1 症状とよくある誤解
典型的な訴えは次のようなものです。「システムのプロキシはオン、Clash も起動しているのに、Edge や Chrome は問題ないのに、Microsoft Store が開かない」「Xbox アプリだけログインできない」「ストア経由で入れた UWP だけ通信エラー」といったパターンです。一方で、同じ PC 上の Win32 のブラウザや一部デスクトップアプリは普通に動く。
このとき最初に疑いがちなのはノード障害、ルールの誤り、DNS の漏れです。もちろんそれらも後から確認しますが、UWP 系にだけ症状が偏っている場合は、グローバルな「プロキシが死んでいる」より先に、UWP がローカルホスト上のプロキシに接続できるかを見た方が早いです。Windows はストアアプリ向けにネットワーク隔離(Network Isolation)を敷いており、既定ではループバック接続が制限されます。
Clash Verge Rev の初回セットアップはWindows インストールガイドを先に済ませ、システムプロキシとポートの基本が揃っている前提で読み進めてください。
2 プロキシ設定と UWP の二層構造
整理すると、第一層は「Windows にプロキシサーバー(多くは 127.0.0.1:ポート)が登録されているか」です。設定アプリの「ネットワークとインターネット → プロキシ」や、WinHTTP の設定と整合しているかを見ます。第二層は「UWP アプリが、そのローカルアドレスへの接続を許可されているか」です。ここがループバック例外(Loopback exemption)の話になります。
第一層だけ満たしていても、第二層でブロックされていれば、UWP はプロキシの前段にすら到達しません。ユーザーから見ると「プロキシを通っていない」「接続できない」に見えますが、実際にはClash が動いていても UWP だけが本機ループバックを使えない状態です。ルールやノードをいじる前に、この区別をはっきりさせるのがポイントです。
LoopbackExempt は同じ文脈で使われます。IPv4 の 127.0.0.1 や IPv6 の ::1 への通信を指します。
3 まずシステムプロキシを確認する
ループバックの前に、数分かけて第一層を確認します。Clash Verge Rev でシステムプロキシがオンになっているか、表示されている mixed ポートや HTTP ポートが、Windows のプロキシ設定と一致しているかを見ます。ブラウザで通常は問題ないサイトを開き、接続ログに想定どおりのポリシーが出るかも併せて確認します。
ここでブラウザも含めて全アプリが不通なら、購読の期限、ノードの TLS エラー、ルールの MATCH 先、DNS(FakeIP と DoH の整合)など、より一般的なトラブルシュートに戻ります。DoH と FakeIP の整理も参照してください。ブラウザだけが通るなら、次節へ進みます。
4 UWP がローカルプロキシに届かない理由
Microsoft Store から配布されるアプリや、パッケージ化された UWP はアプリコンテナで動作し、既定ポリシーではループバックへの接続が禁止されています。これは悪意あるアプリがローカルサービスをスキャンするのを防ぐための設計ですが、副作用として「ローカルで動くプロキシ」も同じ制約を受けます。
Clash Verge Rev がシステムプロキシとして 127.0.0.1 のポートを提示している場合、UWP はそのポートに TCP 接続しようとして失敗し、ストアや Xbox クライアントでは「ネットワークに接続できない」系のメッセージになりがちです。これは海外サイトに「届かない」というより、そもそもプロキシの入口に立てない状態です。
5 CheckNetIsolation でループバック例外を追加する
Windows に標準で入っている CheckNetIsolation を使い、対象アプリの パッケージ ファミリ名(Package Family Name) をループバック免除リストに登録します。操作には管理者権限のコマンドプロンプトまたは PowerShell が一般的です。
現在の免除一覧を表示
CheckNetIsolation LoopbackExempt -sパッケージを 1 件追加する例
Get-AppxPackage などで PackageFamilyName を調べ、次の形式で追加します(<PackageFamilyName> は環境に合わせて置き換え)。
CheckNetIsolation LoopbackExempt -a -n="<PackageFamilyName>"
Microsoft Store、Xbox、Xbox Game Bar など、必要なアプリごとにパッケージが分かれているため、使うアプリに応じて複数回登録する必要があります。コミュニティでは、開発者向けに Get-AppxPackage の結果をループして一括登録するスクリプトも共有されていますが、攻撃面が広がるので個人利用かつ理解した上でのみ検討してください。
6 Clash Verge Rev 側で揃えること
免除を入れたあとも、Clash 側でシステムプロキシがオンであり、ポート番号が Windows の表示と一致している必要があります。システムプロキシをオフにして TUN のみ使う構成に切り替えた場合は、UWP の挙動が変わることがあるため、接続ログと実機の挙動をセットで見ます。
クライアントの入手はダウンロードページから行い、GitHub Release 直リンクだけを唯一の入手元にしない運用を推奨します(検証可能な一次情報とセットで)。
7 TUN モードとの関係
TUN はルーティング層でトラフィックを取り込むため、システムプロキシの HTTP ポートに依存しない経路も作れます。ただし、すべての UWP が同じ挙動になるわけではなく、アプリの実装次第でプロキシ設定や別経路を使う場合があります。実務では、まずシステムプロキシ + ループバック免除で Store を確認し、必要に応じて TUN の有無を変えて比較するのがわかりやすいです。
TUN の詳細手順はTUN モードの解説記事と併読すると、管理者権限やサービスモードとのセットアップも追いやすくなります。
8 動作確認チェックリスト
- 問題の UWP を一度完全終了し、必要ならサインアウト/再ログイン。
- Microsoft Store でホームの更新や任意アプリのページが開けるか確認。
- Xbox や Game Bar を使う場合は、それぞれのパッケージに免除が入っているか確認。
- Clash Verge Rev のログで、該当ドメインが想定ポリシーに乗っているか。
- 特定ドメインだけ失敗するならルールと DNS に戻る。すべての UWP が完全オフラインなら、免除とポートの再確認。
この順で切り分けると、「ループバックのせいでプロキシに届いていなかった」のか「届いたあとルールや DNS で落ちている」のかが区別しやすくなります。
9 まだ失敗するとき
第三者のファイアウォールやフィルタドライバが UWP だけ別扱いしていないか、企業ポリシーでストアが制限されていないか、別の VPN がルートを握っていないかを確認します。ストアのエラーコードと Clash ログの時刻を突き合わせると、TLS 失敗なのかタイムアウトなのか切り分けやすいです。
10 まとめ
Windows で Clash Verge Rev のシステムプロキシを使うとき、デスクトップブラウザは問題なくてストア系 UWP だけが繋がらない現象は、UWP のループバック制限が典型原因です。CheckNetIsolation で必要なパッケージ ファミリ名を免除し、Windows のプロキシ表示と Clash のポートを一致させれば、多くのケースで Microsoft Store や Xbox クライアントが期待どおりプロキシ経由に乗ります。
ルールやサブスクリプションをいじる前に「プロキシの入口に立てるか」を切り分けると、トラブルシュートが論理的になります。Clash 系はログとコミュニティ資料が豊富なので、更新の続くクライアントとセットで運用するのが長期的には楽です。
インストールから環境までまとめて揃えたい場合は、ダウンロードページから入手し、本記事とインストールガイド、TUN 記事を順に当てはめてみてください。
