在Windows 11上,如果你已經用系統 Proxy讓瀏覽器順利連線,卻仍遇到遊戲啟動器、命令列工具或某些桌面程式「完全不理會系統代理」,那通常代表流量沒有經過你想要的那條路徑。此時Clash Verge Rev搭配底層核心(多為 Mihomo 相容分支)的TUN 模式,可以把符合路由條件的封包改交給虛擬網卡處理,達到更接近「全域接管」的效果。相較於只開 HTTP/HTTPS 代理,TUN 會碰到Wintun驅動、系統管理員權限與DNS解析鏈,稍有落差就會出現「開了等於沒開」或「只有部分程式生效」。這篇繁體中文教學刻意與安裝、訂閱操作文互補:若你尚未完成安裝或訂閱匯入,建議先閱讀 Windows 11 安裝與首次設定 以及 訂閱匯入與節點切換,再回到本文專注處理 TUN、fake-ip 與權限設定的最後一哩路。
什麼情境該優先考慮 TUN,而不是只開系統 Proxy
先用一句話區分:系統 Proxy仰賴應用程式是否實作了讀取 Windows「網際網路選項/Proxy」這條路;TUN 模式則在路由層把符合條件的流量交給核心,對不支援系統 Proxy 的程式通常更有效。實務上,若你遇到下列情況之一,就可以把 TUN 當成優先解法:
- 某些遊戲、啟動器或 IDE 外掛更新通道始終顯示「無法連線」,但同一台電腦上的瀏覽器已可透過代理上網。
- 命令列工具(例如部分套件管理程式)預設不使用系統 Proxy,你又不想為每支工具逐一設環境變數。
- 你希望讓 DNS 查詢與訪問目標的對應關係更一致地經過核心,以便規則命中(討論 fake-ip 時會再展開)。
也要誠實提醒:TUN 不是魔法,仍然受你的規則模式(例如 RULE/GLOBAL)與策略組選擇約束;若某個目標在設定檔被判為直連,開了 TUN 依舊不會憑空把它送去代理。
開工前:訂閱、設定檔與單一代理程式原則
在觸碰 TUN 之前,請先確認使用中設定檔是你要的那份、且核心載入沒有報錯;否則後續只是在錯誤的規則上疊加虛擬網卡,除錯會加倍痛苦。還有一點極重要:請勿同時讓多個會改寫路由或安裝類似驅動的軟體搶佔系統,常見撞車組合是「公司 VPN 客戶端 + 個人代理 + 系統防火牆封包檢查」。除錯時請暫時只保留 Clash Verge Rev,把其他同類工具關到背景或結束處理序,再重新啟用 TUN。
步驟一:確認 Wintun 驅動與虛擬介面
Wintun是 Windows 上常見的虛擬網卡實作,許多 Clash 系圖形客戶端會在首次啟用 TUN 時自動安裝或提示安裝。若你從未成功開過 TUN,請先在作業系統層確認:
- 開啟「裝置管理員」,展開「網路介面卡」,尋找名稱含 Wintun 的項目。
- 若呈現驚嘆號或錯誤碼,記下狀態文字;常見原因包含舊版驅動殘留、企業政策封鎖未簽署驅動,或被第三方防火牆「過濾驅動」攔截。
- 在Clash Verge Rev的設定或網路相關分頁尋找「安裝/修復 TUN」「重新安裝驅動」或語意相近的按鈕(實際文案依版本而定),執行後重新開機再試一次。
若你手動從官方來源更新 Wintun,務必確認與Clash Verge Rev內建核心版本相容;不相容時可能出現「建立介面成功但立即中斷」的狀況,此時優先升級整個客戶端到最新的正式釋出版通常比逐檔替換驅動更省事。
步驟二:Windows 11 系統管理員與 UAC
在Windows 11上,建立並設定 TUN 介面通常需要提升權限。實務上有兩種常見做法:
- 以系統管理員身分執行:對 Verge Rev 的捷徑或執行檔按右鍵選取「以系統管理員身分執行」,並在 UAC 視窗按「是」。若你希望每次開機都自動提升,可在捷徑內容中調整相容性選項(僅建議在個人裝置、且你了解安全意涵時這麼做)。
- 維護固定更新習慣:舊版客戶端可能在某些組建上對權限握手不完整;若你已確認驅動無誤但仍失敗,先升級到官方最新版再試,往往比在本機反覆改登錄檔來得可靠。
若你看到與「拒絕存取」「無法建立適配器」「access denied」相關的訊息,請優先回到本節,確認處理序真的是提升後的管理員身分,而不是僅有「以一般使用者安裝、但嘗試做管理員動作」的混合狀態。
步驟三:在 Clash Verge Rev 介面啟用 TUN
介面用詞會隨版本微調,但主軸幾乎一定是「找到虛擬網卡/TUN 開關 → 套用 → 讓核心重新載入」。建議依序檢查:
- 全域或首頁的 TUN 總開關:有些版本在儀表板就放了一顆大開關;請確認它不是「僅 UI 顯示」,而是真的觸發核心參數更新。
- 設定裡的 TUN 區塊:可能需要指定堆疊(例如 gVisor/system 等選項,實際可用與否取決於核心與系統)、MTU、自動路由等進階欄位。初次啟用建議先採預設,成功後再微調。
- 與系統 Proxy 的搭配:對多數使用者,開 TUN 後瀏覽器仍可能因系統 Proxy 而「雙路徑」除錯錯亂;若你發現 IP 查詢結果不一致,暫時關閉系統 Proxy,仅用 TUN 測試一次。
啟用後,打開程式內的連線記錄或日誌等級較詳的輸出,應能看到與 tun、interface、route 相關的成功訊息;若立刻出現 rollback 或重試,請截下時間點附近的原始訊息再對照下一節的 DNS 與設定檔段落。
步驟四:DNS、fake-ip 與 redir-host 該怎麼選
許多人把 TUN 打開後卡關,其實問題出在DNS沒有一起進核心。Clash 系設定常見兩種與域名解析相關的模式:
- fake-ip:核心對查詢回的 IP 並非真實目的地,而是用一段虛構位址先讓本機程式以為「已解析」,再搭配核心內部的真實解析與規則命中。優點是對部分應用程式的體感較一致;缺點是若某些程式堅持繞過核心做 DoH/自建 resolver,就可能出現「以為解析成功但其實沒走你想的路」的錯覺。
- redir-host:相對傳統,域名解析結果較接近你指定的上游 DNS,除錯時比較直覺;但與細緻規則搭配時,可能要更注意避免 DNS 洩到外網或未加密通道。
實務上不存在放諸四海皆準的答案:若你使用供應商提供的現成設定檔,大多已內建 dns 段落與 enhanced-mode;請先尊重作者的預設,僅在「特定網站怎樣都打不開」時才做局部覆寫。當你修改 nameserver、fallback 或 fake-ip-filter 時,務必同步理解它們如何影響規則模式下的命中順序,否則容易變成「規則寫對了,但解析根本沒進核心」。
在Windows 11上,也請順手檢查系統「網路介面卡選項」裡是否有多餘的自訂 DNS(例如某次實驗留下的靜態列表),有時會與 TUN 自動下發的設定互相覆寫。對家用使用者,常見做法是讓 TUN 介面優先,並避免同時開啟第二個本機「DNS 過濾器」搶佔連接埠。
步驟五:驗證 TUN 是否真的接管流量
確認成功與否,請用「會騙人的單一維度測試」以外的方法交叉驗證:
- 用先前不吃系統 Proxy的那支程式連線,觀察是否恢復可用;若仍失敗,請同步看它命中的是直連還是代理規則。
- 開啟瀏覽器造訪可靠的對外 IP 查詢服務,記錄顯示的出口;再與Clash Verge Rev連線紀錄中對應會話核對。
- 在規則允許的前提下,暫時切換策略組節點,觀察出口 IP 是否跟著變化;若不變,可能仍走了直連或其他非預期路徑。
若你熟練命令列,也可以在本機查看路由表與介面指標變化;但對一般讀者,連線紀錄配合實際應用程式測試通常就足夠定位問題層級。
疑難排解:常見錯誤與排查順序
- 已開 TUN 但路由沒變:先查 Wintun 是否健康、程式是否為管理員、以及是否有其他 VPN 改寫了預設路由。
- 只有瀏覽器生效:高度懷疑仍在使用系統 Proxy;請關閉瀏覽器獨立的 Proxy 擴充,改以問題程式做為單一測試來源。
- 域名解析怪異或特定站點失敗:檢視 fake-ip 過濾清單、上游 DNS 是否被封鎖、或改以 redir-host 交叉比對。
- 驅動安裝被防毒攔截:暫停即時掃描並允許 Verge Rev 寫入驅動目錄,或改用企業核准的安裝包來源重新部署。
常見問題(精簡版)
問:每次開機都要手動開 TUN 嗎?
答:可以設定開機啟動客戶端並記住上次的 TUN 狀態;實際行為依版本與是否提升權限而異。若你希望完全自動化,請同時檢查 UAC 與工作排程是否允許靜默提升(需自行衡量安全風險)。
問:TUN 會不會比較耗電或耗 CPU?
答:相較於單純系統 Proxy,虛擬網卡路徑多了一层封包處理,理論成本略高;但在現代硬體上,多數使用者感受不顯著。若延遲明顯惡化,可改調堆疊或 MTU,並檢查是否啟用過於激進的日誌等級。
問:我該禁止 Windows 更新 DNS 設定嗎?
答:除非你知道自己在做什麼,否則不要在登錄檔硬鎖 DNS。優先讓 TUN 與設定檔的 DNS 段落協調一致,再視需要調整介面內的進階選項。
為什麼仍建議用 Clash 相容路線處理 TUN 與分流
市面上的「一鍵翻了就走」工具,常把虛擬網卡、DNS 與路由藏在黑盒子裡;短期雖省事,長期卻難以回答「為什麼只有這支程式不走代理」或「為什麼換了節點某個站還是直連」。相較之下,Clash Verge Rev這類仍隨 Mihomo 生態演進的客戶端,讓你維持對設定檔、規則與fake-ip行為的可見度:你可以按步驗證 Wintun 是否就緒、系統管理員權限是否到位,並在需要時調整 DNS 而不必完全仰賴封閉後臺。若你正在找的是「能接棒Windows 11上不吃系統 Proxy 的程式、又不必放棄對流量路徑的掌控」,Clash 這條開放相容路線在透明度與長期可維護性上,通常會比封閉商用打包軟體更有餘裕。