本文主要内容
在PVE里，使用两种方法实现透明代理。通过创建CT虚拟机或者创建OpenWRT虚拟机（笔者目前使用的方法）。涉及到的文件都是免费的，请联系笔者获取。

2025-3-1：添加OPNSense UDP说明。

部署流程#

CT虚拟机方式#

下载debian/ubuntu CT template。
创建完成后，开始直通设备。请确认自己PVE安装的版本，PVE8.2版本开始，tun设备直通和之前版本不一样了。
PVE < 8.2
确认新创建的CT机器的ID，打开PVE自身的Shell，输入nano /etc/pve/lxc/容器id.conf
```
1
# 添加最后
2
lxc.apparmor.profile: unconfined
3
lxc.cgroup.devices.allow: a
4
lxc.cap.drop:
5
lxc.cgroup2.devices.allow: c 10:200 rwm
6
lxc.mount.entry: /dev/net/tun dev/net/tun none bind,create=file
```
PVE ≥ 8.2
添加一个Device Passthrough
完成后，启动CT虚拟机，从PVE进入虚拟机的Console，手动开启root登录权限
Terminal window
```
1
sed -i 's/^#\?PermitRootLogin.*/PermitRootLogin yes/' /etc/ssh/sshd_config
```

1
tar -zxf TPCLbuild.tar.gz && cd TPCLbuild
2
mv tpclash-meta-linux-amd64 /usr/local/bin/tpclash && chmod +x /usr/local/bin/tpclash # 自行根据机器架构选择文件
3
mv tpclash.service /etc/systemd/system
4
mv clash.yaml /etc/clash.yaml
5
sudo systemctl enable tpclash.service --now && systemctl start tpclash.service

自行替换clash.yaml的内容

OpenWRT虚拟机方式#

下载镜像包并解压后上传至PVE->local(PVE)->ISO Image（或者可以自行去OpenWRT.ai创建自己的镜像）。
创建虚拟机（看图）
创建完成后（不要开机虚拟机），进去PVE自身的Shell，import上传的镜像到虚拟机
此时回到创建好的虚拟机，点击Hardware ，会出现一个未分配磁盘。
1. 双击磁盘
2. 点击添加
3. 扩大空间(不做也可以,不重要)。此时也可以删除CD/DVD Drive （不做也可以,不重要）
修改引导顺序，把刚刚设置的硬盘调整到第一位，取消其他的引导盘。记得打开开机自启。最后启动虚拟机。
进入OpenWRT（我的镜像默认为192.168.100.4）添加DNS转发指向Clash fakeip端口。
下载OpenClash配置备份，在图片位置上传备份。
最后回到运行状态，往下滑点击启动OpenClash。

软理由代理设置（这里使用的OPNSense防火墙）#

创建网关
防火墙 → 规则 → LAN按如图创建规则。（如果需要UDP转发，记得创建第二条的时候把UDP也选上）

Docker MACVlan创建
返回OPNSense → Firewall → Aliases创建一个别名。可以放上家里其他设备的内网IP在Content里。这里只是拿Docker的MacVlan举例。还没写，见到请催更😋
服务 → ISC DHCPv4。设置分发网关为主路由IP和DNS服务器为OpenWRT IP

PVE旁路由透明代理

部署流程#

CT虚拟机方式#

OpenWRT虚拟机方式#

软理由代理设置（这里使用的OPNSense防火墙）#

评论区

目录