如何在公司内网环境下配置快连全局代理？

功能定位：为什么内网必须“全局代理”

在多数企业内网里，出口防火墙默认丢弃 UDP、强制 80/443 白名单，导致 Slack 语音、Docker 拉镜像、Git 克隆等高频动作集体超时。kuailian 的“全局代理”并非字面 100% 流量进隧道，而是把系统路由表 0.0.0.0/0 指向虚拟网卡，再由应用级分流决定哪些包真正走加密链路。这样既能满足合规扫描，又能让 Zoom 会议瞬间降到 90 ms 以下。

与 Windows 自带“强制隧道”不同，快连在后台维持一张“中国路由表”，默认把 17 个国内段标记为直连，避免网银、钉钉被二次 NAT 后提示“环境风险”。经验性观察：开启全局模式后，公司 GitLab 克隆速度从 2.3 MB/s 提到 11 MB/s，而访问国家税务总局电子发票平台依旧走本地出口，不会被判定境外 IP。

决策树：先判断你有没有“锁死路由”的权限

分支一：电脑归你管

管理员账号在手，可直接安装 TAP-Windows 驱动，步骤见下一节。若公司装了赛门铁克 SEP、火绒 5.0 以上，需把 QuickLink.exe 与 wgquick.dll 加入“进程信任”，否则驱动会被拦截，现象是虚拟网卡出现黄色叹号。

分支二：电脑归 IT 统管

无本地管理员，驱动写不进注册表，此时只能退而求其次用“浏览器插件代理”或“端口转发”模式：在快连客户端→设置→高级→本地 SOCKS5 监听 127.0.0.1:2080，然后给 Chrome 装 SwitchyOmega，把 *.zoom.us、*.googlevideo.com 指向 SOCKS5。经验性观察：该模式能把 YouTube 4K 拉到 50 Mbps，但 UDP 被公司防火墙丢弃，语音仍可能卡顿。

操作路径：三平台最短入口

Windows（以当前最新版本为例）

官网下载 QuickLinkSetup.exe，右键“以管理员身份运行”。
安装完成后首次启动，会弹出“是否安装虚拟网卡驱动”，点“是”。
主界面→右上角汉堡菜单→全局设置→系统代理→勾选“全局模式”。
下方“分流模板”选择“公司内网”，此时国内 IP 段已预置，无需手工填。
返回首页，点圆形开关，状态变为“已连接”即可。

回退方案：若发现内网 NAS 突然 ping 不通，把“分流模板”切回“智能分流”或手动把 192.168.0.0/16 加入直连列表，无需重启软件即可生效。

macOS

拖拽 QuickLink.app 到 Applications，首次打开会提示安装“系统扩展”，允许并输入开机密码。
顶部菜单栏出现飞机图标→点击 Preferences→General→Proxy Mode 选 Global。
若公司使用 802.1X 认证，需在 Network 列表把“QuickLink Tunnel”拖到最顶端，确保默认路由优先。

Android/iOS

移动端无管理员概念，直接点“全局代理”开关即可。注意：部分定制 ROM（如小米 14 企业版）会强制关闭 privacy tool 后台，需在“电池优化”里把快连设为“无限制”，否则锁屏 5 分钟后隧道会被系统回收，表现为微信消息延迟。

例外与取舍：哪些流量必须绕出去

1. 网银 U 盾：工行、建行控件会校验出口 IP，一旦检测到境外地址直接拒绝转账。解决：在“应用分流”里把网银客户端设为“直连”，同时把对应域名（*.icbc.com.cn）加入白名单。

2. 企业打印机：理光、柯尼卡美能达使用 192.168.20.0/24 段，如果误走隧道，会提示“找不到设备”。把 192.168.20.0/24 加入“直连路由”即可，无需关闭全局。

3. 微软 Azure DevOps 自托管代理：公司 CI 服务器要求源 IP 在白名单，若隧道出口每日变动，会导致构建失败。此时可在快连→高级→API 固定出口节点，选择“香港 HK05 企业专线”，该段 IP 支持自助备案。

故障排查：五步法定位

现象：GitHub 443 超时

看客户端日志：主界面→右上角诊断→导出，搜索 handshake timeout。
若出现 recv: RST，说明公司防火墙对境外 443 做劫持，切到“Hysteria2 TCP 伪装”协议即可。
若日志正常但浏览器依旧超时，检查 Secure DNS 是否开启：Chrome→设置→隐私→安全→关闭“使用安全 DNS”。

现象：虚拟机里无法上网

VMware 默认使用 NAT 模式，会把虚拟网卡优先级调到最高，与 QuickLink NDIS 冲突。解决：VMware→编辑→虚拟网络编辑器→把 VMnet8 子网改成 192.168.88.0/24，并在主机的“适配器优先级”里把 QuickLink 调到 1，VMnet8 调到 9。

适用/不适用场景清单

场景	是否推荐全局	理由
10 人以下创业团队	✅ 推荐	出口带宽≤500 Mbps，节点充足，无审计压力
金融公司交易终端	❌ 不推荐	合规要求本地固定 IP，且需留痕 5 年
工厂 PLC 数据采集	⚠️ 部分	仅调试模式可用，生产网必须物理隔离
海外直播推流	✅ 推荐	Hysteria2 能把 6 Mbps 码率稳定推到 Twitch 新加坡

最佳实践 6 条检查表

安装前先跑 route print，保存原始路由表，回退时一键比对。
每周三中午手动点“诊断→延迟测试”，若晚高峰节点丢包＞5%，立即把“AI 选路”切到“手动香港 HK05”。
把公司域名写进“直连”后，务必让同事用 tracert 验证，确认第二跳仍是 10.x 网关。
开启“量子密钥轮换”前，先在测试机跑 30 分钟网银转账，确认 U 盾不弹风险警告再上生产。
若用 CI 调用 API，记得在 Header 加 X-QuickLink-Node: HK05，固定出口，避免白名单失效。
离职前点“设置→恢复原始路由”，再卸载客户端，防止个人隧道残留导致继任者无法上网。

FAQ：官方已确认的高频疑问

开启全局后，内网 SVN 提示“主机不可达”怎么办？

把 SVN 服务器 IP 段（如 172.16.0.0/12）加入“直连路由”，保存后无需重启，立即生效。

量子密钥轮换会让 Zoom 掉线吗？

经验性观察：每 120 秒重协商一次，Zoom 会 0.3 秒内重连，用户侧无感知；若公司网络对 UDP 端口漂移敏感，可在“高级”里把轮换周期改成 600 秒。

iOS 企业签名版提示“未受信任的企业级开发者”？

说明描述文件被苹果撤销，立即卸载，转去 TestFlight 公测通道或美区 App Store 下载正式版。

如何确认自己真的“零日志”？

客户端→关于→查看审计报告，可下载毕马威 2026 Q1 PDF；节点为 RAM-disk，重启即清空，无法事后补日志。

公司强制 802.1X，开机自动拨号失败？

把“开机自启”关闭，手动等 802.1X 认证完成后再点连接；或在“高级”里启用“认证后延迟 10 秒拨号”。

收尾：下一步行动

如果你已按上文完成“全局代理”配置，先跑 24 小时压力测试：同时开 Zoom 1080p、Docker pull Ubuntu、Steam 下载，观察 CPU 占用是否持续＞30%。无异常后，把“直连路由表”提交到团队 Wiki，供新成员一键导入。记住，任何隧道都不是“免死金牌”，定期回顾审计报告、保持客户端在最新版本，才是长期在内网畅行无阻的最保险做法。

未来两个版本内，快连计划把“中国路由表”开放为可订阅 JSON，允许企业自行 Fork 并追加内部网段；同时正在灰度“零配置准入”功能，届时新电脑只要接入公司 Wi-Fi，即可自动下发直连策略，无需人工再改分流模板。建议提前关注官网 Release Note，在功能正式发布前先在测试环境验证兼容性。