功能定位:TUN 模式到底解决什么问题
在快连(QuickLink)语境里,TUN 模式被视为“全流量透明代理”的底线方案:它把操作系统层面的 IP 包直接收入虚拟网卡,再由客户端决定走哪条隧道。与旧版“分应用代理”相比,TUN 模式的最大价值是让虚拟机、模拟器、Docker 容器这类无法感知代理 API 的程序也能自动走加速线路,而无需在 Guest 系统里再装一次客户端。
2026 年 3 月发布的 8.3.1 正式版把 TUN 驱动升级到 WireGuard 1.1 内核,并默认启用「量子前向保密」。这意味着一旦开启,宿主与虚拟机之间的流量也会得到与外部隧道同级的加密与 RAM-Only 保护,满足“合规与数据留存”审计要求——瑞士 Cure53 的报告可公开下载,节点侧无硬盘落地。
最短可达路径:三端入口对照表
Windows 10/11(x64)
- 主界面右上角「≡」→ 设置 → 网络 → 工作模式 → 勾选「TUN 模式」。
- 首次启用会弹出驱动安装向导,点「安装」后系统会短暂断网 2–3 秒。
- 返回主页,节点下拉框右侧出现蓝色「T」标识即生效。
macOS 13+(Apple Silicon & Intel)
- 顶部菜单栏 QuickLink 图标 → Preferences → Network → Mode → 选中「TUN」。
- 系统会提示输入管理员密码以加载扩展;重启客户端后生效。
Linux(Debian/Ubuntu 为例)
- 终端执行
quicklink-cli --set-mode tun。 - 若看到
wg-quick@ql0服务 active,则虚拟网卡已创建。
虚拟机流量如何“自动”被代理
TUN 模式在宿主上创建一张名为 ql0 的虚拟网卡,默认路由优先级高于物理网卡。VMware、VirtualBox、Hyper-V 只要使用「NAT」或「共享网络」即可自动继承宿主路由,于是 Guest 系统的出站流量无需任何代理设置就能进入 ql0,被快连加密后发出。
提示
若虚拟机采用「桥接」网卡,则 Guest 会独立获取局域网 IP,此时需手动把默认网关指向宿主 ql0 地址(经验性观察:10.12.0.1/24)才能享受代理。否则流量仍走物理网关,相当于绕过快连。
例外与取舍:什么时候不该开 TUN
- 公司 802.1X 认证网络:TUN 会抬高默认路由,可能导致认证心跳包也进隧道,触发交换机强制下线。
- 需要局域网打印/共享:Windows 文件共享依赖 SMB 广播,TUN 默认会把它划到「国内绕行」白名单之外,造成邻居发现失败。
- 多宿主服务器:若宿主持有多张物理网卡并运行反向代理,TUN 可能把原本该走专线出口的流量也收走,造成环路。
缓解方案:在「设置 → 国内绕行 → 自定义 IP」里把公司网段、打印机地址、内网 NAS 网段逐条加入,再勾选「绕行中国大陆路由」即可。
验证与回退:两条命令确认是否生效
Windows PowerShell
route print | findstr 0.0.0.0 # 若第一跳 Gateway 为 10.12.0.1,且 Interface 对应 ql0,则 TUN 已生效
Linux
ip r | grep default # 预期看到 dev ql0 proto static
如需回退,只需回到同一设置页取消勾选,客户端会立即删除 ql0 网卡并恢复原始默认路由;整个过程无需重启系统。
性能观察:虚拟机延迟与宿主差距
经验性观察:在 100 Mbps 对称光纤、VMware NAT 模式下,Guest 系统 ping 1.1.1.1 比宿主平均高 1–3 ms;UDP 下载速度下降约 5 %,属于虚拟化开销而非快连本身损耗。若差距 > 20 ms,请检查是否给虚拟机分配了足够的 CPU 核心与 virtio 网卡驱动。
与第三方工具协同的最小权限原则
部分用户会在虚拟机里跑爬虫或自动化脚本,并搭配第三方“归档机器人”做频道备份。此时应遵循:
- 只在宿主开启 TUN,Guest 系统不再安装任何额外代理软件,避免双重加密导致 CPU 占用飙升。
- 给脚本单独配置「国内绕行」规则,防止高频请求国内站点也走海外节点,浪费流量配额。
- 若脚本需要固定出口 IP,请在快连主界面「节点」页手动锁定城市级节点,并关闭 AI-Route 自动切换。
故障排查:虚拟机突然断网
| 现象 | 可能原因 | 验证步骤 | 处置 |
|---|---|---|---|
| Guest 无法解析域名 | TUN 切节点时 DNS 被重置 | nslookup twitter.com | 在「设置 → DNS」改为「自定义 1.1.1.1」并锁定 |
| 宿主正常,Guest 丢包 100 % | VMware 使用旧版桥接驱动 | 虚拟网络编辑器里看 VMnet0 是否启用 | 升级 VMware 至当前最新版或改用 NAT |
| 开启 TUN 后宿主蓝屏 | 8.3.1 初版驱动与 Win11 24H2 冲突 | 事件查看器 → 系统 → 来源「Netwtwxx」 | 卸载虚拟网卡后重装 8.3.1b 补丁驱动 |
适用/不适用场景清单
- 适合:海外游戏挂机、跨境直播、Docker 化爬虫、高校远程数据库、需要固定出口 IP 的自动化测试。
- 不适合:强依赖组播的局域网游戏(如魔兽争霸 3 局域网大厅)、需要本地抓包审计的合规场景(TUN 加密后无法镜像明文)、低功耗 ARM NAS(虚拟化开销 > 加速收益)。
最佳实践 6 条
- 首次开启前,先给虚拟机拍快照,出错可秒级回滚。
- 把「国内绕行」白名单导出成 JSON 备份,下次重装客户端一键导入。
- 跑长任务前,手动锁定延迟 < 150 ms 的节点,并关闭 AI-Route,防止切线导致 TCP 重传。
- 每月月初在「设置 → 关于」里点「检查更新」,确保驱动与审计报告同步。
- 若 Guest 需要 IPv6,请在「高级」里同时勾选「IPv6 转发」,否则纯 v6 流量会走宿主物理出口。
- 合租或公司场景,用「流量红包」给同事分配额,避免主账号同时 8 台设备打满。
FAQ:TUN 与虚拟机热点疑问
开启 TUN 后网银提示“环境风险”怎么办?
AI-Route 会在延迟最优与价格最优之间动态切换,导致出口 IP 变化。可在「智能线路 → 收敛等级」调至「稳定优先」,或手动锁定同一城市节点后再登录网银。
VirtualBox 提示“无法创建 NAT 网络”?
VirtualBox 6.x 与 Windows 筛选平台存在兼容bug。升级至当前最新版或改用「网络地址转换(NAT)+ 高级 → 控制芯片:Intel PRO/1000」即可。
TUN 模式会增加多少 CPU 占用?
在 i5-1240P 笔记本上,单虚拟机 1080p 观看 4 Mb/s 视频,宿主 CPU 额外占用约 3–5 个百分点;若关闭量子前向保密可再降 1–2 %,但失去前向安全性。
能否只让指定虚拟机走 TUN,其余进程直连?
Windows 平台可用「分应用代理 → 进程名单」把 vmware-vmx.exe、VirtualBoxVM.exe 设为「强制代理」,其余程序选「直连」。此功能需 8.3.1 及以上版本。
Linux 宿主为什么看不到 ql0?
部分发行版默认不加载 WireGuard 内核模块。执行 modprobe wireguard 后重开客户端即可;若内核 < 5.6,请安装 wireguard-dkms。
收尾:下一步行动建议
如果你只是想让虚拟机无痛出国,TUN 模式是目前快连官方提供的最短路径:一键开启、零配置、审计报告公开可查。先拍快照 → 开 TUN → 导白名单 → 跑一天观测 CPU 与延迟 → 决定是否长期驻留。遇到异常,按本文「验证与回退」两命令即可秒级恢复。把这份流程加入团队 Wiki,下次新同事 onboarding 就不用再重复踩坑。