配置教程 精选 标签: Clash Verge Rev macOS TUN 系统扩展 Mihomo

Clash Verge Rev 在 macOS 上 TUN 模式怎么开?系统扩展与路由分步设置

很多人搜「Clash Verge Rev」「macOS」「TUN 模式」时是带着明确动作的:不想再靠浏览器认不认系统代理来赌运气,而是希望内核用路由把更多应用纳入同一套YAML分流。本篇只做一件事——把苹果侧系统扩展(网络扩展)权限这一层说清楚,再配合 GUI 勾选、配置文件里的 tun: 段和两项轻量自检,核对「到底有没有走到虚拟接口」。它不重复 Windows 上以防火墙与断网复位为主线的 TUN 排障;如果你在 Win 机器上卡住,可看站内 Windows TUN 与防火墙专文,两篇角度刻意错开。

约 17 分钟阅读
Clash 编辑部
文章目录

一、为什么在 Mac 上会想到开 TUN

macOS 上用 Clash Verge Rev,如果只开系统代理,浏览器和部分尊重系统设置的 App 往往能按规则走 Mihomo;但命令行构建工具、桌面游戏客户端、Electron 杂货铺、以及一些自带网络栈的软件,常会绕过 HTTP 代理去读系统路由表或直接拨号——这时就会觉得「订阅明明有节点却像没开 Clash」。TUN 模式的价值,是让内核在用户态创建一个三层隧道接口,通过路由把你希望纳入策略的流量送到 Mihomo,再由它对每一跳连接做规则和策略组决策。

这与「再买一款一键 VPN」直觉上相似,但你仍然掌握在同一份YAML里的 DOMAIN、GEOIP、PROCESS-NAME 等能力;区别在于 Apple 要求在加载这类扩展前明示授权,否则会表现为勾选亮着、tun 却起不来。系统扩展网络扩展相关提示,就是本文第二段要写清楚的分步。

若你连第一次安装都没完成,请先看 Apple Silicon 上的 Verge Rev 安装与订阅导入,把 Mihomo 跑起来再回过头来做 TUN,否则授权弹窗会与「内核未就绪」交织,很难归因。

二、开始前:与其它 VPN、网关策略的关系

在打开 TUN 之前,最好先回答三个问题:Mihomo 是否已在本机常驻监听是否还有整机级 VPN(含公司证书型、开源 WireGuard GUI、商业加速器等)抢着改默认路由是否在描述文件(MDM)管理的网络环境里?第一个问题不达标时,你看到的多半是 YAML 报错或 Mixed Port 没起来;第三个问题不达标时,即使用户桌面一切正常,路由也可能被 silently 覆盖——这不是 Verge Rev 独享的坑。

与「只允许一个隧道」的软件相比,Mac 上可以短时间并存多个网络扩展,但同时生效谁又拥有默认路由会非常微妙。初学阶段建议你只做一件事:开一个主客户端测试,关掉其它「全局」「加速」「净化」类产品,再在干净基线上重复本文验证;否则很容易出现「我刚允许了扩展,下一秒又被别的 App 把 utun 顶掉」的错觉。

小贴士:若你主要在终端里工作或只是要让 npm/git 走代理链,可先阅读 终端代理与环境变量专门页,有时不必一上来就全盘 TUN;但当遇到顽固直连时,再回到本文路线成本更低。

三、在 Clash Verge Rev 里打开 TUN

不同皮肤版本会把入口放在「内核设置」「硬件加速」「接管模式」等不同分组,你只需要抓住语义TUN/GVisor/System stack 选择是否创建虚拟接口是否自动写入默认路由(auto-route 一类语义)。第一次开启时勾选主开关并按界面提示重启内核或重启应用一次,让 Mihomo 能重新挂载配置而不是热改半截。

勾选后第一件事不是去测视频网站,而是看内核日志:若没有「已成功创建 tunnel」一类的中文或英文等价信息,而反复出现permission deniedstart TUN failed或与路由表写入相关的错误,十有八九还卡在权限系统扩展未批准,请先处理下一节,而不是去改远端订阅。

注意:有些发行版会用「增强模式」「虚拟网卡模式」来代替 TUN 一词,本质是同一簇能力;不要盲目同时打开多个互不认识的「全局劫持」——除非你知道它们在内核侧的优先级。

四、系统扩展与「允许」到底点哪里

这是 macOS 与桌面 Windows 体感差异最大的段落。第一次在 Clash Verge Rev 中触发 TUN 时,右上角或控制台可能弹出:需要批准系统扩展、或被本地化的安全提示引导你去「隐私与安全性」里滚动到底部按下允许键。若在匆忙中点了「以后再说」,表面上客户端仍可以让你勾选TUN 模式,但实际创建 utun 会失败——这就是很多人抱怨「亮了但不工作」的根因。

操作思想上可以死记一条路径:系统设置 → 隐私与安全性,找到与开发者、系统组件仍需允许 XXX有关的区块,按文案点一次放行;随后在通用 → 登录项与扩展一类页面里核对是否列出了你的客户端条目,并保持启用。新版本 macOS 的菜单翻译会有出入,请以你机器上的简体中文或英文界面为准——中文搜「安全性」更快,英文系统搜「Privacy」即可。

若曾错误拒绝且系统不再主动弹窗,往往要在完全退出客户端 → 删掉残留的网络过滤配置条目(若无把握请读官方重置说明)后重新触发,而不是反复卸载订阅。对已遇到「明明开了网络扩展开关仍像没写路由」的场景,可把本文与 macOS 系统代理与 Network Extension 排障 对照阅读:那边从 HTTP 写入失败切入,本篇从三层隧道路由切入,合在一起就是 Mac 侧的完整权限图景。

五、核对 YAML:tun 段与 GUI 是否一致

Clash Verge Rev 会在保存或应用时把补丁写回最终下发的配置。请在 GUI 自带的编辑器或「预览完整配置」里定位 tun: 块,逐项确认下列语义(字段名会因 Mihomo 版本略有演进,核心是含义):

  • enable 或等价布尔:true;若 GUI 勾选而此处 false,多半是合并顺序或 mixin 覆盖了 GUI 的设置。
  • stacksystem / gvisor / mixed之一,牵涉性能与兼容性;首次建议 system,遇到特定 App 兼容性再换。
  • auto-routetrue 表示由 Mihomo 参与维护将你期望的流量送进隧道;设为 false 时你需要更清楚自己在改哪些路由条目。
  • dns-hijack 或与 DNS redirect 等价数组:常与 fake-ip、tun DNS 劫持策略互动,避免因解析仍走 ISP 而让「看起来像直连」。

若在仓库里同时还有 profile mixin、远程 profile 或手写片段,要记住后来者覆盖前者这一 YAML 总则。你可以在 Verge 里临时去掉一层 mixin 做二分法,比在论坛里复述「我觉得我开了」有效得多。

tun:
  enable: true
  stack: system
  auto-route: true
  dns-hijack:
    - any:53

上面是一份极简示例骨架,实际订阅可能自带更多 tuning,请在理解含义后再删减;不要为了「洁癖」删掉提供商依赖的劫持或 fake-ip filter,除非你同时知道 DNS 与 rules 将如何补偿。

六、路由自检:怎么看有没有接管

GUI 勾选与YAML(tun)都无矛盾后,用操作系统命令做第二层证据。macOS 上你可以在终端输入 ifconfig,观察是否出现新的 utun 类接口或其伙伴命名(不同构建可能显示 Meta、Mihomo 相关描述,具体因版本而异)。随后在 netstat -nrroute -n get default 输出里留心默认路由更精细的路由前缀是否出现了预期变化——初学不必背全表,只要做到「关掉 TUN 前后对照一次」,差异往往一目了然。

第三层证据回到 Clash Verge Rev连接日志里是否开始出现你浏览器访问域名时的条目;若接口层已存在而连接面板仍对某些 App 静默,则说明问题已经下沉到「该进程是否根本不产生你期望的 TCP/UDP」「是否走了 QUIC 旁路」「是否被 KERNEL 绕过」这一类更细粒度话题——那就已经超出本篇「如何把 TUN 打开」的范畴,而应另开抓包议题。

检查层 你期望看到的信号
内核日志(Mihomo) tun / stack / route 字样无持续性红色报错
ifconfig 新增的 utun 或等价隧道接口条目
netstat / route 关掉 TUN 前后默认路由或可观察前缀有可解释差异
客户端连接表 浏览器试访时条目出现且有策略出站记录

七、DNS 与 Sniffer:避免「走了 TUN 仍解析跑偏」

许多读者把「能上 YouTube」当唯一标准,但真正决定规则命中的往往是首轮 DNS 与 Mihomo 的 sniffer 语义。若在 fake-ip 方案下没有把 53 端口的询问正确导向内核侧解析,你会看到路由已劫持但域名规则仍 miss的反直觉现象。tun.dns-hijack 正是为了把这类流量兜回可控路径;一旦你关闭劫持却保留 fake-ip,就要确保 dns 段与规则中的 nameserver-policy 足够覆盖热点域名套餐。

这不是第二篇 DNS 百科全书;若你已感觉「卡在解析层」,可把 fake-ip 与过滤器排障加入阅读队列,再结合本文的劫持数组调整,而不是盲改远端订阅提供的节点列表。

八、常见问题

开 TUN 一定要关闭 SIP 吗?

正常用户路径下不应该也不需要为 Clash Verge Rev 关掉 SIP。若你看到教程让你永久禁用整机完整性保护,多半是混淆了另一类内核调试场景,请先质疑来源。

Corporate MDM / 杀毒扫网络栈怎么办?

企业安全代理可能注入自己的过滤扩展;个人设备上常见于 Little Snitch 一类工具。处理方式是对照放行或临时停用做 A/B,而不是在社区里泛泛抱怨「Apple 不配合」——大多数冲突都能靠谁先写路由表解释清楚。

Apple Silicon 与 Intel Mac 有差异吗?

授权提示链路与菜单翻译一致,架构本身不是开关是否生效的决定因素;但 ARM 机器的能耗与常驻后台策略可能影响你观察到的「睡醒后_tunnel 失联」体感,可把客户端加入登录项并在节能设置里为它保留合理唤醒策略。

九、小结

Clash Verge RevmacOS 上的 TUN 模式正确打开,核心是四件事并排站队:GUI 勾选系统扩展与安全授权放行YAML 里的 tun 段与合并顺序、以及路由表加连接面板的双重自检。这与「只会改远端节点」截然不同——你在操作的是操作系统对网络扩展与路由的信任链。若 HTTP 链路仍怪怪的,可把 macOS 系统代理与网络扩展排查一并放在收藏夹。

市面上确实存在大量「装好就能滑动连接」的一体化加速器,但往往规则面黑箱、多端配置无法复用或更新节奏不透明;相对的,Clash 路线让你在同一份可读 YAML 上同时拿到分流、内核特性与路由级接管能力,再配合成熟 GUI(如本文的 Verge Rev)把门槛降到可日常使用。你若希望从零搭一套可自我解释的网络栈而不是长期依赖玄学按钮,很值得从本站 立即免费下载 Clash,开启流畅上网新体验 起步,再回到 macOS 上把 TUN 与扩展授权逐项落实。