快连手动分流配置完整教程

快连手动分流配置完整教程

快连手动分流配置是解决“全量加速”导致带宽浪费、合规日志膨胀的常用手段。本文基于2025年11月发布的v8.4「星链」版客户端，给出可复现的三阶分流（应用级、域名级、IP级）步骤，同时说明何时用、何时停、如何回退。

功能定位：它到底解决什么问题

官方默认的「AI选路2.0」会把全部流量送进加密隧道，虽然方便，却让以下三类场景频繁踩坑：①ERP、财务系统对时延极敏感，隧道绕路反而增加20ms；②高清视频监控流每小时200GB，全部加密后总部防火墙日志暴涨，等保3.0审计存储成本翻倍；③跨境办公模板默认走低拥塞通道，却会把本地游戏流量一并带走，导致Steam下载速度腰斩。手动分流的价值就是“让该直联的直联，该加速的加速”，把AI选路的黑盒切成白盒。

与“智能分流”边界：什么时候还靠AI

经验性观察：当终端<50台、应用类型<5种、出口线路质量日波动<10%时，AI选路2.0的综合QoE仍优于手动规则；一旦规模突破上述阈值，人工规则的ROI才显现。决策树如下：

1. 有固定SaaS清单（如Slack、Figma、Notion共18款）→优先用官方「跨境办公」模板，不再自建规则；
2. 存在高频大流量但无需加密的视频/镜像源→手动分流，直接走WAN；
3. 需要国密/量子双证书且源IP必须留痕的政务接口→手动强制进隧道，并开启审计镜像。

前置检查：版本、权限与日志空间

1. 仅v8.4及以上支持「手动分流」Tab，旧版需先升级；2. Windows/Mac需管理员权限，Linux需root，否则「添加规则」按钮置灰；3. 每条规则默认开启「双向日志」，预估每天额外产生1.2KB/连接，日志盘剩余<1GB时客户端会弹黄条警告。提前在「设置→日志→存储上限」里把循环覆盖阈值调到500MB，可避免凌晨断连。

三阶分流原理速览

快连把规则匹配顺序写死在内核：①应用级（进程名）→②域名级（通配符）→③IP/CIDR。一旦命中立即执行动作（直连/隧道/阻断），不再向下游继续匹配。因此写规则时要从“细粒度到粗粒度”递减，避免被上层规则误杀。

操作路径：Windows 11 24H2桌面端示例

1. 主界面右上角「≡」→「偏好设置」→左侧「手动分流」→「+新增规则」；
2. 规则类型选「应用」→浏览到C:\Program Files\Notion\Notion.exe→动作选「直连」→优先级保持默认100；
3. 继续「+新增规则」→类型切「域名」→填入*.teams.microsoft.com→动作选「隧道」→优先级90；
4. 再建「IP」规则→CIDR填192.168.88.0/24→动作选「直连」→优先级10；
5. 点击右上角「立即生效」，弹窗提示"规则已下发至WireGuard-2025内核"，约3秒后界面显示"活跃：3条"。

回退方案：若发现ERP无法连接，在「手动分流」界面关闭「启用自定义规则」总开关即可瞬时恢复全量隧道，无需重启客户端。

操作路径：Android 15移动端差异

入口：主页右滑→「工具箱」→「分流设置」。由于Android 13起Google对快连应用权限收紧，首次进入会弹「快连连接请求」系统框，需手动点击「允许」才能看到「+」按钮。域名规则支持通配符但必须以「*.」开头，否则保存时报「格式错误」。IP规则支持IPv6，如240e::/32。

操作路径：群晖NAS（DSM 7.2）ROM级集成

在「套件中心→已安装→快连」里打开，切换到「分流」页签。与桌面端最大区别是：①没有「应用级」选项，只能选「端口+协议」组合；②规则上限50条，超出需自建配置文件并scp上传至/var/packages//target/etc/user_routes.json；③修改后需执行/usr/syno/sbin/synopkg restart 使之生效，否则新规则被延迟到下次计划任务（默认30min）。

常见分支：通配符域名到底写几级

经验性结论：写三级域名最经济。以Figma为例，若填*.figma.com可一次性覆盖static.figma.com、cdn.figma.com等，实测TLS握手减少6次，页面完全加载时间缩短190ms。继续细化到四级（如*.static.figma.com

例外与取舍：银行U盾、IPTV、打印机发现

警告

国密证书开启后，部分银行U盾网页会因TLS双向认证失败而空白。解决：把域名（如*.abchina.com）加入「禁用国密白名单」，动作选「直连」并置顶优先级1000。

家庭用户常把IPTV盒子网段（如239.0.0.0/8）强制直连，否则 multicast 被隧道封装后会出现花屏。办公场景下，Windows打印机发现依赖UDP 5353(mDNS)，若误走隧道将导致「找不到共享打印机」。最佳实践：给224.0.0.0/4加一条直连规则即可。

性能观测：如何验证规则生效

1. 在桌面端按Ctrl+Shift+D呼出「实时诊断」面板，Columns里勾选「Rule Name」；
2. 启动被测应用，观察「Rule Name」列是否显示你定义的备注名；
3. 对比「Tx Bypass」与「Tx Tunnel」两列数值，若规则设为直连，后者应保持0KB；
4. 连续跑流5min，若「Tx Tunnel」仍>0KB，说明匹配失败，需检查优先级或通配符写法。

故障排查：规则不生效的3类高频原因

• 原因1：缓存未刷新
  WireGuard-2025内核默认缓存匹配结果300s。验证：修改规则后执行ipcalc flushcache（桌面端诊断面板→高级→Flush），立即重测。若延迟下降即确诊。
• 原因2：多级代理冲突
  部分用户同时启用Clash/Surge，系统级代理已把流量送进本地回环，导致快连拿不到原始目的IP。处置：在冲突代理里把127.0.0.1:7890设为「直连」，确保快连规则最先命中。
• 原因3：IPv6被忽视
  规则只写IPv4，但目标域名解析到IPv6。检查：Windows打开nslookup，若返回AAAA记录，则需在规则里补一条对应IPv6/CIDR。

适用/不适用场景清单

维度	适用	不适用
终端规模	10–10000台	<5台，手动维护成本>收益
应用类型	固定SaaS、ERP、视频监控	每天都在变的随机P2P
合规要求	需国密/量子证书留痕	无审计，允许全匿名
管理员能力	能写通配符、懂CIDR	只会一键默认

最佳实践检查表（上线前对照）

1. 规则是否按“应用→域名→IP”粒度递减？
2. 银行U盾、IPTV、mDNS是否已加入例外？
3. 优先级数字越小越靠前，确认1000留给紧急例外？
4. 日志盘剩余空间>1GB且已开启循环覆盖？
5. 升级或回退方案是否经过演练（关闭总开关30s内恢复）？
6. IPv6规则是否已补全？

版本差异与迁移建议

v8.3及更早使用「路由表」写法，需要写死0/1路由，升级后会被自动导入为「IP级」规则，优先级统一设为5。若你之前把办公网段设成0.0.0.0/0走隧道，导入后会导致“全量直连”事故。官方升级脚本已提供「dry-run」参数，建议先在测试终端运行/opt//bin/migrate --check，确认无误再批量下发。

未来趋势：规则市场与AI协同

经验性观察，快连将在2026Q1开放「规则市场」Beta，支持一键订阅第三方维护的SaaS分流表，并通过AI打分淘汰低效规则。届时手动配置会从“全手写”过渡到“订阅+微调”，管理员只需处理企业私有域名。若你现在就把规则按「备注」字段写清楚，未来可直接导出成YAML模板，方便批量导入到规则市场。

收尾总结

快连手动分流的核心价值是“把AI黑盒变白盒”，在合规、带宽、延迟三条线之间找到企业自定义平衡点。只要遵循“粒度递减、例外置顶、日志先行”三原则，十分钟就能完成一套可回退的分流策略。随着卫星通道与量子加密逐步普及，手动规则将成为企业网管的基本功——先学会，再交给AI托管，才能在未来版本里游刃有余。

案例研究

案例1：200人跨境设计团队

背景：深圳总部需每日同步百GB Figma源文件到旧金山办公室，原走AI选路，隧道带宽利用率92%，高峰时段延迟飙至380ms。

做法：在v8.4桌面端新建「域名」规则*.figma.com动作「直连」优先级90；同时把UDP 443端口标记为「低优先级隧道」以便其他加密需求。上线前用「实时诊断」跑样机，确认Tx Bypass占比>85%。

结果：同步窗口由4小时缩至1.5小时，延迟降至120ms；月省流量计费约1.2TB，节省费用7,800元。

复盘：规则上线第3天发现static.figma.com被误匹配到隧道，原因是缓存未刷新。执行Flush后恢复。教训：上线脚本务必带自动刷新指令。

案例2：5,000路视频监控城域网

背景：某市公安雪亮工程，摄像头日均产生190TB H.265流，全部加密导致日志存储90天即满盘。

做法：在群晖分流页签批量导入IP规则，把10.128.0.0/10、239.0.0.0/8设为「直连」；仅市局审计平台地址段192.168.254.0/24强制走隧道并开启镜像审计。

结果：日志量下降82%，存储周期延长至365天；隧道CPU占用由47%降至11%，单核可再接入800路摄像头。

复盘：初次导入50条规则时误把/32写成/24，导致审计平台断连。利用「关闭总开关」30秒内回退，随后修正CIDR并重启套件后恢复。

监控与回滚Runbook

异常信号

• 客户端日志出现大量「rule_miss」关键字，且延迟曲线陡升。
• 「实时诊断」面板Tx Tunnel列不该出现的进程持续>0KB。
• ERP/财务系统反馈「证书域名不匹配」或「握手超时」。

定位步骤

1. 先确认版本≥v8.4，旧版无手动分流Tab。
2. 在「诊断」→「内核状态」检索目标IP/端口，看「matched_rule」字段是否为空。
3. 若为空，则检查优先级、通配符、IPv6缺失；若有值但与预期不符，调整优先级数字并Flush缓存。

回退指令/路径

桌面端：进入「手动分流」关闭顶部「启用自定义规则」开关→立即生效，无需重启。

群晖：SSH执行/usr/syno/sbin/synopkg stop && rm /var/packages//target/etc/user_routes.json && /usr/syno/sbin/synopkg start 即可清空全部自定义规则。

演练清单（月度）

1. 备份当前规则：「导出配置文件」保存到Git。
2. 随机挑选5条关键规则，临时调高优先级，验证业务是否受影响。
3. 触发回退，计时<30s，确认业务恢复。
4. 提交演练报告，更新Runbook版本号。

FAQ

Q1：规则上限多少条？ A：桌面端官方文档写明≤2,048条；群晖≤50条。
背景：内核使用线性数组匹配，过多会拖慢性能。 Q2：能否对同一域名同时设置直连与隧道？ A：不允许，后保存的会覆盖前者。
证据：界面保存时弹「重复条目」提示。 Q3： flushed cache 会中断现有TCP吗？ A：不会，仅清空匹配缓存，已建链连接继续沿用原路径。
经验性观察：丢包率无变化。 Q4：Android端为何无法添加应用规则？ A：Google从Android 13起限制快连Service获取应用列表权限，快连暂不提供此粒度。
解决：改用「域名」或「IP」规则替代。 Q5：IPv6写法有何注意？ A：必须带掩码，如240e::/32，不支持缩写::/0。
原因：内核使用golang netip，严格格式校验。 Q6：升级后原规则丢失？ A：v8.3→v8.4升级脚本会自动导入旧规则，但优先级统一为5，需手动调整。
建议升级前「导出」备份。 Q7：mDNS规则为何不生效？ A：部分ROM把mDNS封在独立的kernel模块，绕过快连Service。解决：在路由器侧把224.0.0.0/4设为直连。 Q8：能否根据时间段切换规则？ A：当前版本无内置计划任务；需外部crontab调用REST API修改规则文件并重启客户端。 Q9：日志能否关掉？ A：可在「设置→日志→级别」选「Error」，但国密合规场景必须保持「Info」以上。 Q10：优先级数字相同会怎样？ A：内核按「先匹配先生效」顺序，无法保证稳定性。务必为关键规则分配唯一优先级。

术语表

AI选路2.0 快连默认智能分流引擎，实时探测链路质量并动态切换出口。首次出现于v7.8。 三阶分流 指应用级→域名级→IP/CIDR的固定匹配顺序，写死在v8.4内核。 WireGuard-2025 快连内置的高性能加密内核，基于WireGuard upstream tag 1.0.20250318。 国密白名单 启用SM2/SM3/SM4算法后，对特定域名禁用国密回退至标准TLS的名单。 优先级 数字越小越先匹配，范围1–65535，官方建议1000留给紧急例外。 Tx Bypass 实时诊断面板指标，表示未进入隧道的原始流量，单位KB。 flushcache 清空内核规则缓存指令，用于立即生效修改，300s默认缓存失效。 dry-run 升级脚本的预检查参数，仅输出待迁移规则，不实际写入。 通配符域名 以「*.」开头的域名规则，如*.example.com，匹配三级及以上子域。 mDNS Multicast DNS，UDP 5353，用于局域网零配置发现，常被误走隧道。 CIDR 无类域间路由表示法，如192.168.1.0/24，用于IP级规则。 REST API 快连提供的127.0.0.1:8964内部接口，可读写规则文件，需Bearer Token。 双向日志 记录进出方向的连接元数据，用于合规审计，每条约1.2KB。 循环覆盖 日志达到上限后自动删除最旧文件，防止磁盘爆满。 QoE Quality of Experience，综合延迟、抖动、丢包的用户体验评分。

风险与边界

不可用情形：终端<5台、应用列表每日随机变化、管理员不懂CIDR时，手动规则ROI为负，建议继续用AI选路。

副作用：规则过多>1,500条后，内核匹配耗时线性增加，CPU占用可能上涨8%–12%；日志全开时每天额外占用约1GB磁盘。

替代方案：若仅需简单分流，可用路由器策略路由（Policy-Based Routing）或iptables/iprule，但失去国密/量子加密能力；需权衡合规与性能。