1 典型症状与先排除项
很多用户会把「TUN 开了但没网」直接归因于节点失效或规则写错。确实,订阅过期、策略组选错、DNS 与 FakeIP 不匹配都会导致类似现象。但若你已经确认:同一配置在关闭 TUN、仅开系统代理时大致正常;或重装客户端、更新 Mihomo 后问题集中出现在开启 TUN 之后,就值得把 Windows Defender 防火墙与当前连接的网络配置文件纳入排查。
常见组合包括:开启 TUN 后整台电脑外网全断;客户端内延迟测试全部超时,而任务管理器里能看到虚拟网卡或 Wintun 相关接口已出现;偶尔只有「本机作为代理网关」或「Web 控制台」连不上,而普通浏览正常。这些模式有时与出站规则未放行对应可执行文件,或专用网络未勾选有关,并不总是 Clash 配置本身的问题。
建议先做两步「低成本验证」:暂时关闭 TUN 改用系统代理,观察是否立刻恢复;以及在客户端日志里确认内核与 TUN 栈是否报错(例如无法创建接口、权限不足)。若仅系统代理正常,再继续读下面防火墙章节。若你使用 Clash Verge Rev 且尚未完成 Windows 端基础安装,可先对照《Clash Verge Rev Windows 安装教程》核对权限与启动方式。
2 为何防火墙会误伤 TUN
TUN 模式会在系统里增加一层虚拟网络接口,由内核或 Wintun 驱动把符合策略的流量送进 Clash(Mihomo)用户态进程。对 Windows 来说,这是「新的网络身份」加上「新的可执行文件路径」:首次运行时,Defender 可能弹出提示;若用户点了拒绝,或企业模板默认收紧,就会出现仅部分配置文件下阻断的情况。
防火墙规则分为入站与出站。日常上网以出站为主:浏览器、Clash 主进程向外发起连接,需要出站允许。若你启用了 allow-lan、外网控制器或局域网设备把网关指到本机,本机上的 Clash 还会监听端口,此时入站规则也会被牵涉。很多人只盯着「代理规则」与「DNS」,没有在「Windows 安全中心 → 防火墙和网络保护」里核对 Clash 主程序与内核进程,就会长时间卡在同一症状上。
3 专用网络与网络配置文件
Windows 11 把每个网络标记为专用或公用。Defender 防火墙对两类网络的默认策略不同:许多「允许应用通过防火墙」的勾选项会分栏列出,若当前 Wi‑Fi 或以太网被标成公用,而你只勾了专用,就会出现「换了个热点就全断」的现象。
操作建议:打开「设置 → 网络和 Internet → 属性(当前连接)」,确认配置文件。对家庭或信任路由器,可将常用网络设为专用,以便沿用你在防火墙里为 Clash 勾选的专用网络放行。若必须在公用网络下使用,记得在「允许应用通过防火墙」里同时勾选公用(需管理员权限更改),或改用更细粒度的规则,避免为了省事完全关闭防火墙。
部分公司设备由 Intune 或组策略统一下发,用户界面里显示为专用,实际仍可能被策略覆盖。若你同时在用企业 VPN,路由与「拆分隧道」会再叠一层复杂度,可对照《Windows 企业 VPN 与 Clash 同开》先理清流量走向,再回来看防火墙是否仍为瓶颈。
4 允许应用通过防火墙(专用网络)
这是最常用、也最适合按部就班截图交给朋友照做的一步。打开「控制面板 → Windows Defender 防火墙 → 允许应用或功能通过 Windows Defender 防火墙」(或在安全中心里进入同一页),点击「更改设置」后需要管理员授权。
在列表中查找你的 Clash 客户端主程序(例如 Clash Verge Rev 的可执行文件)。若列表中没有,使用「允许其他应用」手动浏览到安装目录下的 .exe。勾选专用;若你常在手机热点、咖啡厅等公用网络使用,再视情况勾选公用。保存后重启客户端与 TUN,观察是否恢复。
某些发行版会单独拉起内核或 helper 进程,路径与主界面不同。若放行主程序仍无效,可在任务管理器「详细信息」里查看实际运行的 .exe,对每一个参与联网的 Clash 相关进程重复上述添加。升级客户端后若路径变化,旧规则可能不再匹配,需要重新添加或清理重复条目。
5 何时需要入站规则
若你未开启局域网代理、也未从其他设备访问本机面板,通常入站需求较少。一旦出现以下场景,请检查入站:在 Clash 中打开了 Allow LAN,希望同网段手机或另一台电脑使用本机 mixed-port;使用 Yacd 等面板通过本机 IP 访问 external-controller;或把这台 Windows 当作旁路网关。
在「高级安全 Windows Defender 防火墙」中,可以新建入站规则:程序路径指向 Clash 主程序或实际监听端口的进程,操作允许连接,配置文件至少包含专用,端口可指定为你在配置里暴露的 TCP 端口(以你的 YAML 为准)。这样比全局放行端口更可控。
若仅本机 127.0.0.1 访问控制端口仍失败,先排除服务是否只监听 IPv4、以及是否被其它安全软件接管;入站规则对回环接口的行为在不同版本上略有差异,可结合客户端日志中的 bind 错误一起判断。
6 第三方安全套件与组策略
除系统自带防火墙外,许多「互联网安全套件」会插入自己的驱动与网络过滤层,表现为:Defender 里已放行,但流量仍被拦截;或仅 HTTPS 扫描与 Clash 的 TUN 栈冲突。此时需要在第三方产品里把 Clash 目录加入信任或排除,或暂时禁用其网络防护模块做对照测试。
企业环境中,IT 可能通过组策略禁止用户修改防火墙规则,或强制所有网络为公用配置文件。若界面无法更改,只能走工单或合规渠道申请例外。个人设备上,若曾使用「隐私优化脚本」批量导入规则,也可能误删默认出站允许,需要到高级防火墙里核对出站规则是否出现拒绝 Clash 的条目。
7 验证与对照清单
完成放行后,建议按下面顺序自测,避免把偶然恢复当成必然修好了:
- 断开并重新连接当前网络,确认配置文件仍为专用(若你依赖专用规则)。
- 完全退出 Clash 客户端后重新启动,先开 TUN,再打开浏览器访问国内外各一个站点。
- 在客户端内运行延迟测试,观察是否从「全部超时」变为部分节点可用。
- 若使用 Allow LAN,从另一设备访问本机代理端口,确认入站规则生效。
- 查看 Windows 事件查看器或防火墙日志(如已启用记录)中是否仍有阻断记录。
若 TUN 恢复但 DNS 异常仍存,可继续结合《彻底防止 DNS 泄漏》核对 FakeIP 与 DoH,避免把解析问题误判为防火墙。更全面的 TUN 路由与栈概念,可参考《Clash Verge Rev TUN 模式完全指南》。
9 总结
Windows 11 下 Clash TUN 模式「全无网」或「监听端口不可用」,在节点与订阅无异常时,经常与 Windows Defender 防火墙是否放行客户端可执行文件、当前网络是否落在专用网络配置、以及是否需要入站规则三件事相关。按「网络配置文件 → 应用出站允许 → 入站端口 → 第三方套件」的顺序排查,通常比盲目重写规则更快见效。
与 UWP Loopback、企业 VPN 分流等问题相比,防火墙拦截更偏向系统策略层;把层次分清楚后,同一台电脑上的 Clash 会稳定得多。持续维护的 Clash Verge Rev 配合清晰的日志与 Mihomo 内核,在定位这类系统交互问题时也更省心。
若你希望在一套客户端里同时用好 TUN、规则分流与 DNS 防护,从本站获取 Windows 安装包并逐步完成系统侧放行,整体体验会比零散搜索补丁式教程更连贯——相比其他同类工具,Clash 系在可观测性与社区文档深度上仍然更占优势。
