

为什么这很方便:无需手动输入,无需 SSH — 文件上传甚至在基本的 Keenetic 固件上也能工作。100+ 路由在不到一秒内应用。

WireGuard 替代方案:AllowedIPs

如果您使用 WireGuard,可以完全跳过静态路由,直接在 peer 的 AllowedIPs 中设置子网:

  1. 在 NetRoute Pro 中选择 WireGuard 平台
  2. 复制 AllowedIPs
  3. 在 Keenetic 中:Internet → WireGuard → peer 设置 → 粘贴到 Allowed IPs
  4. 保存

DNS 泄漏 — 必读

Keenetic 的静态路由按 IP 转发流量。不转发 DNS。LAN 客户端仍然向 Keenetic 的 DNS 代理(默认转发到 ISP)询问 example.com 的 IP — 只有结果 IP 流量才通过 VPN。即使数据加密,ISP 仍能看到访问哪些站点。

根据威胁模型,三种选择:

  1. 对 ISP 完全隐藏 DNS。Internet → Other connections → 你的 VPN 接口 中将其设为优先 DNS 连接,或者在 Network rules → Internet safety 中设置静态 DNS 指向 VPN 提供商的内部解析器(例如 10.0.0.1)。Keenetic 会通过隧道路由 DNS 查询。
  2. 降低 ISP 可见性(公共 DoH/DoT)。Keenetic 在 Network rules → Internet safety → DNS-over-HTTPS / DNS-over-TLS 原生支持 DoH/DoT。添加 Cloudflare(1.1.1.1)、AdGuard(94.140.14.140)或 Quad9(9.9.9.9)作为系统解析器。
  3. 接受泄漏。默认行为 — 仅加密数据路径,查询仍走 ISP。

从 LAN 客户端访问 dnsleaktest.com 验证 — 显示的解析器应属于你的 VPN 或所选 DoH,而非 ISP。在 Keenetic 上,活动 DNS 服务器可在 System dashboard → DNS 中查看。

IPv6 双栈绕过

静态 IPv4 路由仅覆盖 IPv4 流量。如果目标有 AAAA 记录(大多数热门站点都有),LAN 客户端按 RFC 6724 偏好 IPv6 — 请求通过 ISP 的 IPv6 默认路由发出,绕过 VPN。

Keenetic 上的两种解决方案:

验证

导入后,检查路由已应用:它们会出现在 路由 → IPv4 路由 列表中,绑定到您的 VPN 接口。但这只确认路由被添加,不代表流量真的走 VPN。从 LAN 客户端进行三步真正的验证:

  1. 检查路由域名的出口 IP — 应属于 VPN 提供商,而非 ISP: 
    curl -v https://example.com 2>&1 | grep "Connected to"
# 应显示位于你路由 CIDR 内的 IP。
  2. 检查互联网看到的访问路由站点的 IP: 
    curl -s https://api.ipify.org
# 当路由 CIDR 包含 ipify 或测试通过 VPN 出口代理时,
# 该结果反映 VPN 出口 IP。与你真实的 ISP IP 对比。
  3. 在路由器上(通过 SSH/Telnet): 
    show ip route                  # 确认 CIDR 已绑定到 VPN_IF
show interface stat <VPN_IF>   # LAN 客户端浏览时 RX/TX 字节应增长

tracert/traceroute 不可靠:ICMP/UDP 探测常被过滤,每跳返回 * * *,没有有用信号。

常见问题

网站 IP 改变 — 路由停止工作

Cloudflare、Fastly 等 CDN 会定期轮换 IP。在 NetRoute Pro 中启用 RIPE BGP 优化 重新生成 .bat — 它会用公告的 BGP 前缀替换,覆盖所有提供商 IP。

路由太多

Keenetic 可以处理数百条静态路由而没有问题。如果需要更多 — 使用 WireGuard AllowedIPs 方法。

路由已添加但流量不通过 VPN

高级用户:CLI

要以编程方式自动化或管理路由,请通过 SSH/Telnet 连接并在 config 模式下使用 ip route 命令。但在大多数情况下,.bat 上传就足够了。

配置文件示例

带注释的可编辑模板。将示例路由替换为 NetRoute Pro 为目标网站生成的输出。


@echo off
REM Example .bat file for upload to Keenetic router.
REM Generated by NetRoute Pro: https://alexander2k.github.io/netroute-site/
REM
REM Format: route ADD <network> MASK <netmask> <gateway>
REM Gateway can be 0.0.0.0 — Keenetic ignores it when you bind to an interface on upload.
REM Replace these example routes with output from NetRoute Pro for your target sites.

route ADD 1.1.1.0 MASK 255.255.255.0 0.0.0.0
route ADD 8.8.8.0 MASK 255.255.255.0 0.0.0.0
route ADD 162.159.0.0 MASK 255.255.0.0 0.0.0.0

REM Upload via Keenetic web UI:
REM   System -> Routing -> Upload .bat -> select VPN interface -> confirm.

提示:需要不带注释行的配置?在 NetRoute Pro 选项中取消勾选 「在导出文件中包含注释」,扩展将仅导出路由命令。适用于不支持注释的路由器。

在 GitHub 上查看所有示例 →

官方文档

准备好尝试了吗?

NetRoute Pro — 免费的 Chrome 扩展,可从任何网站生成路由。

安装扩展