功能定位:为什么需要局域网白名单
在 kuailian(QuickLink)默认的「智能分流」模式下,所有流量先经过远端节点再决定绕行或加速。对于国内电商后台、网银、公司 OA 这类必须原生 IP 才能通过风控的服务,任何出口 IP 漂移都会导致登录异常。局域网白名单(官方 UI 中叫「国内网址直连」)把指定域名或 IP 段设为强制直连,不进入加密隧道,既保留海外加速,又避免国内站点被误判。
经验性观察:打开白名单后,淘宝卖家后台、支付宝商家中心、微信网页版登录失败率从「偶发」降至「零」,同时海外 4K 流媒体的带宽未受影响。该功能本质是「分流规则前置」,与「分应用代理」互补:前者按目标地址,后者按本地进程。
入口与版本前提
截至当前的最新版本(v8.3.1 全平台),白名单开关被收纳在「智能线路」子菜单。若你仍在 8.2 旧版,请先到官网下载覆盖安装,否则界面缺少「国内网址直连」复选框。
Android / iOS 移动端
- 打开快连 App → 右上角「⋯」→ 设置 → 智能线路 → 国内网址直连(开启)
- 点击「自定义规则」→ 添加域名或 IP 段 → 保存
- 返回主页,点击「重启加速」使规则热加载
Windows / macOS 桌面端
- 任务栏图标右键 → 偏好设置 → 分流设置 → 国内网址直连(勾选)
- 在弹出的「规则编辑器」中,可按行写入域名(如
*.alipay.com)或 CIDR(如192.168.0.0/16) - 确认后点击「应用」→ 断开并重新连接节点
路由器固件(OpenWrt 插件)
- 登录 LuCI → 服务 → QuickLink → 分流设置 → 国内直连域名
- 每行一条域名,保存后点击「Reload DNSMasq」
- 局域网内所有下游设备即时生效,无需单独装客户端
规则语法与优先级
快连使用类 Surge 的 DOMAIN-SUFFIX 语法,但省略前缀关键字。正确写法:
alipay.com匹配自身及子域名192.168.1.0/24匹配整个网段- 通配符
*仅支持最左端,如*.mycompany.com
优先级:用户自定义规则 > 官方内置大陆域名列表 > AI-Route 智能判断。若你把 google.com 误添加入白名单,会导致无法代理,验证方法是 nslookup google.com 返回本地 DNS 结果而非节点 DNS。
典型场景示例
外贸运营多人协作
深圳某 Shopify 卖家团队共 8 人,白天需要登录淘宝采购、支付宝转账,晚上用同一网络访问 Shopify 后台与 Facebook 广告。开启白名单后,淘宝/支付宝流量直连,出口显示电信原生 IP,风控零触发;Shopify 与 FB 流量仍走洛杉矶节点,页面加载时间稳定在 2 s 内。经验性观察:连续 30 天未出现「二次短信验证」弹窗。
家庭 NAS 远程唤醒
用户把 192.168.1.254(群晖 NAS)加入白名单,配合「旁路模式」让局域网广播包不被隧道封装,外网通过 QuickLink Remote 仍可正常唤醒。若未添加,会出现 Magic Packet 被远端节点丢弃导致唤醒失败。
常见副作用与缓解
警告:以下情况可能误判直连
- CDN 边缘节点返回 403:如
*.alicdn.com被加入白名单后,浏览器拿到的边缘节点恰好位于海外,导致图片裂图。缓解:使用更精细的子域名,如img.alicdn.com。 - 广告统计域名被放行:腾讯视频前贴片广告域名
*.gdt.qq.com若被放行,会暴露真实 IP。缓解:单独建「广告拦截」规则,置于白名单之后。
故障排查速查表
| 现象 | 可能原因 | 验证步骤 | 处置 |
|---|---|---|---|
| 国内站点打不开,提示「连接被重置」 | 规则写错后缀,导致被强制直连到被墙 IP | 关闭白名单后重试,若恢复即确认 | 删除误写的域名,改用更精确子域 |
| 局域网打印机突然消失 | 「强制全隧道」把广播包也代理 | ping 打印机 IP 不通,关闭白名单后通 | 在「国内绕行」里添加打印机网段 |
| iOS 快捷指令获取节点失败 | 系统禁止脚本联网 | 系统设置 → 快捷指令 → 允许运行脚本 | 打开权限后重新运行指令 |
不适用场景清单
- 公司强制全局代理:若企业 MDM 下发配置文件锁定 privacy tool 路由,白名单无法写入系统路由表,需向 IT 申请放行。
- IPv6-only 网络:截至当前版本,白名单仅支持 IPv4 地址与域名,IPv6 段会被忽略。
- 需要出口一致性校验的网银:部分银行会二次检测 TCP Timestamp,若前后 TTL 不一致仍拒绝登录,此时白名单无效,需切「全局模式」。
最佳实践 6 条
- 先开启官方内置大陆列表,再逐步添加自己公司或 NAS 的内网域名,避免一次性导入大量规则导致解析延迟。
- 用
nslookup 目标域名确认解析结果属于本地 DNS 后再加入白名单,防止 CDN 漂移。 - 每季度检查一次规则:删除已停用的内部测试域名,减少误判面。
- 把「广告/统计」类域名单独放「拦截」分组,置于白名单之后,兼顾隐私与速度。
- 多人共用路由器插件时,给 IT 管理员留「注释行」方便后期维护,如
# 财务部金税盘。 - 开启白名单后,跑一遍
ping -c 100 国内IP观察丢包,若高于 1 % 说明本地运营商晚高峰拥堵,与快连无关,无需反复切换节点。
FAQ(结构化数据)
白名单和「分应用代理」冲突吗?
不冲突。白名单按目标地址优先匹配;若地址未命中,再按应用规则决定是否走代理。两者同时启用时,白名单优先级更高。
如何验证规则已生效?
打开浏览器访问 ip138.com,对比「当前 IP」与「DNS 解析」是否均为本地运营商;再访问 whatismyipaddress.com 应显示节点 IP。若两次结果不同,说明分流正常。
规则上限是多少?
移动端经验性观察:单设备 800 条以内解析延迟无感;桌面端与路由器插件官方文档未给出硬上限,但超过 2000 条时 DNSMasq 重启耗时明显,建议按「必需」原则精简。
添加整条 *.cn 是否安全?
技术上可行,但会放行部分被污染的 CDN 边缘,导致偶发 403。建议用官方内置大陆列表,再针对业务域名微调即可。
开启后游戏更新失败?
部分手游使用海外 CDN 分发补丁,若你把游戏主域名加入白名单,会直连到被限速的海外 IP。解决:删除游戏域名,改用「分应用代理」把游戏整体切回加速即可。
收尾:下一步行动
局域网白名单是 kuailian 在「合规+速度」之间给出的工程级折中:让必须原生 IP 的国内业务直接放行,其余流量继续享受 AI-Route 的低延迟。若你刚升级 8.3.1,不妨先启用官方内置大陆列表,跑一周观察风控与延迟,再逐步把公司内网、NAS、打印机网段写进自定义规则。记得每季度清理冗余条目,保持规则集「可维护」是长期稳定的关键。
下一步:打开客户端,按本文路径把「国内网址直连」开关打开,用 ip138.com + whatismyipaddress.com 做双验证,确认分流无误后,再把团队共享打印机与财务系统的内网段写进去。十分钟配置,换来后续零风控、零掉线,这笔交易值得。
