为什么「系统代理正常,一开 TUN 就全断」?
系统代理主要影响遵循 Windows「Internet 选项 / 系统代理」的应用;而 TUN(虚拟网卡)会在网络栈更底层接管流量,覆盖面更大,也更容易与其它 VPN、公司零信任客户端、虚拟网卡或路由表、DNS、防火墙规则发生冲突。很多用户反馈:Clash 里节点延迟正常、浏览器开系统代理能上外网,但切换到 TUN 或混合模式后,整机上不了网——这通常不是「节点坏了」,而是本机网络环境被多处改写。
排查时请牢记一个原则:先缩小范围,再动配置。先退回「仅系统代理」确认订阅与规则无问题,再逐项打开 TUN,并记录你最近是否同时开启了其它代理、游戏加速器或校园网客户端。下文步骤以 Windows 10 / 11 常见界面为准;若你使用 Clash Verge Rev 等图形客户端,入口名称可能略有差异,但底层逻辑一致。安装与权限基础可参考本站《Clash Verge Rev 安装与使用教程》。
第 1 步:关闭 TUN,确认「非 TUN」链路可用
在客户端中关闭 TUN / 虚拟网卡模式,保留系统代理与规则模式(rule),重新选节点并测试浏览器访问国内外站点。若此状态下一切正常,而仅开启 TUN 后异常,即可把问题锁定在「TUN 相关的路由、DNS、防火墙或堆栈冲突」,而不是机场订阅本身。
若关闭 TUN 后仍然无法上网,请先检查系统代理是否被重复设置:例如浏览器插件代理、其它助手软件、或 Windows 设置里手动填了冲突端口。可暂时将系统代理恢复为「关闭」或仅由 Clash 接管,再测一次。YAML 中 DNS、Fake-IP 与规则顺序也会影响「看似能连节点却打不开网页」的现象,需要与《Clash YAML 配置深度解析》中的 DNS 章节对照。
第 2 步:排查与其它 VPN / 虚拟网卡的路由冲突
TUN 会创建或绑定虚拟适配器,并可能修改默认路由。若你同时运行其它商业 VPN、游戏加速器、公司 AnyConnect / GlobalProtect等,它们往往也会写入默认路由或拆分隧道(split tunneling),两套栈叠在一起,容易出现默认网关指向错误接口或流量被黑洞的情况。
建议做法:暂时完全退出其它 VPN 与加速器(含托盘图标右键退出),在「设置 → 网络和 Internet → 高级网络设置 → 更多网络适配器选项」中确认是否只剩预期中的物理网卡与 Clash 相关虚拟网卡。然后以管理员身份重新启动 Clash 客户端再开 TUN。若冲突消失,再逐个恢复其它软件,找出不兼容组合。
在「网络连接」里若出现多个「TAP / Wintun / Meta」类适配器,可能是历史安装残留。卸载不用的旧客户端或手动禁用多余虚拟网卡,有时比反复改 YAML 更有效。
第 3 步:管理员权限、驱动与网络堆栈(含混合模式)
在 Windows 上,TUN 通常依赖 Wintun 等驱动;部分客户端还提供系统代理 + TUN 混合或防火墙集成(如 WFP)选项。若驱动未正确安装、被安全软件拦截,或服务未以足够权限启动,表现为虚拟网卡已出现但无流量或瞬间断网。
请确认:客户端主程序已允许通过Windows 防火墙(见第 5 步);安装或更新后若提示重启,请重启后再试。若设置中有「TUN 堆栈 / 混合模式 / 仅规则进程」等选项,可先尝试默认推荐项,再查阅你所用内核与客户端文档,避免同时启用多套互相覆盖的劫持方式。内核从 Clash Premium 迁到 mihomo 的用户,可对照《Clash Meta 升级完全指南》核对端口与模式是否遗留旧配置。
第 4 步:DNS、Fake-IP 与「能解析不能连」
TUN 模式下,DNS 请求往往也走虚拟网卡;若DNS 指向不可达地址、或 Fake-IP 与规则不匹配,会出现域名解析失败、国内站打不开的误伤。请在客户端日志中观察是否有大量 DNS 超时或 TLS 握手失败。
可尝试:在配置中指定可靠的 DNS(如国内直连解析国内域名、海外 DNS 走代理),并检查 fake-ip 与 nameserver-policy 是否与机场规则集一致。若仅特定网站异常,更像规则问题;若所有域名异常,优先怀疑 DNS 或 TUN 未正确接管 DNS 流量。更多细节仍以 YAML 篇与站内文档为准。
第 5 步:Windows 防火墙与第三方安全软件
即使节点「能 ping 通延迟」,防火墙仍可能拦截 Clash 进程或虚拟网卡出站,尤其在企业环境或装有国产管家类软件时。请到「Windows 安全中心 → 防火墙和网络保护 → 允许应用通过防火墙」,确保你的 Clash 主程序、_helper 进程(若有)对专用与公用网络均勾选;若曾手动拒绝,请改为允许或删除规则后重试。
第三方安全软件常带有「网络防护 / 网页防火墙」模块,会插入自己的过滤驱动。可暂时关闭网络防护模块或将 Clash 加入信任区做对比测试。若关闭后 TUN 立即恢复,再在软件内细化白名单,而不是长期关闭系统防护。
第 6 步:用路由表核对默认路由与跃点
在管理员命令提示符或 PowerShell中执行 route print 或 Get-NetRoute,查看 0.0.0.0/0 的默认路由是否指向 Clash TUN 对应接口,且跃点(metric)是否合理。若存在多条默认路由,Windows 会按跃点选择;其它软件写入的更优跃点可能导致流量未进 TUN或进错接口。
对比「仅开系统代理」与「开启 TUN」两次输出的差异,常能直接看到是哪条路由被改写。请勿随意删除系统关键路由;优先通过退出冲突软件、重启客户端、重启网络适配器恢复。若你使用固定公司网络策略,可能需要与网管确认是否禁止虚拟网卡或强制指定网关。
仍无法解决时:日志与回滚策略
请保存客户端内核日志与最近改动的配置副本,便于对比。可临时新建一份最小配置(仅订阅与基础规则)验证 TUN,排除自定义脚本或第三方规则集的影响。多数「一开 TUN 就断网」案例,在关掉其它 VPN、修正防火墙、理顺 DNS后即可缓解。
若你希望从本站统一获取客户端与文档入口,可先访问客户端下载页选择当前系统版本,并结合博客中其它分流与 YAML 教程做系统化设置。相比零散搜索,按「先模式、再路由、再 DNS、再防火墙」的顺序排查,通常能更快定位Clash TUN在 Windows 上与系统代理、路由冲突、防火墙叠加时的症结。