Clash开启后浏览器无法上网？排查思路和解决方案

本文针对Clash开启后浏览器无法访问网络的问题,提供系统化的排查流程，从代理模式选择、分流规则配置到常见错误修正，帮助用户快速定位问题并恢复网络访问。

问题现象与常见原因

Clash开启后浏览器无法上网通常表现为：页面一直加载转圈、提示连接超时、部分网站无法访问，常见原因包括：

• 代理模式选择错误（系统代理/TUN模式未正确启用）
• 分流规则配置不当导致流量未走代理
• 代理组未正确绑定出口节点
• 本地端口被其他程序占用
• 订阅链接失效或节点全部离线

系统代理与TUN模式的核心区别

系统代理模式仅接管HTTP/HTTPS协议的流量，通过本地7890/7891端口转发，浏览器、命令行工具等支持系统代理的应用可以正常走代理，但不支持代理的应用（如游戏、UDP应用）无法使用。

TUN模式创建一个虚拟网卡，直接接管设备所有流量（包括UDP），适用于游戏加速、VoIP通话等场景，开启TUN模式后，系统代理设置中的127.0.0.1:7890可保持关闭状态。

# TUN模式配置示例（YAML）
tun:
  enable: true
  stack: system # 或 gvisor
  dns-hijack:
    - 8.8.8.8
  auto-route: true

排查步骤：按顺序执行

验证本地代理端口状态

打开命令行,执行以下命令检查端口是否被占用：

# Windows
netstat -ano | findstr "7890"
# macOS/Linux
lsof -i :7890

若端口被占用,需在Clash配置中修改port或socks-port参数。

检查代理模式是否匹配使用场景

打开Clash Dashboard（通常为127.0.0.1:9090），确认当前模式：

• 全局模式（Global）：所有流量走代理，适合临时测试
• 规则模式（Rule）：按分流规则判断是否走代理，推荐日常使用
• 直连模式（Direct）：全部直连，相当于关闭代理

验证代理组与节点状态

进入代理页面,检查：

• 代理组是否已选择有效节点（健康检查显示延迟）
• 自动选择组（URL-Test/Fallback）是否配置正确
• 手动选择组（Select）是否切换到可用节点

# 代理组配置示例
proxy-groups:
  - name: auto-group
    type: url-test
    proxies:
      - node-1
      - node-2
    url: http://www.gstatic.com/generate_204
    interval: 300
  - name: manual-group
    type: select
    proxies:
      - node-1
      - node-2

检查分流规则优先级

分流规则按从上到下顺序匹配,第一条匹配成功的规则生效，常见错误是将DIRECT规则放在前面，导致流量全部直连。

# 规则优先级示例（正确顺序）
rules:
  - DOMAIN-SUFFIX,google.com,auto-group
  - DOMAIN-KEYWORD,youtube,auto-group
  - IP-CIDR,8.8.8.8/32,DIRECT
  - GEOIP,CN,DIRECT
  - MATCH,auto-group

• DOMAIN-SUFFIX：匹配域名后缀（如google.com匹配mail.google.com）
• DOMAIN-KEYWORD：匹配域名关键词
• IP-CIDR：匹配IP段，适合内网或CDN节点
• GEOIP：按国家/地区分流，CN表示中国IP直连

代理组类型选择建议

常见问题FAQ

现象：浏览器无法上网，但Ping命令正常
原因：仅配置了系统代理，DNS未走代理导致域名解析失败
解决方法：在Clash配置中添加Fake-IP或使用TUN模式

现象：部分网站无法访问，提示证书错误
原因：HTTPS解密（MITM）未正确配置或证书未信任
解决方法：关闭MITM或安装Clash根证书

现象：开启TUN模式后本地服务无法访问
原因：TUN模式接管所有流量，本地服务被误代理
解决方法：在分流规则中添加0.0.1或168.0.0/16走DIRECT

节点选择与避坑指南

选择节点时需考虑实际使用场景：4K视频需要高带宽低丢包率线路，游戏加速需要低延迟线路，跨境办公需要稳定可靠的线路。

判断节点服务商是否靠谱,可观察：节点在线率是否稳定（高峰期是否掉线）、带宽是否达标（实际测速与标称是否一致）、是否有完善的售后通道，避免选择仅提供免费节点或过度营销的服务商。