快连iOS端如何彻底关闭系统代理回退防止本地DNS泄露?
快连iOS端彻底关闭系统代理回退,三步阻断本地DNS泄露,实测无回弹。
问题背景:iOS为何会在privacy tool掉线时偷偷回退到系统代理
iOS 16 之后,苹果为了让用户在地铁、电梯等弱网场景「无感切换」,会在检测到 privacy tool 隧道异常时,毫秒级地把流量回退到上一次可用的系统代理配置。kuailian(Kuailian privacy tool)虽然自带 Kill Switch,但默认只阻断 IPv4 外发,本地 DNS 查询仍被放行,于是出现「代理已掉,查询照走」的泄露窗口。本文要解决的,正是这一闪即逝的缝隙。
功能定位:Kill Switch 的演进与边界
截至 7.3.1,快连把 Kill Switch 拆成两级:①「基础阻断」——掉线即停网;②「高级阻断」——额外禁止任何非加密 DNS、禁止系统代理回退。后者才是彻底锁死流量的关键。开启后,所有局域网地址(如 192.168.x.x)也会被隔离,AirDrop、无线打印会暂时罢工,这是苹果 NetworkExtension 框架的固有行为,并非快连额外加锁。
最短可达路径:iOS 端三步关闭回退
- 打开 kuailian → 右上角「⚙️」→「隐私防护」→ 开启「Kill Switch」总开关。
- 同一页继续向下,把「系统代理回退」拨到「完全禁止」(默认灰色关闭)。
- 返回主界面,断开再重连一次节点,让配置写入 NetworkExtension 缓存;状态栏出现持续的小钥匙图标即代表回退已锁死。
若第二步找不到「系统代理回退」,说明仍在旧缓存,卸载描述文件后重装 App,或升级至 TestFlight 最新公测通道即可。
Android/桌面端差异:路径与命名对照
Android 把相同功能放在「分流设置」→「阻断本地 DNS 泄露」,命名不同但作用一致。Windows 与 macOS 可直接写系统路由表,回退场景罕见,官方仅提供「Kill Switch」一级开关,未细分「系统代理回退」。若桌面端也出现泄露,经验性观察可把「排除局域网路由」取消勾选,效果类似。
例外与副作用:何时不该一刀砍
警告
开启「完全禁止」后,以下功能将不可用,直到 privacy tool 手动断开:
- 局域网 SMB 文件服务器、NAS 同步
- 无线 CarPlay 首次配对(已配对后续可恢复)
- 公司强制代理 PAC(银行、证券营业网点 Wi-Fi)
每天需要进出内网的用户,建议改用「分应用代理」把企业 App 设为 bypass 名单,而非全局关闭 Kill Switch,既防泄露又不影响办公。
验证与观测:如何确认 DNS 已无回退
- Safari 打开
https://dnsleaktest.com,记录前三台 DNS 服务器归属。 - 回到快连,手动切换到高延迟节点,趁握手未完成立即锁屏;十秒后解锁。
- 再次刷新检测页,若仍显示 privacy tool 节点所属 DNS,则回退已关闭;若出现本地运营商 DNS,则配置未生效。
经验性观察:iOS 17 对 NetworkExtension 缓存更激进,偶尔需要「断开→飞行模式→关闭飞行模式→重连」才能刷新策略。
与第三方 DNS 配置协同:DoH/DoT 还能用吗?
可以,但顺序要对。先让快连建立隧道,再在「iOS 设置→通用→privacy tool 与网络→DNS」里指定 DoH 域名(如 https://dns.cloudflare.com/dns-query)。由于 Kill Switch 已禁止系统代理回退,DoH 查询也会被塞进 privacy tool 通道,不会旁路。若想完全交由快连「量子隧道」内置 DNS,只需把 iOS DNS 设为「自动」,由服务器推送即可。
故障排查:开关开了仍泄露的常见原因
| 现象 | 可能原因 | 处置 |
|---|---|---|
| 锁屏后解锁,dnsleaktest 出现本地 DNS | iOS 省电模式把 NetworkExtension 进程挂起 | 关闭省电模式;或在「设置→电池」里把快连添到「永不限制」 |
| 仅 4G 下泄露,Wi-Fi 正常 | 运营商 IPv6 DNS 强制下发,快连 IPv6 路由未勾选 | 在「节点设置」里打开「强制 IPv4」或「阻断 IPv6」 |
| 企业 Wi-Fi 需 PAC,开启后无法上网 | Kill Switch 把 PAC 脚本也隔离 | 把该企业 SSID 添加到「可信网络自动暂停」列表 |
适用/不适用场景清单
- 适用:公共 Wi-Fi 下移动支付、海外社媒账号登录、机场/酒店 captive portal 后的二次认证。
- 不适用:需要局域网打印机、NAS 自动备份、公司强制代理打卡、双卡双待用户经常切换数据 SIM。
若你属于「不适用」人群,可用「分应用代理」把内网 App 设为直连,其余流量继续享受 Kill Switch,从而兼顾安全与便利。
最佳实践检查表(可截图保存)
Checklist
- Kill Switch 主开关已开启
- 「系统代理回退」拨到「完全禁止」
- 「可信网络自动暂停」已排除公司/家庭 Wi-Fi(若需要)
- dnsleaktest 验证三次无本地 DNS
- 更新至 TestFlight 最新版,确认 7.3.2 耗电优化已合入
FAQ:关闭回退后的高频疑问
为什么开启后 AirDrop 搜不到同事?
Kill Switch 会丢弃所有局域网广播包,属于预期行为。可在需要传文件时暂时断开 privacy tool,传完再连。
开关都开了,锁屏还是偶尔泄露?
iOS 在省电模式下会回收 NetworkExtension,导致短暂窗口。关闭省电或把快连加入「永不限制」即可。
企业 Wi-Fi 要求 PAC,完全禁止后无法认证?
在「可信网络」里把该 SSID 设为「自动暂停 privacy tool」,连接后先完成 PAC 认证,再手动开 privacy tool,即可兼顾。
收尾:下一步行动建议
如果你刚升级到 7.3.1 且对后台耗电敏感,不妨先观望 7.3.2 正式版;若隐私场景优先,立即按本文三步关闭系统代理回退,并用 dnsleaktest 复测三次。把「可信网络」清单提前维护好,就能在 iOS 上实现「隧道在,数据走;隧道掉,数据停」的零泄露目标。
