Passwall常见问题问与答合集

[smateoliu]

为了节省他人寻找帮助信息的时间，并减少讨论区中重复问题的出现，我决定在这里分享一些我已验证过的Passwall常见问题的解决方法。

问题1：如何通过最小化正确设置passwall DNS相关选项，以达到能正常代理上网的目的？
答：请您切换到passwall中的 基本设置 页面，在页面中间部分找到 DNS 并单击，将DNS分流模式设置为 dnsmasq，直连 DNS 请求协议 设置为 自动，过滤代理域名 IPv6 为不勾选，过滤模式设置为 dns2socks，socks服务器保持默认，将远程DNS设置为下拉列表中的任意一个，将默认DNS设置为 远程DNS，然后单击页面下方的 保存&应用 即可。
（特别提醒您的是，若您选择的 过滤模式 不为 dns2socks，对应的方式仅在 开启 路由器本机代理 的情况下可用）
（如果您能明白【过滤代理域名IPv6】 一项对您来说意味着什么，且有必须使用的需求，那么您可以勾选这一项）

问题2：虽然最小化正确设置passwall DNS设置相关选项后，可以正常代理上网了，但是出现不希望的域名/网站地址 走了代理的情况？
答：虽然passwall本身内置一定的规则集用于分流，但是由于域名众多，难免会存在分流不到位的情况，不过此时您也可以通过手动设置的方式让相应域名不走代理。
请您切换到passwall中的 规则列表 页面，在 直连列表 一项中，将相关网站域名/IP地址 填入，并单击页面下方的 保存&应用 即可。

问题3：passwall怎么设置IPv6代理？
答：passwall本身支持IPv6流量的代理，请您切换到passwall中的 高级设置 页面，将 IPv6 透明代理(TProxy) 一项勾选，并确定 TCP 代理方式 为 Tproxy，防火墙组件一项也显示正确，最后将页面滑动到最底下，单击 保存 即可。
如果您的代理模式为 全局代理 那么为了能正常代理IPv6流量，您还需要将 路由器本机代理 关掉才能正常为LAN代理IPv6流量（其他分流模式不需要关闭）。您可在保存之后，回到 基本设置 页面，在页面中间找到 模式，将 路由器本机代理 关闭即可。

问题4：我已经在页面中勾选了相应选项，但是为什么passwall的IPv6代理功能还是不正常？
答：如果您确定您的代理节点出口支持IPv6，且本地网络（路由器所使用的WAN和LAN）存在有效的IPv6连接，那么这种情况下是由于您的路由器固件中安装了与passwall冲突的软件包导致的，由于passwall需要操作防火墙规则，所以它无法与docker（及其他容器类软件） openclash（及其他同类代理软件）kvm（及其他虚拟化软件）共存，不过它可以与zerotier和tailscale共存。
如果您能确定自己的路由器固件中不存在冲突软件，但还是不正常，这说明您所使用的路由器固件在编译时，没有勾选必要的防火墙模块（指kmod-ipt kmod-ip6 iptables ip6tables为前缀的）。

问题5：如何通过passwall防止webrtc和DNS泄漏？
答：对于防止webrtc泄漏的话，如果您的代理节点支持UDP代理，那么其实已经可以让走代理的网站/IP获取不到您的真实IP地址了。如果还能获取到，说明您使用的代理模式并非 全局代理，这是由于分流代理规则不完整导致的。
对于防止DNS泄漏，如果您已经将默认DNS设置为 远程DNS，且相应网站已经走了代理，那么也已经可以防止DNS泄露了。

问题6：我在我的openwrt路由器上安装了tailscale，但是它在passwall开启的时候直连不成功？
答：由于passwall整合的相关代理组件并非真VPN，它不能像真VPN一样原样转发所有数据包，所以出现这种情况是非常正常的。您只需要在这种情况下关闭 路由器本机代理，让tailscale能连接到真正的第三层网络就可以了。

问题7：我将passwall与第三方dns组件结合使用，但发现在这种情况下不能代理上网怎么办？
答：请您自行修改第三方DNS组件的设置来排除问题，此种情况与passwall无关。特别要提醒您的是，在此种情况下您需要留意第三方DNS组件的上游服务器连接状态如何。

问题8：我的旁路由（旁路网关）安装了passwall，我想让其代理IPv6流量，怎么设置？
答：由于用户本地可用的IPv6地址通常为运营商管理的公共地址，且前缀和后缀通常无法固定，因此在此种情况下是没有合适的方案的。不过如果您对网络知识了解颇多的话，可以自行尝试在旁路由配置IPv6 NAT来做到这一点。

问题9：我在使用passwall的时候代理UDP流量不正常，但是从各种设置中看不出问题怎么办？
答：如果您遇到这种情况了，那么有两种可能
1.代理出口不支持UDP转发或者UDP连接不稳定
2.使用了sing-box作为代理组件
第 1 点很好理解，我来解释一下 第 2 点是怎么回事。
在使用sing-box时，代理UDP流量不稳定是一个已知问题，原因在于Sing-box与Xray-core等软件实现的Socks入站UDP代理功能存在不一致之处。sing-box是按照标准rfc文档实现的，每个udp请求都会绑定到随机端口，但是xray-core等软件所采用的做法是TCP和UDP开放同一端口用于代理。
换句话说就是您在确定出口正常的情况下（例如通过其他设备测试），只要不使用sing-box组件就行了。

问题10：在passwall中怎么切换代理模式？
答：请您切换到passwall中的 基本设置 页面，找到页面中间的 模式，单击一下您需要的，在 切换模式 旁边的按钮，然后单击页面下方的 保存&应用 即可。

问题11：什么是远程DNS，什么是直连DNS？我该怎么设置？
答：远程DNS是用于您上网代理的DNS地址，您需要将其设置为任意境外DNS。
直连DNS是用于从本地直接直连访问的DNS地址，您可以使用任意本地可用的DNS作为此项的值。

问题12：我没有在路由器固件编译的时候加入passwall，我可以之后单独安装它吗？
答：可以，但不推荐。
首先这是由于依赖关系比较难解决的缘故，其次就是您每次升级您的路由器固件的时候，它的安装会丢失。

问题13：我在passwall中使用hysteria官方程序作为相应协议节点程序使用时，经常停止运行怎么办？
答：您只需要编辑一下节点详细信息，将 延迟启动 勾选上就可以了。会出现这种情况的原因是hysteria官方程序遇到网络错误的时候，程序会自动退出。

问题14：passwall中的shadowsocks rust和libev，我该使用哪一个？
答：如果您在中国大陆，不推荐继续使用shadowsocks，但如果您有特定的需求必须要使用shadowsocks的话，建议您使用libev，因为libev是有应对服务端主动探测的机制的，如果需要使用最新的加密方式的话再考虑使用rust。

问题15：要不要使用passwall劫持 劫持ICMP (PING) 等流量？
答：建议开启，这样可以防止需要走代理的应用程序通过ICMP方式探测出真实网络线路。同时也可以非常容易判断哪个域名走了代理，因为只要在本地ping一下看看延迟是否是1ms就行了。

问题16：当我开启passwall之后，LAN设备无法连接其他VPN怎么办？
答：这是由于passwall所整合的代理应用只是一个能转发TCP UDP数据的第四层（OSI模型）代理，它不能正确识别和转发需要第三层网络支持的协议。所以像IPsec协议的VPN在这种情况下就是无法连接的，并且也没有解决方法。

问题17：如何开启节点自动切换？
答：这也比较简单，请您按照以下步骤操作

1.请您转到passwall中的 节点列表 页面，新增一个socks节点，填写好相应信息后保存。
2.回到passwall中的 基本设置 页面，找到 socks配置 设置项，然后点击添加。
3.在跳转后的 Socks 配置 页面中 勾选 启用，节点一项设置为 任意主用节点，然后再勾选 本机监听，Socks 监听端口 设置为刚才添加socks节点时的端口。
4.勾选 启用日志，勾选 自动切换，多久检测一次设置为 15秒，超时秒数 和 重试次数保持默认，备用节点列表请您按需设置一个备选节点，单击下拉框旁边的加号可以新增更多节点。
5.将 恢复切换 勾选， 探测网址 设置为gstatic或者cloudflare（因为Google的话，如果网页访问出现验证码的话状态码就不是2XX了），最后单击 保存&应用。
6.打开socks主开关，最后，在TCP节点中选择刚才添加的socks节点即可，最后不要忘了 保存&应用，这样就开启切换了。若以后需要修改，在socks配置那里编辑即可。

截至本文编辑时，自动切换模式还不支持IPv6透明代理。

问题18：为何passwall不能与smartdns mosdns等配合使用？
答：能配合使用，但是不建议。因为稳定性完全比不上内置的分流模式。并且会因为此类第三方dns程序的上游dns连接问题，导致整个路由器出现网络异常。

问题19：为什么我使用passwall节点代理上网的时候，某些游戏/语音电话程序代理不正常？
问题：对于这个问题有三种可能
1.您使用了sing-box。
2.您本地网络环境到远端服务器环境的网络不够稳定。
3.您的代理出口不支持UDP转发（不支持代理UDP流量）。
您只需要按照这三点挨个排查即可，相信您一定能解决代理不正常的问题。

问题20：为什么每次重选节点的时候网络都会断一下？
答：这是由于重选节点配置后，passwall需要重新启动一下相应的代理组件程序重新加载配置所致。这是一个十分正常的现象，并且也没有任何缓解的办法。

问题21：我使用passwall时，chatGPT等特定应用无法访问怎么办？为什么同一个服务器，通过别的代理客户端可以访问，但passwall不行？
答：如果您已经能够确定相应服务是通过代理访问的，那么在这种情况下，您无法访问的原因是由于您的出口节点无法访问相应服务导致的（IP地址被相应服务拉黑）。您只需要添加或者切换一个能够访问相应服务的节点就行了。
如果同一个服务器，别的客户端可以，但是passwall不行，这说明您的服务器很有可能是双栈（即同时存在IPv4和IPv6地址）的，其中之一地址没有被拉黑。不过为了能用的安稳。还是建议您更换一个能访问的节点来解决这个问题。

问题22：访问控制究竟是干什么的？它怎么用？
答：访问控制适用于需要对特定LAN设备控制代理状态的情况（比如说一个用户希望自己的其他设备正常使用主节点，但是希望自己接在路由器下的游戏机使用低延迟节点）。
至于怎么使用那分为两种情况：按网络接口分流、按设备（MAC地址）分流（不过如果需要按设备分流的话，需要您关闭设备上的 “随机MAC地址” 等类似的功能再接入网络，然后获得设备本身的MAC地址）

按网络接口分流：
1.请您切换到passwall中的 访问控制 页面，单击下方的添加按钮。
2.在页面跳转后，请您核对以下设置选项是否为此处所述的状态，如果不是，请您修改。

启用：勾选
备注：设置为您所需要的名字，起到标识作用
使用接口控制：勾选
源接口：选择您的所属物理接口（例如eth为前缀的选项）
TCP不转发端口：如果有特殊需求且想要让所需TCP流量直接连接，请自行设置所需端口，否则选择 使用全局设置（默认）
UDP不转发端口：如果有特殊需求且想要让所需TCP流量直接连接，请自行设置所需端口，否则选择 使用全局设置（默认）
使用全局设置：此处勾选代表使用与默认情况下（基本设置-主开关 处）一致的代理节点，不过为了将所使用的节点分开，此处就不要勾选了
TCP节点：设置为您希望使用的其他节点
UDP节点：设置为 与TCP节点相同
TCP转发屏蔽端口：如无特殊需要，可保持默认
UDP转发屏蔽端口：如无特殊需要，可保持默认
TCP转发端口：如默认情况下不是 转发所有流量，且您想要转发所有流量，那就选择 所有，否则保持默认
UDP转发端口：如默认情况下不是 转发所有流量，且您想要转发所有流量，那就选择 所有，否则保持默认
使用直连列表：忽略，使用切换模式按钮控制
使用代理列表：忽略，使用切换模式按钮控制
使用屏蔽列表：忽略，使用切换模式按钮控制
使用GFW列表：忽略，使用切换模式按钮控制
中国列表：忽略，使用切换模式按钮控制
TCP代理模式：忽略，使用切换模式按钮控制
UDP代理模式：忽略，使用切换模式按钮控制
切换模式：单击选择您所需要的模式
dns分流：如无特殊需要可忽略
过滤代理域名IPv6：如无特殊需要可忽略
过滤模式：设置为dns2socks，如果不需要与第三方dns程序配合使用，不需要修改
远程DNS：设置为下拉列表中的任意dns均可

3.单击下方的 保存&应用
4.跳转回 访问控制 页面后，将主开关打开，单击下方的 保存&应用，即可。

按LAN设备分流：
您只需要将 使用接口控制 取消勾选，并在 源地址 下拉列表中选择您所需要的设备的MAC地址，然后再按照上述步骤设置一番，最后保存应用相应设置即可。

问题23：有时候我需要更新passwall，我到底应该在网页界面中点击更新，还是重新编译一下路由器固件来升级呢？
答：如果您是通过网页界面中点击更新的，那么每当升级路由器固件或者将路由器恢复默认设置的时候，相应的版本会丢失。（这是openwrt的限制所导致的，并非是软件做的不周到）
如果您是每次更新都通过重新编译路由器固件然后升级的方式安装的话，这样可以确保在路由器恢复默认设置的时候，相应的版本依旧还在。
请根据您的实际需求来选择合适的方法更新。

问题24：我该怎么在passwall中，导入“机场”订阅的链接呢？
答：
1.请您打开passwall中的 节点订阅 页面，将页面划到最底下，单击 添加 按钮。
2.在页面跳转后，请您核对以下设置选项是否为此处所述的状态，如果不是，请您修改。

订阅备注（机场）：这就是一个备注，起到标识作用，建议设置为机场的名字，或者账户的标识以起到标识作用
订阅网址：粘贴完整的订阅链接到这里，只要是passwall支持的协议，相应的链接都可以
允许不安全连接：如果担心机场管理员比较懒，不会在其SSL证书过期的时候及时更新证书以影响正常更新订阅，这个可以勾选，否则则不需要勾选
过滤关键字模式：如果没有特殊的文字过滤需求（如这个机场不会在节点列表中夹杂特别的广告），此处可以保持默认（即 使用全局配置）
Shadowsocks 节点使用类型：此选项的意思是让ss协议代理的订阅交由哪个程序来处理（使用哪个程序连接相应协议的代理），如无特殊需要，可保持默认，否则请在下拉列表中选择一个期望的程序
Trojan 节点使用类型：此选项的意思是让trojan协议代理的订阅交由哪个程序来处理（使用哪个程序连接相应协议的代理），如无特殊需要，可保持默认，否则请在下拉列表中选择一个期望的程序
VMess 节点使用类型：此选项的意思是让v2ray vmess协议代理的订阅交由哪个程序来处理（使用哪个程序连接相应协议的代理），如无特殊需要，可保持默认，否则请在下拉列表中选择一个期望的程序
VLESS 节点使用类型：此选项的意思是让xray vless协议代理的订阅交由哪个程序来处理（使用哪个程序连接相应协议的代理），如无特殊需要，可保持默认，否则请在下拉列表中选择一个期望的程序
Hysteria2 节点使用类型：此选项的意思是让hysteria协议代理的订阅交由哪个程序来处理（使用哪个程序连接相应协议的代理），如无特殊需要，可保持默认，否则请在下拉列表中选择一个期望的程序
Sing-box 域名解析策略：指定域名的解析策略是IPv4优先还是IPv6优先，如无特殊需要，请保持默认
开启自动更新订阅：建议开启，以确保能及时接收最新的节点（已知问题：若订阅链接的域名也走了代理，且更新时所选的当前节点连接不可用，则列表不会自动更新）
（若 开启自动更新订阅 已勾选）更新模式：选择循环标识为每隔一段时间更新一次，选择每天表示在每天的特定时间更新一次，选择每周几表示在每周星期几的几点更新一次
用户代理(User-Agent)：如机场有特殊要求（如只能使用指定的客户端来连接）请在此选择合适的选项，否则请保持默认

3.设置完成后，单击 保存&应用 即可。
4.在跳转回上级页面后，若订阅未自动更新，您可以单击 手动订阅 按钮，尝试手动刷新。

若刷新成功，您将能够在 节点列表 中看到相应的节点，并且相应的节点订阅旁边会显示节点数量。若依然失败，请与所使用的“机场”取得联系，以获取相应帮助。

问题25：如果我发现了关于paswall的任何bug或问题，我该怎么有效地报告问题从而让开发者尽快地修改和改进呢？
答：为降低沟通成本和时间，您需要在反馈问题的时候包含以下信息

1.问题的标题：简略概括所遇到的问题
举例：在xx设备上当使用xx时会崩溃

2.正文应具体描述所遇到的问题并包含必要信息

举例：

当使用xx时，程序会崩溃，路由器系统版本为xx，路由器型号是xx（或者cpu类别）。

（如果有）复现步骤：1.xxxx 2.xxxx
（如果有）日志：xxxxxxxx
（如果有）截图：表现异常时的提示/日志/现象，请注意不要截图到敏感信息

问题26：我在使用的时候断流怎么办？
答：出现这种情况可能是由于您的路由器设备运行内存（RAM）不足以用于完整加载分流规则，又或者不足以支持代理主程序（例如像hysteria xray-core这样的）运行，又又又或者与代理服务器连接不稳定所致。
您可以自行更换设备和编辑节点配置文件来测试，来找到平稳的方式。

问题27：为什么我在路由器中设置了正确的DNS分流选项，但依旧无法正常上网？
答：可能是由于以下原因
1.您在使用的设备上手动设置了中国大陆的DNS。
2.您使用的是中国大陆国产手机（已知部分品牌的系统内置了114DNS或者AliDNS作为后备且不会展示在设置界面上）。
3.您的路由器固件在编译时或者安装passwall时，没有勾选或者安装必要的组件

对于上述情况，解决方法如下：
1.请检查使用的设备上没有手动指定DNS，请确保DNS是自动获取的。
2.可以开启passwall中的DNS重定向来避免这个问题（截至本文编辑时，该选项可在 基本设置-DNS-DNS重定向 找到，将其勾选，然后单击页面最底下的 保存&应用 即可）
3.请确保在编译时或者安装时必要的组件勾选或者安装完整（dns2socks ip2socks 以及完整的防火墙模块）

问题28：路由器使用passwall总是死机重启，但是使用别的代理插件正常，怎么办？
答：这个情况分为两种可能。
1.您使用了基于Linux 4.x内核编译的openwrt固件。
2.您的路由器RAM（运行内存）容量太低，导致代理核心程序（例如xray-core hysteria）在高负载环境下占用了所有可用内存，从而导致路由器系统崩溃。

对于上述情况，解决方法如下：
1.在编译固件的时候，使用更高版本内核，例如最低使用Linux 5.1内核。
2.为了稳定运行代理，请不要使用少于1GB RAM（运行内存）的路由器作为代理路由器。如果作为家庭分流网关的话，推荐使用最低4GB RAM（运行内存）的路由器。

问题29：接在同样一个路由器下面的设备，通过有线网络连接时可以正常访问特定服务。但是通过WiFi却不行。两种情况下使用的是同一个节点。怎么办？
答：出现这种情况通常是由于您所使用的路由器IPv6透明代理相关功能未开启，同时您的有线网络网卡设置处没有启用IPv6协议支持，但无线网络网卡的设置为默认且没有改动过，所以才导致出现了这样的体验。
解决方法也很简单，您只需要在路由器上开启 IPv6透明代理，或者在passwall的DNS设置处勾选 过滤代理域名IPv6（此做法不推荐，但前者无效的话可以尝试）来解决这个问题。

问题30：我是否应该定期更新路由器固件中的passwall呢？
答：这取决于您的需求，如果您当前使用的版本已经包含了完整没有bug的UI功能和满足需要的代理核心（例如像hysteria xray-core）程序版本的话，那么不更新也是可以的。
如果您本来就有需要定期升级路由器固件的操作的话，那么建议您升级固件的时候随最新passwall版本一起编译或者安装。

问题31：我使用的是某家“机场”的节点，它提供了DNS解锁部分流媒体服务的选项，我可以在其他设备上正常使用它提供的服务，如果在passwall上要使用的话，该怎么设置呢？
答：您可以在网页界面中，将远程DNS自定义为对应的DNS来实现这一点（远程DNS 会通过对应的代理节点访问）。若您不知道具体地址或者”机场“不允许这么使用，您可以开启对应代理核心程序设置项中的 域名嗅探/覆盖连接目标地址 来实现这一点。
特别提醒您的是，域名嗅探/覆盖连接目标地址 会牺牲一部分用户体验，若不是不得已。请不要使用这个选项。

[redfrog999]

这玩意儿看着像AI整活出来的。好多都比较过时了。PSW跟smartdns配合非常完美。