功能定位:从“全局”到“应用级”的演进
2026 年 2 月的 v6.8.1 把 macOS 端原本只有“全局”与“分国家”两种模式,扩展为应用级分流(App-Level Split Tunneling):让指定程序走加密通道,其余流量直连,既降低游戏、网银、会议等低延迟敏感场景的跳 ping 风险,又继续用本地宽带访问国内流媒体,节省节点带宽。
与 Windows 端已实装一年的“分应用双通道”相比,macOS 因系统沙箱限制,采用Network Extension 框架 + 规则描述文件实现:优点是不依赖第三方内核扩展,升级系统不踩签名失效的坑;缺点是粒度只能到“应用 Bundle ID”,无法像 Windows 那样按进程名或端口二次匹配。
版本差异速览:v6.7→v6.8.1 你错过了什么
| 版本区间 | 分流能力 | UI 入口 | 备注 |
|---|---|---|---|
| ≤6.7 | 仅全局/国家 | 设置→高级→路由模式 | 无应用选项 |
| 6.8.0 | Beta 应用分流 | 实验室→应用分流 | 需手动开开关 |
| 6.8.1 | 正式版 | 主界面→模式→应用分流 | 默认可见,支持导入/导出 |
经验性观察:从 6.8.0 升级后,旧版“实验室”开关会被自动迁移,但规则库会清空,需要重新添加,属于一次性迁移成本。
最短操作路径:3 步完成首条规则
1. 切换模式
顶部状态栏图标→模式→应用分流,首次会弹出“授权网络扩展”系统提示,点击允许并输入管理员密码。若公司 MDM 禁止用户级网络扩展,需联系 IT 放行 com.quicklink.macos.tunnel 插件。
2. 添加应用
主界面→应用分流→+→应用程序,在弹出的 Finder 窗口里选中目标 App(可多选),点击打开。列表即时显示 Bundle ID 与图标,支持搜索过滤。注意:App Store 下载的 App 与自签名 App 均可识别,但后者升级后 Bundle ID 不变,无需重新添加。
3. 指定线路
右侧下拉框默认为自动,可临时指定“香港 CN2-GIA”等固定节点;若选直通,则该应用强制不走加密通道,相当于反向例外。点击保存立即生效,无需重连。
批量导入:从 Excel 到 .qlst 描述文件
当需要把 50+ 内部研发工具一次性分流到硅谷节点时,手动点选显然不现实。快连提供.qlst JSON 描述文件格式(官方 GitHub 仓库可下载模板)。结构只有三列:BundleID、Policy、NodeName。编辑完成后,在应用分流界面拖拽导入即可。
提示:如果 NodeName 填写错误,系统会回退到“自动”,不会报错,但可通过“日志→分流”面板二次确认。
平台差异对照:macOS vs Windows vs iOS
| 维度 | macOS | Windows | iOS |
|---|---|---|---|
| 系统框架 | Network Extension | WFP 驱动 | NEPacketTunnel |
| 粒度 | Bundle ID | 进程名/端口 | Bundle ID |
| 反向例外 | ✅ 支持 | ✅ 支持 | ❌ 系统限制 |
| 描述文件 | .qlst | .json | 不可导入 |
例外策略:什么时候不该把 App 塞进分流列表
1. 企业 privacy tool 共存:若公司 Cisco AnyConnect 已占用 Network Extension 槽位,再启用快连应用级分流会导致“双隧道”冲突,现象是 Cisco 立刻掉线。解决顺序:先退出企业客户端→启动快连→再重新连接企业 privacy tool,让系统排队加载扩展。
2. 杀毒软件:Little Snitch / Lulu 等防火墙会在内核重定向 socket,可能把分流标识覆盖,经验性观察:把 Little Snitch 的“过滤等级”调为“静默”后,分流准确率可恢复到可见水平。
3. 虚拟机:Parallels/VMware 的共享网络模式把流量包装成 vmnet 进程,Bundle ID 固定为 com.parallels.vmnet,无法区分虚拟机内具体应用。若必须让虚拟机内浏览器走加密通道,请改用“桥接网络”并在虚拟机内部再装快连客户端。
验证与观测:如何确认规则生效
1. 实时浮窗
顶部菜单栏图标鼠标悬停,会显示“当前活跃通道:应用分流(12 进程)”。若数字为 0,说明列表里的 App 均未启动,或已被系统挂起。
2. 日志面板
主界面→日志→分流,可看到时间戳、Bundle ID、目标 IP、所选节点。若出现“Bypass by policy=Direct”,说明该连接被反向例外放行。
3. 外部交叉验证
在 Safari 打开 ipinfo.io 记录公网地址,再启动已分流的应用(例如 Telegram),若 Telegram 流量指向节点 IP,而 Safari 仍显示本地宽带,即证明分流生效。可复现步骤:关闭再开启目标 App,重复 curl ipinfo.io,对比两次出口。
故障排查:最常见 3 类现象
- 添加按钮灰色:系统扩展未加载,重启客户端并在 macOS「系统设置→通用→登录项与扩展」里启用 QuickLinkNetworkExtension。
- 规则保存后秒回“全局”:通常因 MDM 描述文件强制全局路由,联系 IT 检查 com.apple.networkextension 策略。
- 节点延迟正常但应用无法联网:目标节点被出口防火墙拦截 443 端口,切换到“智能”或手动指定“保加利亚-后备”线路即可。
适用/不适用场景清单
| 场景 | 是否推荐 | 原因 |
|---|---|---|
| 海外流媒体 4K | ✅ 推荐 | 仅 Safari 走节点,系统更新走直连,带宽足够 |
| Zoom/Teams 会议 | ✅ 推荐 | 可锁定低延迟节点,降低共享屏幕卡顿 |
| Xcode 下载大文件 | ❌ 不推荐 | Apple CDN 被强制走节点后反而降速 |
| 企业 SSL privacy tool 共存 | ⚠️ 谨慎 | 需调整加载顺序,否则双隧道冲突 |
最佳实践 6 条
- 先“直通”国内音视频 App,再逐步把海外协作工具切到节点,降低一次性变更风险。
- 把规则导出 .qlst 存到 iCloud Drive,重装系统后可一键还原。
- 每月检查「日志→分流」里是否有 Unknown BundleID,防止过期测试应用泄漏流量。
- 游戏场景下,把“极速”档切换阈值从默认 5% 调到 8%,减少节点跳动。
- 别让杀毒软件同时开启“内核重定向”,以免标识被覆盖。
- 若公司强制全局代理,优先用“反向例外”把本地网段 10.0.0.0/8 放行,避免内网 NAS 失联。
FAQ(基于官方论坛 2026-03 置顶)
1. 应用分流是否支持 Apple Vision Pro?
v6.8.1 已针对 visionOS 3.0 做空间专网适配,延迟可<40 ms,但需在“设置→通用→privacy tool 与设备管理”里额外授权空间定位权限。
2. 规则上限是多少?
官方文档写明单台设备最多 128 条 Bundle ID;超出后客户端会提示“列表已满”,需先删除旧规则。
3. 为什么升级后规则消失?
6.8.0→6.8.1 迁移脚本会重置 Beta 规则,请提前导出 .qlst 备份;正式版后续小版本不再清空。
4. 分流后银行 App 打不开?
部分银行会检测出口 IP 归属地,建议把网银客户端设为“直通”或在“节点”栏选择“香港-本地 ISP”降低风控。
5. 是否支持端口级例外?
macOS 版受 Network Extension 限制,目前仅支持 Bundle ID 粒度;端口例外需等待后续版本,官方未公布时间表。
收尾:下一步行动
如果你刚从全局模式切换到应用级分流,建议先用“浮窗+日志”双通道观察一周,确认无掉线与 DNS 泄漏后,再把规则固化到 .qlst 并推送给团队。遇到版本更新,优先查看“版本差异与迁移建议”章节,按“导出→升级→导入”三步走,可最大限度避免配置归零。
对于尚未覆盖的端口级需求,可临时用 macOS 自带 pfctl 做本地端口转发作为补充,但需注意双防火墙层级带来的调试复杂度。把本页加入浏览器书签,官方每次发版后,我会同步更新路径变化与兼容性表,确保你下次再来时,操作依旧一步到位。
