本文详解Clash绕过局域网的两种核心模式,对比TUN与系统代理的技术差异,介绍代理组配置及分流规则写法,提供完整配置示例与常见问题解决方案。
局域网绕过的核心原理
Clash绕过局域网指让客户端流量通过代理服务器转发,而非直接通过本地网络网关,默认情况下,Clash仅处理HTTP/HTTPS流量,想要实现更完整的流量接管,需要理解两种模式的底层差异。
TUN模式与系统代理的区别
系统代理模式仅接管应用程序发起的HTTP/HTTPS请求,适合浏览器、办公软件等常规场景,配置简单,无需额外权限,但无法处理UDP流量、游戏客户端、FTP等非HTTP协议。
TUN模式创建虚拟网卡,拦截系统所有流量(包括UDP/TCP),相当于在网络层建立隧道,适合游戏加速、VoIP通话、直播推流等场景,需以管理员权限运行,配置复杂度略高。
# TUN模式配置示例
tun:
enable: true
stack: system
dns-hijack:
- 8.8.8.8
- 114.114.114.114
auto-route: true
代理组类型选择
Clash代理组决定节点切换策略,需根据使用场景选择:
| 类型 | 原理 | 适用场景 |
|---|---|---|
| select | 手动选择节点 | 固定使用某节点 |
| url-test | 自动测速选择延迟最低 | 4K视频、日常浏览 |
| fallback | 优先使用列表首个,失效则切换 | 办公场景求稳 |
| load-balance | 轮询分发流量 | 多节点负载均衡 |
# 代理组配置示例
proxy-groups:
- name: 手动选择
type: select
proxies:
- 节点A
- 节点B
- name: 自动测速
type: url-test
url: http://www.gstatic.com/generate_204
interval: 300
proxies:
- 节点A
- 节点B
分流规则优先级
Clash规则按从上到下顺序匹配,命中后停止遍历,常用规则类型:
- DOMAIN:精确域名匹配
- DOMAIN-SUFFIX:域名后缀匹配
- IP-CIDR:IP段匹配
- GEOIP:国家/地区IP库
# 分流规则示例 rules: - DOMAIN-SUFFIX,google.com,自动测速 - DOMAIN-KEYWORD,netflix,手动选择 - IP-CIDR,10.0.0.0/8,DIRECT - GEOIP,CN,DIRECT - MATCH,手动选择
规则顺序建议:精确域名 → 域名关键词 → IP段 → GEOIP → 默认策略。
配置步骤
- 获取节点订阅链接或手动添加节点信息
- 打开Clash客户端,导入配置
- 根据需求选择TUN模式或系统代理
- 配置代理组策略(推荐fallback+url-test组合)
- 调整分流规则,添加常用域名
- 测试访问目标网站,确认生效
常见问题
现象:开启TUN模式后无法上网
原因:虚拟网卡与本地网络冲突,DNS被劫持异常
解决:检查TUN stack设置,尝试改为gvisor或system;确认DNS-hijack地址正确
现象:部分网站仍走本地网络
原因:分流规则未覆盖该域名
解决:在rules中添加对应DOMAIN-SUFFIX或DOMAIN-KEYWORD规则
现象:节点切换延迟高
原因:url-test间隔过长或测速URL响应慢
解决:缩短interval至300秒,更换测速URL
