VPN 和代理怎么选：别再只让浏览器“翻过去”了

我最常见的故障现场是这样的：同事说“我开了代理”，浏览器能看视频，但 Telegram 的图片转半天，游戏直接进不去，Windows 更新也卡着。

别急。

你大概率遇到的不是“代理不好用”，而是代理根本没接管系统流量，或者 DNS 在外面裸奔。

代理不是VPN。

你以为开了代理，其实只有浏览器在走

很多人第一次接触“代理”，是在浏览器插件里填了一个 HTTP proxy，或者在 Clash / NekoBox 里点了“系统代理”。这时候能用的通常只有两类：

第一类，明确支持代理的应用。比如 Chrome、Firefox、某些 Electron 客户端。

第二类，被系统代理设置影响到的应用。这个要看平台脾气，Windows、macOS 还算听话，Android/iOS 就复杂得多。

问题在于，游戏、部分流媒体 App、甚至一些自带更新器，可能完全不理会你那条代理设置。你看到的现象就变成“有的能开，有的死活不行”。看场景。

代理（尤其是 HTTP、SOCKS5）本质是在应用和目标站点之间加了个中转。应用把请求交给代理服务器，代理再去帮你拿数据。

好处很现实：部署简单，协议轻，做分流也方便。比如你在 V2RayNG、Hiddify 里把规则写好，国外域名走代理，国内直连，速度和费用都好控制。

但代价也同样现实：

很多代理只覆盖 TCP，遇到 UDP 业务（部分游戏、语音、某些实时传输）就会麻烦。
DNS 经常是坑。应用可能先用本地 DNS 解析出 IP，再走代理去连那个 IP，于是解析请求已经泄漏出去了，或者解析结果被污染，后面再怎么转发都救不回来。
有些公司网、校园网会针对代理特征做识别，简单的 Shadowsocks 甚至 SOCKS5 很容易被“看出来”。这时候你会开始听到 VLESS、REALITY、TLS、端口 443 这些词。

真挺烦。

VPN的核心区别是：它把你的设备到服务器之间先建一条隧道，然后把系统层面的流量往里塞。于是你不需要指望每个 App 都“支持代理”。

这对日常使用的意义特别大：

你在 iOS 上用 Shadowrocket，或者在 Android 上开系统级 VPN，微信、Spotify、App Store、甚至一些你想不到的后台连接，都能被统一接管。Windows/macOS 也是同理。到 OpenWrt 更夸张，路由器一开，全家设备一起走。

协议上我自己更偏爱两类：WireGuard 和 VLESS+REALITY。

WireGuard 走 UDP，握手快，代码路径短，移动网络切基站时的恢复通常比老派方案顺眼些。坏处也有：UDP 在某些网络环境里会被限速、丢包，或者干脆被“照顾”。

VLESS+REALITY 这类走 TLS 外观的方案，穿透一些严格网络时更稳，但实现细节多，客户端/服务端的参数一旦不匹配，排错时间能把人磨没脾气。延迟也常常比 WireGuard 更飘一点。

我经常看到有人抱怨“开 VPN 很耗电”。这话一半对。

手机上最吃电的通常不是“加密”本身，而是网络质量差时的重传、频繁切换节点、以及某些客户端不停测速。你在地铁里开着自动选择最优节点，信号一抖，它就像在做压力测试。

还有 DNS。很多人以为连上 VPN 就没事了，其实客户端如果没把 DNS 一并接管，或者分流规则让 DNS 走了直连，照样会有奇怪的“能连上但访问慢”“某些域名跳到国内站”的症状。最直观的排查方法是：同一个域名，切换网络、切换节点，看解析出来的 IP 是否稳定，访问落点是否一致。

分流也别迷信“越细越好”。规则写得太花，维护成本会反噬你自己。我现在更喜欢简单分两层：常用直连域名白名单，加一个国外域名走隧道的大网兜，剩下交给默认策略。

如果你在选服务时想少踩坑，我会优先看它有没有把这些东西做成可控选项，比如是否支持多协议（WireGuard、VLESS+REALITY、Shadowsocks-2022）、是否能按应用分流、DNS 是否可配置。这类点在功能说明页一般会写得比较清楚。

我平时是两套工具一起放着，用起来反而轻松：

你要是还在纠结“买不买、买哪个档”，别看广告词，看你自己设备数、同时在线数，还有你是否需要路由器用法，这些在常见问题里通常问得很直接。价格就更简单了，打开套餐和价格对着自己的使用频率算一下就行。

如果你想要的是“装上就能用，别让我每次出门都调参”，我建议你直接从 DuduVPN 开始试，遇到节点、订阅、客户端选择这些琐碎事，就用它的 Telegram bot 处理，省得在一堆频道里翻来翻去。

最后给个很实用的习惯：如果你在移动网络上老断线，把客户端的协议固定成 WireGuard 并关掉自动测速，通常会稳定很多。