快连macOS端如何配置系统代理排除本地局域网地址?
在快连 macOS 端开启系统代理模式后,所有 HTTP/HTTPS 流量会被重定向至代理服务器。这一机制对跨境办公、流媒体解锁或海外游戏加速至关重要,却也带来一个常被忽视的副作用:本地局域网地址被错误地纳入代理范围。当你突然发现无法访问家中的 NAS、打不开打印机管理后台,或是 AirPlay 搜索不到投屏设备时,根源往往在于此。本文基于 macOS 原生网络能力与快连截至当前最新版本的客户端行为,提供图形界面、终端命令与 PAC 脚本三种可复现路径,帮助你在保留全局代理能力的同时,让本地流量直接走内网。
一、为什么局域网地址必须被排除在系统代理之外
系统代理的核心机制,是在操作系统层面接管 HTTP/HTTPS 连接的转发决策。当快连客户端在 macOS 上注册为活动代理后,所有依赖系统网络栈的应用——无论是 Safari、Chrome,还是部分命令行工具与系统服务——都会默认将请求发往远端代理节点。访问公网资源时这并无问题,但一旦目标落在 RFC 1918 规定的私有网段(如 192.168.0.0/16、10.0.0.0/8、172.16.0.0/12),或依赖 Bonjour/mDNS 的本地域名(*.local),流量便会被错误地送往海外服务器,最终因无法路由而超时或完全不可达。
这类断裂在实际使用中表现得很典型。家庭群晖或威联通 NAS 通过 SMB/WebDAV 挂载时频繁掉线;办公室打印机(通常位于 10.x.x.x 段)在开启代理后无法接受 AirPrint 任务;路由器管理后台(如 192.168.1.1 或 192.168.50.1)提示连接失败;Apple 生态的 AirPlay 投屏与屏幕镜像,则因 *.local 域名被代理拦截而搜索不到目标设备。这些服务的共同特点是:流量本应留在本地二层或三层网络,却在系统代理的全局接管下被强行“出国”再试图折返,最终要么在逻辑上形成环路,要么被代理服务器的防火墙直接丢弃。
二、快连 macOS 端代理模式与局域网流量的关系
在具体配置之前,必须先厘清快连在 macOS 上的两种流量调度逻辑。第一种是系统代理模式(System Proxy):它仅作用于支持系统代理配置的应用层流量,通过改写 macOS 网络偏好中的 HTTP/HTTPS 代理项生效。第二种是虚拟网卡/隧道模式(TUN):它在系统层面创建一块虚拟网卡,并通过路由表牵引流量。本文讨论的“系统代理排除本地局域网地址”,严格只适用于第一种模式。若你当前处于基于路由表的 TUN 模式,局域网可达性应由路由表中的直连路由或自定义静态路由控制,macOS 系统代理的“绕过”列表对这类流量并无约束力。
截至当前最新版本(背景信息显示 2026 年 4 月推送的 v7.4.3 全端更新),快连 macOS 端在系统代理接管策略上有所调整,部分用户反馈该版本在企业 Wi-Fi 环境下与既有的 PAC 自动配置文件存在兼容性冲突。这意味着,如果你此前依赖企业网络自动下发的 PAC 文件区分内外网,升级后可能需要临时回退至 7.4.2b 版本,或通过终端命令卸载快连的 PAC 守护进程以恢复原生代理逻辑。提前理解这一版本边界,能帮助你在“系统设置直接修改”与“PAC 脚本自定义”之间做出更稳妥的决策。
三、方案一:通过 macOS 系统设置手动配置排除列表
这是最通用、也最不依赖第三方工具的方法。无论快连客户端是否内置局域网绕过开关,macOS 网络偏好本身都支持为 HTTP 与 HTTPS 代理声明例外地址。其原理在于:操作系统在转发请求前,会比对目标地址与“忽略这些主机与域的代理设置”列表(Bypass proxy settings for these hosts and domains),一旦匹配便直接建立本地连接,不再将流量交由代理节点。
操作路径与平台差异
不同 macOS 版本的菜单位置略有差异,但核心逻辑一致。运行 macOS Ventura 及更新版本的设备(界面为“系统设置”侧边栏结构):点击屏幕左上角苹果菜单 → 系统设置 → 网络 → 在右侧列表中选择当前已连接的 Wi-Fi 或有线网络 → 点击“详细信息” → 左侧选择“代理”标签。仍在使用 macOS Monterey 及更早版本的设备(界面为“系统偏好设置”网格图标):苹果菜单 → 系统偏好设置 → 网络 → 在左侧选中当前网络接口 → 点击右下角“高级” → 切换到“代理”标签页。
进入代理配置页后,勾选“网页代理(HTTP)”与“安全网页代理(HTTPS)”,确保两者均已启用并配置代理地址后,分别点击右侧的“详细信息”按钮(旧版系统直接展开对应区域),找到“忽略这些主机与域的代理设置”文本框。在此填入局域网保留地址集,条目之间以英文逗号、空格或换行分隔均可被 macOS 识别。一个覆盖面较广的基础排除集如下:
localhost与127.0.0.1(本地回环地址,防止部分开发环境异常)192.168.0.0/16、10.0.0.0/8、172.16.0.0/12(三大私有地址段,覆盖绝大多数家用与企业内网)*.local(Bonjour/mDNS 服务发现域名,AirPlay、AirDrop、打印机发现均依赖此域)*.lan、*.internal(部分路由器或企业内网自定义域名后缀)
填写完成后依次点击“好”与“应用”。此时打开 Safari 访问路由器后台(如 192.168.1.1),若页面正常加载且状态栏未出现代理转圈的延迟,即说明系统级排除已生效。需要提醒的是:经验性观察表明,部分快连客户端在首次连接或重连时会向系统代理字典写入自身配置,若你发现排除列表在客户端重启后消失,请直接参考第六章的持久化策略。
四、方案二:使用终端命令快速写入与验证
图形界面适合单次调试,但对运维人员或需要批量部署排除策略的进阶用户而言,逐层点击效率过低且难以审计。macOS 内置的 networksetup 工具提供了对网络服务代理参数的完整读写能力,适合通过终端一键操作。
第一步:确认网络服务名称
在终端(Terminal.app 或 iTerm2 等)中执行以下命令,列出所有已注册的网络服务:
networksetup -listallnetworkservices
输出示例中会包含“Wi-Fi”、“以太网”、“USB 10/100/1000 LAN”等名称。请准确记下你当前正在使用的服务名,后续命令需严格匹配该字符串(含空格与大小写)。
第二步:写入绕过域名列表
以 Wi-Fi 为例,执行以下命令将局域网地址批量加入系统代理绕过名单。该命令需要管理员权限,因为涉及系统网络偏好修改:
sudo networksetup -setproxybypassdomains "Wi-Fi" "*.local" "192.168.0.0/16" "10.0.0.0/8" "172.16.0.0/12" "localhost" "127.0.0.1"
如果你的设备同时通过有线连接,建议对“以太网”服务也执行相同操作,避免切换网络接口时代理策略不一致。命令中的地址顺序不影响匹配逻辑,macOS 采用逐条比对机制。
第三步:验证与回退
写入后立即验证:
networksetup -getproxybypassdomains "Wi-Fi"
终端应回显你刚刚填入的所有条目。若需清空排除列表恢复到初始状态,可执行:
sudo networksetup -setproxybypassdomains "Wi-Fi" "Empty"
经验性观察表明,多数代理客户端仅在“开启系统代理”的瞬间向系统代理字典写入一次配置,之后不会高频刷新。因此,通过 networksetup 手动追加的排除列表通常能维持到下次手动断开并重连代理。但如果你发现排除项频繁丢失,说明客户端采用了强覆盖策略——此时应转向方案三的 PAC 文件,或尝试使用客户端内置的分流规则。
五、方案三:利用 PAC 文件实现动态局域网直连
当内网环境复杂、IP 段分散,或你需要根据访问目标动态决定直连还是代理时,手动维护系统设置中的排除列表难免显得笨拙。PAC(Proxy Auto-Config)脚本允许系统根据请求的 URL 或主机名自动返回“DIRECT”(直连)或“PROXY 地址:端口”。这套机制不仅可用于局域网排除,也为更精细化的分流策略提供了基础。
编写最小可用的局域网绕过 PAC
以下脚本提供了标准的局域网绕过逻辑。将其保存为纯文本文件,例如命名为 lan-bypass.pac,存放于本地固定路径(如用户文稿目录):
function FindProxyForURL(url, host) {
// 本地回环与私有地址段直连
if (shExpMatch(host, "*.local") ||
isInNet(host, "127.0.0.0", "255.0.0.0") ||
isInNet(host, "10.0.0.0", "255.0.0.0") ||
isInNet(host, "172.16.0.0", "255.240.0.0") ||
isInNet(host, "192.168.0.0", "255.255.0.0")) {
return "DIRECT";
}
// 其余流量走快连本地代理端口(请根据客户端实际监听端口调整)
return "PROXY 127.0.0.1:端口号";
}
其中 127.0.0.1:端口号 需要替换为快连客户端在本地开启的 HTTP 代理监听地址与端口。该端口通常可在客户端设置的网络选项中查看,不同协议或不同启动顺序下可能动态变化,请以实际运行配置为准。
挂载 PAC 到系统网络设置
在 macOS 的网络代理设置页(路径同方案一),勾选“自动代理配置”(Automatic Proxy Configuration)。在 URL 栏填入本地文件引用地址,格式如下:
file:///Users/你的用户名/Documents/lan-bypass.pac
点击“好”并应用后,系统会在发起连接前调用该脚本进行判断。你可以通过访问一个局域网地址和一个公网地址来验证:前者应秒开且无代理延迟,后者应正常走快连隧道。
v7.4.3 版本的兼容性注意
根据已公开的用户反馈,快连 v7.4.3 在 macOS 上对企业 Wi-Fi 自动代理配置文件(PAC)的识别存在异常情况。如果你在配置 PAC 后出现全网无法访问、代理频繁断开,或系统网络偏好中的 PAC 设置被异常清空,可尝试官方提供的临时处置:在终端执行 sudo launchctl unload /Library/LaunchDaemons/com.kuailian.pac.plist 以卸载快连的 PAC 守护进程,随后重启客户端;若问题依旧,可回退至 7.4.2b 版本等待后续修复。此处置路径来自当前版本已知问题的社区验证,并非永久性方案。
六、三种方案的取舍与持久化边界
三种方案并无绝对优劣,选择取决于你的网络环境复杂度,以及对“客户端覆盖行为”的容忍度。图形界面修改(方案一)最直观,适合临时调试与快速验证;终端命令(方案二)适合需要脚本化记录与批量复现的进阶用户;PAC 脚本(方案三)则更适合内网规则繁杂、且客户端不频繁重置 PAC 配置的场景。
需要警惕的边界条件是:部分快连客户端在“系统代理”全局模式下,每次连接或断线重连时都会强制调用系统 API 重写代理字典。这种强覆盖行为会将你在系统偏好中手动填写的排除列表还原为客户端默认状态。经验性观察:若你发现快连连接瞬间,系统代理设置中的排除文本框被清空,即说明客户端采用了强覆盖策略。此时,单纯在 macOS 系统层修改已无法持久生效,必须依赖客户端自身的白名单/直连域名功能(如“场景分流”白名单),或者改用 PAC 模式——因为 macOS 的“自动代理配置”URL 一旦设定,部分客户端在重写代理字典时会选择保留而非覆盖该 URL,从而绕过覆盖冲突。
七、典型场景配置示例
为了帮助你更直观地决策,以下列举三个常见场景的具体配置思路:
场景 A:家庭 NAS 与智能家居中控
示例:你的群晖 NAS 固定运行在 192.168.50.10,Home Assistant 运行在 192.168.50.20。开启快连系统代理后,Finder 通过 SMB 连接 NAS 时反复提示连接失败。此时应在系统代理排除列表中加入 192.168.50.0/24,或直接填写两个主机地址。若家中设备还依赖 mDNS 发现(如 HomeKit 配件),则务必追加 *.local。此场景对延迟不敏感,但对可达性要求绝对,使用方案一或方案二即可稳定解决。
场景 B:企业内网 Portal 与网络打印机
企业网络通常采用 10.0.0.0/8 大段,并配合内部 DNS 后缀如 *.corp.example.com。快连的智能分流主要针对公网 IP 地理库做判定,对企业内网域名往往缺乏感知。如果客户端提供自定义分流白名单,优先在客户端内将公司域名设为直连;若客户端未提供该入口,则通过 networksetup 将公司域名和 10.0.0.0/8 一并写入系统排除列表。此外需注意:部分企业 Portal 使用自签名证书,走代理可能触发中间人检测,直连反而能避免证书信任链断裂。
场景 C:AirPlay 投屏与屏幕镜像
Apple 设备的 AirPlay 发现阶段严重依赖 Bonjour 广播与 *.local 域名解析。很多用户排除了 192.168.x.x 网段后仍无法投屏,根本原因正是忽略了 .local 域名的系统代理绕过。经验性观察:在排除列表中仅填写 IP 段而不包含 *.local,会导致 Mac 与 Apple TV 或 iPad 在“屏幕镜像”列表中彼此不可见。解决方式是在方案一或方案二的列表中显式加入 *.local,并确保子网内的多播流量未被防火墙或虚拟网卡额外拦截。
八、故障排查与验证方法
配置完成后若仍无法访问局域网资源,建议按照“现象→根因→验证→处置”的逻辑逐层排查,避免盲目重装客户端。
现象一:排除列表已填写,但浏览器仍无法打开路由器后台
验证根因是否来自客户端覆盖:先在终端记录当前排除列表,然后在快连客户端中执行一次“断开再连接”,再次运行 networksetup -getproxybypassdomains "Wi-Fi"。若列表被清空或缩短,说明快连在重连时覆盖了系统代理字典。处置方式:放弃纯系统层修改,改用客户端内置分流白名单;或改用 PAC 文件,观察客户端是否保留自动代理配置 URL。
现象二:浏览器无法访问,但 curl 命令可以
这通常意味着浏览器安装了独立的代理管理插件(如 SwitchyOmega、FoxyProxy 等),其规则优先级高于 macOS 系统代理。验证方法:在终端执行 curl -v http://192.168.1.1,若返回 HTTP 响应头而 Safari 仍显示代理错误,则问题明确在浏览器层。处置:将局域网地址段加入浏览器插件的直连/绕过规则,或临时禁用插件以确认。
现象三:AirPlay 设备时隐时现
mDNS 对网络延迟和接口绑定极为敏感。如果你同时开启了快连的虚拟网卡模式与系统代理模式,流量可能在两个接口间漂移,导致服务发现异常。验证方法:在终端执行 dns-sd -B _airplay._tcp,观察 Bonjour 记录是否正常。若记录缺失,说明多播包被错误转发。处置:临时关闭虚拟网卡模式,仅保留系统代理;或在客户端设置中寻找“允许局域网访问”等类似选项(具体菜单因版本而异)。
现象四:升级 v7.4.3 后 PAC 配置完全失效
如前文所述,该版本在特定企业网络环境下与 PAC 守护进程存在冲突。验证方法:检查系统设置中的自动代理配置 URL 是否被清空,同时在终端执行 sudo launchctl list | grep kuailian 查看是否残留相关进程。处置:执行官方建议的 sudo launchctl unload /Library/LaunchDaemons/com.kuailian.pac.plist,重启网络服务,必要时回退客户端版本。
九、适用场景与不建议操作清单
并非所有用户都需要手动排除局域网地址。以下清单帮助你快速判断干预的必要性:
推荐配置的情况:
- 你明确启用了快连的“系统代理”全局模式,且客户端未提供自动局域网绕过。
- 需要长期、稳定访问固定 IP 段的内部设备(NAS、监控、工控网关)。
- 频繁使用 AirPlay、AirDrop、屏幕镜像或网络打印机。
- 企业内网存在自签名证书站点,走代理会导致证书信任链断裂。
不建议干预的情况:
- 你已经开启快连“智能分流”且经验证内网流量正常直连——额外系统层排除反而可能引入冗余。
- 你当前处于纯虚拟网卡(TUN)模式而非系统代理模式——此时应由路由表控制,系统代理绕过列表无效。
- 你所连接的局域网不可信(如机场、酒店公共 Wi-Fi 的“局域网”)——让未知内网流量走加密隧道反而是更安全的默认策略。
十、常见问题
快连的“智能分流”是否已经自动绕过了局域网地址?
经验性观察表明,快连的智能分流功能主要针对公网 IP 的地理归属做直连或代理判定,对 RFC 1918 私有地址段(如 192.168.x.x)的自动绕过效果取决于当前连接所使用的协议与版本策略。如果你开启系统代理后发现无法访问内网设备,说明当前运行环境下智能分流未覆盖你的局域网场景,仍需手动补充排除规则。
为什么每次重启快连后,系统代理的排除列表会失效?
部分客户端在建立系统代理连接时,会调用 macOS 系统 API 重写整个代理字典,从而覆盖用户手动添加的排除项。这属于客户端的强覆盖行为。应对方案包括:改用客户端内置的白名单/直连规则;改用 PAC 自动代理配置,因为部分客户端在重写时会保留 PACURL 而非清空;或在连接稳定后通过脚本再次写入排除列表。
绕过局域网地址后,是否会影响代理的安全性?
不会降低你访问公网资源时的加密保护。排除列表仅让目标为本地私有地址的流量不走代理隧道,这些流量原本就不应离开本地网络。但需注意:如果你在不可信的公共 Wi-Fi 中手动排除了大量地址,可能导致本应加密的内网探测流量暴露在本地网络中。因此,排除策略更推荐用于家庭或企业可信内网。
macOS 终端命令设置的排除地址在系统设置图形界面里看不到?
通常不会出现这种情况,因为 networksetup 与图形界面操作的是同一套系统偏好。如果看不到,可能是因为你修改了某一网络服务的排除列表,但图形界面当前查看的是另一服务(例如终端修改了“以太网”,界面查看的是“Wi-Fi”)。请确保服务名称完全一致,并通过 -getproxybypassdomains 确认写入位置。
排除列表支持通配符或 CIDR 写法吗?
macOS 系统代理的“忽略这些主机与域”文本框支持域名通配符(如 *.local)和精确域名/IP,但不支持 CIDR 掩码(如 /24)在系统层的逐位匹配。如果你填写了 192.168.0.0/16,系统可能仅将其当作字符串匹配,而非真正的网段计算。对于精细的网段控制,建议使用 PAC 脚本方案,其中的 isInNet 函数支持标准的 IP 与子网掩码计算。
十一、总结与下一步行动建议
快连 macOS 端配置系统代理排除本地局域网地址,本质上是在全局代理的便利性与本地网络可达性之间做精确切割。对于绝大多数用户,最直接的行动路径是:首先确认自己当前使用的是系统代理模式而非虚拟网卡模式;随后通过 macOS 系统设置或 networksetup 命令,将 192.168.0.0/16、10.0.0.0/8、172.16.0.0/12 以及 *.local 加入排除列表;最后通过访问路由器后台和 AirPlay 设备进行可达性验证。
如果你所处的网络环境规则繁杂,或正在使用快连 v7.4.3 且遭遇 PAC 兼容性问题,推荐转向本地 PAC 脚本方案,并密切关注官方后续版本更新。在任何情况下,都应避免在不可信的公共网络中盲目开放局域网直连。完成上述配置后,建议保留一份排除列表的文本备份,以便在重装系统或切换设备时快速复现。
从版本演进的角度看,客户端级自动局域网绕过与系统代理排除列表的协同,可能是未来快连 macOS 端优化的方向之一。经验性观察:不少同类工具已尝试在系统代理模式下自动注入 RFC 1918 段与 *.local 的直连规则,以减少用户手动干预。若快连在后续更新中引入类似机制,本文所述的手动方案仍可作为兜底策略,或在规则冲突时提供排查基准。
