1 症状と誤解されやすい点
典型的には次のような訴えです。「TUN をオンにした瞬間から全体がオフラインになる」「システムプロキシだけでは一部のアプリが抜けていたが、TUN に切り替えると逆に何も通らない」「ノードの遅延テストがすべてタイムアウトし、ログには接続エラーが並ぶ」といったパターンです。ユーザー側の感覚では「ノードが死んだ」「プロバイダの購読が壊れた」と結論しがちですが、実際にはローカルでパケットを処理するプロセスが、OS のフィルタリングで足止めされているケースが一定数あります。
ことさらにポート開放やルータ設定を疑う前に、Windows 11 のコントロール プレーンに目を向けると早い場面があります。特にノート PC でカフェやゲスト Wi‑Fi に繋いだあと、プロファイルがパブリックのまま固定されていると、許可アプリに Clash が入っていてもプライベートのみ許可のチェックが外れており、結果としてブロックに見えることがあります。まずは「通信が通らない」ではなく「どのプロファイルの、どの実行ファイルが止められているか」に言い換えて切り分けると、試行錯誤が論理的になります。
クライアントの導入手順はWindows 向けインストールガイドで土台を固め、TUN の概念はTUN モード解説と併読すると、管理者権限や仮想アダプタの話がつながりやすくなります。
2 なぜ Windows Defender ファイアウォールが Clash に効くのか
Clash 系クライアントは、GUI 本体の .exe と、内包または同梱される Mihomo(旧 Clash Meta)コアの実行ファイルが別になっている構成が一般的です。アップデートのたびにパスや署名が変わると、Windows は「新しいアプリがネットワークに出ようとしている」とみなし、プロンプトを出したり、既定ポリシーに従ってブロックしたりします。TUN モードでは仮想アダプタ(Wintun など)経由でスタックに接続するため、ユーザーから見ると「急にすべてのアプリが同じ運命を辿る」ように見え、トラブルのインパクトが大きくなりがちです。
ファイアウォールは「悪意ある外向き通信」を止めるだけでなく、ローカルで Listen しているプロキシや API ポートへの着信にも関与します。LAN から別端末を受け入れる Allow LAN を使う構成では、受信側がブロックされると「PC 内では動くがスマホからは繋がらない」といった症状に分かれます。本稿の主眼は TUN による全捕りで詰まるケースですが、規則の考え方は受信・送信の両方で共通です。
3 まずネットワーク プロファイル(プライベート/パブリック)を確認する
設定 → ネットワークとインターネット → プロパティ(使用中のイーサネットまたは Wi‑Fi)を開き、ネットワーク プロファイルの種類を確認します。自宅や信頼できるルータに繋いでいるなら プライベート ネットワークが適切です。パブリックのままだと、「許可アプリ」でプライベートにだけチェックを入れているルールが実質効かず、結果としてブロックされることがあります。カフェやシェアオフィスでは意図的にパブリックのままにする判断もありますが、その場合はパブリックにも許可が及ぶよう、規則側を見直す必要があります。
複数の VPN や仮想スイッチが同居している PC では、プロファイルが想定とずれていることがあります。企業端末でドメインに参加している場合は「ドメイン ネットワーク」が絡むこともあり、個人利用の記事だけでは足りない局面もあるため、社内ポリシーと矛盾しない範囲で調整してください。企業 VPN と分流の記事では、ルート奪い合いの話も扱っています。ファイアウォール以前にデフォルト ルートが別トンネルに取られている場合は、そちらを先に疑います。
4 「ファイアウォールとネットワークの保護」から許可アプリを追加する
設定 → プライバシーとセキュリティ → Windows セキュリティ → ファイアウォールとネットワークの保護 → ファイアウォール経由のアプリを許可する(または「許可されたアプリ」)を開きます。一覧に Clash Verge や mihomo、clash-meta など、実際に通信に関与する実行ファイルが含まれているか確認します。無ければ 別のアプリを許可するから、インストール先の .exe を指定して追加します。GUI 本体だけでなく、タスク マネージャーで実際に動いている子プロセスのパスを見て、必要なら両方を登録するのが確実です。
各エントリでは プライベートとパブリックのチェックを状況に合わせます。信頼できる自宅 LAN のみで使うならプライベートのみでもよいことが多いですが、「パブリックのまま詰まっている」ならパブリック側も許可するか、先にプロファイルをプライベートへ直すか、どちらかが必要です。セキュリティと利便性のトレードオフになるため、公共ネットワークでは必要最小限に留めるのが無難です。
5 高度な設定(wf.msc)で送受信を確認する
実行ダイアログ(Win + R)に wf.msc と入力し、セキュリティが強化された Windows Defender ファイアウォールを開きます。送信の規則と受信の規則の両方で、ブロック系の規則に Clash 関連が引っかかっていないかをざっと眺めます。グループ ポリシーで「既定ですべてブロック」に近い構成になっていると、許可規則を個別に積む必要があります。
手動で直す場合は、新しい規則→ 種類としてプログラムを選び、対象の .exe を指定し、操作は接続を許可する、プロファイルは利用環境に合わせてプライベート/パブリックを選択、名前は後でわかるように Clash Verge outbound などと付けます。既存の「ブロック」規則が優先されている場合は、優先度や適用順の衝突がないかも併せて確認します。詳細ログが必要なら、一時的にログ設定を有効にしてドロップ理由を追う方法もありますが、家庭利用では手順 4 までで解決することが多いです。
6 受信規則(インバウンド)が効いてくる場面
TUN が「外向きの全キャプチャ」である一方、ローカルに開いている mixed ポートや SOCKS、外部コントローラ(API)へ、同一 PC 内の別プロセスや LAN 上の端末から接続する構成では、受信規則がボトルネックになることがあります。例として、スマホやゲーム機から PC の Clash に HTTP プロキシで向ける場合、PC 側ファイアウォールが SYN を落としていると「ノードではなく LAN 経路」で失敗します。当サイトの他記事でも触れているように、特定 TCP ポートをプライベート プロファイルに限定して許可するパターンが実務的です。
API やダッシュボード用ポートを LAN 公開する場合は、不要なら 127.0.0.1 バインドに留める、パスワードやトークンで守る、といった多層防御とセットで考えます。受信を広く開けるほどリスクは上がるため、「とりあえず全部許可」より、プログラムパスまたはポート+プロファイルでスコープを絞ることを推奨します。
7 Defender 以外のセキュリティ製品を挟んでいる場合
サードパーティのインターネット セキュリティスイートは、独自のファイアウォールや WFP コールアウト ドライバを挿入し、Windows 標準の一覧だけでは説明がつかない挙動を起こすことがあります。疑わしいときは、一時的に競合しそうなモジュールをオフにして挙動が変わるかを見る(製品のサポート情報に従い、可能な範囲で)と切り分けが早いです。完全無効化が難しい場合でも、「ネットワーク インスペクション」「HTTPS スキャン」をオフにすると改善する例はコミュニティでも報告されていますが、環境依存が大きいため再現テストが前提です。
会社支給 PC では、セキュリティ エージェントがプロキシやルートを強制していることもあります。その場合、手元の許可規則をいじっても上書きされるため、IT ポリシーに沿った申請や例外ルールが必要になります。個人利用と職場利用の境界を混同しないことが、長期的なメンテナンスコストを下げます。
8 ファイアウォール以外を疑うべきサイン
規則を緩めても改善しないときは、次のような別レイヤーを疑います。DNS(FakeIP と実アドレスの取り違え、DoH の経路)、ルールの MATCH 行き先、TLS の SNI/証明書エラー、システム時刻のずれ、複数 VPN のルート競合などです。ブラウザだけ通るが特定アプリだけ通らない場合は、UWP のループバック制限のほうが本丸であることも多く、ファイアウォールとは症状の語り口が似て非なります。
TUN オフ+システムプロキシのみでは動くが、TUN オンで全滅する場合は、仮想アダプタのドライバや管理者権限、競合する「全トラフィック VPN」が同時に有効、といったスタック側の衝突も調べます。ログのエラーコードと、ファイアウォールのイベントが時間的に一致するかを突き合わせると、原因の階層を落とし込みやすくなります。
9 実務チェックリスト
- 使用中のインターフェイスがプライベートか、意図したプロファイルか確認する。
- 「許可されたアプリ」に GUI とコアの双方の実行ファイルを入れ、チェックボックスを環境に合わせる。
- 更新後に exe のパスが変わっていないか、タスク マネージャーで実体を確認する。
wf.mscで送信/受信のブロック優先規則に引っかかっていないか眺める。- Allow LAN や外部からのプロキシ利用時は、受信側ポートの許可をプライベートに限定して足す。
- 第三者スイートを外したときだけ直るなら、そちらのネットワーク モジュールを重点調査する。
- それでもダメなら DNS・ルール・他 VPN・UWP を順に切り分ける。
10 まとめ
Windows 11 で Clash の TUN モードを使うとき、通信が一斉に止まる現象はノード障害だけに限りません。Windows Defender ファイアウォールが実行ファイル単位でブロックしている、あるいはネットワーク プロファイルと許可範囲が噛み合っていないケースを、いち早く疑うと復旧が早くなります。許可アプリへの追加、必要なら wf.msc での送信・受信規則、LAN 利用時のインバウンド限定許可——この三段を押さえれば、検索でたどり着く「ファイアウォール × Clash × TUN」の長尾ニーズにそのまま応えられる運用が組めます。
クライアントの導入からルール調整までを一気通貫で行うなら、GUI とログの両方が扱いやすい Clash Verge Rev が向きます。安定したビルドの入手は、検証しやすい公式配布元である当サイトのダウンロードページから行い、ソースや Issue を追う用途とは役割を分けると安全です。
同種のプロキシツールと比べても、Clash/Mihomo エコシステムはルール表現と可観測性のバランスが良く、ファイアウォールで一度通したあともログベースでチューニングしやすいのが強みです。環境依存の詰まりを減らしたい方は、本記事のチェックリストをブックマークし、トラブル時に順に当てはめてみてください。
