典型现象：代理开着，内网反而「看得到却用不了」

如果你已经能顺畅访问外网，但一访问家里或办公室里的NAS 管理页、网络打印机的 Web 配置、或是路由器后台（例如 192.168.1.1 或厂商提供的域名），就出现整页打不开、证书报错、或者 App 提示设备不在线，而关掉 Clash 或切到直连立刻恢复，那么很可能与Clash Fake-IP有关。注意这与「纯分流写错」不完全一样：很多用户规则里明明已有「国内直连」或「局域网直连」，问题仍会出现，因为故障发生在DNS 解析阶段——在域名还没变成你熟悉的 192.168.x.x 之前，内核已经先给了一个虚拟地址。

本文与站内泛论型的《Clash YAML 配置深度解析》互补：那一篇帮助你看懂端口、DNS 模式与规则全景；本文把镜头拉近到局域网不可达这一条线，手把手说明如何通过 fake-ip-filter 与私网网段（RFC1918）规则把异常流量拽回真实内网。

为什么 Fake-IP 会伤到 NAS、打印机和网关

开启 Fake-IP（在 Clash / mihomo 中常通过 dns.enhanced-mode: fake-ip 体现）时，程序会尽快给应用一个「立即可用」的解析结果，避免某些应用在 DNS 阶段长时间阻塞。代价是：对你本没有打算走代理、甚至根本不该被代理的内网主机名，如果也被提前塞了假地址，操作系统就会拿着错误的 IP去建连。浏览器地址栏里可能仍是 nas.local 或你在路由器里绑定的名称，底层却已经在和一段保留的假 IP 池对话，自然不会命中真实 NAS 或打印机。

另一方面，有些场景并不是「假名」而是真实私网地址已被规则正确识别，但若前序规则把发往 10.0.0.0/8、172.16.0.0/12、192.168.0.0/16 的流量送进了代理出口，同样表现为打印机离线、管理口不可达。RFC1918 定义的正是这三类专用地址空间：家用路由、公司内网、绝大多数 NAS 与打印机都落在这几个网段里。要让这些流量稳定直连，除了 DNS 侧不走假 IP，还需要在规则表里明确写下网段直连，并注意与 no-resolve 的配合，避免 DNS 循环或错误匹配。

第一步：在 DNS 段补齐 fake-ip-filter

fake-ip-filter 的作用是列出一批「不要用 Fake-IP 抢答」的名字或类别，让内核改用常规解析路径（如 redir-host 或你的上游 DNS），把真实内网地址还给应用。实现上不同发行版字段名可能略有差异（有的在高级设置里以列表维护），但思路一致：凡是只在内网有意义或必须拿到网段内真实 IP的名称，都应进这份清单。

常见需要纳入 filter 的包括：本地 mDNS 后缀（例如 *.local）、部分厂商默认的 *.lan、你在路由器 DHCP 里配置的单标签主机名，以及局域网里的 Windows 命名解析域名。若你的配置体系支持 rule-set / geosite，也可把「私有域名」集合挂进过滤器（是否内置、引用语法以当前内核文档为准），以减少漏项维护成本。

下面是一段示意配置，用于说明层级关系；务必按你实际订阅与内核版本增减条目，切勿照抄后不做验证。

dns:
  enable: true
  enhanced-mode: fake-ip
  # fake-ip-range varies by build; keep your existing value if already set
  fake-ip-range: 198.18.0.1/16
  fake-ip-filter:
    - "*.local"
    - "*.lan"
    - '+.localdomain'
    # Add your NAS hostname or router portal domains explicitly if needed:
    # - "nas.home.arpa"
    # - "router.asus.com"

当你使用图形客户端时，通常在「DNS」或「进阶」页能找到与上述条目等价的设置；改完后请重载配置或重启内核，再在终端或浏览器里对同一主机名执行解析，确认已不再落入假 IP 段（假 IP 段常见为 198.18.0.0/15 一类保留用途地址，具体以你配置为准）。

第二步：用 RFC1918 网段规则锁定「直连」

仅有 fake-ip-filter 有时还不够：应用可能直接用 IP 访问；或某些解析链路仍把私网地址送进了错误的策略组。为此应在 rules:（或等价分流表）前部加入针对私网网段的高优先级直连项。下面四条覆盖了 RFC1918 的三个块以及回环，是多数家庭与中小企业场景的基线：

rules:
  - IP-CIDR,127.0.0.0/8,DIRECT,no-resolve
  - IP-CIDR,10.0.0.0/8,DIRECT,no-resolve
  - IP-CIDR,172.16.0.0/12,DIRECT,no-resolve
  - IP-CIDR,192.168.0.0/16,DIRECT,no-resolve
  # Optional: link-local and multicast if your devices need them
  - IP-CIDR,169.254.0.0/16,DIRECT,no-resolve
  - IP-CIDR,224.0.0.0/4,DIRECT,no-resolve

其中 no-resolve 的含义是：遇到尚未解析的目标时不要轻易触发额外 DNS 查询来「猜」域名，从而降低规则与 DNS 相互纠缠的概率。若你的配置文件把这类规则放在很靠后的位置，前面又存在过宽的 MATCH 或大而全的策略组，私网流量仍可能被提前捞走；因此请结合你自己的订阅规则做顺序调整，必要时在连接日志里核对「命中的第一条规则」是不是你期待的那条 DIRECT。

若家里不是单一子网（例如主路由下还有一盏旁路由、或 VLAN 划分了多段），可能还会出现 192.168.x 以外的保留段访问需求，这就需要你在基线之外继续补充企业自定义网段；原则仍然相同：能直连的，就不要送进隧道或境外节点。

NAS、打印机与路由器：各多注意一点什么

NAS 厂商往往会提供「账户云」级别的外网域名，同时又在局域网里广播一个简短主机名。浏览器在内网环境应优先走本地解析到的私网地址；若你发现登录页能开、传文件却异常，除了 Fake-IP，还应检视 HTTPS 证书与「是否误把 NAS 外网域名也写进了全局代理」——那是另一条故事线，但第一步永远是看连接日志里目标 IP 是否仍是内网段。

打印机 常常依赖多播发现或固定端口协议；若你开启的是TUN 模式，全局接管更激进，可能需要额外把设备所在网段或相关广播保持直连。部分 App 走系统代理、部分走虚拟网卡，表现会分裂：同一台打印机在系统设置里离线，在厂商 App 里偶尔又能看见——这类问题除了本文的 DNS/网段基线，还要对照 TUN 文档做排除。

路由器管理页 若通过公网品牌域名访问（即便解析结果其实是私网），更需要把该域名加入 fake-ip-filter，否则会在证书与 IP 归属上出现诡异组合。直接访问 192.168.1.1 一类地址时，则以 IP-CIDR 规则是否靠前为主。

第三步：最小化验证，避免和别的变量缠在一起

建议按下列顺序自检，每一步只做一类改动：

（1）在关闭浏览器后清一次 DNS 缓存（各 OS 命令不同），再只开一个无痕窗口访问 NAS，看目标 IP 是否回归私网段。

（2）打开连接日志，搜索你家 NAS 或打印机对应域名的最终解析与命中规则；若仍是假 IP 段，回头检查 fake-ip-filter 是否缺项、或是否被更高阶设置覆盖。

（3）暂时移除与实验无关的规则或插件订阅，只保留「私网直连」与最基本的外网策略，确认问题不是某个大范围 GEOIP / MATCH 抢了先。

（4）若同时使用公司 VPN、其它网络扩展或「加密 DNS」，先断开对照，排除多重 DNS 叠加导致的偶发失效。

与「手机走电脑代理」类问题的分界

若你的诉求是手机通过电脑上已开启的 Clash 做 HTTP 代理，监听地址、系统防火墙、端口放行才是主战场，这与 Fake-IP/DNS 不在同一平面；可对照《Clash 局域网代理与 Windows 防火墙》逐步排查。Fake-IP 更常影响本机解析内网名与私网 IP 的规则走向；二者可以叠加，但不要混在同一套假设里一次改十个开关。

小结

一句话概括：Clash Fake-IP 为外网体验服务，但会误伤局域网里依赖真实解析的设备；用 fake-ip-filter 把内网名从假 IP 池里捞出来，再用覆盖 RFC1918 的 IP-CIDR … DIRECT 把流量钉在直连上，大多数 NAS、打印机与路由器后台都能恢复正常。相比堆砌更多节点，这类问题更像是「把基础设施摆正」：顺序与解析路径对了，后面的分流才有意义。若你希望从本站一站式获取客户端并在图形界面里逐项对照 DNS 与规则，可先打开客户端下载页，再结合博客里其它专题把环境系统化配置好。相比在论坛碎片里搜「打印机 代理 不行」，按本文三步做针对性修补，往往更快定位到 fake-ip-filter 缺失或私网规则被前置策略覆盖这两个高频根因。

→ 立即免费下载 Clash，开启流畅上网新体验