功能定位:为什么要把“全局”改成“分应用”
在快连 privacy tool(QuickLink privacy tool)里,“全局代理”意味着全部流量都进入 FastLink 2.0 隧道;而“分应用代理”(Split Tunneling)只把你指定的应用送进隧道,其余流量仍走本地网关。对跨境办公党来说,这能同时解决两条刚需:① 让 Zoom、Slack、Jira 走海外低延迟节点;② 让网银、OA、钉钉直连公司内网,避免二次认证失败或被风控拦截。
从合规视角看,分应用模式天然减少了“非必要数据出境”范围,万一出现审计,也能快速拉出“哪些包去了境外”的清单。下文所有步骤基于快连 v6.3.4(截至当前的最新版本),并给出 Windows、macOS、Android、iOS 四条最短路径,方便你在不同设备间复刻。
操作路径:30 秒完成全局→分应用切换
Windows 10/11(桌面端)
- 主界面右上角 ≡ → 设置 → 网络分流 → 模式选择“分应用代理”。
- 在“隧道内应用”列表点击 + 号,浏览或直接输入进程名,例如
zoom.exe、steam.exe。 - 如需“例外”,切到“隧道外应用”标签,把网银客户端(如
ebank.exe)加进去;点保存立即生效,无需重启。
提示:Win11 24H2 若遇 TUN 驱动签名失败,先装官方补丁 KB603218,再回此页面勾选“启用实验性驱动”即可见分应用开关。
macOS 12+(桌面端)
- 顶部菜单栏 QuickLink 图标 → Preferences → Network → Split Tunneling。
- 解锁左下角 🔒,输入系统密码;将需要走隧道的 App 从 Finder 拖进“Include List”。
- 若发现切换节点后 DNS 缓存不刷新,可在 Terminal 执行:
sudo dscacheutil -flushcache && sudo killall -HUP mDNSResponder
Android 10+(移动端)
- 主界面 → 我的 → 网络设置 → 分应用代理 → 开启“启用分应用”。
- 在“走代理”卡片里勾选 TikTok、YouTube、Gmail;在“ bypass ”卡片里勾选企业微信、支付宝。
- 返回主页,点击“智能加速”让 AI Ping 预测重新选节点;若系统提示“后台被冻结”,把快连加入电池无限制名单。
iOS/iPadOS 16+(移动端)
- 快连内置的“分应用”依赖系统级 Per-App privacy tool 接口,需先安装官方描述文件:设置 → 通用 → privacy tool 与设备管理 → 安装 QuickLink Per-App 配置。
- 回到 App → 设置 → 分流规则 → 应用列表,打开需要走隧道的 App 开关(如 Slack、Notion)。
- iOS 不允许把系统 App(如 Safari、Mail)单拎到隧道外,若必须 bypass,请改用“域名分流”功能,把公司邮箱域名加入直连清单。
例外与副作用:什么时候不该用分应用
1. 强合规场景:若公司 DLP 要求“所有流量必须经企业网关审计”,分应用会让部分流量逃逸,触发告警。此时应回退全局模式,或在企业后台把快连节点加入白名单。
2. P2P 下载:经验性观察,部分 BT 客户端在分应用列表外会拿到真实 IP,导致 tracker 同时记录隧道与本地地址,形成“双栈泄露”。若你使用 qBittorrent,务必把进程手动拖进 Include List,并打开“强制绑定网络接口”选项。
3. 游戏外挂检测:外服游戏(Valorant、PUBG)的反作弊驱动会扫描网络栈,发现“部分流量不走隧道”可能判定为环境异常。稳妥做法:游戏及其启动器都加入 Include List,并保持全局 DNS 走 FastDNS-over-QUIC,减少被标记概率。
验证与回退:如何确认规则真的生效
观测方法
- DNS 泄露检测:在浏览器访问
https://dnsleaktest.com,预期只出现所连节点的 DNS,不应出现本地运营商。 - IP 归属检测:把网银客户端加入 bypass 后,访问
https://ipinfo.io,应显示你本地宽带 IP;同时用加入隧道的浏览器打开同一网站,应显示海外节点 IP。 - 进程级抓包(进阶):Windows 可用 Wireshark 过滤
remote_as eq 6500,若只有 Include List 里的进程与海外 IP 通信,则配置正确。
一键回退
若出现网银无法登录、OA 视频卡顿等异常,无需卸载,只需回到“网络分流”页面把模式切回“全局代理”,规则立即失效;或临时关闭“启用分应用”开关,相当于全局 fallback。所有路径均支持热切换,无需重启系统。
与第三方 Bot/自动化的协同
经验性观察,部分用户把分应用规则与 Telegram 的“第三方归档机器人”配合使用:让 Telegram 走隧道,而机器人后台 API 留在本地,降低被封号风险。实现逻辑是:将 Telegram 桌面进程加入 Include List,同时在“域名分流”里把api.telegram.org设为直连。如此机器人依旧能用本地 IP 调用官方接口,而你的聊天流量走海外节点,减少“账号地理位置跳变”告警。
注意:第三方 Bot 的 webhook 若强制 TLS 1.3 且校验源 IP,一旦源地址来回切换会导致握手失败。建议把 webhook 也加入 bypass 清单,或改用长轮询模式。
故障排查:分应用不生效的 3 个高频原因
| 现象 | 可能原因 | 验证步骤 | 处置 |
|---|---|---|---|
| 银行页面仍提示“境外 IP” | 进程名大小写错误,或银行调用子进程未加入 bypass | Resource Monitor 看子进程名 | 把子进程也加入隧道外清单 |
| 游戏延迟反而升高 | AI Ping 预测节点跳错区服 | 手动 ping 节点 IP | 关闭“自动”,手动锁区 |
| 规则保存后秒退回“全局” | macOS 未解锁 🔒,系统拒绝写入 privacy tool 配置 | 控制台提示 “Permission denied” | 重新解锁并授权 System Extension |
适用/不适用场景清单(决策速查)
- 10 人以下远程团队:适用,分应用后本地 SaaS 认证不再频繁掉线。
- 金融、证券交易员:慎用,部分券商终端使用 COM 组件调用 IE,进程链复杂,容易遗漏 bypass。
- 直播推流:适用,把 OBS 加入 Include List,其余上网走本地,降低带宽争抢。
- 高校统一身份认证:不适用,认证系统会检测源 IP 与校园网段一致性,建议用全局+学校白名单节点。
最佳实践 5 条(检查表可直接打印)
- 先列清单:把必须走本地/必须走隧道的应用各写一列,避免“拍脑袋”加漏进程。
- 用域名分流补漏:iOS 无法拆分系统 App 时,把公司邮箱、LDAP 域名加入直连清单。
- 每季度复核:App 更新后进程名可能带版本号,如
wechatupdate.exe,及时加规则。 - 保留“全局”快照:在设置页右上角 ⋮ → 导出配置,出问题 5 秒回滚。
- 审计日志:Windows 版可在
安装目录\logs\split_tunnel.log查看命中记录,配合 Splunk 免费版做可视化,方便内审。
FAQ(结构化数据,利于富卡片收录)
分应用规则最多能加多少个进程?
官方文档未给出硬上限,经验性观察 Windows 端 200 条后 UI 滚动开始掉帧;建议 150 以内,超限可用域名分流补位。
规则导入导出支持哪些格式?
桌面版可导出 JSON(含进程名、MD5、路径通配符),移动端仅支持二维码分享,不含 MD5 校验。
为何升级后规则被清空?
跨大版本(如 6.2→6.3)会迁移数据库,若安装过程被杀毒拦截,迁移失败即回滚空配置;升级前手动导出即可防丢。
分应用模式下 IPv6 会泄露吗?
快连默认阻断外发 IPv6,若本地网络纯 v6,需在“高级”里打开“强制 IPv4 优先”;否则可能出现 bypass 应用拿不到地址无法联网。
同一账号 12 台设备能否各自用不同规则?
可以。规则保存在本地,云端只同步节点与协议,分应用策略互不覆盖;但手动导出后通过二维码可快速复用到另一台设备。
收尾:下一步行动建议
如果你正被“网银秒退+Zoom 掉线”双重暴击,不妨立刻按本文最短路径把快连切到分应用模式:先加 3 个最常用的海外会议软件,再逐步把本地金融类 App 移出隧道,边用边观察。记得每季度复查进程名、导出配置做快照,一旦公司合规策略收紧,也能在 10 秒内退回全局。把规则当代码管,你的网络就会像 CI 一样可审计、可回滚、可协作。
