一、TUN 在做什麼,與系統代理有何不同
TUN 模式會在作業系統裡建立一個虛擬網路卡,由 Clash 核心(如 Mihomo)把符合規則的 IP 流量「接進」代理堆疊再送出。與僅設定系統 HTTP/SOCKS 代理相比,TUN 能涵蓋不遵循系統代理的程式(部分遊戲、命令列工具、UWP 應用程式等),因此是進階使用者常用能力,但也更容易碰到路由、驅動程式、防火牆等系統層問題。
若你關閉 TUN、改用系統代理或規則模式後一切正常,而一開 TUN 就異常,說明問題往往不在「節點品質」,而在本機網路堆疊與策略是否被正確接管。下文預設你已能使用同一訂閱在非 TUN 模式下上網,僅討論 TUN 開啟後的異常。
tun 相關開關、堆疊選項(如 gVisor / system)與 DNS 模式是否與目前系統相符;不同客戶端把這些選項放在不同選單位置,但核心行為一致。
二、先分清:全域斷網、部分網站,還是 DNS 異常
排查前建議用三句話描述現象,避免把不同根因混在一起:
- 全域斷網:瀏覽器、即時通訊、國內網站全部不可用,或僅內網可用。多與預設路由被錯誤接管、虛擬網路卡未就緒,或所有流量被錯誤送到無效下一跳有關。
- 部分網站打不開:國內正常、個別境外站逾時,或反之。多與規則分流、DNS 解析、節點線路有關,但也可能是防火牆僅攔截部分目標埠或協定。
- 能上 QQ/微信但網頁異常:常見於 DNS 被汙染或 Fake-IP 與本機解析不一致,需單獨核對 DNS 與
fake-ip設定。
記錄「關閉 TUN 後是否立即恢復」與「是否同時開著其他 VPN」兩條資訊,能顯著縮短定位時間。
三、核心與 Wintun:虛擬網路卡是否真正起來
Windows 上 TUN 通常依賴 Wintun 驅動程式。若驅動程式未安裝、被安全軟體刪除,或客戶端未以足夠權限建立介面,會出現TUN 已勾選但無流量或瞬間斷網。
建議檢查項
- 在客戶端日誌中搜尋錯誤關鍵字(如
wintun、create tun、permission),確認核心是否成功建立介面。 - 在「裝置管理員」或「網路連線」中檢視是否出現與 Clash/Mihomo 相關的虛擬網路卡;若反覆消失,可能是驅動程式被攔截或與其他虛擬網路卡衝突。
- 嘗試以系統管理員身分執行客戶端後再開 TUN(部分環境需要),觀察是否改善。
- 若客戶端提供 TUN 堆疊選項(如 system/gVisor),可在排除其他問題後嘗試切換,以規避個別環境下的相容性問題。
若日誌顯示 TUN 建立失敗,優先解決驅動程式與權限,不必先調整節點或訂閱。
四、路由表:預設路由、metric 與衝突
TUN 往往會向系統新增較優先的預設路由或特定前置路由,把流量導向虛擬網路卡。若與現有實體網路卡預設路由、公司 VPN,或 Zerotier 等疊加路由衝突,可能出現「全進代理隧道但隧道未通」的黑洞效應,表現即為全域斷網。
如何用指令粗看路由(系統管理員命令提示字元或 PowerShell)
執行 route print 或 Get-NetRoute(PowerShell)檢視 0.0.0.0/0 的下一跳與 metric。開啟 TUN 前後各匯出一份對照,關注:
- 是否出現多條預設路由,metric 是否導致流量走錯介面;
- 虛擬網路卡介面索引是否與客戶端顯示一致;
- 是否存在殘留路由(關閉客戶端後仍指向無效介面)。
若懷疑路由殘留,可在完全結束 Clash 客戶端後再次檢視路由表;若殘留仍在,可嘗試重啟網路卡或重啟系統後再測。企業網路若強制靜態路由,需與網管確認是否允許使用者態程式變更路由。
五、Windows 防火牆與安全軟體
與「區域網路共享代理埠」主要關心連入不同,TUN 情境下更常見的是本機程序連出被擋,或安全套件把虛擬網路卡流量視為可疑而阻斷。表現為:規則已命中、節點在線,但連線被重設或逾時。
可操作步驟
- 在「Windows 安全中心 → 防火牆」中,確認 Clash 主程式對私人/公用網路均已允許;必要時為核心或 helper 程序單獨放行(以實際安裝路徑為準)。
- 若使用第三方防火牆或「網路管控」類軟體,將 Clash 加入信任清單或暫時關閉對照測試。
- 企業環境若啟用應用程式白名單,虛擬網路卡產生的連線可能被統一攔截,需 IT 端放行。
與混合埠、區域網路共享相關的連入放行思路,可參考本站 《Clash Windows 11 混合埠與區域網路共享》 中的防火牆章節;TUN 使用者通常仍需再確認本機連出未被重複攔截。
六、DNS、Fake-IP 與分流規則
開啟 TUN 後,DNS 往往與核心 DNS 處理、Fake-IP 或 redir-host 模式強相關。若設定與規則不符,會出現「部分網域永遠解析錯」「國內站被送進代理」等現象,看起來像斷網或無限載入。
- 確認 DNS 上游可連線(公司網路可能封鎖第三方 DNS)。
- 使用 Fake-IP 時,檢查規則裡是否對國內網域誤分流,以及
fake-ip-filter是否涵蓋常用國內網域與區域網路網域。 - 若近期修改過
hosts或本機 DNS 加速器,先恢復預設再測。
這類問題在關閉 TUN、僅用系統代理時可能不明顯,因為誰負責解析、誰負責建連的路徑不同;因此 DNS 應作為獨立一步排查,而不是只換節點。
七、與其他 VPN 或網路卡搶占
若機器上同時執行其他商用 VPN、公司隧道、虛擬機橋接網路卡,多個元件可能爭搶預設路由或 Wintun 執行個體。典型做法是:只保留一條隧道邏輯——先完全結束其他 VPN,再啟動 Clash TUN;或反過來測試,確認衝突對象。
部分「網路最佳化」或遊戲加速器也會注入驅動程式層過濾,與 TUN 疊加後異常更難肉眼判斷,建議暫時結束後做 A/B 對照。
八、現象與優先檢查項速查表
| 現象 | 優先檢查項 |
|---|---|
| 日誌中報 TUN/Wintun 建立失敗 | 驅動程式與系統管理員權限;與其他虛擬網路卡衝突;嘗試更換 TUN 堆疊選項 |
| 關 TUN 立刻正常,開 TUN 全域斷網 | route print 對照預設路由與 metric;是否與其他 VPN 搶路由 |
| 國內正常,部分境外站不通 | 節點與規則;DNS/Fake-IP;防火牆是否擋特定協定 |
| 網頁異常但即時通訊可用 | DNS 汙染或解析鏈路;Fake-IP 與規則是否一致 |
建議始終先日誌與路由,再節點,能避免無效地反覆測速與更換訂閱。
九、小結
Clash TUN 在 Windows 上把流量從網卡層接入代理,收益是涵蓋面廣,代價是更容易暴露路由表與防火牆問題。遇到斷網或無法訪問時,依「虛擬網路卡與核心 → 路由 → 防火牆與套件 → DNS」的順序排查,通常能快速區分是核心/驅動程式問題、路由衝突,還是攔截與解析問題。
相比只在應用層切換系統代理,成熟的 Clash 生態在規則、核心與多客戶端上選擇更多;把 TUN 調通後,長期使用的穩定性往往更好。
若你尚未安裝或希望使用維護積極的客戶端與核心組合,可從本站取得安裝檔,再依上述順序自檢 TUN 相關選項。
