1 典型现象与常见误判
很多用户描述问题时会说:「我已经把 Clash 打开了,系统代理也勾了,为什么浏览器能上,Microsoft Store 还是打不开?」或者 Xbox 应用、自带「邮件」、部分从 Microsoft Store 安装的 UWP 程序出现「无法连接」「检查网络」一类提示,而同一台电脑上,桌面版 Chrome、Edge 或第三方 Win32 浏览器却完全正常。
第一反应往往是怀疑节点挂了、规则没命中、DNS 泄漏——这些当然都要查,但若只有 UWP 家族应用异常,而传统桌面程序正常,优先级更高的其实是:系统代理是否真的写进了 Windows,以及 UWP 是否被允许访问本机上的代理监听端口(通常是 127.0.0.1 某端口)。后者在 Windows 上由网络隔离(Network Isolation)与Loopback 回环豁免机制控制,和你在 Clash 里选哪个节点、哪条规则,有时是两条并行线。
下面我们会把这两件事拆开:先确认「系统代理」这一层对整台机是生效的,再专门处理「UWP 不能连本机 Loopback」这一层。若你尚未安装或初次配置 Clash Verge Rev,可先对照《Clash Verge Rev Windows 安装教程》完成安装与基础代理开关,再回到本文处理 UWP 特有问题。
2 两层问题:代理写入与 UWP 回环
可以简单记一个对比:系统代理生效表示 Windows 把 HTTP/HTTPS 流量指向了你指定的地址和端口(例如 Clash 的 mixed-port);而 UWP 能否用起来,还要满足 UWP 沙箱允许访问「本机回环地址」这一额外条件。默认情况下,多数 UWP 应用禁止访问本机 Loopback,这是为了防止恶意应用扫描或攻击本机服务,但也顺带拦住了「代理跑在本机 127.0.0.1」这种最常见用法。
因此会出现一种非常典型的组合:系统代理里已经填了 127.0.0.1:7890(或你在 Clash Verge Rev 里配置的端口),WinHTTP 与遵循系统代理的桌面程序能走代理,但 UWP 在尝试连接同一地址时直接被网络栈拒绝或表现为「无网络」。这不是 Clash「没有代理」,而是UWP 根本碰不到本机代理端口。
127.0.0.1(以及 IPv6 下的 ::1)上的服务,与「代理规则是否分流到国外」无直接关系。
3 先验证系统代理是否真生效
在动 Loopback 之前,建议用两分钟确认「第一层」没问题。打开 Windows「设置 → 网络和 Internet → 代理」,查看「使用代理服务器」是否打开,地址与端口是否与 Clash Verge Rev 中显示的系统代理端口一致(注意 mixed-port、HTTP、SOCKS 在客户端里的对应关系,以你当前版本界面为准)。
再在 Edge 或 Chrome 中访问一个需要代理才能打开的页面,确认浏览器侧正常。若浏览器也失败,应优先检查 Clash 是否已启动、是否选对节点、订阅是否更新、规则是否把目标域名送到了错误策略组——这些属于「全局代理问题」,单靠 Loopback 无法解决。
当浏览器与常规桌面应用都正常,唯独 Store、Xbox、部分商店应用异常时,再进入下一节 Loopback 处理,可以避免把「规则/DNS」问题误当成 UWP 问题,浪费大量时间。
4 为何 UWP 默认不能访问本机代理
Windows 10/11 对从商店分发的应用(UWP 或打包成 MSIX 的应用)使用应用容器网络隔离。默认策略下,这些应用不能向本机回环地址发起连接,因此无法使用「跑在本机上的 HTTP/SOCKS 代理」,除非显式将对应程序包系列名(Package Family Name)加入回环豁免列表。
Clash Verge Rev 作为系统代理时,本质上是在本机监听一个端口;UWP 若不能访问 Loopback,就表现为应用无法联网或长时间加载失败,与「墙外网站打不开」的体感不同——后者往往是 DNS 或规则问题,前者更像是「这个应用压根没连上代理管道」。
5 用 CheckNetIsolation 做回环豁免
Windows 自带的 CheckNetIsolation 工具用于管理 Loopback 豁免。思路是:为需要走本机代理的 UWP 包单独添加豁免,或(在理解风险的前提下)批量为已安装应用添加。操作通常需要管理员权限的命令提示符或 PowerShell。
查询当前豁免列表
可先查看已有条目,确认是否重复添加:
CheckNetIsolation LoopbackExempt -s按包添加豁免(示例)
每个 UWP 应用对应一个包系列名(Package Family Name),形如 Microsoft.WindowsStore_8wekyb3d8bbwe(后缀因系统与商店版本可能不同,以下命令以你机器输出为准)。先在 PowerShell 中查询商店包名:
Get-AppxPackage *WindowsStore* | Select-Object PackageFamilyName
记下输出的 PackageFamilyName 字符串,再在管理员命令提示符或 PowerShell 中执行(引号内换成上一步的真实值):
CheckNetIsolation LoopbackExempt -a -n="Microsoft.WindowsStore_8wekyb3d8bbwe"
Xbox、Xbox Game Bar、Microsoft Store 等往往对应不同包名,可将 Get-AppxPackage 的筛选关键字改为 *Xbox* 等后重复上述两步,对需要联网的 UWP分别添加。
批量为已安装应用添加(谨慎使用)
社区中常见做法是在管理员 PowerShell 中对 Get-AppxPackage 结果逐条调用 CheckNetIsolation LoopbackExempt -a -n=...,以便一次性为当前用户已安装的 UWP 放开回环。这会扩大本机暴露面,仅建议在个人设备、且你理解安全含义的前提下使用;企业环境应遵循 IT 策略。
CheckNetIsolation LoopbackExempt -d -n="<PackageFamilyName>"。切勿执行 LoopbackExempt -c:在官方说明中该参数会清除本机全部应用的回环豁免,而非「列出列表」——查看列表应使用上文中的 -s。
6 Clash Verge Rev 侧要确认的几项
回环问题解决后,Clash 端仍要保证系统代理开关与监听端口一致。在 Clash Verge Rev 中确认「系统代理」已开启,且 Windows 设置里显示的地址与端口与客户端展示一致;若你改过 mixed-port 或关闭了系统代理仅使用 TUN,则「设置里的代理」与「客户端状态」必须同步,否则会出现部分应用仍走旧配置的现象。
若你使用局域网代理或Allow LAN让其他设备连接本机,请注意 UWP 回环问题只影响本机 UWP 访问本机端口;与局域网网段无关。DNS 方面,若 Store 仍解析异常,可结合本站《彻底防止 DNS 泄漏》检查 FakeIP、DoH 与规则是否协调,避免把「解析失败」误判成 Loopback。
下载与更新客户端请优先使用本站下载页,避免来源不明的安装包影响服务与权限。
7 可选:TUN 与 Loopback 的关系
部分用户会在开启 TUN 模式后发现某些 UWP 行为有变化。TUN 在路由层接管流量,与「系统代理指向 HTTP 端口」是不同路径;是否仍需要 Loopback 取决于应用实际如何出站、是否仍尝试连接本机代理地址。实践中,很多人是系统代理 + Loopback 豁免即可让 Store 正常;若你全面使用 TUN 并关闭系统代理,请以连接日志与表现为准,不必机械套用「必须开 Loopback」的单一结论。
若你希望终端、开发工具与更多非代理感知程序一并走代理,可继续阅读《Clash Verge Rev TUN 模式完全指南》,在理解路由与 DNS 的前提下与本文步骤配合使用。
8 验收清单:商店与 Xbox
完成回环豁免与代理核对后,建议按下面顺序做可复现验收:
- 重启一次有问题的 UWP 应用(或注销后重新登录),排除缓存会话。
- 打开 Microsoft Store,尝试刷新首页或打开任意应用详情页,观察是否仍报网络错误。
- 若使用 Xbox 应用或 Xbox Game Bar 登录与同步,分别测试账号与库加载。
- 在 Clash Verge Rev 日志中查看对应域名是否命中预期规则、是否有 TLS/连接超时。
- 若仅特定域名失败,再回到规则与 DNS;若所有 UWP 仍完全无法访问外网,再回到 Loopback 列表与系统代理端口是否一致。
把「系统代理生效」与「UWP 回环豁免」两步都打勾后,绝大多数「只有商店应用不行」的案例可以收敛;剩余个案再考虑企业策略、防火墙软件或第三方安全套件对 UWP 的额外拦截。
9 仍失败时怎么查
若 Loopback 已加、系统代理一致,但 Store 仍异常,可依次排查:第三方防火墙或「网络过滤」驱动是否对 UWP 单独拦截;Windows 更新与商店服务是否被系统策略禁用;是否使用了仅对部分进程生效的「环境变量代理」而 UWP 不继承;以及 Clash 规则是否将 microsoft.com、windowsupdate.com 等相关域名送到了错误出口或直连导致不可达。
记录具体错误码(如商店页面的错误代码)与 Clash 日志时间戳,有助于区分是 TLS 握手失败、连接超时还是 DNS 解析失败。相比盲目更换节点,先完成上述分层排查,通常能更快定位。
10 总结
Windows UWP 应用「不走代理」或「应用无法联网」,在已开启系统代理的前提下,常常不是 Clash 没有工作,而是UWP 默认被禁止访问本机 Loopback,导致无法连上跑在本机的代理端口。通过 CheckNetIsolation 为需要的应用包添加回环豁免,并与 Clash Verge Rev 中的系统代理端口、规则与 DNS 设置对齐,就可以把 Microsoft Store、Xbox 等场景与桌面浏览器拉到同一套排查逻辑里。
相比在规则里盲目加域名,先分清「系统代理是否写入」与「UWP 是否允许访问本机代理」两层,能显著减少无效尝试。对多数用户来说,这是 Windows 与 Clash 长期共存时值得记住的一次性配置;后续升级客户端或重装系统时,若 UWP 再次异常,优先复查本指南中的豁免列表与端口一致性即可。
若你仍在使用停更的旧客户端,迁移到持续维护的 Clash Verge Rev 并在本站获取安装包,在稳定性与问题排查上会省心得多——相比其他同类工具,Clash 系在规则透明度、日志可读性与社区资料上的综合体验仍然明显更友好。
