Clash 订阅链接怎么导入？

在 Clash Verge Rev 中，点击「订阅」→「新建」，粘贴机场提供的订阅 URL，点击「导入」即可自动下载节点配置。Clash for Android 操作类似，在「配置」页面点击「新配置」→「URL」导入。

TUN 模式和系统代理有什么区别？

系统代理（HTTP/SOCKS5）只能代理支持代理设置的应用（如浏览器）。TUN 模式通过创建虚拟网卡在网络层拦截所有流量，可以代理任意应用（包括命令行工具、游戏等），实现真正的全局代理。

为什么开启代理后 DNS 还会泄漏？

系统代理模式下，DNS 查询默认走本地 ISP DNS，导致你访问的域名被记录。解决方法：在 Clash 配置中启用 FakeIP 或 DoH/DoT 远程 DNS，并开启 TUN 模式确保 DNS 流量也经过 Clash 处理。

机场订阅节点无法连接怎么办？

1. 更新订阅（拉取最新节点列表）；2. 切换节点尝试其他线路；3. 检查代理模式是否为「规则」或「全局」；4. 确认防火墙未拦截 Clash 进程；5. 尝试开启 TUN 模式绕过系统限制。

订阅链接是 V2Ray 或 SSR 格式，Clash 能用吗？

Clash 使用自己的 YAML 配置格式。V2Ray/SSR 格式的订阅需要通过订阅转换工具（如 sub-web 或 subconverter）转换为 Clash 格式后再导入。大多数机场会同时提供 Clash 格式订阅链接，直接复制使用即可。

iOS 上有免费的 Clash 客户端吗？

iOS 平台没有免费的 Clash 兼容客户端。主流选择是 Shadowrocket（$2.99）和 Stash（$3.99），均需海外 Apple ID 购买。Stash 功能更强大，支持完整 Clash 配置；Shadowrocket 更轻量易用。

Clash 配置教程 2026 · 订阅导入 / TUN 模式 / 规则分流 / DNS 防泄漏完全指南

0

准备工作

开始使用 Clash 前，你需要完成两件事：下载合适的客户端，以及获取一个可用的机场订阅链接。

Step 1 · 下载客户端

根据系统选择对应客户端

Windows → Clash Verge Rev
macOS → Clash Verge Rev
Android → Clash for Android
iOS → Shadowrocket / Stash

前往下载页

Step 2 · 获取订阅链接

从机场获取 Clash 格式订阅

登录机场控制台，找到「订阅」或「我的节点」页面
选择 Clash / YAML 格式的订阅链接
复制链接备用，不要分享给他人

订阅链接包含你的账号信息，请妥善保管，避免泄露。

1

Clash Verge Rev

Windows macOS

基于 Mihomo（Meta）内核，是原版 CFW 停更后最受推荐的 Windows / macOS 客户端，功能完整且持续活跃维护。

1.1 安装客户端

1

前往下载页面获取安装包

前往下载页面并选择适合您系统的最新版本。

Windows

ClashVerge_x64.msi
# 通用安装包

macOS

ClashVerge_aarch64.dmg
# Apple Silicon (M1/M2/M3)

2

Windows：运行 .msi 安装包

双击安装包，按提示完成安装。若 SmartScreen 弹出警告，点击「更多信息」→「仍要运行」。

3

macOS：拖入 Applications 文件夹

挂载 .dmg 后将应用拖入 Applications。首次打开若提示「无法打开」，在「系统设置 → 隐私与安全性」中点击「仍然打开」。

1.2 导入订阅链接

1

打开 Clash Verge Rev，点击左侧边栏的「订阅」（Profiles）标签页。

2

点击右上角「新建」按钮，选择「远程」类型。

3

在「订阅 URL」输入框中粘贴从机场复制的 Clash 格式订阅链接，点击「导入」。

4

导入成功后，点击该配置卡片右上角的「选择」按钮将其激活，配置左侧会出现蓝色选中标记。

5

切换到「代理」（Proxies）页面，在节点列表中选择一个可用节点，点击右上角的「测速」图标找到延迟最低的节点。

建议开启「自动更新」功能，设置每 24 小时自动拉取最新订阅，确保节点列表始终最新。

1.3 代理模式说明

Clash Verge Rev 提供三种代理模式，点击主界面顶部的模式选择器切换。

规则模式推荐

按配置文件中的规则智能判断每个请求是否走代理，国内网站直连、被封锁的网站走代理，体验最优。

全局模式

所有流量均走代理，适合需要完全代理所有请求的场景，但会增加国内网站延迟，流量消耗较大。

直连模式

所有流量直连，不经过代理。可用于临时关闭代理但保持 Clash 运行（如需访问内网资源时）。

开启系统代理后，在主界面确认「系统代理」开关处于开启状态，此时浏览器等支持系统代理的应用即可使用代理。

1.4 开启 TUN 模式（全局代理）

TUN 模式通过虚拟网卡在网络层拦截所有流量，可代理命令行工具、游戏、无代理感知的应用，实现真正的全流量代理。

管理员权限要求：开启 TUN 模式需要管理员/root 权限。Windows 用户请以管理员身份运行 Clash Verge Rev。

1

点击左侧「设置」（Settings），找到「TUN 模式」选项。

2

将 TUN 模式开关拨到「开启」，首次开启会自动安装虚拟网卡驱动（需网络连接）。

3

确认「DNS 覆写」也处于开启状态，这是 TUN 模式防 DNS 泄漏的关键步骤。

4

打开浏览器或终端，访问 ipleak.net 验证 IP 已变为代理节点的 IP。

yaml · tun config

# TUN 模式核心配置（config.yaml）
tun:
  enable: true
  stack: mixed       # mixed 兼容性最佳
  auto-route: true
  auto-detect-interface: true
  dns-hijack:
    - any:53        # 劫持所有 DNS 查询

dns:
  enable: true
  enhanced-mode: fake-ip
  fake-ip-range: 198.18.0.1/16
  nameserver:
    - https://dns.google/dns-query  # Google DoH
    - https://1.1.1.1/dns-query     # Cloudflare DoH

2

Clash for Android

Android

Android 平台最成熟的图形化客户端（简称 CFA），支持完整的 Clash 配置、TUN 模式以及分应用代理，稳定性极佳。

1

下载 APK

前往下载页面或直接下载 Clash for Android 本地包。

2

安装 APK

手机打开 APK 文件，如提示「未知来源」需在设置中允许安装，按提示操作即可。

3

导入订阅

打开应用，点击「配置」→「新配置」→「URL」，粘贴订阅链接并保存。

4

激活并启动

点击选定刚导入的配置，回到主界面点击「已停止」使其变为「运行中」，并在「代理」页选点节点。

Clash for Android 现已归档，但仍是目前最稳定、兼容性最好的 Android 客户端。如需支持新协议，可尝试 ClashMeta for Android。

3

iOS 客户端

iPhone / iPad

iOS 平台没有免费的 Clash 兼容客户端，主流选择为以下两款付费应用，均需使用海外 Apple ID在对应区域 App Store 购买。

Shadowrocket

$2.99 · 美区 App Store

支持 Clash YAML 订阅直接导入
轻量易用，适合入门用户
支持规则分流、全局模式

导入方法：首页点「+」→「Subscribe」→ 粘贴订阅 URL → 完成

Stash

$3.99 · 美区 App Store 推荐

完整支持 Clash Meta 配置语法
内置流量统计与连接监控
支持规则集、脚本、覆写

导入方法：「配置」→「远程配置」→「添加」→ 粘贴 URL

海外 Apple ID 提示：购买上述应用需要美区（或其他非中国区）Apple ID。如无海外账号，可在淘宝/Telegram 购买已购买账号的分享，或注册美区 Apple ID 后用礼品卡充值购买。切勿将海外 Apple ID 设为主账号，避免数据同步风险。

4

进阶配置

掌握基础使用后，进阶配置可以让 Clash 更稳定、更安全、更智能地工作。

4.1 订阅格式转换

部分机场仅提供 V2Ray（vmess://）或 SSR 格式的订阅，无法直接导入 Clash。需借助订阅转换工具转为 Clash YAML 格式。

在线转换工具（推荐）

sub.v1.mk — 支持多种格式互转
acl4ssr-sub — 内置 ACL4SSR 规则集
subconverter.net — 功能最全，支持自定义后端

自建后端（进阶）

使用 subconverter 自建转换后端，避免将订阅链接发送至第三方服务器，保障隐私。

docker run -d -p 25500:25500
tindy2013/subconverter

使用第三方在线转换工具时，你的订阅链接（含账号信息）会经过对方服务器。建议使用信誉良好的工具，或自建后端。

4.2 DNS 防泄漏

DNS 泄漏会导致你访问的域名被 ISP 记录，即使流量走代理也会暴露你的浏览行为。推荐使用 FakeIP 模式配合加密 DNS（DoH/DoT）。

FakeIP 模式

最彻底防泄漏

Clash 返回假 IP，DNS 解析在远端完成，本地 ISP 无法感知真实域名。

DoH

DNS over HTTPS

DNS 查询通过 HTTPS 加密传输，防止中间人窃听，兼容性最好。

DoT

DNS over TLS

使用 TLS 加密 DNS，比 DoH 效率更高，但需要代理支持 853 端口。

yaml · dns config

dns:
  enable: true
  listen: 0.0.0.0:1053
  enhanced-mode: fake-ip      # FakeIP 模式防泄漏
  fake-ip-range: 198.18.0.1/16
  fake-ip-filter:             # 不使用 FakeIP 的域名
    - '+.lan'
    - localhost.ptlogin2.qq.com
  nameserver:                 # 境外 DoH 服务器
    - https://dns.google/dns-query
    - https://1.1.1.1/dns-query
    - tls://8.8.8.8:853         # Google DoT
  fallback:                    # 国内域名用本地 DNS
    - 223.5.5.5               # 阿里 DNS
    - 119.29.29.29            # 腾讯 DNS
  fallback-filter:
    geoip: true
    geoip-code: CN
    ipcidr:
      - 240.0.0.0/4

配置完成后，访问 ipleak.net 或 browserleaks.com，确认结果中不含国内 ISP 的 DNS 服务器即代表配置成功。

4.3 自定义分流规则

Clash 规则系统支持按域名、IP、GEOIP、进程名等多维度精确控制每条连接走代理还是直连。

规则类型	示例	说明
`DOMAIN`	`google.com`	精确匹配完整域名
`DOMAIN-SUFFIX`	`google.com`	匹配域名及其所有子域名
`DOMAIN-KEYWORD`	`youtube`	域名包含关键词即匹配
`IP-CIDR`	`192.168.0.0/16`	匹配目标 IP 范围
`GEOIP`	`CN`	按目标 IP 的地理位置国家代码匹配
`PROCESS-NAME`	`WeChat`	按发起连接的进程名匹配（TUN 模式）
`RULE-SET`	`gfw`	引用外部规则集文件（大规模规则推荐）
`MATCH`	`—`	最终兜底规则，匹配所有剩余流量

yaml · rules example

# 自定义规则覆写示例（prepend-rules 优先级最高）
rules:
  # 私有 IP 直连
  - IP-CIDR,192.168.0.0/16,DIRECT,no-resolve
  - IP-CIDR,10.0.0.0/8,DIRECT,no-resolve
  - IP-CIDR,127.0.0.0/8,DIRECT,no-resolve

  # 常用境外服务走代理
  - DOMAIN-SUFFIX,google.com,节点选择
  - DOMAIN-SUFFIX,youtube.com,节点选择
  - DOMAIN-SUFFIX,github.com,节点选择
  - DOMAIN-KEYWORD,openai,节点选择

  # 微信/国内应用直连
  - DOMAIN-SUFFIX,wechat.com,DIRECT
  - DOMAIN-SUFFIX,weixin.qq.com,DIRECT
  - PROCESS-NAME,WeChat.exe,DIRECT

  # 中国 IP 直连
  - GEOIP,CN,DIRECT

  # 兜底：剩余流量走代理
  - MATCH,节点选择

常见问题

在 Clash Verge Rev 中：点击左侧「订阅」→「新建」→ 类型选「远程」→ 粘贴机场提供的 Clash 格式订阅 URL → 点击「导入」，等待下载完成后点击配置卡片上的「选择」激活即可。

在 Clash for Android 中：点击「配置」→「新配置」→「URL」→ 粘贴订阅链接并保存 → 选中该配置使其激活。

系统代理（HTTP/SOCKS5）：只能代理主动支持代理设置的应用（如浏览器、部分 App）。命令行工具、游戏、不感知系统代理的程序无法走代理。

TUN 模式：通过创建虚拟网卡在操作系统网络层拦截所有 TCP/UDP 流量，任何应用的网络请求都会经过 Clash 处理，实现真正的全局代理。推荐需要代理所有应用或使用游戏加速时开启。

仅使用系统代理模式时，DNS 查询默认仍走本地 ISP 的 DNS 服务器，即使你的 HTTP 流量走了代理，ISP 依然能看到你在访问哪些域名。

解决方案：① 在 Clash 配置中启用 FakeIP 模式；② 将 nameserver 设置为 DoH/DoT 加密 DNS；③ 开启 TUN 模式确保 DNS 查询流量也经过 Clash 处理。配置完成后用 ipleak.net 验证。

按以下顺序排查：

1. 更新订阅：拉取最新节点列表（机场节点会定期更换）
2. 切换节点：使用「测速」功能找延迟最低的节点，不同时段最优节点可能不同
3. 切换协议：有些地区特定时段对 Shadowsocks / VMess 有 QoS 限制，尝试切换到 Hysteria2 或 TUIC 节点
4. 检查模式：确认代理模式为「规则」或「全局」，不是「直连」
5. 防火墙检查：确认系统防火墙或安全软件未拦截 Clash 的网络请求

Clash 使用 YAML 格式的配置文件，vmess:// 或 ssr:// 格式无法直接导入。

解决方法：使用在线订阅转换工具（如 sub.v1.mk）将 V2Ray/SSR 订阅转换为 Clash 格式后再导入。大多数机场也会同时提供 Clash 专属订阅链接，在机场控制台切换订阅格式即可。

目前 iOS 平台没有免费的 Clash 兼容客户端。App Store 中国区的代理类应用基本已被下架，主流选择是：

• Shadowrocket（$2.99，美区）— 轻量、兼容性好
• Stash（$3.99，美区）— 功能完整，支持完整 Clash Meta 语法

购买需要美区（或其他非中国区）Apple ID，可注册或通过可信渠道获取。

Clash 配置指南
从订阅导入到进阶分流

准备工作

Step 1 · 下载客户端

Step 2 · 获取订阅链接

Clash Verge Rev

1.1 安装客户端

1.2 导入订阅链接

1.3 代理模式说明

1.4 开启 TUN 模式（全局代理）

Clash for Android

iOS 客户端

Shadowrocket

Stash

进阶配置

4.1 订阅格式转换

在线转换工具（推荐）

自建后端（进阶）

4.2 DNS 防泄漏

4.3 自定义分流规则

推荐规则集

常见问题

还没有 Clash 客户端？

Clash 配置指南 从订阅导入到进阶分流

准备工作

Step 1 · 下载客户端

Step 2 · 获取订阅链接

Clash Verge Rev

1.1 安装客户端

1.2 导入订阅链接

1.3 代理模式说明

1.4 开启 TUN 模式（全局代理）

Clash for Android

iOS 客户端

Shadowrocket

Stash

进阶配置

4.1 订阅格式转换

在线转换工具（推荐）

自建后端（进阶）

4.2 DNS 防泄漏

4.3 自定义分流规则

推荐规则集

常见问题

还没有 Clash 客户端？

Clash 配置指南
从订阅导入到进阶分流