1 典型症狀:為何像「規則壞掉」
若您符合下列幾點,很值得優先懷疑瀏覽器安全 DNS是否已接管解析:Clash 日誌裡對某些網域幾乎沒有對應的 DNS 查詢或 FakeIP 流程,但分頁仍能開啟目標網站;或同一台電腦上,curl/其他程式走代理正常,只有 Chrome 或 Edge 行為不同;又或您剛升級瀏覽器、換了新設定檔,分流「前一天還好、今天突然不對」。這些現象容易讓人誤以為訂閱規則壞了、節點挂了,實際上卻可能是解析沒有經過 Clash 預期的路徑,導致後續連線與規則匹配脫鉤。
DNS 搶解析在此指的是:瀏覽器自行挑選 DoH 供應商並發起加密查詢,結果不再依賴您為作業系統或 TUN 所設計的「本機 DNS → 核心處理」順序。對使用 FakeIP 的設定而言,核心通常期待由自己完成域名到虛擬位址的對應,以便之後依域名做規則決策;若瀏覽器先拿到「真實」解析結果並直接連線,您會看到出口與規則不一致、或部分流量繞過策略組的表徵。
先把問題縮小:若症狀僅限於 Chromium 系瀏覽器,而其他應用程式在相同 Clash 設定下正常,請把「瀏覽器安全 DNS」列為第一輪檢查清單,通常比大改規則或換節點更省時間。
2 瀏覽器 DoH 與系統解析鏈:為何會「繞開」Clash
一般情境下,應用程式會透過作業系統的解析器查詢域名,若您已把系統 DNS 設為 127.0.0.1(或 Clash 所監聽的位址),這些查詢會進入 Clash/Mihomo 的 DNS 模組,再由核心依設定轉發到上游、或產生 FakeIP。然而 Chrome、Edge 等內建的「使用安全的 DNS」功能,可在啟用時改走瀏覽器選定的 DoH 端點,等於在應用層略過您為整機規劃的解析鏈。
和「系統代理/TUN」並存時的直覺陷阱
即使已開啟系統代理或 TUN,若 TLS 連線的目標位址與 SNI 是由瀏覽器透過獨立 DoH先行取得,仍可能出現與您預期不同的路徑組合:例如解析與連線決策沒有與核心的 FakeIP 流程對齊,規則看起來「對網域無感」。因此不是只有沒開代理才會出事,而是解析權責是否統一在 Clash 可見的鏈路上。
3 與 Clash FakeIP、DNS 模組的衝突(為何分流會「斷裂」)
FakeIP 的設計目標之一,是讓域名資訊在核心內保留,以便 規則分流依域名或規則集精準命中;當瀏覽器改用 DoH 直接向公共解析商取得結果時,等於在 Clash 之外完成了一輪「真實解析」,容易破壞您預期的解析—路由一致性。這也是許多使用者在論壇描述「開了 FakeIP 仍像沒開」時,最後發現是Chrome 安全 DNS或Edge 安全 DNS未關閉的原因。
站內Meta 核心與 DNS 防洩漏一文較側重核心設定、系統與裝置層的 DNS 與洩漏防護;本文則專注Chromium 瀏覽器內建 DoH這一層,兩者搭配閱讀可涵蓋「系統/核心/瀏覽器」完整鏈路。若您同時使用 TUN,也可對照TUN 模式指南確認流量是否確實進入核心。
4 Google Chrome:關閉「使用安全的 DNS」
以下為常見桌面版 Chrome 的路徑(實際選項名稱以您安裝版本為準)。建議在修改前完全關閉 Chrome 再重開,避免設定頁快取造成誤判。
- 開啟 Chrome,前往
chrome://settings/security(設定 → 隱私權和安全性 → 安全性)。 - 找到「使用安全的 DNS」區塊。
- 改選關閉,或選擇「使用您目前的服務供應商」(實際文案依版本而異,目標是不要讓瀏覽器強制使用內建 DoH 供應商列表)。
- 若曾安裝會修改 DNS 的擴充功能,請一併停用測試。
部分環境還會被群組原則或企業管理政策鎖定 DNS;若個人設定灰階無法變更,需向管理員確認是否下發了強制 DoH 或安全 DNS 政策。
5 Microsoft Edge:關閉瀏覽器安全 DNS
Edge 同樣基於 Chromium,路徑與 Chrome 類似,一般可從「設定 → 隱私權、搜尋與服務」中找到與安全性、DNS相關的開關。
- 開啟 Edge,前往
edge://settings/privacy,捲動至「安全性」區段。 - 關閉「使用安全的 DNS」或改為使用目前服務供應商/系統解析(依版本顯示為準)。
- 若使用公司或學校帳戶登入瀏覽器,請確認是否套用組織政策覆寫了您的選擇。
- 修改後建議關閉所有 Edge 視窗再啟動,並用無痕視窗做一次對照測試。
6 關閉後如何驗證(建議順序)
建議用可重現的順序驗證,避免同時改太多變因而無法歸因:
- 確認 Clash 仍正常運作、系統 DNS 指向本機(或您設計的上游鏈路未變)。
- 在 Chrome/Edge 關閉安全 DNS 後,以無痕視窗開啟先前異常的網站,觀察是否恢復走代理或符合規則。
- 開啟 Clash 日誌:重新整理頁面時,應能看見與該網域相關的查詢或連線紀錄(依您 FakeIP/嗅探設定而異)。
- 若網站使用大量子網域或 CDN,可搭配HTTPS SNI 與 Sniffer教學,確認規則命中依據是否一致。
驗證通過後,再把擴充功能逐一開回,確認沒有某一個外掛重新啟用 DoH 或改寫代理。若您需要穩定的桌面用戶端與核心版本,可從本站下載頁取得與教學一致的安裝包。
7 和「系統側 DoH」、Meta 核心教學的差異(為何要單獨寫一篇)
不少教學把「DNS 問題」混成同一鍋,但搜尋意圖其實不同:使用者若已讀過 Meta 核心與 FakeIP 設定,仍只在使用瀏覽器時翻車,往往是因為應用層多了一條 DoH 捷徑。本文明確對準 Chrome 安全 DNS、Edge 安全 DNS 與 Clash/Mihomo 的搶解析現象,補上關鍵詞與步驟,與僅討論核心 YAML、系統 DNS 的文章互補而不重複。
實務上可採「由近到遠」排查:瀏覽器安全 DNS → 作業系統加密 DNS → 路由器或上游 → Clash DNS 與 fake-ip 區塊。多數家庭使用者在前兩步就能解決「只有網頁不跟規則」的困擾。
8 仍異常時可再查的方向
- 其他 Chromium 瀏覽器(Brave、Vivaldi 等)是否有獨立的 DoH 或「安全 DNS」開關。
- Secure DNS 類企業外掛、防毒軟體的「安全上網」模組是否插入憑證或改寫解析。
- 僅特定網站異常時,優先對照規則順序與 Rule Provider 更新,而非假設全是 DNS。
- 若需長期維護訂閱與本地規則合併,可參考訂閱轉換教學降低人為設定錯誤。
9 總結
當 Clash、FakeIP 與系統 DNS 都已設定,卻只有瀏覽器流量「不聽規則」,請優先檢查 Chrome、Edge 是否啟用「使用安全的 DNS」這類 DoH 功能。關閉後,解析才容易回到您設計的鏈路,避免DNS 搶解析造成的分流斷裂。與站內 Meta 核心 DNS 專文搭配,可分別處理瀏覽器層與核心/系統層,排障路徑會清晰許多。
相較於反覆更換節點或整份訂閱,先統一誰負責 DNS通常成本更低、也更能長期維持穩定。若您尚未安裝或準備更新用戶端,建議使用本站下載頁取得與教學一致的版本;相較其他同類工具,Clash 系列在規則與 DNS 模組的可調空間上,對需要細緻規則分流的使用者往往更友善。
