스마트폰·노트북·태블릿마다 Clash 앱을 깔고 구독을 넣는 방식은 이동 중에는 편하지만, 가정이나 소규모 사무실처럼 여러 단말이 한 네트워크에 묶여 있는 환경에서는 관리 부담이 커집니다. 업데이트 시마다 기기마다 확인해야 하고, DNS·TUN 설정이 조금씩 달라지면 “같은 구독인데 왜 집 Wi-Fi에서만 끊기지?” 같은 불일치가 생기기 쉽습니다. 이럴 때 자연스러운 해법이 OpenWrt가 올라간 보조 라우터(사이드 라우터)를 게이트웨이로 두고, Clash Meta(Mihomo) 계열 코어로 투명 프록시를 중앙 집중하는 구성입니다.
이 글은 소프트 라우터·미니 PC·저전력 x86/ARM 보드 등 OpenWrt를 이미 설치했거나 설치할 수 있는 장비를 전제로, 2026년 기준으로 커뮤니티에서 널리 쓰이는 Clash Meta 코어를 예로 들어 설명합니다. LuCI 플러그인 이름(OpenClash 등)은 배포·펌웨어에 따라 다르므로, 여기서는 역할(게이트웨이·투명 프록시·DNS·규칙)에 초점을 맞춥니다. 단일 PC에서만 쓰는 Linux 본기 TUN 구성은 Linux Clash 설치·TUN 가이드와 겹치지 않게, 라우터·LAN 관점에서만 정리합니다.
1. 왜 “보조 라우터 + 게이트웨이”인가
메인 공유기(ISP에서 제공한 단말)를 그대로 두고, 그 뒤에 OpenWrt 장비를 한 대 더 두는 형태를 흔히 보조 라우터 구성이라고 부릅니다. 메인 쪽 WAN은 그대로 두고, OpenWrt의 WAN 포트를 메인 LAN에 붙이거나, 메인이 브리지·AP 모드일 때는 물리적으로 한 세그먼트에 두는 식으로 연결합니다. 핵심은 집 안 단말의 기본 게이트웨이와 DNS를 OpenWrt 쪽으로 보내는 것입니다. 그러면 단말은 “프록시 주소를 몰라도” 트래픽이 OpenWrt를 거치게 되고, 그 위에서 돌아가는 Clash가 규칙에 따라 해외·국내·LAN 직접 연결을 나눕니다.
메인 라우터를 완전히 교체하는 메인 게이트웨이 모드와 달리, 보조 라우터는 기존 가정 네트워크를 크게 건드리지 않고 실험·롤백하기 좋습니다. 문제가 생기면 DHCP만 원래대로 돌리거나, 특정 기기만 메인 게이트웨이를 쓰도록 고정하면 됩니다. 반대로 이중 NAT·라우팅 루프에 주의해야 하고, 포트 포워딩·게임 P2P·IPTV 같은 서비스는 토폴로지를 바꿀 때마다 다시 점검해야 합니다.
2. 토폴로지와 IP 설계
가장 단순한 예는 다음과 같습니다. 메인 라우터 LAN이 192.168.1.0/24이고, OpenWrt WAN이 메인에서 192.168.1.x 주소를 받으며, OpenWrt 자체 LAN은 192.168.2.0/24로 분리하는 방식입니다. 이 경우 집 기기를 전부 OpenWrt 아래로 옮기려면 메인 Wi-Fi 대신 OpenWrt Wi-Fi를 쓰거나, 케이블을 OpenWrt LAN으로 연결합니다. 혹은 메인이 DHCP만 담당하고, 게이트웨이 옵션만 OpenWrt LAN 주소로 주는 변형도 있습니다. 이 때는 메인과 OpenWrt가 같은 L2에 있지 않도록 설계해야 하고, 동일 서브넷 중복이 없어야 합니다.
OpenWrt에서 LAN·WAN 충돌(예: 둘 다 192.168.1.0/24)은 초보자에게 가장 흔한 끊김 원인입니다. LuCI의 Network 인터페이스에서 LAN 대역을 바꾼 뒤, 재접속 URL을 새 주소로 열어야 합니다. 문서화해 두면 가족이 공유기를 재부팅했을 때도 같은 순서로 복구할 수 있습니다.
3. DHCP로 “게이트웨이 모드” 넣기
클라이언트가 OpenWrt를 기본 경로로 쓰게 하려면 DHCP 옵션에 라우터(옵션 3)·DNS(옵션 6)를 OpenWrt LAN 주소로 지정합니다. OpenWrt의 Dnsmasq 설정에서 게이트웨이를 올리면, 스마트폰이 자동으로 그 주소를 받게 됩니다. 고급 사용자는 특정 MAC만 다른 게이트웨이를 주는 태그·호스트별 고정으로도 분리할 수 있습니다. “아이 기기만 메인, 어른 기기만 보조 라우터” 같은 정책이 필요할 때 유용합니다.
운영 팁으로, 예약 DHCP로 OpenWrt·메인 라우터의 LAN 주소를 고정해 두면 스크립트나 방화벽 규칙을 쓸 때 안정적입니다. 또한 보조 라우터 WAN이 메인에서 받은 주소가 바뀌면, 포트 매핑을 쓰는 경우 규칙이 깨질 수 있으므로 메인 측에서 OpenWrt WAN MAC에 IP를 예약하는 편이 낫습니다.
4. 투명 프록시: TUN과 리다이렉트
Clash Meta에서 LAN 전체를 다루려면 보통 TUN 모드가 이해하기 쉽습니다. 커널이 올린 가상 인터페이스 뒤에서 라우팅을 조정하고, 애플리케이션이 프록시 환경 변수를 몰라도 트래픽이 코어로 들어옵니다. OpenWrt용 빌드에서는 메모리·CPU 여유와 커널 모듈 지원을 확인해야 하고, 일부 SoC에서는 stack 선택이나 오프로드(NAT 하드웨어)와 충돌한다는 보고가 있습니다. 대안으로 iptables/nftables REDIRECT에 가까운 투명 프록시(포트 리다이렉트)를 쓰는 플러그인도 있으나, 설정 난이도와 유지보수는 배포판·스크립트에 크게 의존합니다.
설정 파일 관점에서는 tun.enable: true, auto-route, DNS의 fake-ip와 규칙 순서를 규칙 심층 가이드에 맞추는 것이 중요합니다. “투명 프록시인데 특정 사이트만 직행”은 결국 RULE·GEOSITE·DOMAIN-SUFFIX가 정확한지의 문제로 귀결됩니다. 전체 구조를 한 번에 다시 보고 싶다면 Clash Meta 최종 설정 가이드와 함께 읽는 것을 권장합니다.
5. DNS 하이재킹과 루프 방지
가정 네트워크에서는 단말이 DoH·DoT로 직접 빠져나가는 경우가 많습니다. OpenWrt 방화벽에서 53번 포트를 LAN에서 Clash로 돌리거나, 광고 차단용과 겹치지 않게 순서를 정해야 합니다. 잘못 설정하면 “클라이언트 → Clash → 업스트림 DNS → 다시 Clash” 같은 루프가 생기거나, 반대로 DNS만 우회되어 실제 IP가 직접 조회되는 누출이 생깁니다.
점검 순서는 단순합니다. 보조 라우터에서 dig 또는 nslookup으로 특정 도메인이 Clash 로그에 찍히는지, 클라이언트가 받은 DNS 서버가 무엇인지 확인합니다. IPv6가 활성화되어 있다면 AAAA 경로도 함께 봐야 합니다. 메인 라우터가 RA로 다른 DNS를 밀어 넣는 경우, OpenWrt 쪽에서 무시하거나 필터링하는 추가 설정이 필요할 수 있습니다.
6. LAN 분기 정책을 현실적으로 맞추기
“가족 전체가 같은 규칙”이 목표라면 구독 프로필 하나에 국내 트래픽 DIRECT, 국외·특정 서비스만 PROXY 같은 룰셋을 넣는 방식이 일반적입니다. 스트리밍·게임·은행 앱은 지연·지역 제한에 민감하므로, DOMAIN·PROCESS·IP-CIDR 예외를 미리 넣어 두는 편이 안전합니다. 팀이나 소호에서는 정책 프로필을 두 개로 나누고, SSID나 서브넷별로 다른 게이트웨이를 주는 식으로 분리하기도 합니다.
고급 사용자는 정책 라우팅(PBR)으로 “특정 소스 IP만 다른 테이블”을 쓰지만, 유지보수 비용이 큽니다. 처음에는 Clash 규칙만으로 커버하고, 부족할 때만 라우터 정책을 추가하는 것이 실패 비용을 줄입니다.
7. 자주 겪는 문제와 원인
전체 인터넷이 끊긴다면 우선 OpenWrt WAN이 메인에서 올라왔는지, Clash 프로세스가 살아 있는지 확인합니다. TUN이 라우팅 테이블을 덮어쓴 뒤 코어가 죽으면 복구가 어려우므로, safe-mode·유선 콘솔·타이머가 있는 펌웨어는 반드시 준비해 두세요. 특정 사이트만 안 된다면 규칙 순서·DNS·SNI 기반 차단을 의심합니다. 속도만 느리다면 이중 NAT·CPU 부하·노드 혼잡·QoS를 순서대로 봅니다.
보조 라우터 운영은 펌웨어 업데이트와 코어 업데이트를 분리해 기록해 두는 것이 좋습니다. 한 번에 올리면 “어느 쪽이 깨졌는지” 찾기 어렵습니다. 스냅샷이나 설정 백업은 OpenWrt 표준 절차를 따르세요.
8. 정리: 한 대의 게이트웨이로 정책을 통일하기
OpenWrt 보조 라우터에서 Clash Meta를 게이트웨이·투명 프록시로 쓰면, 앱 설치 없이 동일한 분기 정책을 가정·사무실 전체에 적용할 수 있습니다. 토폴로지·DHCP·DNS·TUN/리다이렉트만 일관되게 맞추면, PC·모바일·IoT까지 한 코어에서 관찰·조정하기 쉬워집니다. 데스크톱 단독 클라이언트가 필요하면 다운로드 페이지에서 환경에 맞는 빌드를 고르시면 되고, 서버·워크스테이션 본기 TUN은 앞서 인용한 Linux 가이드가 더 깊습니다.
클라이언트 측에서도 규칙을 손보고 싶다면, 그래픽 UI가 제공하는 Clash Pro 같은 패키지는 프로필·구독을 한곳에서 묶어 주어 초기 세팅 시간을 줄이는 데 도움이 됩니다. 다만 가정 게이트웨이의 “중앙 정책”과 어떻게 맞출지는 운영 규칙으로 정해야 합니다. 같은 목표를 두고도 라우터 중심과 단말 중심은 장단이 다르니, 가족 구성·기기 수·관리 가능한 시간에 맞춰 선택하시면 됩니다.