1 典型症状:客户端开着,却仍像「分流异常」
如果你已经在 Android 上启用了基于 VPN 的 Clash 客户端(或 Mihomo 内核)、订阅与节点显示正常,日志里也能看到部分连接,但浏览器打开某些站点时表现仍像没有按规则走:该代理的域名解析失败或走了意外出口,国内站点反而误走代理。很多人会第一时间怀疑规则集过期、FakeIP 未生效,或反复切换节点——却忽略了系统设置 → 网络和互联网 → 私人 DNS这一全局开关。
Android 私人 DNS从 Android 9 起成为系统级选项,可设置为「关闭」「自动」或「私人 DNS 提供商主机名」(例如指向某公共 DoT/DoH 服务)。一旦指定了提供商或某些 ROM 默认启用加密 DNS,应用的域名解析可能不经过你在客户端里为隧道配置的 DNS,从而导致DNS 解析结果与内核侧 dns、FakeIP 设计脱节,表面上就像分流异常或规则不生效。
这类问题与「客户端未接管流量」不同:VPN 图标亮着,但谁在做 DNS仍可能被系统抢先一步。排障时先把私人 DNS调到关闭或自动(视机型文案而定),再复测,往往比盲目改十条规则更快定位。
2 「私人 DNS」在系统层抢了什么
当 Clash 类客户端以 VPN 方式工作时,理想情况是:应用发起的 DNS 查询进入隧道,由内核按 dns 段与 FakeIP 策略统一处理。但 Android 私人 DNS会在网络栈更底层为整机指定解析路径——若指向第三方加密 DNS,查询可能直接发往公网解析商,而不走你在 Mihomo 里配置的 nameserver、fallback 链路。
在使用 enhanced-mode: fake-ip 时,内核依赖「先收域名、再返回虚拟 IP、再在连接阶段做策略」这一套链条;若部分应用已通过系统 私人 DNS提前拿到了「真实 IP」或不一致的结果,就会出现规则命中混乱、日志里域名与连接目标对不齐等现象。简言之:不是 Clash「坏了」,而是DNS 解析入口被系统设置截胡了,与桌面浏览器里的 DoH 抢解析是同一类问题,只是入口在「设置」里而不是 Chrome flags。
3 关闭私人 DNS,或改为「自动」(操作路径)
不同厂商(小米、OPPO、三星等)菜单文案略有差异,可在设置顶部搜索「私人 DNS」或「Private DNS」。以下为原生 Android 常见路径,供对照:
- 打开设置 → 网络和互联网(或「连接」)。
- 进入私人 DNS(部分机型在「更多连接设置」或「高级」下)。
- 选择关闭,或选择自动(Automatic / Private DNS provider hostname 留空),目标是不要填写固定的公共 DNS 主机名。
- 若曾选择「私人 DNS 提供商主机名」并填入例如
dns.google等,请删除主机名并保存。 - 切换移动数据与 Wi‑Fi 各测一次(部分 ROM 对两种网络分别记忆选项)。
- 返回 Clash 客户端,重新连接 VPN,再访问此前异常的站点。
修改后若仍怀疑缓存,可开关一次飞行模式或重启手机,再观察DNS 解析是否已与内核日志对齐。日常使用中,与 Clash 协同更稳妥的做法通常是:私人 DNS 关闭或自动,把「谁来解析」交给客户端内的 DNS 与规则统一调度。
4 与 Clash、FakeIP、客户端内 DNS 如何协同
将私人 DNS恢复为关闭或自动后,应用侧 DNS 查询更容易交给 VPN 隧道,由 Mihomo 的 dns 段与 FakeIP 统一处理,分流规则才能根据内核掌握的域名信息稳定命中。若你尚未检查内核侧配置,建议对照《彻底防止 DNS 泄漏:Meta 内核 DoH + FakeIP 最佳实践配置》核对 listen、fake-ip-filter、nameserver-policy 等是否与客户端「接管 DNS」选项一致。
安卓入门与订阅导入可参考《FlClash 安卓完整配置教程:从下载安装到订阅导入一步到位》,先把客户端工作模式与订阅弄清,再叠加上文 DNS 排障,避免多层问题纠缠在一起。
若同时使用私人 DNS与分流异常关键词检索仍无解,可再在日志中确认:访问异常站点时,域名是否出现在预期的策略组下;若域名从未按预期进入内核,优先仍是系统 DNS 未走隧道或应用自带 DoH(少数 App 自带加密 DNS),需分层排除。
5 双卡、工作资料与厂商定制菜单
部分国产 ROM 在「安全中心」「网络助手」里还有数据节省、联网管理或第三方 DNS 加速类开关,可能与系统 私人 DNS叠加;若仅关闭设置里的私人 DNS 仍异常,建议在同一网络面板下逐项关闭后再测。工作资料(Work Profile)场景下,个人与工作应用的 DNS 策略可能分离,需在对应配置文件中分别确认。
IPv6若未被隧道完整覆盖,可能出现解析拿到 AAAA、实际连接路径与 IPv4 不一致,症状与 DNS 问题相似;可在客户端与系统设置中一并核对 IPv6 开关,与《Chrome 和 Edge 安全 DNS 与 Clash 抢解析》一文中关于双栈的提示对照阅读。
6 验证与排错清单
- 单变量:只改私人 DNS为关闭或自动,客户端其余配置不动,看异常是否消失。
- 对照日志:连接同一站点时,内核日志中的域名、策略组是否与预期一致。
- 切换网络:Wi‑Fi 与蜂窝分别测试,排除路由器或运营商侧 DNS 劫持干扰。
- 与其他设备对比:同订阅在电脑正常、仅手机异常时,优先查安卓系统 DNS 与省电后台限制。
- 续航与后台:客户端进程被杀会导致隧道断开,症状类似「规则全失效」,可与《FlClash 电池优化》类文章交叉排查。
8 总结
Android 私人 DNS会在系统层指定加密 DNS,常见后果是与 Clash、Mihomo 及 FakeIP 所依赖的DNS 解析链错位,表现为分流异常、网页或 App 仍像直连。处理时应先在设置中将私人 DNS设为关闭或自动,避免填写固定公共提供商主机名,再按内核日志验证;内核侧仍需与 Meta 内核 DNS 最佳实践对齐,才能长期稳定。
相比堆砌域名规则,先统一解析入口通常更高效:系统归系统、内核归内核,分流才能按预期复现。若在多设备上使用 Clash,安卓端关掉私人 DNS与电脑端关掉浏览器安全 DNS往往是同一套逻辑的两扇门。
若你正在选型或更新客户端,可通过本站下载页获取各平台安装指引;开源仓库适合查阅协议与贡献方式,日常安装包仍以站内分发为准。
