什么是 TUN 模式?

在默认的"系统代理"模式下,Clash 通过修改系统的 HTTP/HTTPS 代理设置工作。这种方式只能代理遵循系统代理设置的应用(如浏览器),而命令行工具、游戏客户端、某些 Electron 应用等通常不会走系统代理,导致这些流量仍然直连,无法被代理。

TUN(TUNnel)模式通过在操作系统中创建一个虚拟网卡,在更底层的网络层面接管所有 TCP 和 UDP 流量。无论什么应用发出的网络请求,都会先经过这个虚拟网卡,再由 Clash 内核根据规则决定是否走代理。这实现了真正意义上的"全局代理",是目前最彻底的代理方式。

什么场景适合使用 TUN 模式?

  • 游戏加速:游戏客户端通常不走系统代理,使用 TUN 模式可让游戏流量也经过代理加速,降低延迟
  • 命令行开发工具:npm、pip、git、docker 等命令行工具默认不读取系统代理,TUN 模式可以解决这类工具在网络受限环境下无法访问外网的问题
  • Electron 应用:部分 Electron 框架开发的应用(如 VS Code 的部分插件更新)不走系统代理,TUN 模式可以覆盖这类流量
  • UDP 代理:系统代理模式不支持 UDP 流量代理,而 TUN 模式支持 UDP,对视频通话、在线游戏等 UDP 依赖型应用非常重要
  • 企业环境隔离:在特殊网络环境下需要将所有流量都路由到特定代理时,TUN 模式是最可靠的选择

Windows:在 Clash Verge Rev 中开启 TUN

Windows 下开启 TUN 模式需要管理员权限,Clash Verge Rev 会自动处理权限请求:

  • 确保 Clash Verge Rev 已正确安装并导入了有效的订阅配置
  • 点击左侧导航栏"设置"(Settings)选项卡
  • 在"系统设置"区域找到 "Tun 模式" 开关,点击启用
  • 系统会弹出 UAC 提权对话框,点击"是"授予管理员权限
  • Clash Verge Rev 会自动安装 Wintun 驱动程序(仅首次需要),完成后 TUN 开关变绿即代表已启用
💡

Windows 下 Clash Verge Rev 使用的是 Wintun 驱动,比旧版 TAP 方案性能更好、兼容性更强。若启动失败,可在设置中将 TUN 堆栈模式切换为 gVisorMixed 再试。

macOS:在 Clash Verge Rev 中开启 TUN

macOS 开启 TUN 模式同样需要系统权限,步骤如下:

  • 打开 Clash Verge Rev,进入"设置"页面
  • 找到"Tun 模式"并开启
  • macOS 会提示需要在"系统偏好设置 → 安全性与隐私"中允许相关网络扩展,按提示前往设置页面并点击"允许"
  • 首次允许后通常需要重启 Clash Verge Rev 才能生效
  • 开启后,可在"活动监视器"中确认是否存在名为 utun 的虚拟网卡
⚠️

macOS 14(Sonoma)及以上版本对系统网络扩展的权限管控更为严格,安装网络扩展后可能需要在"系统设置 → 隐私与安全性 → 网络扩展"中手动允许。

Android:在 Clash for Android 中开启 TUN

Android 系统原生支持 VPN 接口,Clash for Android 利用 VpnService API 实现类 TUN 的透明代理效果,操作更为简便:

  • 打开 Clash for Android,确保已导入有效配置
  • 在首页点击大开关,系统会弹出 VPN 连接请求对话框
  • 点击"确定"授权,此时 Clash 即以 VPN 模式(实质等同于 TUN 模式)运行
  • 状态栏出现 VPN 图标(钥匙图标)即代表已成功开启

TUN 堆栈模式选择

Clash Verge Rev 的 TUN 设置中提供了三种堆栈模式,不同场景下各有优势:

  • System(系统堆栈):直接使用操作系统内核的 TCP/IP 协议栈,性能最高,兼容性最佳,推荐大多数用户使用
  • gVisor:使用 Google 的 gVisor 用户态网络堆栈,与系统内核完全隔离,稳定性更高,但 CPU 占用略高
  • Mixed:混合模式,TCP 使用 System 堆栈,UDP 使用 gVisor,兼顾性能与稳定性,适合有 UDP 代理需求的场景

配合 TUN 使用的 DNS 设置

开启 TUN 模式后,DNS 解析的处理方式会有所改变。为避免 DNS 泄漏(即域名解析不经过代理),建议在配置文件中启用 enhanced-mode: fake-ipredir-host DNS 模式。以下是推荐的 DNS 配置片段:

dns:
  enable: true
  enhanced-mode: fake-ip
  fake-ip-range: 198.18.0.1/16
  nameserver:
    - 114.114.114.114
    - 8.8.8.8
  fallback:
    - tls://8.8.4.4:853
    - https://cloudflare-dns.com/dns-query

其中 fake-ip 模式通过返回伪造 IP 地址避免 DNS 泄漏,而 fallback 中的 DNS over TLS/HTTPS 配置用于境外域名的加密解析。

TUN 模式常见问题

流量回环(无法访问所有网站)

开启 TUN 后若所有网站都无法访问,可能是 Clash 自身的流量也被 TUN 拦截导致回环。解决方法是在配置文件中将 Clash 相关进程加入直连规则,Clash Verge Rev 新版本已内置自动处理逻辑,一般不再出现此问题。

游戏延迟反而升高

TUN 模式本身不直接加速游戏,只是让游戏流量也经过代理。若游戏延迟升高,需要检查所选代理节点是否适合游戏场景——推荐选择 BGP 优化线路或专线节点,而非普通大带宽节点。

Android 耗电增加

Clash for Android 使用 VpnService 运行时会持续保持后台唤醒,这是 VPN 类应用的普遍特性,无法完全避免。建议在不需要代理时关闭 Clash,或将常用应用加入绕过列表减少代理流量。

为什么 Clash Verge Rev 的 TUN 体验最好

市面上不同的 Clash 客户端在 TUN 模式的实现质量上差异较大。旧版 Clash for Windows 的 TUN 实现较为粗糙,内存占用高,且长时间运行后偶有崩溃。而 Clash Verge Rev 基于 Mihomo 核心的 TUN 实现进行了专项优化:支持 Wintun 驱动(Windows)、轻量高效的 gVisor 堆栈,以及 DNS 流量的精准拦截与分流。在实际使用体验上,Clash Verge Rev 的 TUN 模式稳定性明显优于旧版客户端,长时间运行几乎没有内存泄漏问题,开启和关闭 TUN 的切换也更为流畅。如果你此前在其他客户端上体验过不稳定的 TUN 模式,不妨换用 Clash Verge Rev 再试一次。