Clash 代理配置完整教程
从安装客户端到成功访问 Google,全程 5 分钟,适合零基础用户。按照本教程操作,即可完成 Clash 的完整配置。
5 分钟上手 Clash
Clash 的配置流程分为四个步骤,按顺序操作即可。如果您已有订阅链接,全程不超过 5 分钟。
第一步 安装客户端
根据您的操作系统,前往下载页选择对应的客户端版本进行安装:
第二步 导入订阅链接
安装完成并打开客户端后,需要将代理节点的订阅链接导入到 Clash 中。
找到「订阅」或「配置」页面
在 Clash Verge Rev 中,点击左侧菜单的 订阅 选项卡;Android 版本点击底部的 配置 Tab。
粘贴订阅 URL
点击「新建」或「从 URL 导入」,将从机场复制的订阅链接粘贴到输入框中,给它起一个方便识别的名称(如「我的机场」)。
点击「更新」下载配置
点击「更新订阅」或「Update」按钮,Clash 会自动从订阅链接下载所有节点信息。下载成功后可在代理列表中看到所有可用节点。
选中该订阅配置
点击订阅卡片使其处于「激活」状态(通常会有选中标记或高亮显示),Clash 将使用该配置中的节点和规则。
第三步 选择代理模式
Clash 提供多种代理模式,新手推荐直接使用规则模式:
根据预设规则自动判断:国内网站直连,境外网站走代理。日常使用体验最佳,不影响国内网速。
所有流量都经过代理节点,包括国内网站。适合临时需要全部流量走代理的场景,会影响国内访问速度。
绕过所有代理,等同于不使用 Clash。用于临时关闭代理但不退出客户端的场景。
第四步 开启系统代理
代理模式选择完毕后,需要开启「系统代理」,让浏览器等应用的流量经过 Clash 处理。
打开「系统代理」开关
在 Clash Verge Rev 主页面的顶部,找到「系统代理」(System Proxy) 开关并打开。开关变为激活状态即表示成功。
验证是否成功
打开浏览器,访问 google.com。如果可以正常打开,说明配置成功。如果无法访问,请检查节点是否可用(尝试切换其他节点)。
查看连接日志(可选)
在客户端的「日志」或「连接」页面,可以实时查看流量的走向,方便排查问题。
什么是订阅链接
订阅链接(Subscription URL)是一个特殊的网络地址,包含了所有可用代理节点的配置信息。Clash 通过访问这个链接,自动下载和更新节点列表,无需手动逐个添加节点。
- 每个节点需要手动输入服务器地址、端口、密码
- 节点失效后需要手动删除和重新添加
- 机场更新节点时无法自动同步
- 一个链接包含机场全部节点,自动导入
- 点击「更新」即可同步最新节点
- 机场更换节点后,一键更新即可使用
https:// 开头,是一串较长的 URL。机场会在用户个人中心提供「Clash 订阅链接」,复制后粘贴到客户端即可。如何获取订阅链接
Clash 本身不提供代理节点,需要从第三方服务商(机场)处购买。获取步骤如下:
选择并注册一个机场服务
机场是提供代理节点的服务商。选择时建议关注:节点所在地区(日本/香港/美国等)、套餐带宽限额、价格(通常每月 ¥15–¥50 之间)。
购买套餐
选择适合自己流量需求的月度或年度套餐,完成支付后进入个人中心。
找到「Clash 订阅链接」
在机场个人中心,通常有「一键订阅」「导入 Clash」或「订阅链接」按钮。点击后会显示或自动复制一段以 https:// 开头的链接。
将链接导入 Clash
回到 Clash 客户端,按照上方第二步的说明粘贴导入即可。
更新与管理订阅
机场会不定期更新节点(扩容、替换被封节点等),建议定期更新订阅以获取最新节点。
手动更新
在客户端订阅页面点击「更新」或「刷新」按钮,Clash 会立即重新拉取订阅内容。
自动更新
大多数客户端支持设置自动更新间隔(如每 12 小时或每天),在设置中启用后无需手动操作。
多订阅管理
Clash 支持同时添加多个订阅(多个机场),在代理列表中可以自由切换不同机场的节点。
代理模式详解
规则模式(推荐)
规则模式是 Clash 最核心的功能,也是绝大多数用户应该使用的默认模式。
Clash 内置了一套基于域名和 IP 的分流规则,会自动判断每一个网络请求的归属:
全局模式
所有网络流量均通过代理节点转发,包括国内网站和应用。
直连模式
Clash 客户端保持运行,但所有流量均不经过代理,等同于暂时关闭代理功能。适合需要暂停代理但不想完全退出客户端的场景。
TUN 模式深度解析
TUN 模式是 Clash 最强大、也最值得深入理解的高级特性。它将代理能力从「应用层」提升到「操作系统网络层」,实现真正意义上的全流量接管,是游戏加速、UDP 代理、防止 DNS 泄漏等场景的首选方案。
系统代理 vs TUN 模式:本质区别
普通「系统代理」和 TUN 模式在工作层级上有根本差异:
- 浏览器、支持代理的应用
- 不支持 SOCKS/HTTP 代理的 App
- UDP 流量(游戏、视频通话)
- 命令行工具(curl、wget 等)
- 部分系统服务的流量
- 浏览器及所有支持代理的应用
- 不支持代理的 App(游戏客户端等)
- UDP 流量完整代理
- 命令行工具自动代理
- 所有系统网络流量
TUN 模式的工作原理
TUN 模式通过在操作系统中创建一个虚拟网络接口(通常命名为 utun 或 Meta),将系统路由表中的流量全部引导到这个虚拟接口,再由 Clash 内核接管处理。
最适合 TUN 模式的场景
游戏加速
游戏客户端(Steam、Epic、暴雪等)使用 UDP 协议,系统代理无法覆盖。TUN 模式可代理全部游戏流量,降低延迟、防止掉包,改善国际服游戏体验。
流媒体解锁
Netflix、Disney+、YouTube Premium 等平台会检测 IP 归属。TUN 模式配合精准的 IP 规则,确保媒体流量(包括 UDP)完整走代理,避免播放中断。
开发者工具
git clone、npm install、docker pull 等命令行操作默认不走系统代理。TUN 模式让这些工具无需配置即可享受代理加速。
防止 DNS 泄漏
系统代理模式下,DNS 查询可能绕过代理直接发送到运营商 DNS,暴露访问记录。TUN 模式接管 DNS 请求,配合 Fake-IP 彻底杜绝泄漏。
如何开启 TUN 模式
以管理员身份运行
右键点击 Clash Verge Rev 图标,选择「以管理员身份运行」。或在设置中开启「开机自启(管理员)」选项。
进入「设置」→「Clash 内核」
在客户端主界面点击左下角「设置」,找到「Clash 内核」或「TUN 模式」相关选项。
开启 TUN 模式开关
找到「TUN 模式」开关,点击启用。系统会弹出 UAC 权限请求,点击「是」允许安装虚拟网卡驱动。
验证是否生效
在网络适配器中可看到新增的「Meta」虚拟网卡,表示 TUN 已成功启动。此时打开游戏或命令行工具,流量将自动走代理。
开启「增强模式」或「TUN 模式」
在客户端设置中找到「增强模式(Enhanced Mode)」或「TUN 模式」,点击开启。
输入系统密码授权
macOS 会弹出密码输入框以修改系统路由表,输入开机密码后点击「好」。
确认网络接口已创建
在终端执行 ifconfig | grep utun,若看到 Clash 创建的 utun 接口,则 TUN 模式已成功运行。
在主页开启 VPN 按钮
点击 App 主页中央的大按钮(或「启动」按钮),系统会弹出「是否允许建立 VPN 连接」,点击「确定」。Android 上的 TUN 即通过 VPN API 实现。
(可选)配置绕过应用
在「设置 → 绕过应用」中,可以选择哪些 App 的流量不经过 TUN,例如银行类 App 可以加入绕过列表以避免风控。
Fake-IP 与 Real-IP:DNS 模式如何选择
TUN 模式下,DNS 解析策略会影响代理效果和性能,Clash 提供两种 DNS 工作模式:
Fake-IP 模式
Clash 对每个域名立即返回一个虚假的 IP 地址(如 198.18.x.x),应用立刻发起连接请求,Clash 再根据域名查询真实规则并建立连接。
Real-IP 模式
Clash 正常进行 DNS 解析,得到真实 IP 后再根据 IP 判断走直连还是代理。
开启 TUN 模式前必读
必须具备管理员权限
TUN 模式需要修改系统路由表,Windows 需以「管理员身份运行」,macOS 需输入系统密码授权,Android 需确认 VPN 权限。
移动端耗电略有增加
Android 通过 VPN API 实现 TUN,会比系统代理模式消耗更多电量。建议插电时使用,或仅在需要时开启。
注意银行与支付类 App
部分银行 App 会检测 VPN/代理环境,若检测到 TUN 模式可能拒绝登录。建议将银行类 App 加入「绕过列表」单独直连。
与其他 VPN 软件冲突
TUN 模式和其他 VPN 软件(如 WireGuard、OpenVPN)同时运行会产生路由冲突。使用前请先关闭其他 VPN 软件。
既然优点这么多,为什么不一直开着 TUN 模式?
这是一个非常好的问题。TUN 模式的优势建立在「更深层的系统权限」之上,而权限越深,代价也越高。以下是默认不建议长期开启的几个核心原因:
系统代理模式已能满足 95% 的日常需求
绝大多数用户的需求是:浏览器访问 Google、YouTube,使用 Twitter、Telegram 等 App。这些场景下,普通系统代理完全够用,TUN 模式的额外能力完全用不到。为不必要的场景引入更高复杂度,得不偿失。
TUN 接管「所有流量」是双刃剑
系统代理模式下,不走代理的流量(如国内 App)完全不受影响。而 TUN 模式接管了全部出口,任何配置错误都会导致所有网络请求出问题——包括国内网站、内网连接、公司 VPN 等。规则写错一条,可能让整台机器断网。
需要持续占用系统管理员权限
TUN 模式必须以管理员/root 身份运行并持续持有该权限。从安全角度看,一个长期以管理员权限运行的进程,一旦出现漏洞被利用,攻击者将直接获得系统最高控制权。对于普通日常使用,这是不必要的安全风险暴露面。
与企业内网、公司 VPN 天然冲突
很多办公场景需要同时连接公司内网 VPN(如 Cisco AnyConnect、GlobalProtect)。TUN 模式修改了系统路由表,会直接和企业 VPN 抢占路由,导致内网资源无法访问,或公司 VPN 完全失效。
移动端续航与发热的实际影响
Android 上 TUN 通过 VPN API 实现,意味着所有数据包都要经过额外的用户态处理,相比系统代理增加 CPU 唤醒次数。在长时间使用(如一整天后台运行)的场景下,电量消耗和机身温度有明显差异,尤其在低端设备上更为突出。
Fake-IP 会破坏部分本地服务
TUN 模式通常配合 Fake-IP DNS 使用。Fake-IP 会让局域网内的 mDNS 广播、Bonjour 服务(如 AirPlay、打印机发现)无法正常工作,因为这些服务依赖真实的本地 IP。对于经常使用智能家居、局域网共享的用户,这是一个隐性困扰。
- 日常刷网页、看 YouTube
- 使用 Telegram、Twitter 等 App
- 同时需要连接公司内网 VPN
- 使用银行、支付类 App
- 手机日常使用(省电优先)
- 玩国际服游戏(UDP 加速)
- 解锁 Netflix / Disney+ 等流媒体
- 大量使用 git / npm / Docker
- 对 DNS 隐私有严格要求
- 服务器 / 软路由透明代理部署
节点延迟测速
在 Clash 的「代理」页面,可以查看所有可用节点,并对其进行延迟测试:
进入代理/节点列表
点击客户端左侧菜单的「代理」选项,查看所有节点分组(通常按地区分组,如日本、香港、美国等)。
执行延迟测试
点击分组右侧的「测速」按钮(闪电图标),Clash 会对该分组内所有节点发起延迟测试。延迟数值越小越好(50ms 以下为优秀,150ms 以下可接受)。
选择低延迟节点
测速完成后,点击延迟较低的节点使其处于选中状态。已选中的节点会有标记高亮显示。
节点选择策略
Clash 支持多种节点选择策略,可以在代理分组设置中配置:
手动选择(Select)
默认策略,由用户手动点击选择使用哪个节点,完全自主控制。
自动选择(URL Test)
定期测试所有节点延迟,自动切换到延迟最低的节点,无需手动干预。
故障转移(Fallback)
按顺序使用节点,当前节点不可用时自动切换到下一个,保证连通性。
负载均衡(Load Balance)
将流量分散到多个节点,适合多连接场景,可提升整体吞吐量。
常见问题排查
无法连接到代理
- 检查当前选中的节点是否可用,尝试对节点进行延迟测速
- 切换到其他节点或其他地区的节点重试
- 确认代理模式为「规则模式」或「全局模式」(不是直连模式)
- 重启 Clash 客户端后再次尝试
- 检查订阅是否已过期,前往机场控制台查看剩余流量和到期时间
- 尝试「更新订阅」获取最新节点列表
- 检查系统时间是否准确(时间误差过大会导致认证失败)
开启代理后国内网站变慢
- 确认当前为「规则模式」而非「全局模式」——全局模式会让国内流量也走代理,导致变慢
- 若已是规则模式,尝试在设置中开启「TUN 模式」或「Fake-IP DNS」
- 检查是否有应用绕过了系统代理(部分应用需要单独配置)
手机端配置注意事项
Android
安装 APK 前需在「设置 → 安全」中开启「允许安装未知来源应用」。推荐开启 VPN 模式(即 TUN 模式)以实现真正的全局代理。
iOS
iOS 系统限制,必须通过 App Store 安装(Stash / Shadowrocket 等)。首次使用时会弹出「允许添加 VPN 配置」,点击允许即可。