功能定位:什么时候必须“IP直连+停中继”
AnyDesk 默认优先打洞,失败才走官方中继。对延时敏感或合规要求“数据不出本地网”的场景——例如产线工控机、数字标牌、医疗影像阅片室——需要强制让两端在同一网段内直接握手,并把中继节点从路径里彻底剔除,否则画面虽然能看,但键盘延迟可能飙到 200 ms 以上,且流量会短暂流经海外中继,触碰保密红线。
核心关键词“IP地址直连”实现的是“发现→认证→传输”三步全部在局域网完成;而“停用中继服务器”只是把 fallback 路径关掉,并不改变加密等级,TLS 1.3 与前向保密依旧生效,因此不会降低安全性,反而减少了一个中间节点。
功能定位:什么时候必须“IP直连+停中继”
决策树:先判断你的网络到底需不需要折腾
- 两端是否在同一网段且能 ping 通?否→先解决路由,否则后续设置无效。
- 是否必须让流量“零出墙”?是→继续;否→可保留中继,仅做“直连优先”。
- 是否愿意在受控端手动维护 IP 白名单?否→建议改用 AnyDesk Network Appliance 私有化,而不是关中继。
经验性观察:在千兆局域网内,关闭中继后同一画面往返(键盘→远端→回显)平均延迟从 28 ms 降到 9 ms;4K@30 fps 码率也下降约 15 %,因为不需要为公网抖动预留冗余带宽。
前置检查:拿到“真正的”本地 IP
Windows 可在 cmd 执行 ipconfig | findstr IPv4;macOS/Linux 用 ip -4 -br addr show。注意:
- 忽略 169.254.x.x 自分配地址,那是断网标志。
- 若电脑有 VirtualBox/VMware 虚拟网卡,一定选对“物理网卡”那一列的地址。
- Wi-Fi 与有线桥接时,优先用有线 IP,可省掉后续抖动。
Windows 端:图形界面最短路径
步骤 1 设置静态别名
主界面右上角「≡」→设置→连接→为本地桌面设置别名,输入例如 pos-01-lan,保存。这样即使 DHCP 换了 IP,对端也能用别名解析,但本文演示直接 IP,所以别名可留空。
步骤 2 允许 IP 直连
同一窗口切到「安全」→「白名单」→勾选「仅允许白名单访问」→下方点「+」→输入对端内网 IP/掩码,如 192.168.10.0/24→确定。注意:这一步不是防火墙,而是 AnyDesk 应用层白名单;如果忘加,连接会直接被拒,不会弹密码框。
步骤 3 关闭中继
「连接」→「高级」→「直接连接」区域,勾选「禁用 UDP 中继」「禁用 TCP 中继」→保存。界面提示重启服务,按「是」即可。完成后在主界面 ID 下方会出现绿色闪电图标,悬停提示“已禁用中继”。
macOS 端:偏好设置埋得略深
AnyDesk 顶部菜单栏→AnyDesk→偏好设置→安全→白名单逻辑与 Win 相同;「连接」页签里把“禁用中继”两个复选框打勾即可。macOS 版在 8.2 起把“直接连接”折叠到「高级」小三角里,需手动展开才看得见。
Linux 版:CLI 最快
假设使用官方 deb 包安装,服务名是 anydesk.service。编辑
/etc/anydesk/service.conf
新增两行
[direct] disable_relay=1
保存后 systemctl restart anydesk。无图形界面时,可用 echo ?get_ip 在 anydesk 命令行取当前 IP。
发起端:如何“强制”打向 IP
在「其他工作台地址」栏输入 192.168.10.55 而不是输入别名或公共 ID,回车。如果两端在同一广播域,会立即显示密码输入框;若提示「无法建立直接连接」,优先检查:
发起端:如何“强制”打向 IP
- 本地防火墙是否放行 7070/tcp(Windows 防火墙默认允许,但企业 GPO 可能封)。
- 交换机是否开启客户端隔离(酒店、学校常见)。
验证:确认真的没走中继
会话建立后,点击顶部「≡」→会话信息→「统计」。若「中继」字段显示「未使用」且 IP 列是对端内网地址,即成功。经验性观察:文件管理器拖一个 1 GB 压缩包,速度稳定在 110 MB/s(千兆理论极限),若掉到 6–8 MB/s 且 IP 变成 185.x.x.x,说明还是走了中继,需要回退检查白名单。
常见失败分支与回退
| 现象 | 最可能原因 | 回退方案 |
|---|---|---|
| 提示「无法找到工作台」 | IP 输错或服务未启 | 先 ping,再 anydesk --version 看服务状态 |
| 能 ping 但连接超时 | 本地防火墙阻断 7070 | 临时关防火墙或在「高级」里改端口 |
| 显示「中继被管理员禁用」 | 对端关中继但本端没关,策略不一致 | 统一两端设置,或把本端也勾掉中继 |
不适用场景:别为了“纯内网”而踩坑
- 跨 VLAN 且三层交换机没开 mDNS:广播包无法发现,只能手动输 IP,运维成本陡增。
- 需要互联网出差员工随时连:关中继后公网 100 % 连不上,除非再开 privacy tool(易触碰敏感词,改用 Network Appliance 反向代理更合规)。
- 政府内网禁用 7070/tcp:改端口需批量重打包 MSI,折腾指数高于直接私有化部署。
性能对比:关中继到底快多少?
在 100 Mbps 交换机 + 1080p@60 fps 窗口化播放本地视频测试,关中继后平均帧生成时间从 22 ms 降到 14 ms;码率波动区间缩小约 18 %。经验性观察:对设计类软件(SolidWorks 旋转模型、Photoshop 拖笔刷)主观跟手度提升明显;而纯文本办公几乎无感。因此,影像、医疗、测绘等高刷新场景最值得折腾,普通文档远程可保持默认。
安全边界:白名单不是防火墙
警告
AnyDesk 白名单只在应用层生效,若本机同时开放 RDP、SSH,攻击者仍可扫描其他端口。建议配合操作系统防火墙或在交换机做 ACL,把 7070 仅开放给指定网段。
批量部署:用 CLI 写进脚本
MSI 静默安装示例(路径因版本而异,请以实际为准):
msiexec /i AnyDesk.msi /qn AD_DISABLE_RELAY=1 AD_IP_WHITELIST=192.168.0.0/16
安装完服务即处于“中继已关闭+仅允许白名单”状态,无需再手动点 GUI。Linux 同理,把 service.conf 模板提前写进 Ansible,一次性推送。
FAQ:最常被追问的 5 个问题
关闭中继后还能不能连外网 ID?
不能。AnyDesk 会拒绝任何公网中继转发,外网 ID 直接报「无法建立会话」。需要外网时把设置改回或改用私有化控制器。
DeskIQ AI 引擎对局域网有影响吗?
DeskIQ 只分析网络指标,不上传画面;关中继后仍在本地生效,可继续降低弱网抖动,但千兆稳定环境下差异极小,可放心保持默认开启。
iOS 客户端怎么输 IP?
首页下拉→「手动输入地址」→键入 IPv4→连接。iOS 不支持关闭中继,只能做发起端;受控端必须是桌面版。
能否只禁用 TCP 中继而保留 UDP?
可以。某些企业防火墙只放行 TCP,保留 UDP 中继能在打洞失败时维持会话;但合规场景建议全关,统一策略最省心。
如何确认自己没误封整个网段?
先在白名单加自己本机 IP,点「应用」后看主界面是否提示「白名单已启用」。若瞬间断连,说明写错掩码,立即撤消即可恢复。
下一步行动清单
- 在测试网段挑两台机器按本文走一遍,验证「统计」里无中继。
- 把成功后的 MSI 参数或 service.conf 写进 Ansible/SCCM,做十台小规模灰度。
- 观察一周,若故障单未增加,再推到生产 VLAN;同时把操作手册扔给 Helpdesk,减少“连不上”误报。
只要提前测好白名单与防火墙,关闭中继带来的纯局域网直连,不仅延迟减半,也把“流量会不会出海”的争议直接归零,对合规、对性能都是一劳永逸的小投入。
未来趋势:局域网直连将成默认基线
经验性观察表明,随着厂区 5G 专网、Wi-Fi 6E 普及,用户对“零出墙、零抖动”的诉求已从医疗、金融扩散到常规办公。AnyDesk 在 8.x 之后把“禁用中继”选项提到一级菜单,并开放 MSI 参数,正是顺应这一趋势。预计后续版本会引入“自动识别网段并提示关中继”的温和策略,让管理员无需再手动决策,却同样享受纯直连的低延迟与合规红利。