快连iOS端如何开启按需连接并排除本地局域网地址?
功能定位:省流量与本地互通的平衡点
在 iOS 19 系统里,kuailian 把「按需连接」与「局域网排除」做成同一条策略,核心诉求只有一个:只在访问境外目标时才触发加密通道,本地 NAS、无线打印机、Apple TV 投屏等流量仍走原始 Wi-Fi,既省电池也避免反复握手。经验性观察,开启后全天蜂窝流量可下降约三成,且 HomeKit 摄像头延迟稳定在 30 ms 内。
该功能与「分应用代理」并不重叠:前者按目标网段做路由判断,后者按 Bundle ID 做进程隔离。若你同时启用,iOS 会优先匹配按需规则,再落到 Split Tunnel 白名单,逻辑上呈「先路由后进程」的两次过滤。
版本与入口:只有 v9.8 以上才可见
截至当前的最新版本,快连把开关藏进「设置 → 加密网络 → 高级 → 按需连接(Connect On Demand)」。若你仍停留在 v9.7,只能看到「自动重连」复选框,无法追加排除列表;请先更新到 TestFlight 或 App Store 最新版,否则后文步骤无效。
操作路径:三步完成 iOS 端配置
1. 生成描述文件
打开快连 → 我的 → 设备管理 → iOS 描述文件 → 勾选「按需连接」→ 在「排除地址」栏输入:
192.168.0.0/16, 10.0.0.0/8, 172.16.0.0/12, 169.254.0.0/16
这是 RFC1918 规定的三段私网 + 链路本地,覆盖 99% 家用与办公场景;若公司网段被切成 100.64.0.0/10,也请一并追加。完成后点「下载描述文件」。
2. 系统级安装
iOS 会弹出「已下载描述文件」通知 → 设置 → 通用 → privacy tool 与设备管理 → 描述文件 → 安装 → 输入锁屏密码 → 信任。注意:此步骤需要 Face ID/密码,否则按需规则不会生效。
3. 验证是否生效
保持 Wi-Fi 连接,打开 Safari 访问 192.168.1.1(路由器后台)→ 应能直接打开;再访问 whatismyipaddress.com → 应显示境外 IP。若两者同时成立,说明按需+排除已生效。经验性观察,首次握手延迟在亚秒级,后续切换无感。
桌面端对照:macOS 路径更长
macOS 版快连没有描述文件概念,需手动写 JSON:
{
"onDemand": true,
"excludeRanges": ["192.168.0.0/16", "10.0.0.0/8"]
}
文件放入 ~/Library/Preferences/com.quicklink.macos.plist 并重启客户端。与 iOS 不同,macOS 支持 CIDR 写法和域名混排,但每改一次需冷启动才能重载。
常见分支:IPv6 与 NAS 发现失败
1. IPv6 仍被代理
iOS 默认把 fe80::/10 视为全局,因此 mDNS 会绕路。若你使用 Synology NAS 的 .local 域名,请在排除栏追加:
fe80::/10, ff02::fb
否则 TimeMachine 会提示「备份磁盘不可用」。
2. 企业级 802.1X
部分公司网关在认证阶段会强制所有流量走 10.x captive portal,若一开始就排除 10.0.0.0/8,会导致认证页弹不出。解决策略:先关闭按需连接,完成 802.1X 登录后再开;或把 portal 域名加入「强制直连」清单,路径在「设置 → 加密网络 → 高级 → 强制直连域名」。
副作用:什么时候不该用
- 若你常驻境外网络,按需规则反而增加判断开销,经验性观察延迟会抬高 5–10 ms,可干脆关闭。
- 国内网银、政务类 App 会检测「是否使用描述文件」作为风控维度,可能触发人脸识别增强。对公转账前可临时关闭按需开关,事后再开,无需卸载描述文件。
- iOS 19 低电量模式会关闭所有按需规则,若你发现突然无法翻墙,先检查是否误开低电量。
故障排查:按现象→原因→验证→处置
| 现象 | 可能原因 | 验证方法 | 处置 |
|---|---|---|---|
| 局域网设备 ping 不通 | 排除地址漏写 | 在「设置 → privacy tool → 快连 → 状态」看 Established Routes | 补全 CIDR 并重装描述文件 |
| 解锁流媒体失败 | 域名被强制直连 | Safari 开发菜单 → Timeline 看 DNS | 把域名移出「强制直连」清单 |
| 描述文件无法安装 | MDM 策略拦截 | 设置 → 通用 → 关于本机 → 证书信任设置 | 联系 IT 把 QuickLink CA 加入白名单 |
与快捷指令协同:一键切换场景
iOS 快捷指令支持「设定 privacy tool 配置」动作,可把「关闭按需」做成 NFC 贴纸,放在工位。上班轻触即关,下班出门再触即开,避免每天深入四层菜单。注意:快捷指令只能启停,无法动态改排除列表,若公司网段变化仍需重新下载描述文件。
最佳实践清单:交付前逐项勾选
- 确认私网段已完整覆盖,至少包含 192.168/16、10/8、172.16/12。
- IPv6 环境追加 fe80::/10,防止 mDNS 失效。
- 802.1X 场景预演 captive portal 流程,必要时准备「先关后开」脚本。
- 安装完描述文件后,用
scutil --dns(macOS) 或ipconfig getpacket en0(iOS 调试模式) 检查 DNS 服务器顺序,确保 192.168.x.x 仍排在首位。 - 每月检查一次快连更新,如 v9.9 后若支持拆分隧道 IPv6,可回退部分排除条目,减少维护量。
FAQ:必须可复现的 5 个高频疑问
描述文件安装后为何 privacy tool 图标常亮?
iOS 只要存在按需规则,无论是否传输数据都会显示图标,属系统行为,可在「设置 → privacy tool → 快连 → 连接状态」确认实际流量。
能否排除单个域名而非整段 IP?
iOS 描述文件仅支持 IP/CIDR,不支持域名排除;若必须域名级分流,请改用「分应用代理」或在「强制直连域名」里添加。
同一 Wi-Fi 下多设备如何批量部署?
用 Apple Configurator 2 把描述文件签名后通过 USB 一次性下发,或上架公司 MDM 目录;用户自助扫码亦可,但需信任 QuickLink CA。
为何更新 iOS 小版本后规则失效?
苹果在 19.4 后重置了 privacy tool 守护进程,需重新「安装 → 信任」描述文件;快连 v9.8.1 已适配,更新客户端即可。
低电量模式下如何保持自动连?
系统强制关闭按需,无法绕过;可把「低电量」快捷指令与「打开 privacy tool」联动,减少手动步骤,但仍需确认一次弹窗。
结论与下一步
按需连接+局域网排除是 iOS 端降低功耗、保持本地体验的最简路径,核心只有「描述文件」一步,但背后需对私网段、IPv6、企业认证做完整盘点。安装后务必用「路由器后台 + 境外 IP」双验证,确认规则生效;每月随客户端更新复查一次 CIDR,即可长期零维护。
下一步,你可把「关闭按需」做成 NFC 贴纸,或利用快捷指令实现「到公司自动关、回家自动开」。若公司网段频繁变动,建议向 IT 索要最新路由表,直接批量替换描述文件,避免手动逐条修改。保持客户端为最新版本,官方对 iOS 系统级变化通常会在两周内推送适配,让这条分流隧道始终处于「无感」状态。