為什麼「只開 TUN」反而整機斷網？

許多使用者在 Windows 上已能成功更新訂閱、測試節點延遲，但一旦啟用 TUN（虛擬網卡）模式，或從系統代理切換到 TUN，瀏覽器與其他應用程式卻同時失去對外連線。這類現象通常不是單一「節點壞了」那麼單純，而是 TUN 在系統層接管了預設路由與部分流量路徑，若同時還有系統代理、其他 VPN、公司安全客戶端或過於嚴格的防火牆規則介入，就容易出現路由迴圈、預設閘道錯置或本機流量被誤擋，最後表現成「整機無法上網」。理解這一點，有助於把力氣花在正確的排查順序上，而不是反覆更換節點卻徒勞無功。

相較於只把瀏覽器指向本機 HTTP 連接埠的系統代理模式，TUN 會讓更多程式與協定（含部分 UDP 情境）被納入 Clash 的處理鏈，因此對權限、虛擬介面與路由表更敏感。若你剛接觸圖形用戶端，建議先對照Clash Verge Rev 安裝與模式說明確認服務模式、管理員權限與介面選項是否已依官方建議啟用；再回來依本文步驟檢查是否與其他網路軟體疊加衝突。

第一步：關閉重疊的系統代理，避免雙重接管

在 Windows 上，若「系統代理」仍指向本機舊連接埠，同時又開啟 TUN，部分環境會出現流量先被導向代理再被 TUN 重導的混亂狀態，表現為只有極少數程式能連線或全面逾時。請在 Clash 用戶端內確認：切換到 TUN 時是否一併關閉了「設定 Windows 系統代理」或同等選項（名稱依版本略有差異）。接著到 Windows「設定」→「網路和網際網路」→「Proxy」檢查手動 Proxy 是否仍開啟；若先前使用其他工具寫入過系統代理，也請清除或改回關閉。

實務上建議採「單一路徑」原則：測試 TUN 時只保留 TUN 接管，測試系統代理時只開系統代理，避免兩者並行直到你確認規則與 DNS 都穩定。完成後再開啟瀏覽器造訪一般網站與 HTTPS 頁面；若此時已恢復，代表先前確實存在代理與 TUN 的疊加問題，之後切換模式時養成隨手檢查系統 Proxy 的習慣即可。

第二步：暫停其他 VPN、虛擬網卡與公司安全客戶端

第二常見原因是另一套 VPN 或零信任客戶端同樣建立了虛擬介面並修改預設路由。Clash TUN 需要掛載自己的 TUN 介面並寫入對應路由；若與 WireGuard、OpenVPN、企業 AnyConnect 類產品同時運作，可能出現指標重複、metric 競爭或其中一方把預設路由指到不可達的閘道。請暫時結束其他 VPN 程式、登出公司遠端連線軟體，並在「網路連線」或「變更介面卡選項」中確認是否仍有多餘的「TAP」「Wintun」類介面處於異常狀態。

若你必須長期並存多種工具，建議分時段使用或查閱各工具文件是否支援「分流」「分割通道」與路由優先順序設定，避免兩邊同時宣告預設路由。對多數家庭使用者而言，先關閉其他 VPN 再啟動 Clash TUN，即可排除一大類斷網問題。

第三步：檢查路由表與預設閘道是否被改壞

當 TUN 啟動後，系統會新增指向虛擬介面的路由項目；若手動或第三方程式寫入過靜態路由，可能出現預設閘道空白、指向區網錯誤或迴圈。以系統管理員身分開啟命令提示字元或 PowerShell，執行 route print 與 ipconfig /all，觀察預設路由（0.0.0.0/0）是否指向預期的介面與閘道。若你發現預設路由在開啟 TUN 前後劇烈變化且無法解釋，可先關閉 TUN、重啟電腦讓路由還原，再單獨啟動 Clash 測試。

部分校園網或公司網會強制使用特定 DNS 或阻擋自訂閘道，這類環境下 TUN 可能與既有策略不相容。若僅在特定網路環境斷網，可嘗試換到手機熱點對照；熱點正常而公司網不正常，多半要與網管政策一併考量。一般家用寬頻則較少遇到此類限制，仍以清除衝突路由與重啟網路服務為主。

第四步：調整 TUN 堆疊（gVisor／system）並查看核心日誌

在 mihomo（Clash Meta）生態中，TUN 實作可能提供不同使用者空間／系統堆疊選項（介面名稱依用戶端而異，例如 gVisor、system 等）。當某一堆疊與你的 Windows 版本、防毒攔截或 WSL 網路共存時，可能出現能建立介面但無法轉送封包的情況。建議在進階設定中切換堆疊後重啟核心再測；若用戶端提供日誌等級調整，可暫時提高詳細程度，搜尋與 TUN、路由、DNS 相關的錯誤行，對照是否為權限拒絕或介面建立失敗。

若日誌顯示重複啟動或埠占用，請確認沒有舊的 Clash 程序殘留（工作管理員結束相關程序後再開），並避免同一台機器上以多個用戶端同時搶占同一 TUN 名稱或相同轉發埠。與設定檔語法相關的問題，可交叉比對YAML 配置深度解析中的 tun、dns 與 fake-ip 段落是否與目前核心版本相容。

第五步：放行 Windows 防火牆與第三方安全軟體

Windows Defender 防火牆在首次執行新程式時會詢問是否允許私人／公用網路存取；若先前誤選封鎖，Clash 核心或助手程序可能無法正確轉送流量，表現為「看似連上卻無資料」。請到「Windows 安全性」→「防火牆與網路保護」→「允許應用程式通過防火牆」，檢查你的 Clash 用戶端與相關可執行檔是否已勾選私人網路；變更後重新啟動程式再測。

第三方防毒或「網路強化」套件常會插入 HTTPS 掃描或自訂防火牆層，與 TUN 路徑衝突時會出現間歇性斷線。可暫時關閉該軟體的網路防護或將 Clash 加入信任清單後再試；若確認為防毒所致，長期作法是調整規則而非永久關閉安全軟體。若你使用企業端點管理，可能需要管理員協助放行特定二進位檔或服務。

第六步：驗證 DNS 與規則是否把流量導向黑洞

TUN 模式下 DNS 請求同樣會進入 Clash；若設定檔中 DNS 上游不可達、或 Fake-IP 與規則銜接錯誤，可能出現「連線已建立但無法解析網址」或全面無法連線。請在用戶端確認目前使用的設定檔，檢查 dns 區塊的伺服器是否可從你的網路環境存取，並留意是否誤將所有流量導向失效的策略組。對進階使用者，可暫時改為較保守的 DNS 設定或關閉過度實驗性的選項後重啟核心，再觀察是否恢復。

若僅特定網域失敗而整體網路正常，問題多半在規則或策略組而非 TUN 本身；若完全無法解析任何網域，則優先檢查 DNS 與本機是否仍有其他 DNS 用戶端（例如舊版加速器）占用 53 連接埠。更多概念可參考站內文件與術語說明，先把名詞與流程對齊，再回頭改設定會較省力。

仍無法恢復時：建議的還原與對照順序

若走完六步仍斷網，請依序執行：關閉 TUN 與系統代理 → 結束 Clash 程序 → 重新啟動「Windows 網路」或整機重開 → 確認未開任何 VPN 情況下可正常上網 → 再以系統管理員身分只啟動 Clash 並單獨開啟 TUN。此流程能區分「系統本身已壞」與「Clash 設定／環境衝突」。若基礎網路在未開 Clash 時就不穩，應先排除實體線路、路由器與網卡驅動問題。

下表整理常見徵兆與對應方向，方便你快速比對；實際介面名稱可能隨用戶端版本調整，以你使用的發行版為準。

結語：先收斂環境，再談進階分流

Clash TUN 在 Windows 上能帶來更接近「全機一致」的代理體驗，但前提是系統路由與安全軟體願意讓這條路走得通。多數「一開 TUN 就斷網」的案例，都能在關閉重疊代理、暫停其他 VPN、檢查路由與防火牆後找到癥結；其餘則常與堆疊選擇或 DNS／規則銜接有關。把排查順序固定下來，比隨機改節點更能節省時間。相比依賴零散論壇片段，使用持續維護的用戶端與核心、並從本站教學與文件建立完整脈絡，長期維護成本通常更低。

若你希望先取得與本機環境相符的安裝包與圖形用戶端，再依教學逐步啟用 TUN，建議從用戶端下載頁取得最新版本並搭配文內連結操作。→ 立即免費下載 Clash，開啟流暢上網新體驗