下载
返回博客
教程··10 分钟阅读

iPhone 如何设置 VPN:实用操作指南

语言: EnglishالعربيةDeutschEspañolفارسیFrançaisहिन्दीBahasa IndonesiaItaliano日本語한국어PolskiPortuguêsРусскийไทยTürkçeУкраїнськаTiếng Việt繁體中文

在 iPhone 上设置 VPN 并不复杂,只要弄清楚自己需要哪条路径即可。大多数人直接从 App Store 安装 VPN 应用,点击连接即可完成。少数人——通常是需要使用公司配置文件或服务商提供手动凭据的用户——则需要通过「设置」来操作。两条路径都有效,状态栏上都会出现相同的「VPN」标志,但在出现故障时的表现有所不同。

本指南将逐步介绍这两种方式,并重点讲解大多数文章略过的内容:iOS 实际上如何处理 VPN 断开的情况、这个平台上「断网保护」的真实含义,以及在正常运行的配置中默默承担大量工作的按需连接规则。

在 iPhone 上使用 VPN 的两种方式

目前支持的方式恰好有两种:

  1. 从 App Store 安装 VPN 应用。应用在首次启动时会在 iPhone 上安装 VPN 配置文件,并替你管理一切。这是几乎所有用户应该选择的方式。
  2. 在「设置」中手动配置 VPN。需要手动输入服务器地址、凭据和协议详情,或导入配置文件。适用于持有公司 IKEv2 凭据或服务商提供配置文件但无对应 App 的情况。

如果你只是想在 iPhone 上使用 VPN,请选择 VPN 应用。手动配置方式适用于特定场景,下文会详细说明。

使用 VPN App(推荐大多数用户)

这是默认路径,无论选择哪家服务商,操作方式都相同。

操作步骤

  1. 打开 App Store,安装你选择的 VPN 应用。
  2. 启动应用。首次运行时,iOS 会弹出系统提示,请求在 iPhone 上添加 VPN 配置的权限。
  3. 点击允许,然后通过 Face ID、Touch ID 或密码进行验证。这一步是 iOS 的身份确认——不是 VPN 应用本身——因此每款 VPN 的弹窗外观都一样。
  4. 登录应用或选择服务器。大多数现代应用只需点击一个连接按钮。
  5. 点击连接。一两秒内,状态栏的蜂窝网络和 Wi-Fi 图标旁边就会出现一个小的 VPN 标志。这是 iOS 自身对隧道已建立的确认,应用无法伪造该标志。

首次启动时的配置文件安装提示只会出现一次。此后,连接和断开操作完全在应用内部完成,也可以通过「设置」中的开关来操作。

配置文件的实际作用

VPN 配置文件是一个系统级的小型配置,它告诉 iOS 在 VPN 激活时如何路由流量。其中包含协议(大多数优质应用现在使用 WireGuard)、服务器地址和加密密钥。配置文件保存在「设置」→「通用」→「VPN 与设备管理」→「VPN」中。如果你卸载了应用,在此处删除配置文件是确保不留任何残留内容的干净方式。

手动配置(「设置」→「通用」→「VPN 与设备管理」)

这条路径适合已经从其他途径获得 VPN 凭据的用户。这里没有服务器浏览器或国家选择器——手动配置默认你已经知道要连接哪台服务器。

iOS 支持的内置类型

iOS 内置支持三种 VPN 类型:

  • IKEv2——现代、快速、支持广泛,是手动配置的默认选择。
  • IPsec——较旧但稳定,常见于企业环境。
  • L2TP——Apple 已弃用,按现代标准安全性较弱。除非别无选择,否则请避免使用。

WireGuard 不是 iOS 内置的 VPN 类型。iOS 的「设置」中没有原生 WireGuard 支持,因此即便它是大多数现代服务商首选的协议,你也需要支持 WireGuard 的应用才能使用。请参阅我们的 WireGuard 与 OpenVPN 与 IKEv2 对比 了解各协议的实际差异。

何时使用手动配置

  • 你的 VPN 服务商提供了 .mobileconfig 文件。在 iPhone 上打开该文件,iOS 会引导你完成安装。
  • 你的公司运行了 IKEv2 服务器,并为你提供了服务器地址、远程 ID 和凭据。
  • 你正在连接到路由器或 NAS 上自有的 VPN 端点。

如何手动输入凭据

  1. 打开「设置」→「通用」→「VPN 与设备管理」→「VPN」→「添加 VPN 配置」
  2. 选择类型(大多数情况下选 IKEv2)。
  3. 输入描述、服务器、远程 ID 以及你的用户名和密码或证书。
  4. 保存。新配置文件会出现在 VPN 列表中,带有一个开关。
  5. 拨动开关即可连接。

如果服务商发送了 .mobileconfig 文件,从邮件或「文件」中打开它可以省去大部分手动输入——iOS 会直接导入设置。

按需连接 / Connect On Demand

这项功能可以将「已安装 VPN」升级为「VPN 真正保持开启」。大多数人从未发现它的存在,但值得花两分钟了解一下。

功能说明

按需连接告诉 iOS 在满足特定网络条件时自动连接 VPN。两种最常用的模式是:

  • 始终——只要有任何网络处于活动状态,VPN 就会重新连接。
  • 仅 Wi-Fi——在 Wi-Fi 下连接 VPN,蜂窝网络下不连接(适合信任运营商但不信任咖啡店 Wi-Fi 的用户)。

你也可以反向操作——在蜂窝网络下连接、在受信任的家庭 Wi-Fi 下不连接,不过这种配置较为少见。

如何找到该功能

  1. 打开「设置」→「通用」→「VPN 与设备管理」→「VPN」
  2. 点击 VPN 配置文件旁边的小 (i) 按钮。
  3. 向下滚动到「按需连接」并开启。
  4. 根据你的偏好配置规则。

如果你是通过 VPN 应用安装的,该应用的设置界面中通常也有自己的按需连接开关。两条路径写入的是同一个底层 iOS 配置。

权衡考量

按需连接能显著提高 VPN 的可靠性。代价是少量额外电量消耗,以及手机唤醒时启动时间略长——因为 iOS 需要在允许应用访问网络之前重新建立隧道。WireGuard 的握手速度足够快,通常不会让你察觉到这一延迟。

iOS 上断网保护的实际情况

本节适合读过 VPN「断网保护」相关内容、想了解 iPhone 上实际情况的用户。

真正的断网保护——即桌面 VPN 应用所宣传的那种——会在 VPN 隧道断开时阻断所有互联网流量。在 Windows、Linux 和 macOS 上,应用可以安装在操作系统层面强制执行的防火墙规则。iOS 不向第三方应用开放这一能力。Apple 的 NetworkExtension 框架没有提供全局「禁止所有非 VPN 流量」的钩子。

iOS 上的应用可以通过按需连接规则来近似实现这一行为。配置方式如下:

  • 启用按需连接,并设置在任何网络下触发的规则。
  • 将规则设置为:若 VPN 无法连接,则将网络连接视为不可用。

在稳定状态下这种方式运行良好,但有一个需要坦诚说明的注意点:在 iOS 切换网络(例如从 Wi-Fi 切换到蜂窝网络)或唤醒设备的短暂窗口期内,隧道可能尚未激活。在按需连接重新建立连接之前,少量流量可能会在这个间隙中泄露。现代 WireGuard 应用的重连时间通常不到一秒,所以窗口期很短,但确实存在。任何声称 iOS 拥有完美断网保护的说法,都说明对方没有认真阅读框架文档。

如果零泄露对你的使用场景至关重要,桌面操作系统能为你提供比 iOS 更好的工具。对于大多数用户来说,配置了始终开启规则的按需连接已经足够。

蜂窝网络与 Wi-Fi 的行为差异

默认情况下,iOS VPN 在网络切换时会保持连接。从家庭 Wi-Fi 切换到 LTE,VPN 依然保持开启——iOS 会透明地完成隧道切换。部分应用提供「蜂窝网络下禁用」的开关,适合希望节省电量或避免在计量套餐下产生额外开销的用户。

常见问题排查

以下是 iPhone 用户实际遇到的问题简要指南。

「配置文件安装权限被拒绝」

这通常意味着 MDM 策略阻止了 VPN 配置文件的安装,或者你在首次启动提示时点击了「不允许」。打开「设置」→「通用」→「VPN 与设备管理」,找到待处理的配置文件并完成安装。如果你使用的是受管理设备(工作或学校手机),请咨询你的管理员。

手机休眠后 VPN 断开

iOS 会积极暂停后台活动以节省电量,VPN 连接也不例外。请按照上文描述启用「按需连接」——这是在休眠周期内保持隧道活跃的官方支持方式。

速度低于预期

可以检查以下几点:

  • 服务器距离。连接到地球另一端的 VPN 服务器,速度必然比连接本城的服务器慢。优先选择更近的服务器。
  • 协议。在实际测试中,WireGuard 通常优于 IKEv2 和 OpenVPN。
  • Wi-Fi MTU。罕见但真实存在的情况:如果你的路由器使用非常规 MTU,VPN 封装可能导致分片。大多数现代应用会自动处理这一问题。

IP 地址未变化

连接后如果你的显示 IP 地址没有变化,可以用任意「我的 IP 是什么」网络工具进行泄露测试。两种常见原因:IPv6 流量绕过了隧道(部分旧配置不隧道化 IPv6 流量),或 DNS 查询泄露到了 ISP 的解析服务器。两者都是配置问题,一款设计良好的 VPN 应用会为你处理这些问题。

飞行模式后无法重新连接

在「设置」中将 VPN 关闭再重新开启,或退出并重新启动 VPN 应用。飞行模式会断开所有网络连接,偶尔 VPN 状态机无法干净地恢复。

应用专属 VPN

你可能听说过只让特定应用通过 VPN 路由的功能。在 iOS 上,应用专属 VPN 是真实存在的,但仅限于受管理设备。这是企业用来隧道化其内部应用、同时不影响个人流量的 MDM 功能。消费级 VPN 应用无法访问此 API。你在个人 iPhone 上安装的任何 VPN 都会在全系统范围内路由所有流量。

这在大多数情况下没有问题。如果你希望某个应用绕过 VPN,变通方法是断开 VPN、使用该应用,然后重新连接。略显繁琐,但很少需要这样做。

总结

对于大多数 iPhone 用户来说,在 iPhone 上设置 VPN 意味着下载一款应用、接受一次配置文件提示,然后开启「按需连接」。这样就能获得大部分价值,无需手动配置。「设置」中的手动配置路径适用于企业 IKEv2 或无对应应用的服务商等特定场景。iOS 的断网保护能力确实弱于桌面端,但按需连接规则弥补了大部分差距。

如果你是第一次选择 VPN,优先考虑使用 WireGuard、默认支持 无需邮箱注册的匿名账户、并对 日志政策持明确立场的服务商。各服务商的设置步骤相同——信任模型则不同。

Snap VPN 是一款围绕 WireGuard 构建的 iOS 原生客户端。你的订阅与 Apple ID 绑定,无需邮箱或账户注册,我们不会将任何用户标识符与真实身份关联。macOS 版本正在开发中。如果你想要一款遵循上述平台规范、不打扰你日常使用的 VPN, Snap VPN 是起点。

延伸阅读: VPN 究竟是什么 以及 出行时使用 VPN

The Snap VPN Team
Editorial