5 步定位故障层
按顺序排查,每一步都能淘汰一类原因。绝大多数问题在前 3 步就能找到。
-
2
-
3检查系统代理 / TUN 是否真正生效
桌面端:在客户端打开"连接"页(Connections),看是否有实时连接记录在出现。
- "连接"页有流量:代理在工作,看下面 DNS / 出口问题
- "连接"页空空如也:浏览器没用上代理。看原因 #2
-
5看客户端"日志"页
"日志"页关键字搜:
timeout/reject/no route/refused。日志会直接说明是 DNS、出站、还是规则被拦截。
7 大常见原因 + 解决方案
按出现概率从高到低排列。前 3 个能覆盖 80% 的情况。
最常见的情况。节点服务器宕机、机场服务器迁移、节点 IP 被目标地区封锁。节点显示在列表里不代表它能工作。
- 在节点组里点"测试延迟"刷新所有节点的可用性
- 挑一个延迟正常(< 500ms)的节点切换
- 晚高峰试试小众/付费节点;免费节点会被打爆
- 持续不可用就联系机场客服或查机场公告
客户端里的"系统代理"开关只是修改了系统注册表 / 配置,但浏览器可能:(a) 用自己的代理设置忽略系统设置 (b) 已经缓存了旧设置 (c) 系统设置写入失败。
- Windows:设置 → 网络和 Internet → 代理 → 确认"使用代理服务器"开启,地址为 127.0.0.1,端口与客户端配置一致(通常 7890)
- macOS:系统设置 → 网络 → 当前网络 → 详细信息 → 代理 → 确认"网络代理(HTTP / HTTPS / SOCKS)"已勾选并配置正确
- Firefox:默认不读系统代理,在设置 → 网络设置中选"使用系统代理设置"或单独配置
- 实在搞不定:直接切换到 TUN 模式(见原因 #3),绕过系统代理设置
两者同开会导致流量被绕两次:浏览器走系统代理 → 客户端 → TUN 网卡 → 客户端,造成无限循环或路由错乱。Windows 上还可能出现 DNS 飘忽不定。
- 日常上网、看视频 → 系统代理够用,资源占用低
- 玩游戏、用 Telegram、跑 Steam 下载、命令行 git → TUN 模式
规则模式下,客户端按规则集判断每个域名走代理还是直连。如果规则集错误地把目标域名归到 GEOSITE-CN 或私有 IP,访问就会走本地直连,自然连不上墙外站点。
- 临时切换"全局模式"测试,如果能上就是规则问题
- 在客户端"连接"页查看实际访问记录,看目标域名命中了哪条规则、走了哪个出站(DIRECT / 节点名)
- 更新订阅规则集(机场通常会维护一份最新的规则)
- 或在客户端"代理"页手动覆写策略组,把"匹配 → 代理"
特征:访问 IP(如 1.1.1.1)能通,访问域名不通。说明流量出站没问题,但 DNS 把域名解析到了错误的 IP(如 0.0.0.0 或国内 IP)。
- 客户端"设置 → DNS"中启用"DNS 劫持"或"Fake-IP"
- 把 DNS 上游改成
https://1.1.1.1/dns-query(Cloudflare DoH)或tls://8.8.8.8(Google DoT) - 启用 TUN 模式可以让 DNS 也走代理(更彻底)
- 清理浏览器 DNS 缓存:Chrome 访问
chrome://net-internals/#dns点"Clear host cache"
Windows Defender 防火墙、企业 EDR、360、火绒可能拦截客户端的 TCP/UDP 出站,或拦截 TUN 网卡。表现为节点测延迟全 ∞ 但网络本身正常。
- Windows 防火墙:控制面板 → Windows Defender 防火墙 → 允许应用 → 勾选 Clash Verge 的所有项
- 把 Clash Verge 安装目录加入安全软件白名单
- 临时关闭安全软件测试,确认是否是它的问题
- Linux:检查
iptables -L/firewall-cmd --list-all
节点本身可用,但其出口 IP 被目标网站(如 Netflix、ChatGPT、Google)的风控系统标记为代理/数据中心 IP,返回 403 / "该服务在你所在地区不可用"。这不是客户端问题。
- 换节点,特别是标注 "原生 IP" / "解锁流媒体" 的节点
- 访问普通网站(如 google.com、wikipedia.org)测试,能开即说明节点本身正常,只是当前出口对特定服务受限
- 付费机场通常提供专用流媒体节点
系统代理 vs TUN vs 全局 vs 规则
很多用户搞混"代理方式"和"规则模式"两个维度。它们是正交的,可以组合使用。
客户端修改系统的代理设置;浏览器和大部分桌面应用会读这个设置走 127.0.0.1:7890;不读代理设置的应用(如游戏、命令行 git)不受影响。
客户端创建一张虚拟网卡,让操作系统把所有 TCP/UDP 流量都路由进来;不需要应用配合,整机所有流量都走代理;需要管理员权限和服务模式。
按订阅自带的规则集决定每个域名走代理还是直连;国内站点直连、国外走节点;最推荐的日常模式。
所有流量都走当前选中的代理节点;国内网站也走,速度慢、流量浪费;只用于调试或特殊场景。
所有流量都不走代理;客户端仍在运行,但等于没开。用于临时关闭代理。
按平台的额外排查要点
- • Defender 防火墙最常见拦截源
- • 在"设置 → 网络 → 代理"确认指向 127.0.0.1
- • Firefox / 部分企业浏览器不读系统代理
- • 关闭"自动检测代理"避免冲突
- • 切换 Wi-Fi 后系统代理可能不自动启用,重开开关
- • TUN 模式首次启用需要授权 Helper
- • Safari 的代理总是和系统设置一致
- • Chrome 自带的 DNS-over-HTTPS 可能绕过代理
- • 不同桌面环境(GNOME / KDE)系统代理生效方式不同
- • 部分应用不读 GNOME 的 proxy 设置,需要
http_proxy环境变量 - • firewalld / iptables 检查放行规则
- • TUN 模式需要
cap_net_admin权限
- • 状态栏没钥匙图标 = VPN 未真正建立
- • 应用分流白名单别误把浏览器排除了
- • 国产 ROM 后台杀进程是最常见原因
- • 启用"始终开启 VPN"防止系统杀连接
求助前请准备这些信息
**客户端**:Clash Verge Rev v2.5.1
**系统**:Windows 11 23H2
**代理方式**:系统代理 / TUN
**规则模式**:规则 / 全局
**节点测延迟结果**:__ ms / 超时
**全局模式测试**:能上 / 不能上
**访问 1.1.1.1 IP**:能上 / 不能上
**客户端"日志"页关键报错**:___
**已尝试**:___- 连接页:有没有实时连接记录在产生
- 日志页:搜 error / timeout / refused 关键字
- 节点测延迟:刷新后看结果
- 规则页:实际命中规则与目标出站
- DNS 页:DNS 解析记录与上游