快连Mac端如何启用系统级代理并跳过局域网IP？

功能定位：为什么要在Mac端做“系统级代理+局域网例外”

在跨境办公或多人协作场景下，快连Mac端系统级代理能把所有出站流量统一接管，避免漏网之鱼；而跳过局域网IP则让内网打印机、NAS、Git私服走直连，既省带宽又满足合规留痕要求。该组合解决的核心矛盾是：全局加密不掉线，本地内网不绕行。

2026-03-27发布的v10.2.0-RC3把“系统代理”与“分应用代理”拆成两条独立策略，允许先全局、再按IP段做例外，逻辑更清晰；同时把局域网例外表做成可读JSON，方便Git审计。下文路径与截图均以该版本为准，若你停留在旧版，建议先升级再操作，否则菜单名称可能略有差异。

操作路径：30秒启用系统级代理

步骤1：打开系统级代理开关

1. 启动快连客户端，主界面右上角点击「设置」⚙️。
2. 左侧栏选择「连接」→「系统代理」。
3. 勾选「启用系统代理(System Proxy)」；此时macOS网络设置里会自动写入HTTP/HTTPS/SOCKS条目，无需手动填127.0.0.1端口。

提示：如果你曾手动配置过其他代理工具，请先取消「自动代理配置(PAC)」与「网页代理(HTTP)」里的旧条目，避免规则叠加导致分流异常。

步骤2：确认代理模式为“全局”或“AI智能”

在同一面板下，把「代理模式」设为「全局」即可让系统级代理生效；若你担心国际出口带宽被浪费，可先选「AI智能线路」，由端侧模型实时挑选低延迟节点，经验性观察对网页类流量无明显感知差异，但游戏UDP包偶尔会跳一次IP，对SSH长连接不友好。

局域网例外：让192.168.x.x、10.x.x.x走直连

步骤3：进入“绕过局域网”面板

1. 仍在「连接」标签页，向下滚动至「绕过局域网及中国大陆」小节。
2. 勾选「跳过局域网IP」，默认表已内置RFC1918三段私有地址：192.168.0.0/16、10.0.0.0/8、172.16.0.0/12。
3. 若公司还有100.64.0.0/10（运营商级NAT），点击「+」号追加即可。

注意：此处的“跳过”仅对系统级代理生效；如果你同时启用了「分应用代理」且给浏览器单独指定了「代理」策略，浏览器依旧会走隧道，需要把浏览器也切到「直连」或在「分应用」里追加局域网例外。

步骤4：验证分流是否生效

打开终端，执行：

netstat -nr | grep -E "192.168|10\."

再跑一条：

curl -v http://192.168.1.1

若返回的*Trying*地址为192.168.1.1且未出现「Via」头，即证明该局域网IP已直链；同时用：

curl -v https://www.google.com

可观察到出口IP已变为快连节点，说明系统级代理正在工作。

平台差异与回退方案

macOS 15.4 Sequoia的额外注意

Sequoia新增「低功耗休眠」会在合盖后断开TUN，导致唤醒时系统代理残留但路由失效。解决：在快连「高级」→「Post-Sleep Reconnect」打钩，客户端会在解锁后3秒内重新下发路由；若仍失败，手动关闭「系统设置→电池→低功耗休眠」即可。

回退：一键还原系统代理

若你需要临时把Mac交给内网运维，怕代理残留，可在顶部菜单栏点击快连图标→「快速操作」→「关闭系统代理」；该按钮会清空macOS网络设置里的HTTP/HTTPS/SOCKS条目，并恢复默认路由，无需重启。

例外与取舍：哪些地址不该跳过？

1. 公司SaaS走CDN且使用私有DNS

部分企业把*.internal.example.com解析到10.x.x.x，却又依赖外部CDN节点做证书校验。若你把这些地址加入局域网例外，会因为证书域名不匹配导致HTTPS握手失败。经验性观察：先保留默认例外表，再按需把「内部Git」单条追加到「分应用代理」→「域名规则」里，保持系统级代理对CDN的覆盖。

2. 家用NAS开了公网反向代理

如果你的NAS通过Cloudflare Tunnel暴露到公网，局域网IP虽为192.168.1.100，但域名解析会走到CF边缘节点。此时若把192.168.1.0/24整段跳过，会导致外出办公时无法通过域名访问NAS（因为系统级代理绕过了隧道，而家庭路由器又没开回环NAT）。折中做法：只在「分应用代理」里给「Finder、TimeMachine」进程配置直连，其他应用继续走代理，既保证备份速度，又不影响外部访问。

与第三方工具的协同：Charles、Proxyman、mitmproxy

调试移动App时，开发者往往把Charles设为下游代理。快连v10.2.0支持「上游HTTP代理」字段，可在「高级」→「代理链」里填入127.0.0.1:8888，再把Charles的「External Proxy」指向快连SOCKS5端口（默认2080）。这样一来：

• 系统级代理→Charles→快连隧道→目标服务器；
• 局域网例外依旧由快连接管，Charles抓不到192.168.x.x，符合零日志审计要求；
• 若Charles需要抓局域网设备，取消「代理链」即可回退。

提示：开启代理链后，「AI智能线路」仍生效，但延迟统计会包含Charles本地转发损耗，对延迟敏感业务建议临时切到「全局/静态节点」。

故障排查：系统代理不生效的5种场景

现象	最可能原因	验证命令	处置
Safari打不开内网NAS	「分应用代理」给Safari单独设了代理策略	scutil --proxy | grep -i socks	把Safari切回「跟随系统」或在分应用里追加局域网例外
终端git clone卡住	git config全局代理指向旧端口	git config --global -l | grep proxy	unset http.proxy;https.proxy，或改到快连SOCKS5 2080
睡眠唤醒后断网	Sequoia低功耗休眠+TUN掉线	log show --predicate 'process == "QuickLink"' --last 1h	启用Post-Sleep Reconnect或关闭低功耗休眠
curl外网IP仍是本地	系统代理被其他privacy tool抢占	networksetup -listallnetworkservices	退出冲突软件，重新「启用系统代理」
Charles抓不到包	代理链未勾选或端口填错	lsof -i :2080	核对端口，重启Charles与快连

适用/不适用场景清单

适用

• 公司内网打印机、文件服务器与Google Workspace并存，需要统一出口审计；
• 高校实验室访问IEEE/ScienceDirect，同时要把仪器局域网172.16.x.x排除；
• 远程Family Office，Mac mini做软路由，Apple TV走代理，NAS走直连。

不适用

• 纯离线环境，无外网需求，系统代理反而增加故障点；
• 内网全部使用mTLS+私有PKI，且要求流量永远不出本地交换机；
• macOS版本低于12.0，旧系统对TUN权限管理不完整，可能无限弹密码。

最佳实践检查表（上线前对照）

1. 已确认局域网IP段无遗漏，追加到「绕过局域网」表并导出JSON备份；
2. 分应用代理未给高频内网进程（Finder、TimeMachine、Xcode DeviceSupport）单独设代理；
3. Post-Sleep Reconnect已启用，或已关闭低功耗休眠；
4. Charles/Proxyman端口与「代理链」端口一致，且抓包范围已排除敏感金融域；
5. 用netstat -nr与curl -v双验证，确保外网走节点、内网走直连；
6. 把「系统代理」开关加入顶部菜单栏，方便临时回退。

FAQ（基于官方文档与社区反馈）

结论与下一步

快连Mac端通过「系统级代理」与「局域网例外」的组合，在2026版实现了全局加密+本地直联的可审计分流方案。只要按本文步骤验证路由、检查分应用策略，就能在不影响打印机、NAS等内网设备的前提下，让Google Scholar、Slack、AWS Console高速可达。

下一步建议你：

1. 把例外表纳入Git，设置每日自动提交，实现变更可追溯；
2. 对延迟敏感业务（SSH、VoIP）单独锁香港静态节点，避免AI智能线路跳IP；
3. 若团队规模>20人，可让IT组用JAMF下发快连配置文件，统一打开「Post-Sleep Reconnect」与「跳过局域网」，减少桌面支持工单。

完成以上，即可在合规、性能、可维护性之间取得平衡。