システムプロキシだけでは拾えないアプリが出てくる、ゲームや独自ネットワークスタックがOS のプロキシ設定を無視する、といった状況では TUN モード(仮想ネットワークインターフェース経由でトラフィックをまとめる方式)が選択肢になります。本記事は Windows 11 上の Clash Verge Rev に焦点を当て、TUN の有効化とセットで詰まりやすい DNS・fake-ip、Wintun、管理者権限までを、検索しやすい語彙で段階的に整理します。インストールや購読取り込みの初歩は別ガイドを参照し、ここでは「ルールとノードはもう動いているが、アプリによって経路だけが穴あきする」という一段目の悩みを想定します。利用はプロバイダー規約と法令を守った範囲に限ってください。
いつ TUN を選ぶか(システムプロキシとの違い)
HTTP/HTTPS プロキシを OS に貼る方式は、ブラウザや「システム設定を尊重する」アプリには効きやすい反面、自分だけのソケットを張るタイプのアプリには届かないことがあります。TUN はカーネル側の転送経路に近いところへフックを入れるイメージで、用途によっては「とりあえず全体を同じルール束に載せる」ための現実解になります。代償として、権限や仮想アダプタ、DNS の取り扱いが複雑になり、競合 VPN やセキュリティ製品との相性問題も出やすくなります。
まずは RULE+システムプロキシで欲しいアプリがカバーできるかを見て、ダメな標本が残るなら TUN を検討する、という順序が安全です。TUN をオンにした瞬間から名前解決の流れも変わるため、fake-ip 周りの理解がないまま切り替えると「繋がらないが理由が分からない」状態に寄りやすい点に注意してください。
前提チェック:競合 VPN・過去のドライバ・会社ポリシー
同時に複数の「仮想トンネル」を握ろうとすると、ルートや DNS の優先順位が衝突します。別の常時 VPN、古い TAP ベースのクライアント、ファイアウォール製品の「独自 DNS 保護」は、TUN 以前の段階で失敗原因になります。個人端末前提の手順でも、会社支給 PCでは MDM がアダプタ作成自体を禁じているケースがあるため、その場合はローカル権限では解決できません。
作業前に、(1) ほかの VPN をオフにする (2) セキュリティソフトのネットワークシールドを一時的に切り分ける(可能なら)(3) ルーター側の強制 DNS が変な挙動をしていないか確認、の三点を済ませておくと、後戻りが減ります。
ステップ1:管理者権限と Wintun(仮想 NIC)の現実味
Windows では TUN 相当の機能が仮想ネットワークアダプタとして現れ、ユーザーセッションだけでは作成やルーティング更新が完走しない環境があります。管理者として実行が必要になる典型は、UAC を下げていない通常ユーザー構成です。クライアント側で「昇格して再起動」の誘導がある場合は、躊躇せず従った方が早いです。
Wintun はその類の実装のひとつで、公式ビルドに同梱されていることが多い一方、古い残骸や手動削除のあとで欠損すると「TUN をオンにしたが何もできない」になったりします。再インストールやセキュリティソフトの隔離フォルダ確認、ほかベンダーの仮想 NIC が wintun と名前を取り合っていないか、デバイスマネージャでざっと見る価値があります。
ステップ2:DNS と fake-ip の関係をプロファイルで読む
TUN を導入すると、名前解決がローカルの Mihomo/Clash スタックに集約されやすくなります。fake-ip は、接続先ドメインに対し一時的な仮想応答を返してから実ノードへ引き渡す方式で、ルールマッチや遅延計測には有利な一方、アプリが「応答 IP」を真面目に解釈する局面では破綻のタネにもなります。
実務的には、(1) dns セクションの enhanced-mode が fake-ip か redir-host(または相当)か (2) fake-ip-range のレンジが他用途と衝突していないか (3) プロバイダー指定の nameserver と fallback が意図どおり動いているか、を最低限押さえます。公開プロファイルはすでにこの前提で組まれていることが多いですが、ローカル編集で DNS だけ別物にすると「TUN 以前から名前が刺さらない」膠着が起きます。
ブラウザの「セキュア DNS(HTTPS/TLS)」は、OS より上位で別ルートを掘るため、挙動が二重化しがちです。切り分け時は一時オフにして、Clash 側のログでドメインが期待どおりヒットしているかを見た方が早いです。
ステップ3:Clash Verge Rev で TUN を有効化する操作イメージ
UI のラベルは版により翻訳差がありますが、狙いは一定です。(1) 使用中の プロファイルがアクティブであることを確認する (2) TUN/仮想アダプタ/サービスモードに相当するトグルをオンにする (3) スタック実装(gVisor/system など)を選べる場合は、まず既定のまま試し、相性問題があれば切り替える、(4) 反映後に ログでインタフェース作成・挙動開始のメッセージを探す、の順が扱いやすいです。
オンにした直後だけ通信が落ちるのは、ルートテーブルや DNS キャッシュが切り替わる瞬間の再開ショックです。数十秒待っても復帰しない場合は、仮想 NIC が作られていないか、権限で拒否されていないかを優先して確認します。
ステップ4:疎通・DNS・ルールをログで三点確認
体感だけに頼らず、(1) 対象アプリの接続がどのルール名に載ったか (2) 名前解決がどのサーバ経由になったか (3) 選ばれたポリシー/チェーンが期待どおりか、をログでそろえると再現調査が速いです。ブラウザは通るが特定ゲームだけ死ぬ、というパターンは、ゲーム側がプロキシではなく別ポートを直叩きしていることもあるため、TUN 化でようやく同じ束に乗る、という説明がつくかを見ます。
split tunnel 的に「このサブネットだけ外す」要件は、ルール側の書き分けとセットです。GUI だけでは足りないときは YAML を読む習慣が必要になりますが、最小限でも「ドメイン/CIDR がどこで DIRECT 扱いか」を押さえると迷子になりにくいです。
典型エラーと切り分け順
- TUN をオンにできない/すぐオフに戻る:管理者権限、Wintun 欠損、競合仮想アダプタ、セキュリティブロックを疑う。
- 名前は解けるが一部アプリだけ詐欺っぽく失敗:fake-ip とアプリ実装の相性、ブラウザのセキュア DNS、独自 DoH を疑う。
- IPv6 だけ別ルートに逃げる:OS とスタックの IPv6 優先、ルール側の除外不足。環境によっては IPv6 を一時的に切って挙動差を見る。
- 更新直後だけ壊れる:プロファイル差し替えで DNS セクションが変わった、または購読側の挙動変更。差分を読む。
切り分けは「権限→仮想 NIC→DNS モード→競合ソフト→ルール」の順が無難です。いきなり YAML 全体を書き換えるより、ログが示す最初の失敗点を一本ずつ潰す方が早いです。
よくある質問
Q. TUN を入れるとブラウザだけおかしくなります
A. fake-ip とブラウザ/拡張の組み合わせで、見かけ上の IP と実経路の説明がずれることがあります。セキュア DNS を切り、Clash 側の DNS モードとルールをセットで見直してください。
Q. 管理者実行は必須ですか
A. 環境依存ですが、失敗ログに権限由来が並ぶなら実質必須に近いです。昇格できるアカウントで一度だけ正常系を通すのが近道です。
Q. Wintun って何をすれば入りますか
A. 通常はクライアント同梱に任せます。欠損や破損が疑われるなら公式ビルドの入れ直し、セキュリティソフトの隔離、他ベンダーの古い仮想 NIC の残骸除去を順に確認します。
Q. 会社 PC で再現しません
A. ポリシーでブロックされている可能性が高いです。個人向け手順をそのまま当てず、IT ガイドラインを先に確認してください。
TUN を含む運用で Clash 系が向く理由
単一出の VPN アプリは「まず繋ぐ」までの摩擦が小さい一方、ドメイン単位のルール設計や購読とログの往復を深く扱うほど、ブラックボックス感が強まります。問題が出たときに「どの名前がどの出口へ行ったか」を説明できないと、仕事用端末ほど立ち往生しがちです。
Clash Verge Rev のような Mihomo 対応 GUI は、購読更新やプロキシグループ選択といった日課に加え、TUN と DNS/fake-ip を同じプロファイル言語で扱えるため、システムプロキシだけでは届かないアプリまで含めた切り分けに戻りやすい構造です。単機能アプリの寄せ集めに手を広げるより、ルールとログの一本化の方が長期運用では軽くなる場面が多い、というのが実務的な比較の軸になります。
Windows 11 で購読は取り込めたが「一部アプリだけ穴が空く」と感じたら、本稿の順で権限・Wintun・DNS モードを確定し、そのうえで TUN を載せると迷いが減ります。インストールやノード切り替えの基礎は関連記事と組み合わせてください。