写给谁:和 TUN 入门、策略组文章的界线

如果你还没装好客户端或还不会导入订阅,请先走完《Clash Verge Rev 完整配置教程》;若你当前的卡点主要在代理页里哪个按钮切换节点url-test 测速看不懂,站内另有《Windows 版策略组与延迟测速》专门讲那条链路。

本篇只做单一功能点Clash Verge Rev Windows DNS 相关的fake-ipredir-host如何二选一或按需轮换校正,并让解析语义规则命中语义对齐。你知道的很多「玄学」——网页首开卡住一半、视频 CDN 永远不露面、TLS 握手重试刷屏——本质常常是DNS 平面与应用连接平面脱节,而不是单纯换一个港区节点就能消灾。

先把名词说清楚:你在改的其实不是「Windows DNS」

Windows「网络和 Internet → DNS」面板只管操作系统套接字层默认递归去哪问;而你读的这篇关注的是Mihomo/Clash Meta 内核在运行时如何通过配置文件里的 dns: 区块接管或协作域名解析enhanced-mode(历史语境里也常被口语叫作DNS 增强/劫持语义的一个旋钮)关心的核心是:当内核要对域名规则做判断时,它拿到的解析路径是否与随后的 TCP/UDP 建连一致

fake-ip思路可以理解为:对相当一部分域名先给一个占位性质的应答地址区间(常用私有小段),再由内核手里那本域名到会话意图的图谱去完成分流与实际远端握手。优点是域名维度信息与内核耦合得更紧,有利于减少解析绕过导致的分流误判感;缺点是一旦外层另有抢先解析或缓存视图不一致,你看到的现象会像连接面板有一条会话却怎么也打不开网页框里的具体内容

redir-host则更偏向:让劫持链路导向内核 DNS 模块处理后给出更接近「常规递归语义」的结果或等价路由路径(措辞按 Mihomo 实现演进理解为真实应答再配合内核路由的一类拓扑)。对部分强烈依赖拿到特定应答格式再进行下一步握手的软件栈来说,有时体感更接近关掉玄学滤镜的旧时代递归体验;但如果你TUN、浏览器 DoH、公司网关巡检 SSL多层劫持并行存在,也会出现重复劫持或环路感,那不是单靠换一个关键字即可一劳永逸。

💡

配置文件字段请以你机器上的 Mihomo 发行版本文档为准:内核若在相邻版本调整了默认值或字段别名,图形外壳仍会笼统称作DNS 增强/DNS 模式,但真正落地的仍然是YAML 语义

实战选型:什么时候先试用 fake-ip,何时优先考虑 redir-host

不讲教条时间表,给症状驱动的优先级若你已开启 TUN,并希望尽量少操心「哪个桌面进程又没挂上系统代理」这一类覆盖面话题,通常会先把内核 dns.enable 打开并把 enhanced-mode 配上再排查别的——这也是为什么站内 TUN 指南会把fake-ip / redir-host防泄漏叙事绑在同一小节语境里。

优先 fake-ip 来试一下的常见语境规则分流重度依赖域名、你希望连接面板看到的语义更接近内核的规则视图、你愿意和浏览器自带的加密 DNS 做取舍对齐值得优先考虑 redir-host 试水的一侧语境明确观察到内核映射应答与应用握手之间存在奇怪的错峰感、个别UWP/老式桌面客户端占位地址语义不买账、或在只挂系统代理不启用 TUN的对照实验里fake-ip 明显更不直观

两件事要记住:没有万能档位;切换后要用十分钟走完一整套你自己的高频域名矩阵验收(网银/流媒体/办公软件/CLI/Git),不要只 ping 一个 8.8.8.8 就宣称大功告成。

第一步:在 Verge Rev 主界面去哪编辑 dns

Windows 下启动Clash Verge Rev主窗口(可从任务栏托盘还原)。左侧一般有配置/Profiles(命名随翻译微调)一类列表视图:点选当前处于使用中标记的那份配置文件,再找打开编辑器/文本编辑/查看 YAML(措辞依版本)

如果你的订阅来自远端一键下发且不允许就地改写:不要被挫败感带走——优先改用外壳自带的 Merge/覆写/Patch/prepend(名称各异)只属于你的 dns 段附加在最后并由内核合并;这样既不会在每次刷新订阅时把手写块洗掉,也方便回溯。设置(Settings)页还可能收纳与 Mihomo 运行时常驻有关的补丁列表开关:原则是任何补丁优先级要你手写的那份 dns 最终真的能进到运行时快照

在主界面顶端模式仍为 RULE(规则)的前提下调试 DNS,比在Global(全局)迷雾里盲拧旋钮更可复盘:规则语义噪声更小,你还能对照策略组和出站链路日志定位到底是不是 DNS 这一层的问题

分步走:配置 enhanced-mode 为 fake-ip(Windows)

下面是可复述的顺序清单,你可以在侧边记事本打钩:

  1. 停一秒看一眼 Profiles:当前启用配置的名称与你即将保存的那份 YAML/补丁是否为同一对象;若不是,后面一切改动都是对空气告白
  2. 展开顶层 dns 对象:若没有就自己补上dns:缩进项。
  3. 写入 dns.enable: 设为true——语义等价于告诉内核你要动用这一套递归编排逻辑而不是全盘退回操作系统裸递归盲区
  4. 写入 enhanced-mode: fake-ip
  5. 收窄 fake-ip-range:不与局域网网段冲突、也不在你日常工作虚拟机/VPN/公司内部私有路由表里撞到火药桶的一段私有占位区间;站内示例曾与198.18.0.1/16一类小段同框出现于TUN 配合段落,你仍可照搬思路再自查重叠风险
  6. 补齐 nameserver 与 fallback:国内常用递归加密或跨国递归后备的组合要能在你所处宽带环境里实测可达——不要盲目堆砌十二个上游徒增超时链路抖动
  7. 保存→触发内核重载:日志尾部是否有 YAML 校验或监听端口报错;若无再用下文核验小节收尾
dns:
  enable: true
  enhanced-mode: fake-ip
  fake-ip-range: 198.18.0.1/16
  nameserver:
    - 114.114.114.114
    - 8.8.8.8
  fallback:
    - tls://8.8.4.4:853

这只是教学骨架真实世界里你还要不要把 GeoIP、nameserver-policy、fake-ip-filter(字段随内核演进)纳入与你订阅相匹配的工程契约——那块超出本篇字数红线太多,但心智模型请记住:上游选择与劫持语义是同一把双刃剑的两刃

⚠️

Windows Chrome/Edge「安全 DNS」或三方浏览器自建 DoH若仍开着强力绕过内核递归的路径,你很可能会在规则视图与实际握手视图之间看见断层感——请先对照《Chrome Windows 与加密 DNS》做一次减法试验。

分步走:切换到 enhanced-mode: redir-host(校正语义)

当你的结论是fake-ip 握手链路语义与你的高频工具矩阵相冲红色报错并不一定刷屏业务体感长期不干净利落地卡住进度条时——做一次受控对照切换 redir-host非常有信息量:

  1. 备份当前 YAML/补丁:给文件名打一个时间戳后缀;别把赌注压在记忆徒手撤回能力上。
  2. 仅改动 enhanced-mode 一行语义:fake-ip换成redir-host先不要乱砍 fake-ip-range,除非你确定新版本不再需要或与补丁语义打架
  3. 重新审视劫持链路叠加:TUN 开着的同时你还在别处装了第二层过滤器或杀毒 HTTPS 扫描,这一轮更应做二分对照排除环路候选因素
  4. 保存并重载内核:再跑与上一轮完全一致的一组域名矩阵验收路径变量越少越有信息量
  5. 对照连接日志或 Connections:同一域名在短时间内是否出现多套握手语义错峰;若错峰明显减少,这一轮校正才更像结构性改善而非撞上低谷负载时段的偶然。

核验闭环:别让 DNS、规则与挂载方式三套语境打架

系统代理路径:若你只依靠托盘图标挂载浏览器一类的 SOCKS/HTTP 代理口,要记得不是每一个桌面 exe 都会 honour 这套语义——UWP部分 Electron shell各有自己的绕过清单体质

TUN 路径:一旦透明接管链路生效,内核才有机会在更近的位置上对齐域名劫持语义;但若TUN、Hyper‑V虚拟交换机与公司合规网关多层 VLAN同时在场,请先用二分对照关掉最明显的第二层劫持噪声来源

务实的一次性核验心智模型(不是要你真复制粘贴命令):选同一境外 HTTPS境内网银 HTTPS各开一个无痕窗口并行体感计时;再在命令行工具、Git、Docker Pull(若你日常真的会打到)各跑一次体量可控的固定请求集合只有三套语义对齐时,再考虑收紧其它旋钮,避免连环误操作。

若你愿意多花两分钟读懂日志与连接行语义:可对照《Mihomo Party Windows 日志与连接面板》里的分步读字段思路(UI 措辞可能与 Verge Rev 略有差异),训练从会话回溯域名链条的习惯。

最容易翻车的一件事:订阅刷新洗掉手写 dns

无数人YAML 写得工整却复盘不出上一次成功经验,根因往往是远端订阅定时刷新覆盖了就地手写的 dns 段工程化解法是补丁分层:远端快照只管节点与机场骨架策略组,把dns、prepend-rules、TUN 细粒度项放进更高优先级、可被外壳保护的补丁平面

若你对 Merge 的优先级不熟:先在编辑器里全文检索 dns: 出现了几处——若缩进嵌套重复或同名键冲突,就要怀疑合并结果并不是你想要的运行时拓扑。这一条自检能甩掉大量社交平台上的玄学复读。

短文答疑:卡住时常问的半截句子

症状像是 fake-ip,又像浏览器缓存作怪怎么办

先做无痕窗口对照,并暂时关闭浏览器的加密 DNS(DoH)。若无痕明显改善而普通会话仍顽固,再按需清理站点数据或 DNS/HSTS 相关缓存(入口在各浏览器「隐私与安全」设置里)。别把所有异常都归因给 Mihomo,分层排除更快收敛。

公司办公 VLAN 场景还敢动 fake-ip 吗

合规优先:未取得IT 书面许可前,不要在企业内网劫持链路上叠加第二层实验性 DNS 行为;技术与法务边界都要遵守。

把 DNS 当成工程旋钮而不是桌面玄学挂件

不少停更久、二进制来源不透明的一键封装工具会用一句「全自动 DNS」掩盖劫持链路里究竟谁在解析、查询是否明文可见:短期省事,长期难以复盘与迁移纯浏览器插件也很难统一照顾非 HTTP 协议栈的应用流量;而只做全局隧道的一键 VPN又容易把境内外分流需求粗暴搅在一起

Mihomo/Clash Meta这条路把复杂度摊在可读 YAML、可观察的连接记录、可追溯的更新链条三件事上:你要学会把 dns.enhanced-mode策略组系统代理/TUN 挂载方式放进同一张心智图里对齐,之后会比四处打听「万能节点后缀」省时间得多。你可以继续用 Clash Verge Rev 这类与内核咬合紧密的外壳;若想从统一入口看清多端分发与文档索引,不妨 立即免费下载 Clash,开启流畅上网新体验