OpenWrtルーター OpenClash 導入ガイド：透明プロキシと分流ルールを段階設定（2026）

なぜデバイスごとではなくルーターでClashを動かすのか

デスクトップクライアントは、同じマシンで詳細ログを確認しながらプロファイルを微調整したいときや、TUNキャプチャを個人単位でオン／オフしたいときに便利です。一方、ルーター設置の利点はポリシーの均一性にあります。スマートフォン・タブレット・スマートTV・ゲーム機が、APKをサイドロードしたりデバイスごとにVPNスイッチをいじることなく、同じ分流ルールを自動的に継承できます。OpenClashはそうした機能をLuCIのGUI上に集約しているため、YAMLの編集・購読の管理・デーモンの起動停止をブラウザだけで完結できるのが魅力です。

ただし運用コストは増えます。CPUスループット・RAM空き容量・フラッシュの書き込み耐性が、GEOIPデータベースをどれだけ大きくできるか、リモートルールプロバイダーをどのくらいの頻度で更新できるか、ログをどれだけ詳細に残せるかを左右します。ルーターは「共有ランタイム」なので、DNS転送を一か所ミスするだけで家中の全端末が影響を受けます。プロファイルのA/Bテストを手元でやりたいなら、WindowsのClash Verge RevやAndroidのFlClashを先に試してから、ルーターへ本番投入するのがおすすめです。

ファームウェア・トポロジーと現実的なハードウェア要件

OpenWrtはセキュリティ修正が継続して届くブランチを選びましょう。Wi-Fiが重要な環境では、無線ドライバーの対応状況もあわせて確認を。RAMは、大型のリモートルールリスト・ロギング・複数プラグインを同時に使う場合、実用的な下限は256 MBと考えてください。128 MBで起動はできても、夜間のルール更新中やログ行が一時的に膨らんだタイミングでOOMに陥るリスクが高くなります。フラッシュ容量も重要です。リモートプロバイダーのキャッシュやコアバイナリは永続ストレージを消費するため、更新を重ねる場合はこまめな清掃が必要です。

トポロジーについて明示的に触れておきます。フォーラムではメインルーター構成とサイドルーター（旁路由）構成が混在していることが多いからです。典型的なシングルゲートウェイ構成では、DHCPがクライアントにルーターのLANアドレスをDNSとデフォルトルートとして配布するため、設定はシンプルです。サイドルーター構成では、DHCPゲートウェイ・静的ルート・リターンパスの整合を丁寧に保たないと、一部の端末がOpenClashを完全に迂回したり、二重NATが発生したりします。ARP・DHCPオプションのデバッグに慣れるまでは、シンプルに「OpenClashを動かすルーター一台＋残りはスイッチまたはアクセスポイント」という構成をおすすめします。

1OpenClash・依存パッケージ・Metaコアのインストール

インストール方法はメンテナーのフィード、デバイスのアーキテクチャ、オンラインのパッケージミラーを使うかオフラインの.ipkを使うかで異なります。どのルートでも手順の順番は重要です。まずルーターをネットワーク疎通が取れる状態にし、システム時刻を確認しましょう（時計がずれているとTLS関連の謎エラーが頻発します）。次に、プラグインが必要とする基本ライブラリとファイアウォールツールをインストールしてから、OpenClash本体を入れます。デーモンが初めて起動したら、LuCIの管理画面を開き、自分のCPUアーキテクチャに合ったMeta（Mihomo）コアバイナリをダウンロードまたは指定します。arm64ルーターにarmv7ビルドを使うのはよくあるコピペミスなので注意してください。

UI上でコアのバージョンを確認し、サービスログを一度 tail してみましょう。コアが起動を拒否する場合は、実行権限の欠如・libcバリアントの不一致・ダウンロードへのアンチウイルス系パッケージの干渉を順に疑います。将来のコアアップグレードに備えて十分な空き容量を確保してください。オーバーレイがいっぱいの状態で展開しようとすると、古いファイルを削除するまでほぼソフトブリック状態になります。自動更新を組む場合は、上流リリース直後しばらくはバージョンを固定し、破壊的変更を読んでから全宅に適用する運用を推奨します。

パッケージ導入時のよくある落とし穴

• 依存関係の順序：iptablesまたはnftables系のkmodを先にインストールしないと、OpenClashのポストインストールスクリプトが静かに失敗することがあります。
• アーキテクチャ名の確認：uname -mの出力と、OpenClashのMetaコアの配布名（aarch64・armv7・x86_64など）を照合してください。
• フラッシュ空き容量：コアバイナリは圧縮状態で数MB、展開後はそれ以上になります。df -hで/overlayの空きを事前確認しましょう。
• 時刻同期：NTPが動いていない環境では、dateコマンドで現在時刻を手動設定してからHTTPS経由のダウンロードを行います。

2購読プロファイルのインポートとマージ安全な管理

プロバイダーの購読URLをOpenClashに貼り付けて保存し、更新を実行します。フィードがClash形式に対応していない場合は先に変換が必要です。混在プロトコルのURLを標準的なYAMLに変換する方法は、Subconverterガイドで解説しています。インポート後、関連するポリシーグループ内でノードを選び、実行モードをルールに切り替えてから動作確認してください。グローバルダイレクトモードで確認しても「WAN接続が生きているか」しかわからず、ポリシーの正しさは確認できません。

購読シークレットをパブリックなチャットに貼ってしまった場合は即座に再発行を。更新間隔はフラッシュ耐久性に合わせて設定します。大量のリストを数分おきに取得するのは安価なNANDフラッシュにとって過酷です。複数のプロファイルを共存させる場合は明確にラベリングし、曖昧なマージは避けてください。OpenClashはユーザー独自のスニペットとリモートのベースを組み合わせる機能を持っていますが、半年も細かい編集を重ねると差分が追いにくくなります。

3透明プロキシ・リダイレクトとLAN迂回

透明モードはnetfilterのルールを使い、インターネット向けのトラフィックをClashのローカルリスナーへ送り込みます。クライアント側では手動プロキシ設定が不要になる代わりに、正確な迂回リストの維持が重要です。RFC1918のプライベートアドレス空間・リンクローカルレンジ・管理サブネットを誤ってトンネルに引き込まないよう注意してください。迂回範囲が広すぎると国内サイトがGEOIPルールに引っかからなくなり、狭すぎるとNASやプリンターへのアクセスがハーピンして止まります。

LuCIの他のパッケージ（広告ブロッカー・ペアレンタルコントロール・カスタムNATスクリプトなど）がOpenClashのインストール後にチェーン順を変えることがあります。症状は「あるVLANは通るのに別のVLANは通らない」という部分的な接続障害として現れます。疑わしいパッケージを一時無効化してリダイレクトが戻るか確認しましょう。安定したら、なぜそのルールが存在するかわかるよう最終的なチェーン構造をドキュメント化しておくと、将来の自分が助かります。ルーター上でVPNクライアントも動かしている場合は、デフォルトルートをClashから奪わないよう、フェイルオーバーの設計を明確にしてください。

4ゲートウェイDNS：dnsmasq・FakeIP・ループ回避

ルーターのDNSは「ブラウザでは通るのに特定アプリだけ繋がらない」という話題が尽きない領域です。MetaのDNSスタンザはOpenWrtのリゾルバと協調させる必要があります。dnsmasqがClashに転送し、ClashがDoH上流に転送し、その上流がどこかを指し間違えると名前解決ループが発生してCPUが張り付きます。FakeIPモードとredir-hostモードのどちらを使うかを意識し、LAN内で重要なホスト名にはfake-ip-filterエントリを用意してください。DNS設定の詳細はMetaコアDNSリーク防止ガイドで体系的に解説しています。ハイジャック設定を変える前にぜひ一読することをおすすめします。

TUNライクな機能やポート53ハイジャックを有効にする場合は、リスナーパスを持つコンポーネントが一つだけであることを確認します。障害が起きたらクライアントでdigをルーターアドレスと公開リゾルバ両方に向けて打ち、どこで応答が分岐するかを観察してください。IoTデバイスの中にはDHCPのDNSオプションを無視して自前のリゾルバを使うものもあります。そうした例外にはYAMLの調整ではなく、スタティックポリシーエントリやハードウェア隔離で対処する方が現実的です。

DNS設定チェックリスト

• dnsmasq の上流転送先が Clash のリスナーポートを正しく向いているか確認する
• Clash の dns.listen ポートと dnsmasq の転送先ポートが一致しているか確認する
• FakeIPモード使用時は fake-ip-filter にルーター自身のLAN名・.local・マルチキャストドメインを追加する
• ループ検出は dig @127.0.0.1 -p [Clash-port] google.com で確認する（無限に応答を待つ場合はループの可能性大）
• 複数のリゾルバが53番ポートを掴んでいないか ss -tulnp | grep :53 で確認する

5ルールプロバイダー・GEOIPと持続可能な運用

リモートのルールプロバイダーはGEOIPやドメイン情報を最新に保ってくれますが、フェッチのたびにフラッシュへの書き込みとパースのためのRAMを消費します。「念のため」とコミュニティのリストを全部ミラーするのではなく、自分のトラフィックに合ったプロバイダーセットに絞ることが重要です。ACL4SSRとLoyalsoldierの比較はルールセット比較記事で詳しく扱っています。ルールカテゴリとDNSポリシーは整合させてください。GEOIPファイルを入れ替えてリゾルバの分割ポリシーを直さないままにしておくと、「ルールが効かなくなった」という誤検知が増えます。

更新スケジュールはオフピーク時間帯にし、上流に大きな変更があった後の初回フェッチ時のメモリ使用量を監視しましょう。プロバイダーのURLが消えたときに備えて、ローカルフォールバック用のYAMLスニペットを用意しておくと、ルーターがポリシーを決定論的にブート起動できます。カスタムパッチは上流マージとは別にバージョン管理しておくと、上流がファイル名を変えてリベースが必要になったときに楽です。

トラブルシューティング：メモリ・DNS・スループット・プラグイン競合

ランダムな再起動やOOM：ルールプロバイダーを減らし、ログの詳細度を下げ、不要なLuCIアプリを無効化するか、RAMが多いハードウェアへ移行してください。大型のACL4SSR全部入りリストと詳細ログを128 MBルーターで同時に動かそうとするのは最初から無理があります。

サイトの部分的な読み込み失敗：TCPリダイレクトのみが有効な状態でQUICやHTTP/3が必要なサイトに繋ごうとしている可能性があります。ブラウザ側でHTTP/3を一時無効にして再現するか確認してください。

ピーク速度が遅い：ルーターのCPUはデスクトップCPUではありません。AES-NIの有無・サーマルスロットリング・シングルコアの限界が影響します。テスト中は軽量プロトコルを試すか、同時接続数を絞ってみましょう。

DNS関連のおかしな挙動：dnsmasq → Clash → 上流リゾルバの流れを一枚の図にして、ループがないか確認してください。スニファ設定を追いかける前にループを排除するのが先決です。管理画面に繋がらない：迂回リストにルーター自身の管理アドレスが含まれているか、管理VLANを意図せずリダイレクトしていないか確認します。プラグイン競合：怪しいパッケージを一つずつ無効化して結果を記録する地道な切り分けが、週末を棒に振らないコツです。

まとめ

OpenWrtでOpenClashを動かすことの本質は、個々のLuCIチェックボックスを覚えることではなく、再現可能なパイプラインを作ることです。検証済みのコアバイナリ、クリーンな購読マージ、LAN迂回を正しく守った透明プロキシパス、ループしないDNS、そして維持可能なルールプロバイダー。このパイプラインが安定すれば、家中の全端末がインストールウィザードなしで同じ丁寧なポリシーを継承します。

デスクトップやスマートフォンのクライアントは手元での実験用として残しておきましょう。Metaの挙動は一貫していますが、変数を一台のマシンで切り分ける方がプロファイルの比較に何時間も節約できます。デバイスごとに単機能アプリを使い回すより、Meta系ワークフローに統一した方がメンテナンスコストは下がります。2026年現在、ツールの成熟度が上がった今こそ、ルーター設置でその恩恵を家全体に広げるベストタイミングです。

→ Clashを無料ダウンロードして、ルーターと手元の端末で一貫したプロキシ体験を整える