1 症狀:TUN 開了卻像「整台斷網」
許多使用者在 Clash Verge Rev 或其他相容用戶端啟用 TUN 模式後,預期瀏覽器、終端機與遊戲啟動器都能依規則分流;實際卻可能是:工作列顯示仍連上 Wi‑Fi,但網頁打不開、延遲測試全部逾時、Discord 或 Steam 顯示離線。也有人描述為「只有瀏覽器勉強可用,其餘程式完全不走代理」,或「一開 TUN 連區網印表機都消失」。這類現象常被直覺歸咎於節點品質,但若同一訂閱在關閉 TUN、改純系統代理時立刻恢復,就值得把 Windows Defender 防火牆與網路設定檔納入同一張排查表。
與「規則寫錯導致特定網域直連失敗」不同,防火牆相關問題往往呈現全系統或大量程式同時異常,且在事件檢視器或防火牆記錄中可能看到對特定 .exe 的封鎖。您不需要先成為資安專家;只要依本文順序:確認 TUN 本身可用 → 放行正確的執行檔與設定檔 → 再驗證 DNS 與路由,就能把「被攔截」與「設定邏輯錯誤」分開,避免在論壇碎片建議之間無限試錯。
2 為何 Windows 11 防火牆會卡住 Clash TUN
TUN 會在系統內建立虛擬網路介面並改寫路由,使流量依 Mihomo/Meta 核心處理。Windows 對每個網路介面會套用 Windows Defender 防火牆規則,並區分私人、公用、(若網域加入則還有網域)等設定檔。當新介面被判定為「公用」或規則預設較嚴時,系統可能阻擋該介面上的連入/連出組合,或要求您明確允許某個程式通過防火牆;若用戶端當初安裝時按了「封鎖」,之後即使 YAML 正確,核心程序仍可能無法正常監聽或轉送,外觀就像 TUN「完全沒作用」。
此外,部分安全軟體會與 Defender 並存或改寫 Windows 篩選平台(WFP)規則,使您在圖形介面看到的「已允許」與實際生效不一致。本文以系統內建防火牆為主軸;若您裝了第三方防火牆,請在套用下列步驟後,於該產品介面中為 Clash 核心新增同等允許規則,或暫時以隔離環境比對行為差異。
127.0.0.1 進出;TUN 則讓封包經過虛擬介面與核心,觸發防火牆規則的機會更高。因此「系統代理正常、TUN 全掛」是防火牆疑慮的典型訊號之一。
3 動防火牆前:先排除 TUN 自身與權限問題
在新增任何規則之前,請先完成三件事,以免誤判為防火牆問題。第一,確認用戶端已以系統管理員身分啟動,或已依介面提示安裝/更新 TUN 驅動(不同版本用語可能為「服務模式」「TUN 元件」)。第二,暫時關閉其他會接管全系統路由的商業 VPN、零信任用戶端或虛擬機橋接實驗,避免兩套程式同時改寫路由表;若您必須併用,可參考站內企業 VPN 與 Clash 分流釐清誰該握有預設路由。第三,用工作管理員確認實際承載流量的程序名稱(常見為 mihomo.exe、clash-meta.exe 或您所用分支的自訂名稱),以便稍後在防火牆中指向正確路徑,而不是只勾到殼程式。
YAML 與 DNS 亦應快速掃過:若 fake-ip、dns-hijack 或 tun.auto-route 與官方文件明顯矛盾,可能出現「看似防火牆、實為解析鏈斷裂」。建議對照Clash Verge Rev TUN 模式完全指南與Meta 核心 DNS 防洩漏;當核心日誌已顯示規則命中、但作業系統層仍無封包時,再回到本文防火牆章節。
4 圖形介面:允許應用程式通過防火牆
開啟「Windows 安全性」→「防火牆與網路保護」→「允許應用程式通過防火牆」(或從控制台搜尋「允許應用程式」)。在清單中尋找您的 Clash/Verge 相關項目;若不存在,選「變更設定」後按「允許另一個應用程式」,手動瀏覽到實際執行檔(建議同時加入主程式與核心兩個路徑,若安裝目錄分離)。勾選時請注意區分私人與公用欄位:筆電連咖啡廳 Wi‑Fi 時,介面常被標為公用;若只勾私人而未勾公用,外出場景仍可能被封鎖。
若您曾誤按「取消」導致規則偏向封鎖,可在此移除錯誤項目後重新加入,或改用下一節的進階設定精準調整。完成後請完整結束 Clash 程序再重開,並重新啟用 TUN,觀察延遲測試是否恢復。若仍失敗,請不要急著重灌;先入「具有進階安全性的 Windows Defender 防火牆」檢視連線記錄與規則優先順序。
5 進階設定:為核心建立入站規則(必要時)
多數使用者只需「允許應用程式」即可;但若您啟用 Allow LAN、在區網分享代理埠、或某版本核心需接受本機其他帳戶/服務的連入,則可能需要在「進階設定」中新增入站規則。開啟 wf.msc,於「輸入規則」新增規則,類型選「程式」,路徑指向實際的 Mihomo/Meta 核心 .exe,動作選「允許連線」,並在「設定檔」頁面依環境勾選私人/公用(網域環境另洽 IT)。
若您不確定核心路徑,可在工作管理員對程序按右鍵→「開啟檔案位置」,複製完整路徑後貼到規則中。請避免使用萬用字元過寬的「通過所有程式」測試法當作永久方案;測試完應收斂為單一或少數執行檔規則。下列指令僅供管理員在需要時列出與防火牆相關的規則名稱片段,實際環境請替換關鍵字:
Get-NetFirewallRule | Where-Object DisplayName -match 'Clash|Verge|Mihomo' | Format-Table DisplayName, Enabled, Direction, Action -AutoSize若輸出為空,代表可能尚未建立具名規則,或規則使用通用名稱;可改以「顯示作用中連線」或事件記錄交叉比對。企業電腦若被群組原則鎖定,進階設定可能呈現灰色,需由管理員放行。
6 網路設定檔:把 TUN/乙太網路標成「私人」
Windows 11 可在「設定」→「網路和網際網路」中,針對每個介面將網路設定檔類型設為私人或公用。部分使用者安裝 TUN 後,系統會出現新的虛擬介面;若被標為公用,而您的防火牆規則僅允許私人,就會出現「偶發可用/換網路就掛」的狀況。請在介面內容中確認目前設定檔,並與上一節規則中的「設定檔」勾選一致。
家用或受信任區網通常適合私人設定檔;公共熱點則應維持公用並搭配較嚴規則,但此時更應以最小必要埠放行 Clash,而非全面放寬。若您同時使用 Hyper‑V、WSL 或 Docker Desktop,虛擬交換器也可能改變介面清單,請在變更路由軟體後重新檢查一次設定檔與防火牆勾選是否仍合理。
7 驗證與還原:確認是「防火牆這一刀」
驗證建議採對照實驗:在相同 YAML 下,先關閉 TUN、僅開系統代理,確認瀏覽器與 curl 行為正常;再開啟 TUN,若僅在第二種情境崩潰,則提高防火牆嫌疑。可短暫在「私人網路」設定中將 Defender 防火牆關閉測試一次(測完請立即開回),若關閉後 TUN 立刻恢復,幾乎可確定要調整的是規則而非節點。另可觀察用戶端日誌:若規則命中正常、延遲卻仍超時,亦可回到 DNS 與 MTU 議題。
還原時請刪除測試期間新增的寬鬆規則,保留「允許特定核心 exe」即可。若曾修改過第三方安全軟體,請同步還原,避免留下重複或衝突規則。整體目標是讓 Windows 11、Windows Defender 防火牆與 Clash TUN 模式在私人網路設定檔下達成一致允許,而非永久降低系統防護。
8 仍不行?與 UWP、DNS、企業 VPN 的界線
若只有 Microsoft Store、Xbox 等商店類應用異常,而 Chrome 與桌面程式正常,優先閱讀Windows UWP 與 Loopback,處理本機回環豁免而非防火牆全面放行。若只有特定網域失敗、其餘正常,請檢查規則順序與 Rule Provider 更新,必要時對照訂閱轉換與地理資料更新流程。
公司電腦若同時執行企業 VPN,分流與強制全隧道原則可能覆寫您的 TUN 路由;此時應與站內企業 VPN 與 Clash 分流一文對齊,而不是在個人本機無限加寬防火牆。最後,若您剛從其他用戶端遷移,亦可複習Clash Verge Rev Windows 安裝教學,確認服務模式與安裝目錄權限無誤。
9 常見問題
- 允許後仍全紅:確認規則綁定的是核心
.exe而非過期的捷徑路徑;並檢查公用/私人設定檔是否與目前 Wi‑Fi 一致。 - 只有區網裝置連不進來:與 Allow LAN、入站規則及路由器 NAT 迴環有關,需與「全系統無網」區分。
- 一更新用戶端又掛:新版本可能更換核心路徑,請重新在防火牆中指向新位置。
- 第三方防毒攔截:需在該產品內另建允許規則,僅改 Defender 可能不足。
10 總結
Windows 11 上 Clash 的 TUN 模式若出現整機無網或節點集體不可用,除了節點與 YAML,請把 Windows Defender 防火牆與私人網路/公用網路設定檔納入排查:先確認管理員權限與驅動,再在「允許應用程式」與必要時的入站規則中,對準真實的 Mihomo 核心路徑。相較盲目更換伺服器,用對照實驗區分「防火牆攔截」與「DNS/路由邏輯」能省下大量時間;與 UWP Loopback、企業 VPN 問題亦應分線處理,避免一次關掉所有防護。
若您需要與教學一致的安裝來源與版本基準,建議從本站下載頁取得 Clash Verge Rev,再依 TUN 與 DNS 專文微調;相較散落的外部連結,同一版本能明顯降低選項對不上的摩擦。相較其他同類工具,Clash 系列在規則可維護性與策略組彈性上,對需要長期調校 Windows 11 網路環境的進階使用者通常更順手。
