Clash Verge Rev Windows TUN 模式怎么开?Service 安装与权限逐步配置
在 Windows 上,Clash Verge Rev 的系统代理足以让浏览器与多数 Win32 程序走 Mihomo,但 Microsoft Store、部分 UWP 应用、游戏启动器或命令行工具仍可能「假装直连」——它们不读系统代理,或受沙箱回环限制。要统一捕获这类流量,需要启用 TUN 模式:通过虚拟网卡把更多栈层送进 Clash 规则引擎。本文专注 Verge Rev 在 Windows 上的 TUN 开启全流程:从 Service 安装、UAC 与 Wintun 驱动授权,到首次打开 TUN 开关与 Mihomo TUN 配置对齐,并给出可重复的验证与排错顺序。若你尚未完成客户端安装与订阅导入,请先阅读 Windows 10 安装教程或 Windows 11 安装教程。
为什么 Windows 用户需要 TUN,而不只开系统代理
系统代理把 HTTP/HTTPS 代理信息写入 Windows 设置,只有「愿意读取系统代理」的应用才会把流量送到本机监听端口(例如 127.0.0.1:7890)。这对 Chrome、Edge 和许多传统桌面程序足够;但对以下场景常常不够:
- UWP 与 Microsoft Store:运行在 AppContainer 沙箱中,默认禁止连接本机回环地址,系统代理链路过不去。
- 部分游戏与启动器:Steam、Epic 等进程可能忽略系统代理,只走自己的网络栈。
- 终端与开发工具:Git、npm、curl 等需要环境变量或 TUN 才能稳定走代理。
- 非 HTTP 协议:系统代理主要覆盖 HTTP(S),UDP 等流量需要更底层的捕获。
TUN 模式在 Windows 上通过 Wintun 等虚拟网卡驱动,在更接近内核的层面对流量导流,使更多程序——无论是否遵守系统代理——进入 Mihomo 的规则判定,再由策略组决定直连或走节点。这与专门修复 UWP 回环的《Microsoft Store 与 UWP 回环豁免》角度不同:本文从 Verge Rev 客户端出发,讲「如何正确打开 TUN」,而不是只针对单个商店包做豁免。
心智模型
把网络问题拆成两层:流量有没有进 Clash(捕获点),以及进 Clash 后规则怎么判。TUN 主要解决第一层;若进了 Clash 仍访问异常,再查 DNS、fake-ip 与规则顺序。
动手前:确认这三项已就绪
在碰 TUN 之前,请先用系统代理 + Rule 模式证明基础链路健康。一次叠加太多变量(新内核 + 新订阅 + TUN + DNS 改动)会让排错变成猜谜。
- Clash Verge Rev 已安装:安装版或便携版均可,但便携目录应位于本地非同步路径,避免内核与服务写入失败。
- Mihomo 内核就绪:在设置或内核管理页确认状态为已下载、可启动;订阅需 Meta / mihomo 兼容格式。
- 当前配置档案已激活且能上网:系统代理开启、模式为
Rule,浏览器可访问测试站点;节点与策略组工作正常。
关于配置档案、Rule / Global / Direct 模式切换,可参考《Clash Verge Rev 代理模式与订阅管理》。确认基线无误后,再进入 Service 与 TUN 配置。
第一步:安装 Clash Verge Rev Service
在 Windows 上,TUN 需要管理员级权限来创建虚拟网卡、写入路由表。Clash Verge Rev 通过后台服务(Service)以提升权限完成这些操作,避免你每次手动「以管理员身份运行」主程序。
Service 安装步骤
- 打开 Clash Verge Rev,进入左侧或顶部的设置(Settings)页面。
- 找到 Verge 设置、Clash 字段或服务模式(Service Mode)相关区域(不同版本文案可能为「安装服务」「Install Service」「服务状态」)。
- 点击安装服务或 Install Service 按钮。
- Windows 弹出 UAC(用户账户控制) 提示时,选择是,允许更改。
- 等待界面显示服务已安装或运行中;若失败,记录错误文案后再看下文排错。
Service 安装成功后,Verge Rev 主界面通常无需始终以管理员启动,TUN 相关系统调用会由服务进程代为执行。若你跳过 Service 安装、仅普通权限运行客户端,常见症状是:TUN 开关看起来已打开,但虚拟网卡未创建、连接日志无新流量——这是典型的「假阳性」。
企业环境与 MDM
公司域策略可能禁止安装第三方服务或虚拟网卡驱动。若 Service 安装反复失败,请先联系 IT,不要强行绕过合规限制;此类设备通常只能使用系统代理或经审批的企业 VPN。
第二步:UAC、防火墙与 Wintun 驱动授权
除了 Service 安装时的 UAC,首次启用 TUN 还可能触发额外授权:
- Windows Defender 防火墙:客户端首次监听或创建虚拟适配器时,会询问是否允许专用/公用网络访问。建议至少允许专用网络,在不可信公共 Wi‑Fi 上对公用配置文件保持谨慎。
- Wintun 虚拟网卡:Mihomo TUN 依赖 Wintun 驱动;Verge Rev 通常随安装包或内核资源一并提供,首次开 TUN 时自动注册。若被安全软件拦截,需在隔离区恢复或添加信任。
- 重复 UAC 提示:更新内核、重装 Service 或切换 TUN 栈类型时,可能再次弹出提升权限窗口——属于正常系统层变更,不应一律拒绝。
授权完成后,可在 Windows「网络连接」或「设置 → 网络和 Internet → 高级网络设置 → 更多网络适配器选项」中查看是否出现新的虚拟适配器(名称可能含 Meta、Clash、Wintun 等,因版本而异)。看不到适配器而 TUN 开关已开,说明驱动或服务层仍未成功,应回退 TUN 并按失败项排查。
第三步:在 Verge Rev 中首次开启 TUN 模式
Service 就绪且防火墙已放行后,即可打开 TUN。Verge Rev 的 TUN 入口通常在以下位置之一(以你当前版本为准):
- 首页 / 仪表盘:顶栏或快捷开关区域的 TUN Mode 开关。
- 设置 → Clash 设置:TUN 模式、TUN 栈(Stack)、自动路由等选项。
推荐首次开启顺序
- 保持系统代理开启(TUN 与系统代理可并存,便于浏览器与捕获层双保险)。
- 确认出站模式为
Rule,避免误开 Global 造成全局代理意外。 - 打开 TUN Mode 开关;若提示需 Service,返回上一步完成安装。
- 观察客户端日志:应出现 TUN 接口启动、路由写入等相关 INFO 行,无持续 ERROR。
- 打开连接(Connections)面板,访问一个此前不走代理的应用,看是否有新连接记录。
TUN 栈(Stack)选项常见为 gVisor、System、Mixed:默认或 Mixed 对多数用户足够;若遇特定程序兼容问题,可在设置中切换栈类型后重启 TUN 对比。不必在未遇到故障时频繁改动。
Mihomo TUN 配置:UI 开关与 YAML 如何对齐
Verge Rev 会在启用 TUN 时向 Mihomo 配置注入 tun 字段。高级用户可在配置编辑页核对是否与 UI 一致。典型结构如下(由客户端合并生成,仅供参考):
tun:
enable: true
stack: mixed
auto-route: true
auto-detect-interface: true
dns-hijack:
- any:53
各字段含义简述:
| 字段 | 作用 |
|---|---|
enable |
是否启用 TUN;须与 Verge Rev 界面 TUN 开关一致。 |
stack |
用户态/内核态网络栈实现,影响兼容性与性能。 |
auto-route |
自动写入系统路由,使流量进入虚拟网卡。 |
auto-detect-interface |
自动检测出站物理网卡,多网卡环境更稳。 |
dns-hijack |
劫持 DNS 查询进 Clash,与 DNS 段配置协同;开 TUN 后 DNS 问题更常见,需与 fake-ip 策略一致。 |
若你手动编辑 YAML 中的 tun 段,保存后应重启配置或切换档案使改动生效;同时确认 Verge Rev 的 TUN 开关未与文件内容冲突。DNS 与 fake-ip 的详细说明见《Clash 已连接却无法上网:DNS 与 fake-ip 排查》。
第四步:验证 TUN 是否真正生效
「开关亮了」不等于「流量进了 Clash」。建议用以下对照法验证:
- 连接日志:打开此前不走代理的程序(如某 UWP 应用、游戏启动器),在 Connections 中应看到对应进程名或目标域名,并显示命中的规则与策略组。
- 路由表:在管理员 PowerShell 中执行
route print,可见与 TUN 相关的默认或明细路由(具体条目因环境而异)。 - 虚拟适配器:网络适配器列表中出现 TUN 相关接口且状态为「已连接」。
- 行为对照:关闭 TUN 后,同一应用恢复「直连」行为;再打开 TUN,行为应可重复切换。
与 UWP 专文的分工
TUN 生效后,多数 UWP 会进入 Clash 捕获路径;若个别商店组件仍异常,可再叠加《回环豁免》做补充,而非反过来只开 TUN 却跳过 Service 安装。
TUN 与系统代理:如何配合使用
二者并非互斥。常见实践是:
- 日常:TUN 开 + Rule 模式 + 系统代理开,最大化捕获面,浏览器与特殊程序都能进规则栈。
- 轻量场景:仅浏览器需要代理时,只开系统代理即可,不必启用 TUN,权限与路由改动最小。
- 调试:临时关 TUN、保留系统代理,可快速判断问题是捕获层还是规则/DNS 层。
注意:模式(Rule/Global/Direct)、系统代理、TUN 是三个不同层面的开关。只改其中一项而忽略其余,容易出现「模式显示 Direct 但 TUN 仍在捕获」的混淆。出站模式语义详见代理模式专文。
常见故障与排查顺序
TUN 开关已开但没有流量
优先检查 Service 是否已安装并运行;是否曾拒绝 UAC 导致半安装状态;尝试卸载 Service 后重装。完全退出客户端再以普通用户启动,重新授权。
开 TUN 后整机无法上网
立即关闭 TUN 并退出客户端;在 Windows 设置 → 网络和 Internet → 代理 中设为「不使用代理」。若仍异常,参考《Clash 退出后恢复系统代理》,并检查 DNS 是否被 hijack 到不可达地址。
与公司 VPN、WSL、Hyper-V 冲突
多虚拟网卡争抢默认路由时,TUN 可能间歇失效或断网。与 WSL2 并存请参阅《WSL2 与 Clash 镜像网络》;与企业 VPN 并存时通常需二选一或配置分流绕行。
终端仍不走代理
TUN 能捕获多数进程,但某些场景仍建议显式设置 HTTP_PROXY / HTTPS_PROXY,见《GitHub 与 npm 终端代理》。
常见问题
不安装 Service 能否用 TUN?
理论上可以每次以管理员身份运行 Verge Rev,但服务重启、开机自启、UAC 疲劳都会降低稳定性。正式长期使用 TUN,强烈建议完成 Service 安装。
如何卸载 Verge Service?
在 Verge Rev 设置中通常提供「卸载服务」入口;也可在 Windows「服务」管理器中停止并删除相关项。卸载后 TUN 将无法工作,系统代理不受影响。
TUN 会影响游戏延迟吗?
TUN 增加一层转发,对竞技类游戏可能引入额外延迟。若只需商店走代理、游戏直连,可结合进程规则专文做分流,而非长期 Global 模式。
实操检查清单
- 系统代理 + Rule 模式下,浏览器与基础应用已验证可用。
- 在设置中完成 Service 安装,UAC 已正确授权。
- 防火墙已允许 Verge Rev 专用网络访问;安全软件未隔离 Wintun。
- 打开 TUN Mode,日志无持续错误,虚拟适配器已出现。
- 连接面板可见目标应用流量,规则命中符合预期。
- 若仍异常,按捕获层 → DNS → 规则顺序分层排查,必要时暂时关闭 TUN 恢复基线。
从可验证的 TUN 配置开始
许多 Windows 图形客户端对 TUN 的说明分散在 Issue 与零散帖子里:有人只强调「开开关」,有人只说「装 wintun」,却少有人把 Service 安装、权限链路与验证方法串成一条可重复路径。结果是用户反复遇到「界面开了却不生效」,或在未就绪时强开 TUN 导致整网中断,把时间耗在重装与猜路由上,而不是节点与规则本身。
Clash 生态的优势在于同一套 Mihomo 语义可跨客户端复用:你在 Verge Rev 上理解的 TUN、DNS 与 Rule 模式,可以平移到其他 Meta 系客户端;连接日志与 YAML 配置提供可回溯的排错依据,而不是黑盒开关。对需要覆盖 UWP、游戏与终端的 Windows 用户,按本文顺序完成 Service 与 TUN 配置,往往比堆叠多个「增强工具」更干净。
如果你希望在一处获得与当前 Windows 环境匹配的客户端,并减少为绕过权限问题而选择来路不明整合包的风险,可以从本站下载页获取 Clash 系列分发,再对照本文做一次最小 TUN 验证闭环。免费下载 Clash,前往下载页
Verge Rev TUN:Service 就绪后再开开关
按 Service → 权限 → TUN → 验证的顺序配置,让 UWP 与漏网程序统一进入 Mihomo 规则栈。
免费下载 Clash(Windows)