TUN 模式用于把系统/应用全部流量透明转发进 Clash 内核(无需每个程序支持代理)。
1. 最小可用配置
tun:
enable: true
stack: system # 或 gvisor (兼容性差异:system 性能稍好)
dns-hijack:
- any:53 # 劫持 53 端口 DNS
auto-route: true # 自动设置路由
auto-detect-interface: true
建议同时参考: DNS 解析问题 以确保 fake-ip / dns 配置一致。
2. 启动权限要求
| 平台 | 权限 | 备注 |
|---|---|---|
| Windows | 管理员启动客户端 | UAC 弹窗需允许 |
| macOS | 首次需用户密码 | 可在系统 → 网络看到虚拟接口 |
| Linux | root 或 CAP_NET_ADMIN | systemd 可通过 Capability 授权 |
3. 常见冲突
| 冲突类型 | 现象 | 解决 |
|---|---|---|
| 其他 VPN / 加速器 | 启动失败或断流 | 先关闭其它驱动类软件 |
| 安全软件阻止 | 启动后无流量 | 加白/关闭防护再试 |
| 路由被修改 | 局域网不可访问 | 关闭 auto-route 手动写路由 |
| 虚拟机/抓包工具 | 设备消失或漂移 | 锁定主物理网卡 bypass 其它 |
4. 验证是否生效
- 启用后关闭浏览器代理设置仍可访问外网
ipconfig /all(Win) 或ifconfig(mac/Linux) 看到新增 TUN/TAP 设备traceroute目标站点,首跳为本机
5. 常见问题快速排查
| 问题 | 排查步骤 |
|---|---|
| 启用后仍需手动代理 | 是否真的启用了 tun.enable & auto-route |
| 局域网打印机访问不到 | 在规则前添加内网直连:IP-CIDR,192.168.0.0/16,DIRECT |
| DNS 解析错乱 | fake-ip 与系统 DOH 冲突,浏览器关闭自带 DOH |
| 游戏掉线 | 某些游戏需要保留直连/排除进程,参考 应用问题 |
6. 与策略/分流联动
搭配智能分组可减少无关流量:参见 策略组。
7. 优化 & 安全建议
- 不常切换网络时可关闭
auto-detect-interface降低波动 - 避免同时启用多种内核接管(如系统 VPN / WARP)
- 保持内核更新获取协议栈补丁
更多性能调优可参见 性能优化。