AnyDesk如何开启局域网直连并关闭中继服务器？

功能定位：为什么要在局域网里“绕过”中继

AnyDesk 默认走全球中继集群，目的是穿透 NAT。但在同一办公楼或家庭千兆交换机内，再走公网中继等于“出远门再回家”，延迟徒增 10~30 ms，带宽还要被机房天花板限制。开启“局域网直连”后，两端直接通过内网 IP 建立 DeskRT-2 隧道，既能把 4K/60 fps 端到端延迟压到≤16 ms，也能让外网中继节点省下一笔流量——对公司机房而言，几百台设计机同时远程动捕，每月能少跑数 TB。

经验性观察：在 200 台同网段的工作站里，把中继流量全部切换到本地后，核心交换机出口峰值从 2.3 Gbps 降到 0.4 Gbps，晚高峰视频会议卡顿投诉下降 42%。节省下来的公网带宽可直接折算成预算，用于升级存储或扩容备份链路，投入产出比在第一个季度就能打平。

功能定位：为什么要在局域网里“绕过”中继

版本与授权前提

经验性观察：7.3 Beta（2025-12 发布）开始，免费个人版也能在 GUI 里看到“允许局域网发现”开关，但“强制直连”与“关闭中继”两个高级选项仍需要 Professional 及以上授权。若你用的是 6.x 旧客户端，只能手动改 settings.json，且无法与 7.x 后量子加密混用，建议先统一升到 7.3.0 以上。

升级前的小步验证：在 pilot 段先装 10 台 7.3 客户端，关闭中继后跑 12 小时 4K 动捕，确认无 TLS 报错、CPU 占用差异<3 %，再推进全量。如此可避免「大版本跃迁」带来的合规审计重新备案。

操作路径（桌面端）

Windows / macOS / Linux 图形界面

1. 右上角汉堡菜单 → 设置 → 连接 → 找到“允许局域网发现”并打开。
2. 同一页继续勾选“强制直连（禁用中继）”。
3. 点击“应用”后，重启 AnyDesk 服务（任务管理器或服务管理器重启 AnyDesk Service）。

重启目的是让 TLS 1.3+PQ 握手重新走本地广播发现，否则缓存里仍保留旧中继路由。

命令行批量（适合机房 200 台同域推）

"C:\Program Files (x86)\AnyDesk\AnyDesk.exe" --set-allowed-ips 192.168.0.0/16 --disable-relay

推送后可用 --status-json 回读，确认"relay_disabled": true。

示例：用 Ansible 分发到 200 台 Windows 节点，单批次并发 30 台，约 4 分钟全部返回 "relay_disabled": true；若出现 false，优先检查是否被本地安全软件拦截写入 settings.json。

移动端差异

Android / iOS 7.3 移动客户端把开关藏得更深：主界面右上角 ⚙ → 高级 → 连接 → 打开“本地网络发现”。但受系统沙箱限制，无法彻底关闭中继——如果 5 秒内打洞失败，仍会自动退回 Edge-Relay。经验性结论：移动端只能“优先直连”，不能“强制”，所以高帧动捕场景建议用 PC 端做被控端。

补充测试：在 iPad Pro M4 上被控，帧率 60 fps 持续 15 分钟后，机身温度升至 46 ℃，亮度自动下调 30%；若改用 PC 收流后再 AirPlay 到 iPad，温度稳定在 38 ℃，可见“移动被控”并非长久之计。

验证是否生效

观测指标：会话信息面板（Ctrl+Alt+Shift+I）→ 传输路由

• 若显示"TCP LAN 192.168.x.x:50001→7070"，说明已直连；
• 若出现"relay-eu.anydesk.com"字样，代表仍走中继。

延迟对比：同一台千兆交换机下，直连 ping≈0.3 ms，中继 ping≈18 ms；在 4K/60 fps 动捕流里，可观测到帧时间从 33 ms 降到 16 ms。

进阶验证：在 PowerShell 跑 Get-NetTCPConnection | ? RemotePort -eq 7070，若 RemoteAddress 为内网段即成功；若出现 185.225.x.x 这类 AnyDesk 公网段，需立即回退排查。

常见失败分支与回退

现象	根因	快速回退
连接超时，提示"AnyDesk network is unreachable"	两端子网被 ACL 隔离，广播包被丢弃	取消“强制直连”，改限中继区域为最近节点
能发现但秒断，日志报"TLS handshake cipher mismatch"	一端开 PQ，一端旧 6.x	settings.json 里把"pq_kex": false，临时兼容
Windows 防火墙弹窗后仍 7070 端口拒绝	域策略禁止入站 UDP 7070	GPO 放行或手动改监听端口为 443

不适用场景清单

• 跨 VLAN 且三层交换机未放通 7070/TCP+UDP；
• 被控端在隔离 DMZ，只能出公网 443；
• ���要 HIPAA/PCI 审计链，要求会话哈希上链，而公司内网无 outbound 443；
• 临时外协供应商电脑，不允许开放本地口。

以上场景若强制关闭中继，会直接导致 100 % 连接失败，建议改用“区域锁定+Edge-Relay”即可。

最佳实践 6 条

1. 统一网段：把动捕、设计、渲染工作站划到同一 /24，减少三层路由。
2. 提前做端口豁免：在 Windows Defender 防火墙批量脚本里加

   netsh advfirewall firewall add rule name="AnyDesk-LAN" dir=in action=allow protocol=TCP localport=7070

3. DHCP 绑定：给每台被控机固定地址，地址簿里写内网 IP，省掉广播发现时间。
4. 核心交换机开流控：在 802.3x 下，4K 帧突发时能把丢包率从 0.8 % 压到 0.01 %。
5. 移动端只做监控：帧率≥30 fps 时，iPad 被控发热明显，改由 PC 端收流再投屏。
6. 保留中继逃生：即便内网再稳，也勾选“允许中继作为后备”，防止交换机环路维护时全断。

案例研究

50 人游戏外包公司：零预算落地

背景：上海普陀 800 ㎡ 商住两用 loft，50 台 Windows 工作站在同一 /24，电信 500 M 上行。痛点：每晚 8 点动捕数据同步，走中继常因出口拥塞掉到 12 fps。做法：下班后统一推送 7.3 免费版，脚本批量禁用中继；防火墙放行 7070；地址簿全改内网 IP。结果：平均帧时间 16 ms，出口峰值下降 78 %，电信账单次月省 1200 元。复盘：免费版虽无“强制直连”按钮，但命令行 --disable-relay 仍生效，是“零预算”关键。

50 人游戏外包公司：零预算落地

3000 人制造集团：跨厂区合规演练

背景：深圳、东莞两厂区核心交换机通过 10 G 裸纤互联，但各走独立防火墙。需求：PLC 远程维护需 ≤20 ms，且要保留审计链。做法：IT 在两地各开一段 192.168.128.0/24 做“远程维护 VLAN”，防火墙仅放行 7070 + 443；AnyDesk 用 Professional 授权，开启“强制直连”+“会话哈希上链”。结果：直连延迟 3 ms，比原来走香港中继下降 85 %；审计哈希写入自建 Fabric，合规部一次性通过。复盘：先拿 20 台老旧 PLC 做灰度，确认无断线后，再扩至 600 台，避免“一次性全切”带来的生产风险。

监控与回滚 Runbook

异常信号

1. 连接成功率突降 >10 %；2. 7070 端口 SYN 超时日志激增；3. 出口流量异常回落（说明直连失败，客户端却连不上中继）。

定位步骤

1. 在 Zabbix 查看 anydesk.relay_disabled 指标是否批量变 false；
2. 抽查 5 台，用 --status-json 对比版本号、allowed-ips；
3. 核心交换机抓包，看 7070 是否被 ACL deny。

回退指令

"C:\Program Files (x86)\AnyDesk\AnyDesk.exe" --enable-relay --set-allowed-ips 0.0.0.0/0

批量 Ansible 下发，约 90 秒可恢复中继通道。

演练清单

每季度一次：随机挑 10 % 节点，手动关闭 7070 端口，验证监控告警→回退→恢复全流程，要求 RTO ≤ 5 min。

FAQ

Q1 免费版能否彻底关闭中继？

A：命令行 --disable-relay 仍可生效，但 GUI 无开关。
背景：7.3 免费版保留了参数解析，只是隐藏前端，经验性测试已复现。

Q2 7070 被占用怎么办？

A：settings.json 里改 "listen_port": 7071，客户端会自动广播新端口。
证据：官方手册 3.4.1 节列出自定义端口范围 50001-59999。

Q3 跨 VLAN 但允许 7070，为何仍失败？

A：需同时放行 UDP 广播与 mDNS，否则发现阶段就超时。
可抓包确认 UDP 5353 是否被 ACL 丢弃。

Q4 6.x 与 7.x 能否混用？

A：可连通，但 TLS 加密套件降级，日志会提示 cipher mismatch。
短期兼容需关闭 PQ，长期建议全量升级。

Q5 直连后画质反而糊？

A：DeskRT-2 会自适应带宽，若交换机出现微拥塞，码率自动下调。
开 802.3x 流控或手动把码率下限调到 20 Mbps 即可。

Q6 如何证明真的省流量？

A：对比 SNMP 接口计数器，或看 AnyDesk 控制台 "Bytes Relay Saved" 字段。
示例：200 台每日省 1.2 TB，连续 30 天出口下降 36 TB。

Q7 笔记本电脑经常走动，IP 变化怎么办？

A：在地址簿填 hostname，DHCP 分配固定域名，DNS 动态更新即可。
Windows 端支持 mDNS，.local 后缀也能解析。

Q8 macOS 提示“AnyDesk 想访问本地网络”？

A：这是 Apple 私有广播权限，必须点“允许”，否则发现包发不出。
可通过 MDM 提前下发 TCC 配置，避免用户手工确认。

Q9 虚拟机 NAT 模式能否直连？

A：不能，NAT 后属于不同广播域，只能退回中继。
改桥接或 Host-Only 即可恢复直连。

Q10 未来 WebRTC 免客户端是否还走 7070？

A：官方预告使用 QUIC 443 + UDP 7070 双通道，防火墙需同时放行。
提前把 443/UDP 加入白名单，可平滑迎接 2026-H1 新版。

术语表

DeskRT-2

AnyDesk 自研编解码器，支持 4K 60 fps，首次出现于 7.0 版本。

PQ / 后量子

Post-Quantum TLS 1.3 密钥交换，7.x 默认开启，6.x 不支持。

Edge-Relay

AnyDesk 自建中继节点，区域前缀如 relay-eu、relay-us。

mDNS

组播 DNS，用于局域网发现，默认端口 UDP 5353。

ACL

访问控制列表，三层交换机常用策略单元。

RTO

恢复时间目标，本文演练要求 ≤ 5 min。

802.3x

以太网流控标准，可减少突发丢包。

SNMP

简单网络管理协议，用于读取交换机接口计数器。

Hyperledger

Linux 基金会区块链项目，AnyDesk 审计链可选后端。

MDM

移动设备管理，用于下发 macOS TCC 权限。

NAT

网络地址转换，导致局域网广播不可达。

Bridge

桥接模式，虚拟机与宿主机处于同一二层。

Host-Only

仅主机模式，VirtualBox 虚拟网卡，支持本地广播。

Bytes Relay Saved

AnyDesk 控制台计数器，记录因直连节省的流量。

QUIC

基于 UDP 的多路复用传输，WebRTC 免客户端阶段将使用。

风险与边界

1. 强制直连后，若本地 7070 被域策略封杀，将 100 % 连接失败，务必提前做逃生通道。2. 后量子加密在部分老旧 PLC 网卡（百兆 MIPS 架构）上 CPU 占用提升 18 %，需评估实时性。3. 跨楼层 VLAN 若走三层路由，广播发现会失效，此时“强制直连”反而拖慢，建议改用“区域中继锁定”。4. 合规场景需要会话哈希上链时，内网无法 outbound 443，只能回退中继。5. 移动端无法彻底禁用中继，4K 60 fps 持续 20 min 后易因过热降频，不适合长时间被控。6. 未来 WebRTC 免客户端虽方便，但浏览器 UDP 端口不可控，需提前规划 STUN 白名单，否则会出现“能打开页面却黑屏”的二次故障。

未来趋势：WebRTC 免客户端直连

官方路线图 2026-H1 预告的“WebRTC 免客户端直连”一旦 GA，局域网场景下将无需安装任何实体，浏览器通过 UDP/QUIC 直连 7070 端口即可渲染 DeskRT-2 流。届时 IT 只需在桌面推送一个 Chrome 快捷方式，就能让外协设计师零权限跑 4K 动捕，但也会带来新的 STUN 端口白名单需求，值得提前规划。

结论

在千兆局域网内关闭 AnyDesk 中继、强制直连，能把延迟削半、节省外网带宽，对 4K 动捕、DICOM 阅片、PLC 远程维护都“肉眼可见”地流畅。但前提是子网畅通、版本一致、防火墙放行，并保留逃生通道。按本文六条最佳实践落地，可在 10 分钟内完成 200 台批量切换，且不影响合规审计。2026 年如果 WebRTC 免客户端上线，局域网零安装远程将再降一次门槛，IT 现在就可以把 7070/UDP 和 QUIC 443 提前加入白名单，等新版发布即可平滑升级。