Clash Android 分应用代理:指定 App 走代理的勾选与连通验证
很多人真正想要的是「少数几个 App 走代理,其余全部直连」:例如只让浏览器、Telegram、微信国际版或某办公套件出境,银行与视频 App 仍走家宽;也有人反过来,希望竞技类游戏保持直连,而社交与工具走代理。与 PC 上写进程规则不同,Clash Android 系列客户端通常在图形界面里提供应用列表与分应用代理(按应用分流 / Per-App VPN)相关选项。本文用「勾选—生效—验证」的顺序,把仅代理选中应用与绕行名单两种心智模型讲清楚,并说明它们与规则模式、TUN、全局代理如何叠加,最后给出可重复的连通验证步骤,避免「以为勾了其实全机仍在隧道里」的错觉。
为什么「分应用」是 Android 上的高频刚需
手机上的应用远比桌面碎片化:同一台设备上既有需要稳定低延迟的游戏,也有必须访问特定区域 CDN 的浏览器标签,还有对出口 IP 极其敏感的银行与政务类 App。如果把整台手机长时间挂在「全局走代理」上,轻则耗电与发热,重则触发风控提示、支付二次验证或游戏匹配异常。更现实的需求往往是按应用粒度做决策:哪些二进制产生的流量交给 Clash 虚拟网卡与策略组,哪些流量在勾选层面就被排除在 VPN 隧道之外,从系统视角直接回到默认网络栈。
在 Clash 生态里,域名与 GeoIP 规则解决的是「这条连接理论上该走哪条策略」;而 Android 客户端里的应用列表解决的是「谁发起的连接允许进入本客户端托管的 VPN 接口」。两层配合时,常见组合是:规则模式(Rule)负责细粒度目的地分流,分应用开关负责缩小进入隧道的应用集合。只理解其中一半,就容易出现「规则写对了但某 App 根本没进隧道」或「隧道里仍然是全机流量」的错位感。
- 仅代理选中应用:白名单思维,适合「绝大多数 App 直连、少数出境」。
- 绕行 / 排除名单:黑名单思维,适合「默认都走代理,但游戏与银行必须直连」。
- 与订阅规则的关系:应用列表过滤的是「进不进 VPN」;进去之后,仍由
rules与策略组决定走DIRECT还是PROXY。
全局、规则、TUN 与分应用:先对齐概念再动手
不同 fork 的菜单文案略有差异(例如 Clash for Android、Clash Meta for Android 等),但底层都绕不开 Android 系统对 VPNService 的限制:要么由 Clash 创建一条系统级 VPN,接管允许范围内的流量;要么退回仅对遵守系统代理的应用生效(在手机上往往覆盖很差)。因此,大多数用户要实现可靠的分应用效果,需要开启基于 VPN 的实现,在部分客户端里对应「网络栈 / TUN」或「系统 VPN」一类开关。
全局代理通常指「所有进入隧道的连接默认命中同一策略组或最终 MATCH 到代理」,它并不自动等价于「全机每一个 App」——若你启用了仅代理选中应用,那么全局的对象是已进入隧道的那部分流量。反过来,规则模式再精细,也管不了从未进入 Clash 隧道的应用。先把「谁进隧道」与「进隧道后怎么走」分开,后面排查会省大量时间。
| 层级 | 典型设置 | 解决的问题 |
|---|---|---|
| 系统 VPN 入口 | 启动、授权 VPN、分应用名单 | 哪些 UID/应用把流量交给 Clash |
| 运行模式 | Rule / Global | 进入隧道后按域名/规则如何匹配策略组 |
| 内核与 DNS | fake-ip、DNS-hijack、TUN 栈 | 解析与首包路径是否与规则一致 |
心智模型
把应用列表想成俱乐部门禁:名单决定谁能进门;进门之后规则模式再决定这位客人去吧台(代理)还是后门出去(直连)。没进门的人,俱乐部门口的规则写得再漂亮也与他无关。
动手前:版本、订阅与权限基线
在折腾分应用之前,请确认订阅已成功导入且至少有一个可用节点,否则你会把「应用没进隧道」与「进了隧道但节点不通」两种故障搅在一起。若你仍卡在订阅下载或更新失败,请先按 《Clash Android 订阅导入失败排查》 建立可用基线。电视或盒子用户若通过侧载与遥控器管理订阅,可参考 《Android TV 侧载与远程导入》,但手机上的应用多选界面通常更直观。
系统侧建议提前处理:关闭省电对 Clash 的后台限制(各厂商叫法不同)、允许开机自启(若你需要常驻)、在首次启动 VPN 时点选信任/确定。MIUI、HarmonyOS 等可能对「后台弹出界面」与「关联启动」额外拦截,若你发现「切换分应用后立刻不生效」,优先在系统设置里为 Clash 放开后台活动与显示在其他应用上层(若客户端提示需要)。
合规与边界
分应用代理是设备本地网络路由工具的一种配置方式。请在你有权使用的网络与账号前提下使用,并遵守当地法律、服务条款与雇主策略。本文不提供绕过付费墙或规避平台安全机制的操作指引。
图形界面操作:从应用列表到「仅代理选中应用」
以下步骤按主流 Clash Android 客户端的通用结构描述;若你的界面文案不同,请在设置中搜索「应用」「分应用」「绕行」「Bypass」「Access」等关键词定位同级菜单。
推荐操作流程(白名单:少数 App 走代理)
- 打开客户端,确认配置已加载,先不要急着开全局。
- 进入「设置」或「网络」相关分区,找到 VPN/系统代理/TUN 中与 Android VPN 相关的总开关说明,理解本客户端要求的开机顺序(有的需要先选节点再一键启动)。
- 找到 分应用代理 / 应用分流 / Per-App 或 访问控制类入口,打开开关。
- 在模式上选择「仅代理所选应用」或语义等价的「白名单 / Filter allow list」——注意与「绕行名单」相反。
- 在应用列表中勾选目标 App(浏览器、Telegram、指定游戏启动器等)。系统应用若未显示,可能需要打开「显示系统应用」类开关。
- 返回主页,选择 Rule 规则模式(除非你明确需要全局),再启动 VPN。
- 用下文「验证」段落交叉确认:未勾选 App 的出站 IP 应仍接近运营商家宽。
黑名单(绕行)模式适合「默认都代理,只把少数国产游戏、局域网工具、企业 VPN 客户端排除」。勾选逻辑与白名单相反:出现在绕行列表中的 App,其流量不经过 Clash 创建的隧道接口。若你发现某个游戏延迟异常高,先检查它是否误进了隧道,再考虑把它加入绕行而不是盲目换节点。
与桌面端类似,浏览器与 WebView有时并不是你在桌面图标里点开的那个进程:某些应用内嵌网页组件,流量可能显示为宿主 App 的 UID。若「浏览器已勾选但仍不走代理」,请在客户端日志或连接列表里看实际 UID/包名是否命中,而不是仅凭图标猜测。
反向场景:游戏直连、社交走代理如何落地
这类需求通常是黑名单 + 规则模式的组合:默认让更多流量进入隧道,由订阅里的国内外分流规则决定社交软件走代理;同时对延迟敏感的竞技游戏使用绕行名单,让游戏进程完全绕过 Clash VPN,从系统默认路由直连运营商到游戏服务器。优点是游戏侧最少意外;缺点是「默认进隧道」的应用更多,耗电与后台唤醒往往更高。
若你希望更省心地缩小隧道范围,也可以回到白名单策略:只勾选 Telegram、Discord、浏览器等待代理 App,游戏不勾选从而天然直连——这时规则里即便对某些游戏 CDN 写了代理,也不会生效,因为游戏流量根本没进隧道。两种路线没有绝对优劣,取决于你愿意维护黑名单长度,还是愿意维护白名单长度。
与规则文件的协同
应用列表解决「进隧道」;rules 解决「进隧道后直连还是代理」。若某 App 已在绕行名单,你在 YAML 里为它写再多 DOMAIN-SUFFIX 也不会被 Clash 看到——排查时记得先确认流量有没有进来。
连通验证:用可重复的方法证明「勾选真的生效」
最可靠的验证是对比实验:同一 Wi-Fi 或蜂窝网络下,分别在未启动 VPN、启动 VPN 且白名单为空(若你敢短暂尝试)、启动 VPN 且白名单仅含浏览器三种状态,打开同一个「显示出口 IP」的页面。白名单正确时,应观察到只有浏览器 IP 变化,系统设置里「关于手机」页通过 WebView 拉起的检测若未走浏览器内核,也可能不变——因此建议优先用你勾选的同一浏览器 App访问检测站。
第二步是DNS 与解析路径:若应用进隧道后仍出现「能打开国内站、海外站全挂」,可能是 fake-ip 与规则不匹配,而非分应用失效。可先阅读 《连接成功却无网络:DNS 与 fake-ip 排查》,每次只改一个变量。分应用验证期间,建议固定同一节点与同一 DNS 配置,避免「刚换节点就测应用」引入噪声。
第三步是应用内自证:Telegram 连接速度、微信某些跨境小程序、浏览器访问指定区域站点——选你真实关心的业务做探针,比单纯看「延迟数字」更能说明问题。若某 App 走代理后反而变慢,未必是勾选错误,而可能是该 App 的长连接对抖动敏感,需要换策略组或关闭不必要的「全局测速」类行为。
现场检查清单(建议照着勾)
- 记录当前是白名单还是黑名单,避免「以为自己用的是绕行,实际在仅代理模式」。
- 核对浏览器包名是否与你使用的一致(Chrome、Edge、厂商内置浏览器是不同包)。
- 验证未勾选应用的 IP 与延迟,确认未误进隧道。
- 切换 Wi-Fi/蜂窝各测一轮,排除路由器 DNS 劫持。
- 大版本系统升级后重看 VPN 权限与分应用列表是否被系统清空。
局限与常见坑:分应用不是万能盾牌
系统应用与分用户配置:工作资料(Work Profile)中的应用 UID 与个人空间不同,有时需要在对应配置文件中分别授权。部分系统组件流量不会出现在可勾选列表里,这是 Android 权限模型限制,而非 Clash 单独偷懒。
热点共享:手机开热点给其他设备时,下游设备的流量未必经过本机 Clash 隧道,行为因系统实现而异;若你期望「笔记本也走手机上的分应用策略」,通常需要另文讨论 tethering 与 DNS 转发,不在本文范围。
隐私预期:分应用代理能减少无关 App 经过隧道,但不等价于完整系统级匿名;其他未代理应用仍以默认身份访问各自服务器。若你的威胁模型包含本地恶意软件,应优先处理安装来源与系统安全更新,而不是仅调整 Clash 列表。
常见问题
应用列表里找不到目标 App
尝试打开「显示系统应用」或更新客户端;部分双开/分身空间有独立安装实例,需在对应用户下分别配置。
勾选白名单后仍感觉「全机都在代理」
检查是否误开全局模式;或是否同时运行了其他 VPN 类 App 抢占了隧道。也可暂时清空白名单仅留一个浏览器验证。
游戏勾选进隧道后延迟飙升
竞技类优先使用绕行或白名单不勾选游戏;并确认不是 DNS 或节点质量问题。
总结:从诉求到配置的一条直线
分应用代理的本质,是把 Android 上「谁使用这条 VPN」的问题从 YAML 规则中抽离出来,用图形界面的应用列表一次性讲清楚。它与规则模式、TUN/系统 VPN不是互斥选项,而是不同层级的拼图:列表解决入口,规则解决路径,DNS 解决「解析出来的地址是否与规则一致」。当你按本文完成勾选与连通验证后,再遇到类似需求,只需重复「定名单 → 定模式 → 对比 IP」三步,即可稳定复现。
若你尚未系统了解 Clash 的基本概念与策略组语法,可先阅读 《Clash 新手入门完整指南》,再回到 Android 客户端做精细化收敛。
下一步
把隧道范围收小到真正需要的 App,再配合规则与可靠节点,手机上的 Clash 会明显更「省心」。