Clash TUN 模式无法联网,比较典型的表现是:不开 TUN 时浏览器还能走代理,开了 TUN 以后网页反而打不开;或者浏览器不通,但微信、Telegram、部分软件又像是正常的。这个时候很容易误判成节点坏了。
TUN 接管的是系统更底层的流量。它能解决命令行、游戏、部分不走系统代理的软件,但也会把 DNS、虚拟网卡、系统权限这些问题一起带进来。排查时不要急着换节点,先确认系统代理模式是否正常。
先确认是不是 TUN 引起的
最简单的判断方式,是先关闭 TUN,只保留系统代理,选一个平时可用的节点测试网页访问。如果系统代理正常,说明订阅、节点和规则文件大概率没问题,问题集中在 TUN 接管之后。
如果系统代理也不能联网,就不要继续围着 TUN 转了。那更可能是订阅更新、节点选择、系统代理开关或当前网络本身的问题。
| 现象 | 更可能的问题 | 先查什么 |
|---|---|---|
| 系统代理正常,TUN 一开就断网 | 虚拟网卡、权限或防火墙 | 管理员权限、网卡状态、安全软件 |
| 只有域名打不开 | DNS 配置异常 | DNS、浏览器安全 DNS、fake-ip |
| 命令行能通,浏览器不通 | 浏览器代理或安全 DNS 干扰 | 浏览器网络设置 |
| 重启客户端后短暂恢复 | TUN 网卡或路由状态不稳定 | 虚拟网卡、系统网络栈 |
DNS 是 TUN 模式里最容易出问题的地方
TUN 模式下,DNS 不再只是“能不能解析域名”这么简单。配置里的 fake-ip、nameserver、fallback、规则分流都会影响最终访问结果。日志里如果出现 dns resolve failed、couldn't find ip,就应该先看 DNS。
可以先恢复客户端默认 DNS,或者临时关闭自己加的复杂 DNS 配置。确认默认配置能联网以后,再一点点加回自定义内容。一次改一大段配置,很难判断到底是哪一行导致问题。
Windows 上重点看虚拟网卡和管理员权限
Windows 开启 TUN 后,一般会创建虚拟网卡或调整系统路由。客户端权限不够、虚拟网卡异常、安全软件拦截,都可能让 TUN 开启后直接断网。
可以尝试以管理员身份运行客户端,再检查网络适配器里是否出现对应的虚拟网卡。电脑上如果装了杀毒软件、网络加速器、其他 VPN,也建议先关掉,只保留 Clash 客户端测试。
macOS 上重点看系统网络权限
macOS 上更常见的是系统权限、网络扩展、其他 VPN 配置残留。开过多个代理工具以后,系统网络设置里可能留下旧配置,导致 Clash 的 TUN 接管不完整。
如果系统代理模式正常,TUN 模式异常,可以先退出其他 VPN / 代理工具,再重启 Clash 客户端。必要时重启系统,让网络扩展和路由状态重新初始化。
浏览器打不开,不一定是全局断网
有时开了 TUN 后,只有浏览器打不开,其他软件却能联网。这种情况要检查浏览器自己的代理设置和安全 DNS。Chrome、Edge、Firefox 都可能启用独立的安全 DNS,绕过系统 DNS 后,表现就会和其他应用不一致。
可以临时关闭浏览器安全 DNS,再测试一次。如果关闭后恢复,问题就在浏览器 DNS 和 Clash DNS 接管之间的冲突。
IPv6 和防火墙也别忽略
部分网络环境下,IPv6 解析成功但连接失败,会让网页访问卡住。遇到 TUN 开启后部分网站打不开,可以临时关闭 IPv6 测试。
防火墙、公司网络管控、校园网客户端也可能影响 TUN。尤其是需要登录认证的网络,TUN 接管流量后,认证页面可能无法正常弹出。
比较稳的排查顺序
- 关闭 TUN,只开系统代理,确认节点是否可用。
- 系统代理正常后,再开启 TUN 测试。
- 查看日志里是否出现 DNS 解析失败。
- 恢复默认 DNS,暂时去掉复杂自定义配置。
- Windows 检查管理员权限、虚拟网卡和安全软件。
- macOS 检查网络权限、其他 VPN 和代理配置残留。
- 浏览器单独异常时,检查浏览器安全 DNS。
这个顺序的重点,是先确认节点和订阅没有问题,再处理 TUN 自己带来的网络接管问题。否则一边换节点,一边改 DNS,一边动 TUN,很容易越改越乱。
相关教程
参考资料
FAQ
Clash TUN 模式无法联网是不是节点坏了?
不一定。关闭 TUN,用系统代理测试同一个节点。系统代理正常时,节点通常没有问题。
开 TUN 后浏览器打不开怎么办?
先检查 DNS,尤其是浏览器安全 DNS。浏览器如果绕过系统 DNS,可能会和 Clash 的 DNS 接管冲突。