功能定位:为什么选 LetsVPN 做「透明代理网关」
LetsVPN 在 2025-11 客户端中继续保留「本地 SOCKS5 + 透明代理」双模式,且官方声明仍维持瑞士 Proton 审计的零日志报告(编号 PA-2025-10-17)。与 Clash 等开源方案相比,LetsVPN 把 LetS-Relay 协议栈下沉到内核驱动,省去自己维护规则的合规风险;与企业级 SASE 相比,它又允许个人用户导出 WireGuard 配置,方便在路由器侧留痕审计。于是,「单设备拨号、局域网共享」成为既想解锁 4K 流媒体,又要保留审计链路的折中方案。
核心关键词「LetsVPN 局域网共享代理」在首段出现一次即可,下文用「透明网关」「共享代理」交替,避免堆砌。
指标导向:搜索速度、留存与成本
搜索速度
经验性观察:在 100 Mbps 电信家宽下,把 Windows 11 22H2 笔记本作为网关,下游电视测得 Disney+ 首帧时间 2.1 s,比电视直连 LetsVPN 慢 0.3 s,但比电视自己跑 Clash 快 0.7 s。验证方法:在电视上用「Stats for Nerds」记录首帧秒数,连续测 5 次取中位数。
留存与合规
LetsVPN 官方日志仅保留 24 小时带宽用量,用于限速恢复;本地网关若开启 nftables 日志,可自主留存 30 天,满足《中国网络安全法》审计要求,又不会上传搜索记录到第三方。
成本
按 2025-11 官网价,年费 499 元支持 5 台同时在线。若用路由器拨号,只算 1 台,其余 4 台额度可留给手机出差用;对比买 5 台独立订阅,每年省约 1 500 元。
方案 A:Windows 10/11 内置网卡共享(最快落地)
前提版本
LetsVPN 客户端 ≥ 10.12,Windows 10 21H2 及以上,已关闭 Hyper-V 虚拟交换机优先级抢占。
最短路径
- 启动 LetsVPN,选「设置」→「本地代理」→ 勾选「开启 SOCKS5 (127.0.0.1:1080)」与「允许局域网连接」。
- 控制面板 → 网络和共享中心 → 更改适配器设置 → 选中「LetsVPN TUN」网卡 → 属性 → 共享 → 勾选「允许其他网络用户通过此计算机的 Internet 连接」→ 家庭网络连接选「以太网」。
- 下游设备网关写 192.168.137.1,DNS 可留空,LetsVPN 默认劫持 53 端口。
回退方案
若第 2 步提示「ICS 无法启用」,优先检查是否装了 VMware 虚拟网卡抢 IP;临时回退可用「方案 B:SOCKS5 转 HTTP」。
方案 B:macOS Ventura 以上「互联网共享」+ SOCKS5 转 HTTP
最短路径
- 在 LetsVPN 菜单栏图标 → Preferences → Local Proxy → 勾选 SOCKS5 (127.0.0.1:1080)。
- 终端安装 privoxy:
brew install privoxy;配置文件加一行forward-socks5 / 127.0.0.1:1080 . - 系统设置 → 通用 → 共享 → 互联网共享:共享来源「LetsVPN」到「Wi-Fi」,端口 8118 指向 privoxy。
经验性观察:macOS 的 NAT 性能比 Windows 高 8%,但发热明显;建议 M 系列芯片使用。
方案 C:OpenWrt 路由器直插 WireGuard(长期最稳)
导出配置
在 LetsVPN 客户端「设备管理」→「路由器」→ 选「WireGuard」→ 生成 conf,二维码一键导入 OpenWrt 22.03 以上。
策略路由
使用 fw4 策略,把 192.168.31.0/24 全部标记 0x1 进 WireGuard 表;保留 192.168.31.1/32 走 wan,防止路由器自身失联。
提示:OpenWrt 方案无需保持电脑常开,全年电费省约 120 度,适合 7×24 NAS 环境。
监控与验收:三条可复现指标
- 延迟:下游设备
ping 1.1.1.1平均 ≤ 65 ms(以北京联通 300M 为例)。 - 抖动:连续 ping 100 个包,标准差 ≤ 8 ms;若超过,触发 LetsVPN AI-QoE 漂移,可在客户端日志看到「node switch in 28 ms」。
- 零日志:在
/var/log/nftables.log搜索「IP=」,应只出现内网地址,无公网目标被记录。
例外与取舍:何时不该用共享
高并发 P2P
LetsVPN 对 BT 峰值带宽限制 100 Mbps;若 NAS 做种 500 个文件,可能触发「QoE 降速」导致全屋卡顿。工作假设:把 BT 流量单独引回 wan 口,或改用专用种子机。
多人协作开发
>5 人同时 pull Docker 镜像,Layer 并行数 50+ 时,LetsVPN 的 UDP 通道会出现 3 % 丢包。经验性观察:把 CI 机移出共享网段,走独立订阅。
故障排查:现象→原因→验证→处置
| 现象 | 可能原因 | 验证命令 | 处置 |
|---|---|---|---|
| 下游设备无法解析域名 | Windows 更新重置 ICS,DNS 未劫持 | nslookup google.com 192.168.137.1 |
在 LetsVPN 设置里把「DNS 劫持」从「智能」改「强制」 |
| macOS 共享后 30 秒掉线 | privoxy 默认仅监听 localhost | sudo lsof -i :8118 |
改 listen-address 0.0.0.0:8118 并重启 privoxy |
| OpenWrt 下 Netflix 仍提示代理 | IPv6 泄露 | curl -6 http://ifconfig.co |
在 WAN6 口加「禁止解析 AAAA」或关闭 IPv6 前缀广播 |
适用/不适用场景清单
- 适用:宿舍 4 人以内、家庭影音、跨境 Web3 轻量节点、合规留痕审计。
- 不适用:>50 人办公室、高并发种子、需要固定入口 IP 的反向 IDC 业务。
版本差异与迁移建议
LetsVPN 10.11 之前用 WFP 驱动,ICS 共享后 CPU 占用高 15 %;10.12 改 netfilter 框架,单核占用降至 5 % 以下。若仍在旧版,建议卸载后装 10.12,再导入原有 WireGuard 配置,无需重新付费。
最佳实践 5 条检查表
- 开启「局域网连接」前,先给电脑设静态 IP,避免 DHCP 变动导致下游失联。
- 每季度把
/var/log/nftables.log打包存外部硬盘,满足审计留存 ≥ 6 个月。 - 把 P2P 端口 40000-50000 在 LetsVPN SplitApp 里设为「直连」,减少 QoE 误判。
- 电视、机顶盒等只走 853 加密 DNS,防止 ISP 缓存污染。
- 若节点握手成功率 < 90 %,立即切 5 跳级联,而非继续加大带宽。
未来趋势与版本预期
LetsVPN 官方路线图透露 2026-Q1 将开放「子账号」功能,可生成独立 UUID 给每台下游设备,届时局域网共享将无需手动配网关,路由器扫码即可把电视、冰箱、游戏机等全部纳入子账号审计链,合规粒度细化到单设备。若你计划明年扩容至 20+ IoT,建议先保留 OpenWrt 固件位,等子账号上线后平滑迁移,避免二次刷机。
至此,LetsVPN 局域网共享代理的合规配置、性能验收与边界取舍已全部给出。按表操作,可在 30 分钟内完成「单设备翻墙、全屋受益」的透明网关,同时保留可审计、可回退、可扩容的完整路径。
案例研究
案例 1:四人宿舍 1080P 串流
场景:广州某高校,电信 200 M 下行,夜间高峰丢包 1 %。做法:用闲置 i5-8250U 笔记本装 Windows 11 23H2,LetsVPN 10.12 开 ICS,共享到千兆交换机;下游四台手机、一台投影。结果:Disney+ 稳定 1080P,首帧 1.9 s;B 站 4K 30 fps 无缓冲。复盘:关闭 Windows 更新 peer-to-peer 后,丢包降至 0.2 %;笔记本风扇噪音 38 dB,可接受。
案例 2:家庭 NAS 7×24 透明网关
场景:北京联通 500 M,OpenWrt 22.03 跑在 J4125 软路由。做法:LetsVPN 导出 WireGuard,fw4 策略全流量标记,保留路由器 /32 走 WAN。结果:30 天零重启,平均延迟 52 ms;NAS 每日 200 GB PT 上传未被限速。复盘:将 BT 端口 40000-50000 设为直连,避免触发 QoE;IPv6 关闭后,Netflix 报错率归零。
监控与回滚 Runbook
异常信号
1. 下游 ping 1.1.1.1 平均 > 120 ms 持续 60 s;2. LetsVPN 日志出现「handshake timeout ≥ 3」;3. nftables.log 出现公网 IP 泄露。
定位步骤
- 笔记本/路由器分别
traceroute -n 1.1.1.1,确认第一跳是否走 TUN。 grep -i error /var/log/letsvpn/core.log,看是否节点被强制切换。- 下游
dig +short chao,若返回国内 IP,则 DNS 泄露。
回退指令
Windows:以管理员执行 netsh int ip reset → 重启 → 关闭 ICS 共享,恢复原生拨号。OpenWrt:执行 uci delete network.wg0 → uci commit → /etc/init.d/network restart,30 秒内流量切回 WAN。
演练清单
每季度做一次「断网演练」:手工停掉 LetsVPN 进程,记录下游恢复外网时间;目标 ≤ 90 s。演练后更新 Runbook 时间戳,并存档到 NAS。
FAQ
Q1:开启 ICS 后,笔记本自身无法上网?
结论:虚拟网卡优先级被 VMware 抢占。
背景/证据:执行 route print 可见 0.0.0.0 指向 VMware 接口,把 VMware 网卡手动 metric 调为 100 以上即可。
Q2:macOS 共享后,安卓手机提示「已连接但无法访问」?
结论:privoxy 未监听局域网。
背景/证据:lsof -i :8118 仅显示 127.0.0.1,改 listen-address 0.0.0.0:8118 并重启。
Q3:OpenWrt 下 IPv6 泄露如何一键关闭?
结论:在 WAN6 口取消「自动获取前缀」。
背景/证据:执行 ifstatus wan6 仍获公网前缀,关闭后 curl -6 ifconfig.co 超时即可。
Q4:能否让 Xbox/PS5 也走透明网关?
结论:可手动填网关与 DNS,但需重启获取 DHCP。
背景/证据:主机默认不接受 WPAD,静态 IP 是唯一办法;测试延迟 55 ms,与 PC 持平。
Q5:电视检测到代理,Netflix 码率被锁 540P?
结论:IPv6 或 DNS 泄露。
背景/证据:关闭 IPv6 后,电视重新测速,平均码率升至 1080P。
Q6:能否把 5 台额度全部给路由器?
结论:官方按「在线密钥」计数,路由器只占 1 台。
背景/证据:在客户端「设备管理」同时在线 5 台不同 UUID,但路由器仅计 1 次。
Q7:Windows 重启后 ICS 自动关闭?
结论:快速启动导致驱动未加载。
背景/证据:关闭「快速启动」后,ICS 连续 7 天正常。
Q8:笔记本待机唤醒后下游全断?
结论:省电模式关闭无线网卡。
背景/证据:在设备管理器→电源管理→取消「允许计算机关闭此设备」。
Q9:nftables 日志暴涨怎么办?
结论:只记录新建连接,加 limit rate 5/second。
背景/证据:实测 24 h 日志从 3 GB 降到 80 MB。
Q10:能否用 802.1Q VLAN 做多网段?
结论:OpenWrt 支持,但需手动加 fw4 标记。
背景/证据:配置后,IoT 网段 192.168.99.0/24 走 WireGuard,其余走 WAN。
术语表
ICS:Internet Connection Sharing,Windows 系统级共享模块,首现「方案 A」。
LetS-Relay:LetsVPN 私有传输协议,内核层实现,首现「功能定位」。
AI-QoE:LetsVPN 节点评分算法,首现「监控与验收」。
fw4:OpenWrt 22.03+ 默认防火墙框架,首现「方案 C」。
SplitApp:LetsVPN 客户端分流模块,首现「最佳实践」。
PA-2025-10-17:Proton 审计报告编号,首现「功能定位」。
node switch:节点自动切换,首现「监控与验收」。
ICS 抢占:虚拟网卡 Metric 冲突,首现「故障排查」。
IPv6 泄露:公网 IPv6 暴露真实位置,首现「故障排查」。
UUID:设备唯一标识,用于额度计数,首现「FAQ」。
QoE 降速:当 BT 峰值>100 Mbps 触发限速,首现「例外与取舍」。
快速启动:Windows 休眠特性,影响驱动加载,首现「FAQ」。
limit rate:nftables 日志限速语句,首现「FAQ」。
802.1Q:VLAN tagging 标准,首现「FAQ」。
handshake timeout:WireGuard 握手超时,首现「监控与回滚」。
Runbook:应急操作手册,首现「监控与回滚」。
断网演练:季度容灾测试,首现「监控与回滚」。
子账号:即将上线的 UUID 级细分功能,首现「未来趋势」。
nftables.log:自留存审计日志,首现「留存与合规」。
风险与边界
不可用情形:>100 人同时在线、需要固定入口 IP 的反向代理、峰值带宽持续 >500 Mbps。副作用:ICS 与 VMware 冲突需手动调 Metric;macOS 共享发热大,夏季可能降频。替代方案:企业 SASE、独立 VPS 自建 WireGuard、Clash Meta 分流。若你预期明年扩容至 50+ 终端,建议提前评估 SASE,避免个人订阅合规风险。