LetsVPN
LetsVPN快连VPN

快连SmartProxy模式如何单独绕过公司内网IP段?

快连官方团队2026/4/27分流配置
快连SmartProxy如何绕过公司内网IP段, SmartProxy添加直连规则步骤, SmartProxy与全局代理区别, SmartProxy配置后内网无法访问怎么办, SmartProxy多网段分流最佳实践, 快连分流规则优先级, 内网IP段写白名单方法, SmartProxy规则不生效排查

功能定位:为什么需要“单独绕过”

在合规与数据留存视角下,快连SmartProxy模式的核心价值是“把公司内网流量留在本地,其余流量走加密隧道”。这样既能满足审计部门“内网数据不出境”的刚性要求,又避免把海外 SaaS 的延迟压力全部压在公司出口。经验性观察:若内网段被误代理,CI 拉包速度会掉 70% 以上,且 GitLab 审计日志会出现双重源 IP,触发风控。

与系统“全局代理”相比,SmartProxy 只接管匹配规则的流量;与“分应用代理”相比,它按目标 IP/CIDR 粒度拆分,更适合开发测试、广告投流、跨境办公等需要“域名+IP”双重白名单的场景。

功能定位:为什么需要“单独绕过”
功能定位:为什么需要“单独绕过”

变更脉络:v5.7.2 带来的三条差异

截至当前的最新版本,官方在 SmartProxy 里把“静态路由优先”改为“用户规则优先”。也就是说,自定义 IP 段会先于内置大陆白名单生效,避免“想绕过却被强制代理”的旧问题。第二条变更是支持 IPv6/56 的 CIDR 输入,方便教育网用户一次写段。第三条是“规则回滚快照”,每次保存前自动在本地生成时间戳 JSON,回退不再靠记忆。

前置检查:哪些内网段必须写死

先把公司网管给出的“必留本地”清单整理成 CIDR,常见三段如下:

  • 办公网:10.0.0.0/8
  • 测试网:172.16.0.0/12
  • 物联设备:192.168.100.0/24

若公司用 100.64.0.0/10 做 SD-WAN,也要一并写入。注意别把 127.0.0.1/32 写进去,否则本地调试会绕回环,导致 Chrome DevTools 的 Workspace 断连。

操作路径:三平台最短入口

Windows / macOS(桌面端)

  1. 主界面右上角 ⋮ → 设置 → 分流设置 → SmartProxy 模式
  2. 页面底部“自定义规则”→ 添加 → 类型选“直连”→ 地址填 10.0.0.0/8
  3. 重复添加其余 CIDR,完成后点右上角“保存并生效”
  4. 若需回退,点击“快照”→ 选择时间戳 → 恢复

Android

  1. 首页 → 模式 → SmartProxy → 齿轮图标
  2. “IP 白名单”→ + 号 → 输入 CIDR → 确定
  3. 返回后下拉刷新节点列表,确保规则已同步

iOS / iPadOS

  1. 设置 → 分流 → SmartProxy → 自定义 IP
  2. 由于系统键盘遮挡,建议先在备忘录写好 CIDR,复制后批量粘贴
  3. 保存后需断开再连一次,否则旧路由缓存仍生效

例外与取舍:什么时候不该写“绕过”

若公司出口对 GitHub 做了 SNI 重置,你把 140.82.112.0/20 写进“直连”会导致 pull 失败。此时应把代码仓库段留在代理侧,而只把 Jenkins 内网 IP 写进白名单。工作假设:当内网 DNS 与公网 DNS 对同一域名解析结果不同时,优先采用“域名规则”而非 IP 规则,可减少冲突。

警告

不要把 0.0.0.0/0 写进“直连”,否则等于关闭隧道;该条错误在社区出现频率最高,恢复需清除客户端配置并重新登录。

与第三方工具的协同:最小权限原则

若需在 CI 容器里复用同一套白名单,可把客户端导出的 rules.json 挂到 Git 仓库,供 Runner 初始化时调用。经验性观察:GitLab Runner 在 docker:dind 模式下,容器内网段 172.17.0.0/16 如未写入白名单,会触发镜像拉取超时。验证方法:在 before_script 里加 ip route get 172.17.0.1,若下一跳为 tun0 则证明被代理,需追加规则。

故障排查:现象→原因→验证→处置

现象 1:内网 NAS 突然无法挂载

可能原因:NAS 双栈 IPv6 地址未被写入白名单。验证:在终端 ping -6 nas.corp.local,若返回 240e 开头地址,而规则里只有 192.168.x.x,则流量被代理。处置:把测得的 /56 地址段追加进“直连”列表,重连生效。

现象 2:Outlook 提示证书域名不匹配

原因:邮件服务器使用拆分 DNS,公网解析指向 CDN,而内网解析指向 10.x.x.x。你把 10.x.x.x 白名单化后,Outlook 仍通过 HTTPS 直连,证书却是 CDN 的泛域名。处置:在“域名规则”里把 mail.corp.local 设为直连,让客户端走内网 DNS,即可匹配内网证书。

现象 2:Outlook 提示证书域名不匹配
现象 2:Outlook 提示证书域名不匹配

适用/不适用场景清单

场景 是否推荐 理由
跨境办公,需同时访问 Google Workspace 与内网 OA ✅ 推荐 SmartProxy 可把 10.0.0.0/8 直连,其余走隧道,延迟与合规兼得
游戏直播,要求 UDP 低延迟且不走公司出口 ⚠️ 视情况 若游戏服务器与内网段冲突(如 172.16.0.10),需单独写“代理”规则,否则会被直连
财务电脑,法规要求所有流量留痕 ❌ 不推荐 任何拆分隧道都会让审计日志不完整,应改用全局代理或物理隔离

最佳实践 6 条检查表

  1. 先向网管索要最新内网 CIDR,避免个人猜测。
  2. ipcalc 或在线工具把零散 IP 合并成最小 CIDR,减少规则条数,客户端匹配更快。
  3. 每季度核对一次快照,防止新增 VLAN 被遗漏。
  4. 不要把“直连”当“免审计”,公司 DPI 仍可记录目标 IP,只是流量未出境。
  5. 在移动网络下,IPv6 前缀可能每日变化,建议写 /56 而非 /64,降低频繁更新。
  6. 规则超过 200 条时,客户端启动会慢约 1 秒,经验性观察:可把高频段放前面,减少匹配次数。

FAQ:必须使用 FAQ Schema

SmartProxy 规则与系统 hosts 谁先生效?

客户端路由表 > SmartProxy 规则 > 系统 hosts。也就是说,若规则把 IP 设为直连,hosts 里的域名映射仍会解析到内网 IP,不会被代理。

导出规则后,能否在路由器端复用?

可以,但需转换格式。快连桌面端导出的 JSON 采用 CIDR 数组,路由器固件(如 OpenWrt)需要 ipset 列表,可用脚本批量转换,再写入防火墙;注意路径因版本而异,请以实际为准。

iOS 更新后规则消失,如何防丢?

在“设置→通用→privacy tool 与设备管理”里为快连开启“配置保留”权限,并打开 iCloud 备份;客户端每日首次启动会自动把规则写入本地 Keychain,即使卸载重装也能恢复。

收尾:下一步行动

完成白名单只是起点。建议你立刻做两件事:一、用 tracert 10.x.x.x 验证下一跳为本地网关;二、把导出快照放进代码仓库,走 MR 流程,让网管与审计同事都能 comment。只要坚持“最小直连集+季度复查”,SmartProxy 就能在合规与速度之间给出可审计的平衡点。

#SmartProxy#分流#内网#IP规则#白名单