本页面向初/中级用户,围绕 Clash 内核(含 Mihomo/Clash.Meta) 与常见图形客户端的通用问题,涵盖下载获取、订阅导入、模式/策略组、DNS、TUN、端口、局域网共享、安全与排障。
1) Clash 是什么?与传统 VPN 有何不同?
Clash 是基于规则分流的代理内核/生态,支持多种协议与策略组,强调“按域名/IP/进程分流”。传统 VPN 通常是“全局一键”。Clash 更灵活,但需要订阅/规则与一定的配置理解。
2) 常见的 Clash 图形客户端有哪些?如何选择?
常见平台与客户端示例:
• Windows/macOS/Linux:Clash Verge Rev、Nyanpasu、部分历史版 CFW 等;
• Android:Clash Meta for Android、历史版 Clash for Android;
• iOS/macOS(移动端):Stash、Shadowrocket、Quantumult X 等(非开源,付费分发)。
选择时关注:是否在维护、是否支持 Mihomo、UI 易用性、TUN/脚本/规则生态与更新频率。
• Windows/macOS/Linux:Clash Verge Rev、Nyanpasu、部分历史版 CFW 等;
• Android:Clash Meta for Android、历史版 Clash for Android;
• iOS/macOS(移动端):Stash、Shadowrocket、Quantumult X 等(非开源,付费分发)。
选择时关注:是否在维护、是否支持 Mihomo、UI 易用性、TUN/脚本/规则生态与更新频率。
3) 使用 Clash 需要哪些准备?
- 一个合适的 客户端(桌面或移动端)。
- 有效的 订阅链接/节点(软件本身不自带)。
- 基本的 规则/策略组 概念与常见排障方法。
4) 首次如何导入订阅并开始上网?
打开客户端 → 配置/Profiles 新建远程订阅(粘贴订阅 URL)并设为当前 → 在 Proxies/策略组 选择合适节点 → 在主界面开启 系统代理 或 TUN(见下文区别)。
订阅更新被阻时,可临时切到 Global 全局模式再刷新,或使用“通过系统/内核代理更新订阅”。
5) Rule / Global / Direct 是什么?该用哪个?
- Rule(规则):按规则分流,日常推荐。
- Global(全局):所有流量走同一节点,适合排障或特定场景。
- Direct(直连):不经过代理。
6) 策略组(Proxy Group)有什么用?
策略组用于“按需切换”与“层层转发”,如
Auto(自动选择)、Manual(手选)、Fallback/URL-Test(健康检查),并可被规则引用,实现“不同业务→不同出口”。
7) DNS 的 redir-host 与 fake-ip 有何区别?
- redir-host:尽量返回真实 IP,兼容性更好。
- fake-ip:返回假 IP,结合 TUN 透明代理更强,但少数环境可能冲突;可用
fake-ip-filter排除敏感域名。
redir-host 起步,透明代理或复杂分流再评估 fake-ip。
8) 什么是域名嗅探(sniff)?需要开启吗?
嗅探会从传输中提取 SNI/Host(TLS/HTTP/QUIC),用于提升分流准确度。常见开关:
enable、parse-pure-ip、override-destination 等。若遇到特定 App 异常,可在 force-domain/skip-domain 中按域名白/黑名单微调。
9) 系统代理与 TUN 有什么区别?
系统代理写入 OS 的 HTTP/HTTPS/SOCKS 参数,覆盖大多数遵循系统代理的程序;TUN 通过虚拟网卡截获系统层流量,覆盖更彻底(对不读系统代理的程序也生效)。一般二选一;排障时可切换对比。
10) 订阅更新失败/被墙怎么办?
临时切 Global 后刷新;在订阅设置中启用“使用系统/内核代理更新”;更换网络(Wi-Fi/移动);确认订阅未过期或未被服务端限制。
11) 速度慢/不稳定如何优化?
- 在策略组中切换更优节点(观察延迟与丢包)。
- 避免与其他代理/VPN/加速器并行(会“叠加”导致异常)。
- 同步系统时间、排查 DNS 污染(必要时更换上游或开启 DNS 覆写)。
- 更换网络(移动/宽带/Wi-Fi 频段)。
12) 端口占用/冲突如何处理?
修改本地监听端口(
http-port/socks-port/mixed-port/dns-port 等)并重启;同时关闭其它占用相同端口的程序(浏览器扩展、加速器、旧代理进程)。
13) Allow LAN 与本地端口怎么用?
开启
allow-lan 后,同一局域网内其它设备可将你的 IP:端口 作为上游代理。为安全起见可绑定 bind-address、设置访问控制并限制网段。
14) Android 的“私有 DNS”、多 VPN 冲突怎么办?
Android 系统同一时间仅允许一个基于
VpnService 的应用接管流量;如需与去广告/安全类 App 联动,考虑通过本地端口级联。若出现“无网/仅 IP 可达”,请在系统设置将“私有 DNS”设为“自动/关闭”再试。
15) UDP(游戏/通话)不通如何排查?
需同时满足:节点与服务端支持 UDP;策略/规则未拦截;TUN/系统代理策略允许 UDP 转发。可更换支持 UDP 的节点或订阅,并在客户端开启相关选项。
16) external-controller 与面板如何更安全?
- 只在需要时监听
0.0.0.0;默认建议127.0.0.1:9090。 - 务必设置
secret强口令,必要时限制来源网段/CORS。 - 如启用外部面板(如 metacubexd),用
external-ui/external-ui-url指向,同时保密控制口令。
17) 日志在哪里看?怎么快速定位问题?
客户端通常提供 日志面板 或“打开工作目录”。提高
log-level 至 info/debug,查看规则命中、DNS 解析与握手失败原因;必要时最小化配置复现问题。
18) 如何备份与迁移?
最稳妥是保留 订阅链接,在新设备重新导入;如使用本地 YAML,可手动拷贝并在新客户端导入。不同渠道安装包签名可能不同,覆盖/回滚前先备份。
19) Clash 是否自带节点?是否开源?
Clash 内核与多数桌面客户端为开源或开源衍生,不提供任何节点;请合法合规获取订阅,自行导入使用。
20) 使用合规与风险提示
请遵守当地法律法规及各网站/应用的服务条款。若在公司/校园/受管网络环境使用,请确认 IT/网络策略允许相关流量。