TUN 模式 适合解决这类问题:浏览器已经能走代理,但 Telegram、游戏、终端命令、部分下载工具还是连不上。它不是加速按钮,而是让 Clash Verge Rev、Clash Meta for Android 这类客户端通过虚拟网卡接管更多系统流量。
如果只是浏览器访问网页,系统代理通常够用;如果需要命令行、游戏、UDP、应用商店或不读取系统代理的软件也走代理,再考虑开启 TUN。开启前先确认订阅节点可用,否则 TUN 只会把排障范围变大。
TUN 模式全面解析:和系统代理的区别
系统代理是在应用层工作的:它要求每个软件自己读取系统的代理设置(或者手动填写),才能把流量交给代理。这对浏览器、下载工具等「听话」的应用有效,但命令行工具、很多游戏、UDP 应用根本不会理会这个设置。TUN 模式则创建一张虚拟网卡,系统会把所有符合路由规则的流量都送到这张网卡上,代理软件再接手转发——相当于从更底层接管,不受制于应用本身。
| 对比项 | 系统代理 | TUN(虚拟网卡接管) |
| 工作层级 | 应用层 | 网络层 / 虚拟网卡 |
| 覆盖范围 | 仅遵守系统代理设置的应用 | 几乎所有 TCP/UDP 流量 |
| 适合场景 | 浏览器、部分桌面软件 | 游戏、终端、Telegram、UDP 应用、命令行工具 |
| 配置难度 | 低 | 略高,需系统权限及网络配置调整 |
| 排障成本 | 低 | 更高,涉及 DNS、路由、系统权限 |
先判断:你到底需不需要开启 TUN
| 使用场景 | 推荐设置 | 原因 |
| 只用浏览器访问网页 | 先用系统代理 | 配置简单,出问题容易回退 |
| Telegram、游戏、Steam、命令行工具不走代理 | 开启 TUN | 这些应用经常不读取系统代理,虚拟网卡覆盖更完整 |
| 节点本身延迟高、经常断流 | 先不要开 TUN | 先排查订阅和节点质量,TUN 不能修复线路问题 |
| DNS 污染、域名解析异常 | 开启 TUN 后同时检查 DNS | TUN 常和 fake-ip、加密 DNS 一起影响解析结果 |
| 公司/学校网络有严格管控 | 谨慎开启 | 虚拟网卡、路由和安全软件可能互相冲突 |
什么时候建议开启 TUN
- 浏览器能正常访问外网,但 Telegram、游戏、终端命令(如
curl、git)不通。 - 你不想为每个开发工具单独配置代理环境变量(
HTTP_PROXY、ALL_PROXY等)。 - 需要使用 UDP 流量的应用(游戏、语音、QUIC 等)无法通过系统代理工作。
- 你正在使用基于 mihomo 内核的客户端(如 Clash Verge Rev),且软件提供了稳定的 TUN 开关。
开启 TUN 前要注意什么
系统权限与必要依赖
首次启用 TUN,Windows 一定会请求管理员权限,macOS 会提示允许网络扩展或 VPN 配置。部分 Linux 系统需要手动加载 tun 模块。请务必授予这些权限,否则虚拟网卡无法创建。
先保持默认参数,不要急着改高级选项
大多数客户端开启 TUN 后都预置了合理的基础配置(如 auto-route、DNS 劫持等)。第一次开启时,建议只打开开关,不做任何额外调整,先测试基础连通性。确认访问外网正常后,再根据需要微调 stack、DNS 设置等。
开启后断网?按这个顺序排查
- 先临时关闭系统代理,保留 TUN 模式,排除两层代理冲突。
- 检查节点本身是否正常,可尝试用浏览器配合系统代理单独验证。
- 检查客户端的 DNS 配置:如果开启了 DNS 劫持但上游不可达,会导致解析失败。
- 确认系统是否真的把流量路由到了虚拟网卡(Windows 可通过
route print,macOS/Linux 用ifconfig或ip route检查)。 - 若仍无效,尝试关闭 TUN 后重启客户端再开启,有时服务状态异常会导致假死。
DNS 解析慢或污染怎么办?
TUN 模式下,客户端通常会劫持系统 DNS 请求交由代理解析。如果你发现解析异常,请在客户端设置中检查DNS服务器。建议使用 DOH/DOQ 等加密 DNS,避免本地 DNS 泄露。个别场景可能需要关掉DNS劫持,让系统自行解析,但这样可能无法防污染,并需确保系统DNS设置可靠。
Clash Verge Rev 如何开启 TUN
如果你使用的是 Clash Verge Rev,操作非常简单:先打开设置页面,在系统设置里找到虚拟网卡模式并打开。首次启用时,Windows 通常会弹出管理员权限请求;macOS 可能会提示允许网络扩展或 VPN 配置,按系统提示完成即可。下图展示的是开启后的真实状态。
- 打开 Clash Verge Rev,确认订阅已更新、节点可用。
- 进入设置 → 系统设置,找到虚拟网卡模式。
- 开启开关,按系统提示完成权限授权;若客户端要求安装或启用服务,全部以默认选项继续。
- 保持默认 TUN 参数不动,先打开浏览器访问几个外网地址验证连通性。
- 确认正常后,再用 Telegram、终端命令、UDP 应用实测,对比稳定性与延迟。
开启 TUN 后不能上网怎么排查
先不要反复切节点。按下面顺序排查,能更快定位是客户端、系统权限、DNS 还是订阅线路问题。
- 关闭 TUN,只保留系统代理,确认浏览器能正常访问外网。
- 更新订阅,选择一个延迟正常的节点,再重新开启 TUN。
- Windows 用户检查是否以管理员权限启动客户端;macOS 用户检查系统是否允许网络扩展或 VPN 配置。
- 如果网页打不开但 IP 可以连通,优先检查 DNS 设置,尝试恢复客户端默认 DNS。
- 如果只有游戏或语音异常,确认规则里没有把相关 UDP 流量直连或拦截。
- 仍然不通时,导出客户端日志,搜索
tun、dns、route、permission等字样。
如果关闭 TUN 后一切正常,问题大概率在虚拟网卡、路由或 DNS;如果关闭 TUN 后也无法访问,先回到订阅链接、节点质量和客户端配置本身排查。
日常使用中,如果你只是需要浏览器科学上网,系统代理通常够用;但一旦涉及命令行、游戏或部分不守规矩的软件,切换到 TUN 模式会让代理覆盖更彻底,也省去手动配置的麻烦。
想进一步了解内核运作机制,可以查阅 MetaCubeX/mihomo 和 MetaCubeX Wiki。还没安装客户端?先打开 Clash Verge Rev 下载安装教程。如果想弄清楚 mihomo 与旧版 Clash 的本质区别,推荐阅读 mihomo 与 Clash 原版的完整对比。而在 Android 上启用类似功能的用户,可参考 Clash Meta for Android 配置指南,了解移动端 TUN 模式的特殊设置。