---
title: iPhone 設定裡的兩種 VPN：『裝置 VPN』和『個人級 VPN』到底差在哪？
url: https://research.joelin.cc/p/100064-ios-vpn-device-vs-personal
slug: ios-vpn-device-vs-personal
pubDate: 2026-06-27
updatedDate: 2026-06-27
author: caddy
schema_type: Article
description: iPhone 的 VPN 設定為什麼分成『裝置 VPN』和『個人級 VPN』兩區？兩者都能接管整機流量，差別不在範圍，而在底層機制。本文用『引擎是誰的』比喻拆解 iOS 兩套 VPN 架構，並深入技術差異。
tags: [VPN, iOS, 網路技術, 科技素養]
signals:
  search: yes
  ai-input: yes
  ai-train: yes
entity_ids:
  author: https://me.joelin.cc/#caddy
  accountablePerson: https://me.joelin.cc/#joe
  publisher: https://me.joelin.cc/#joelincc
---

# iPhone 設定裡的兩種 VPN：『裝置 VPN』和『個人級 VPN』到底差在哪？

<!--
staging note（不會 render 到 HTML）：
- 狀態與 id 在 brief.md 追蹤；本檔 frontmatter 即 Astro 發布 schema
- ✅ id 100064 已定案（100059–100063 被 STEP redirect 燒掉，跳號）；上線於 research repo src/content/posts/100064-ios-vpn-device-vs-personal.md
- Commit：draft: initial（首版）/ draft: revised - {說明} / draft: ready
-->

<!-- 文章開始 -->

如果你打開 iPhone 的「設定 → 一般 → VPN 與裝置管理 → VPN」，而且裝過不只一個 VPN App，你可能會看到一個讓人愣一下的畫面：同一頁，VPN 被分成了**兩個區塊**——上面叫「**裝置 VPN**」，列著像 1.1.1.1、Shadowrocket、穿梭這類 App；下面叫「**個人級 VPN**」，列著像 Goose VPN 這種傳統商業 VPN。

很多人第一反應是：「裝置 VPN 是不是管整台手機、個人級 VPN 只管某個 App？」——**這是個很合理但完全錯誤的猜測**。兩者其實都能接管整支手機的網路流量。它們的差別不在「管多少」，而在一個更底層、更少人講清楚的地方：**這條 VPN 的連線『引擎』是誰提供的。**

這篇文章把它拆成三層講清楚：先用一個比喻建立直覺，再深入 iOS 真正的技術架構差異，最後落到「那我到底該怎麼用」。

## 一、先破除誤解：不是「全部 vs 部分」

先講結論：**「裝置 VPN」和「個人級 VPN」都能把你整支手機的網路流量導進隧道。** 你開任何一個，理論上 Safari、LINE、背景 App 的連線都會走進去。所以它們不是「全機 vs 單一 App」的關係。

那 iOS 為什麼還要分成兩區？因為這兩類 VPN，是用**兩套完全不同的系統機制**掛上去的。蘋果在設定頁把它們分開，是依「**底層用哪套 API**」分類，而不是依「**接管多少流量**」分類。理解這一點，後面所有差異都會變得很順。

## 二、核心比喻：引擎是誰提供的

想像 VPN 是一台車，真正在跑的是引擎（負責加密、建立隧道、轉送封包的那段程式）。iOS 上有兩種「引擎來源」：

**個人級 VPN ＝用 iPhone 內建的引擎（傳統做法）**

蘋果很早就在 iOS 系統裡內建了一套 VPN 引擎，支援 IKEv2、IPsec 這些業界老牌協定。當一個 App（或一份描述檔）要建立這種 VPN，它只需要把「伺服器位址、帳號密碼、用哪個協定」這些**設定參數**交給系統，剩下的連線、加密工作全部由 **iPhone 內建的引擎**處理。

這就像你用 iPhone**內建的相機 App** 拍照——引擎（感光、對焦、運算）是蘋果做好的，你只是按下快門。所以這類叫「傳統／個人級」，指的是它**機制老、由系統內建**，不是說它功能比較弱或範圍比較小。截圖裡的 **Goose VPN** 走的就是這條路。

**裝置 VPN ＝App 自己帶引擎進來（新做法）**

後來蘋果開放了一套叫 **Network Extension** 的框架，允許 App **自己內建一顆 VPN 引擎**，以一個獨立的系統擴充行程（extension）跑在 iOS 裡。這時候連線、加密、封包怎麼處理，全部由 **App 自己寫的程式**決定。

這就像你裝了一個**第三方相機 App**，它自帶內建相機沒有的特殊功能（手動快門、RAW、濾鏡引擎）。因為引擎是 App 自己的，它能玩出系統內建引擎做不到的花樣——最關鍵的就是**分流**。截圖裡的 **1.1.1.1（Cloudflare WARP）、穿梭、Shadowrocket** 都走這條。

| | 引擎是誰的 | 年代 | 截圖中的例子 |
|---|---|---|---|
| **個人級 VPN** | iPhone 內建引擎 | 舊（傳統） | Goose VPN |
| **裝置 VPN** | App 自己帶的引擎 | 新 | 1.1.1.1、穿梭、Shadowrocket |

一句話：**兩者都能接管全部流量，差別只在「老的系統內建引擎」對上「新的 App 自帶引擎」。**

## 三、技術硬核：兩套 API 的真實差異

如果你想知道引擎差在哪，那就要進到 iOS 的 Network Extension 框架。蘋果其實提供了兩個不同的管理類別，這正是設定頁兩個區塊的技術根源：

- **個人級 VPN → `NEVPNManager`（Personal VPN）**
- **裝置 VPN → `NETunnelProviderManager`（Packet Tunnel Provider）**

有意思的是，`NETunnelProviderManager` 在程式上其實是 `NEVPNManager` 的**子類別**（subclass）[1][2]——也就是說「裝置 VPN」是在「個人級 VPN」這個基礎上，往外擴出來的進階版。但它們在四個維度上有實打實的差異：

### 1. 協定：內建 vs 自訂

`NEVPNManager`（個人級）只能用 iOS **內建支援的協定**——IPsec 與 IKEv2[3]。你不能用它跑 WireGuard、Shadowsocks、VMess 這些非內建協定，因為系統引擎只認得它自己會的那幾種。

`NETunnelProviderManager`（裝置）則是為了**自訂協定**而生的[1]。App 的 extension 自己實作整套隧道邏輯，所以要跑 WireGuard、要跑各種代理協定、要做封包改寫，都行。Shadowrocket、Clash 這類「規則型代理」工具之所以存在，正是靠這套機制。

### 2. 封包處理：填表 vs 親手收發

個人級 VPN 的 App 比較像「填一張表」：給系統伺服器與帳號，系統引擎自己去建隧道、把整機流量送過去。App 不直接碰到你的網路封包。

裝置 VPN 的 App 走的是 **Packet Tunnel Provider**：系統會把一個虛擬網卡（utun 介面）交給 App 的 extension，**你的每一個 IP 封包都會先流經這段 App 自己的程式碼**，由它決定怎麼加密、送去哪、或者乾脆放行直連。這就是「分流」能力的技術來源——因為 App 親手摸得到每個封包，它才能按規則判斷「這個網域走代理、那個直連」。

### 3. 權限（entitlement）：個人 vs 企業級

兩者要跟蘋果申請的權限不同。個人級 VPN 需要 **Personal VPN entitlement**；裝置 VPN 的 Packet Tunnel Provider 屬於 **Network Extension entitlement**，在分類上被歸為「企業／一般 VPN」（enterprise VPN）而非個人 VPN[1][3]。這也是為什麼設定頁會用「裝置」這個偏管理、偏系統層的字眼來標它。

### 4. 能不能共存：一個關鍵的非對稱限制

這是最容易踩到、卻最少人知道的細節：

- **一個「個人級 VPN」和一個「裝置 VPN」可以共存**（兩種類別不同，系統允許同時安裝設定）。
- **但兩個「裝置 VPN」不能同時並存運作**——兩個 Network Extension（企業級）VPN 無法共存[3]。

實務上，雖然設定可以同時躺在那裡，**真正在轉送你流量的隧道同一時間只會有一條**。所以你會遇到「開了 Shadowrocket，1.1.1.1 就自動斷線」這種現象——它們都是裝置 VPN，搶的是同一個出口。這也是為什麼截圖最上面那行系統提示會寫「**若要使用『穿梭』連線，請使用『穿梭』應用程式**」：這類裝置 VPN 的開關，最好回到各自的 App 裡操作，而不是用 VPN 頁最上面那顆系統總開關硬切。

## 四、所以這個架構差異，長出了什麼功能差？

把上面的技術差異翻成白話，就是兩類 VPN 的「人格」完全不同：

**個人級 VPN ＝一鍵全量隧道。** 它的設計目的是「把整機流量加密、丟到某個伺服器、換一個 IP」。簡單、穩定、整機生效，沒有複雜規則。這是傳統商業 VPN（換 IP、保護隱私、跨區）的典型形態。Goose VPN 屬於這類。**它的操作很單純：系統設定頁那顆開關打開就連、關掉就斷。**

**裝置 VPN ＝可程式化的分流代理。** 因為 App 親手摸每個封包，它能做「規則型路由」——哪些網域走代理、哪些直連、哪些直接擋掉。這讓它變成工程師和進階使用者愛用的工具（翻牆＋選擇性代理、廣告過濾、自訂節點切換）。1.1.1.1、穿梭、Shadowrocket 屬於這類。**它的開關建議回各自 App 操作**，因為規則、節點、模式都在 App 裡，系統頁那顆開關只是個粗略的總閘。

| | 個人級 VPN | 裝置 VPN |
|---|---|---|
| iOS 機制 | `NEVPNManager`（Personal VPN） | `NETunnelProviderManager`（Packet Tunnel） |
| 底層協定 | 內建 IKEv2 / IPsec | App 自訂（WireGuard、各種代理協定…） |
| 封包誰處理 | 系統內建引擎 | App 自己的 extension |
| 招牌能力 | 全量隧道、一鍵換 IP | 規則型**分流**、自訂節點 |
| 操作入口 | 系統設定開關即可 | 建議回各自 App |
| 共存性 | 可與一個裝置 VPN 共存 | 兩個裝置 VPN 不能並存 |
| 典型代表 | Goose VPN | 1.1.1.1、穿梭、Shadowrocket |

## 五、那我到底該開哪個？

回到最實際的問題。判斷其實很簡單，看你要的是哪一件事：

- **只想換 IP、加密、保護隱私、跨區看內容** → 用**個人級 VPN**（傳統商業 VPN）。一鍵全機生效，最省事。
- **想精準控制「哪些流量走代理、哪些直連」，或要用特殊協定／自訂節點** → 用**裝置 VPN**（規則型代理工具）。功能強，但要花時間設定規則。

還有兩個提醒收尾：

1. **同時間只有一條隧道真的在跑。** 別期待「Goose 換 IP」加上「Shadowrocket 分流」疊著用——開了一個，另一個通常就被頂掉。要嘛全量、要嘛分流，二選一。
2. **開關位置別搞錯。** 個人級 VPN 在系統設定頁開關就好；裝置 VPN 回各自 App 開，才看得到完整的規則與節點選項。如果你在系統頁切裝置 VPN 切得很卡，那不是壞掉，是它本來就該在 App 裡操作。

說到底，iPhone 設定頁那兩個區塊，不是在區分「VPN 管得多還是少」，而是在告訴你一件事：**這條 VPN 的引擎，是蘋果內建的，還是 App 自己帶來的。** 看懂這一點，那兩個一直讓你疑惑的標題，就再也不會混淆了。

---

### 參考來源

1. Apple Developer Documentation — *NETunnelProviderManager*（Network Extension framework）：https://developer.apple.com/documentation/networkextension/netunnelprovidermanager
2. Apple Developer Documentation — *NEVPNManager*（Personal VPN）：https://developer.apple.com/documentation/networkextension/nevpnmanager
3. Alex Grebenyuk, "VPN, Part 1: VPN Profiles"（kean.blog，Network Extension / Personal VPN vs Enterprise VPN 整理）：https://kean.blog/post/vpn-configuration-manager
