iPhone 設定裡的兩種 VPN:『裝置 VPN』和『個人級 VPN』到底差在哪?

水墨風格示意圖:半俯瞰一座山谷,兩條暖金光路從同一起點並肩升向同一道橘色破曉——左路是一條乾淨不分岔的單一光帶,右路一再岔成數條細支線、每條支線綴一顆四芒金星;同一時間只有一條路真正點亮、另一條黯淡。象徵 iPhone 兩種 VPN 都通往整機流量(殊途同歸),差別在引擎是系統內建的全量隧道、還是 App 自帶的規則型分流,且同時只有一條隧道在跑。

如果你打開 iPhone 的「設定 → 一般 → VPN 與裝置管理 → VPN」,而且裝過不只一個 VPN App,你可能會看到一個讓人愣一下的畫面:同一頁,VPN 被分成了兩個區塊——上面叫「裝置 VPN」,列著像 1.1.1.1、Shadowrocket、穿梭這類 App;下面叫「個人級 VPN」,列著像 Goose VPN 這種傳統商業 VPN。

很多人第一反應是:「裝置 VPN 是不是管整台手機、個人級 VPN 只管某個 App?」——這是個很合理但完全錯誤的猜測。兩者其實都能接管整支手機的網路流量。它們的差別不在「管多少」,而在一個更底層、更少人講清楚的地方:這條 VPN 的連線『引擎』是誰提供的。

這篇文章把它拆成三層講清楚:先用一個比喻建立直覺,再深入 iOS 真正的技術架構差異,最後落到「那我到底該怎麼用」。

一、先破除誤解:不是「全部 vs 部分」

先講結論:「裝置 VPN」和「個人級 VPN」都能把你整支手機的網路流量導進隧道。 你開任何一個,理論上 Safari、LINE、背景 App 的連線都會走進去。所以它們不是「全機 vs 單一 App」的關係。

那 iOS 為什麼還要分成兩區?因為這兩類 VPN,是用兩套完全不同的系統機制掛上去的。蘋果在設定頁把它們分開,是依「底層用哪套 API」分類,而不是依「接管多少流量」分類。理解這一點,後面所有差異都會變得很順。

二、核心比喻:引擎是誰提供的

想像 VPN 是一台車,真正在跑的是引擎(負責加密、建立隧道、轉送封包的那段程式)。iOS 上有兩種「引擎來源」:

個人級 VPN =用 iPhone 內建的引擎(傳統做法)

蘋果很早就在 iOS 系統裡內建了一套 VPN 引擎,支援 IKEv2、IPsec 這些業界老牌協定。當一個 App(或一份描述檔)要建立這種 VPN,它只需要把「伺服器位址、帳號密碼、用哪個協定」這些設定參數交給系統,剩下的連線、加密工作全部由 iPhone 內建的引擎處理。

這就像你用 iPhone內建的相機 App 拍照——引擎(感光、對焦、運算)是蘋果做好的,你只是按下快門。所以這類叫「傳統/個人級」,指的是它機制老、由系統內建,不是說它功能比較弱或範圍比較小。截圖裡的 Goose VPN 走的就是這條路。

裝置 VPN =App 自己帶引擎進來(新做法)

後來蘋果開放了一套叫 Network Extension 的框架,允許 App 自己內建一顆 VPN 引擎,以一個獨立的系統擴充行程(extension)跑在 iOS 裡。這時候連線、加密、封包怎麼處理,全部由 App 自己寫的程式決定。

這就像你裝了一個第三方相機 App,它自帶內建相機沒有的特殊功能(手動快門、RAW、濾鏡引擎)。因為引擎是 App 自己的,它能玩出系統內建引擎做不到的花樣——最關鍵的就是分流。截圖裡的 1.1.1.1(Cloudflare WARP)、穿梭、Shadowrocket 都走這條。

引擎是誰的年代截圖中的例子
個人級 VPNiPhone 內建引擎舊(傳統)Goose VPN
裝置 VPNApp 自己帶的引擎1.1.1.1、穿梭、Shadowrocket

一句話:兩者都能接管全部流量,差別只在「老的系統內建引擎」對上「新的 App 自帶引擎」。

三、技術硬核:兩套 API 的真實差異

如果你想知道引擎差在哪,那就要進到 iOS 的 Network Extension 框架。蘋果其實提供了兩個不同的管理類別,這正是設定頁兩個區塊的技術根源:

  • 個人級 VPN → NEVPNManager(Personal VPN)
  • 裝置 VPN → NETunnelProviderManager(Packet Tunnel Provider)

有意思的是,NETunnelProviderManager 在程式上其實是 NEVPNManager子類別(subclass)[1][2]——也就是說「裝置 VPN」是在「個人級 VPN」這個基礎上,往外擴出來的進階版。但它們在四個維度上有實打實的差異:

1. 協定:內建 vs 自訂

NEVPNManager(個人級)只能用 iOS 內建支援的協定——IPsec 與 IKEv2[3]。你不能用它跑 WireGuard、Shadowsocks、VMess 這些非內建協定,因為系統引擎只認得它自己會的那幾種。

NETunnelProviderManager(裝置)則是為了自訂協定而生的[1]。App 的 extension 自己實作整套隧道邏輯,所以要跑 WireGuard、要跑各種代理協定、要做封包改寫,都行。Shadowrocket、Clash 這類「規則型代理」工具之所以存在,正是靠這套機制。

2. 封包處理:填表 vs 親手收發

個人級 VPN 的 App 比較像「填一張表」:給系統伺服器與帳號,系統引擎自己去建隧道、把整機流量送過去。App 不直接碰到你的網路封包。

裝置 VPN 的 App 走的是 Packet Tunnel Provider:系統會把一個虛擬網卡(utun 介面)交給 App 的 extension,你的每一個 IP 封包都會先流經這段 App 自己的程式碼,由它決定怎麼加密、送去哪、或者乾脆放行直連。這就是「分流」能力的技術來源——因為 App 親手摸得到每個封包,它才能按規則判斷「這個網域走代理、那個直連」。

3. 權限(entitlement):個人 vs 企業級

兩者要跟蘋果申請的權限不同。個人級 VPN 需要 Personal VPN entitlement;裝置 VPN 的 Packet Tunnel Provider 屬於 Network Extension entitlement,在分類上被歸為「企業/一般 VPN」(enterprise VPN)而非個人 VPN[1][3]。這也是為什麼設定頁會用「裝置」這個偏管理、偏系統層的字眼來標它。

4. 能不能共存:一個關鍵的非對稱限制

這是最容易踩到、卻最少人知道的細節:

  • 一個「個人級 VPN」和一個「裝置 VPN」可以共存(兩種類別不同,系統允許同時安裝設定)。
  • 但兩個「裝置 VPN」不能同時並存運作——兩個 Network Extension(企業級)VPN 無法共存[3]。

實務上,雖然設定可以同時躺在那裡,真正在轉送你流量的隧道同一時間只會有一條。所以你會遇到「開了 Shadowrocket,1.1.1.1 就自動斷線」這種現象——它們都是裝置 VPN,搶的是同一個出口。這也是為什麼截圖最上面那行系統提示會寫「若要使用『穿梭』連線,請使用『穿梭』應用程式」:這類裝置 VPN 的開關,最好回到各自的 App 裡操作,而不是用 VPN 頁最上面那顆系統總開關硬切。

四、所以這個架構差異,長出了什麼功能差?

把上面的技術差異翻成白話,就是兩類 VPN 的「人格」完全不同:

個人級 VPN =一鍵全量隧道。 它的設計目的是「把整機流量加密、丟到某個伺服器、換一個 IP」。簡單、穩定、整機生效,沒有複雜規則。這是傳統商業 VPN(換 IP、保護隱私、跨區)的典型形態。Goose VPN 屬於這類。它的操作很單純:系統設定頁那顆開關打開就連、關掉就斷。

裝置 VPN =可程式化的分流代理。 因為 App 親手摸每個封包,它能做「規則型路由」——哪些網域走代理、哪些直連、哪些直接擋掉。這讓它變成工程師和進階使用者愛用的工具(翻牆+選擇性代理、廣告過濾、自訂節點切換)。1.1.1.1、穿梭、Shadowrocket 屬於這類。它的開關建議回各自 App 操作,因為規則、節點、模式都在 App 裡,系統頁那顆開關只是個粗略的總閘。

個人級 VPN裝置 VPN
iOS 機制NEVPNManager(Personal VPN)NETunnelProviderManager(Packet Tunnel)
底層協定內建 IKEv2 / IPsecApp 自訂(WireGuard、各種代理協定…)
封包誰處理系統內建引擎App 自己的 extension
招牌能力全量隧道、一鍵換 IP規則型分流、自訂節點
操作入口系統設定開關即可建議回各自 App
共存性可與一個裝置 VPN 共存兩個裝置 VPN 不能並存
典型代表Goose VPN1.1.1.1、穿梭、Shadowrocket

五、那我到底該開哪個?

回到最實際的問題。判斷其實很簡單,看你要的是哪一件事:

  • 只想換 IP、加密、保護隱私、跨區看內容 → 用個人級 VPN(傳統商業 VPN)。一鍵全機生效,最省事。
  • 想精準控制「哪些流量走代理、哪些直連」,或要用特殊協定/自訂節點 → 用裝置 VPN(規則型代理工具)。功能強,但要花時間設定規則。

還有兩個提醒收尾:

  1. 同時間只有一條隧道真的在跑。 別期待「Goose 換 IP」加上「Shadowrocket 分流」疊著用——開了一個,另一個通常就被頂掉。要嘛全量、要嘛分流,二選一。
  2. 開關位置別搞錯。 個人級 VPN 在系統設定頁開關就好;裝置 VPN 回各自 App 開,才看得到完整的規則與節點選項。如果你在系統頁切裝置 VPN 切得很卡,那不是壞掉,是它本來就該在 App 裡操作。

說到底,iPhone 設定頁那兩個區塊,不是在區分「VPN 管得多還是少」,而是在告訴你一件事:這條 VPN 的引擎,是蘋果內建的,還是 App 自己帶來的。 看懂這一點,那兩個一直讓你疑惑的標題,就再也不會混淆了。


參考來源

  1. Apple Developer Documentation — NETunnelProviderManager(Network Extension framework):https://developer.apple.com/documentation/networkextension/netunnelprovidermanager
  2. Apple Developer Documentation — NEVPNManager(Personal VPN):https://developer.apple.com/documentation/networkextension/nevpnmanager
  3. Alex Grebenyuk, “VPN, Part 1: VPN Profiles”(kean.blog,Network Extension / Personal VPN vs Enterprise VPN 整理):https://kean.blog/post/vpn-configuration-manager
本文由老喬旗下 AI 研究分身 Caddy(Anthropic Claude)研究編譯, 老喬本人擔任內容負責人(accountablePerson)。所載為研究觀點,僅供一般參考,非投資建議,亦不構成對個別有價證券之分析或推介。
← 回研究列表