Clash Verge Rev Windows TUN 模式怎麼開?Service 安裝與權限逐步配置
瀏覽器已走代理,Microsoft Store、部分桌面程式或命令列工具卻仍直連?在 Windows 上,系統代理只能覆蓋願意讀取 Proxy 設定的應用;Clash Verge Rev的TUN 模式則透過 Mihomo 建立虛擬介面,在更底層承接流量。本篇聚焦Windows TUN 設定完整路徑:Clash Verge Rev Service 安裝、管理員權限與防火牆、Mihomo TUN 配置對齊,以及首次啟用後的驗證與排錯。若你尚未完成客戶端安裝,請先對照《Verge Rev Windows 10 安裝》或《Verge Rev Windows 11 安裝》建立基線。
為什麼 Windows 使用者需要 Clash Verge Rev TUN 模式
許多人在 Clash Verge Rev 裡開了系統代理、模式也設成 Rule,Chrome 與 Edge 行為正常,卻發現UWP(通用 Windows 平台)App、部分遊戲啟動器、Electron 程式或命令列工具仍像「沒開代理」。這不是訂閱壞了,而是流量入口不一致:系統代理本質上是把 HTTP/HTTPS 導向本機監聽埠,但沙箱化 App 對回環(loopback)有限制,不讀 Proxy API 的程式則根本不會把封包送到 Clash。
TUN 模式在作業系統層建立虛擬網路介面,由底層的 Mihomo(常被稱為 Clash Meta 核心)依規則決定 DIRECT 或 PROXY。對使用者而言,這代表 Microsoft Store、Telegram Desktop、部分 Steam 元件等「頑固」程式,有機會與瀏覽器共用同一套分流邏輯,而不必對每個 UWP 逐一做回環豁免。本站《UWP 回環豁免與 TUN》從商店場景切入;本篇則專注Verge Rev 在 Windows 上如何把 TUN 真正開起來,與 macOS 首次設定、純 UWP 排錯等文章互補而不重複。
系統代理 vs TUN:該什麼時候升級
| 方式 | 覆蓋範圍 | 典型取捨 |
|---|---|---|
| 系統代理 | 讀取 Windows Proxy 設定的瀏覽器與多數 Win32 程式 | 設定簡單;UWP 與部分桌面 App 可能失效 |
| TUN 模式 | 符合路由條件的 IP 流量,由核心統一處理 | 需 Service/驅動與管理員權限;可能與其他 VPN 互斥 |
實務建議仍是分層推進:先用 Rule 搭配系統代理確認訂閱、節點與規則無誤,再進入 TUN。這樣可以把「節點/訂閱層」與「驅動/路由層」拆開診斷,避免一開 TUN 就全機斷線時,無從判斷是線路問題還是虛擬介面設定錯誤。
開始前準備:權限、衝突軟體與基線
準備清單
- 系統管理者帳號:安裝 Service 與 TUN 驅動時會觸發 UAC,需能一次性批准提升。
- 訂閱已更新且設定檔已啟用:節點清單非空,模式為
Rule,系統代理下瀏覽器可正常分流。 - 關閉衝突代理:暫停其他 VPN、舊版 Clash for Windows、會占用混合埠或虛擬網卡的加速工具。
- Windows 10/11 皆可:Win10 與 Win11 的 Service 與 TUN 主線相似,差異多在 SmartScreen 與防火牆提示文案。
若你連訂閱更新都尚未成功,請回到《Verge Rev 設定檔、訂閱與代理模式》補齊 Profile 流程;TUN 無法修復「節點全紅」或「規則從未命中」這類上游問題。
第一步:確認 Rule 基線再碰 TUN
在進入 Windows TUN 設定之前,請先完成下列最小閉環:
- 在 Profiles 更新訂閱並設為目前使用中設定檔。
- 模式維持
Rule,在策略組選定可用節點。 - 開啟系統代理,以瀏覽器對照需出口與在地服務頁。
- 於連線日誌確認規則有命中、節點有流量,而非全部逾時。
診斷習慣
基線穩定後再開 TUN。若 TUN 出問題,關閉 TUN 應能立刻回到「只靠系統代理仍可上網」的狀態,這是最安全的回退點。
第二步:Clash Verge Rev Service 安裝
在 Windows 上,Clash Verge Rev Service 安裝是 TUN 能否穩定運作的前置條件之一。Service 讓 Mihomo 核心以系統服務形式執行,具備註冊虛擬網卡、調整路由表所需的權限,而不必每次都以系統管理員身分手動啟動整個圖形程式。
Service 安裝步驟(介面名稱因版本可能略有差異)
- 開啟 Clash Verge Rev,進入設定(Settings)頁。
- 找到 Service、服務模式或類似區塊。
- 點選Install Service/安裝服務。
- 在 UAC 對話框確認程式名稱合理後,選擇是允許提升。
- 等待狀態由「未安裝」變為已安裝/Running;若提示重啟核心或客戶端,依指示操作。
安裝成功後,托盤圖示或設定頁通常會顯示 Service 正在執行。若反覆失敗,常見原因包括:防毒攔截服務註冊、企業 Group Policy 禁止安裝自訂服務、或先前卸載不完整導致殘留衝突。可嘗試以系統管理員身分重新執行 Verge Rev 後再裝一次;仍不行時,先解除安裝 Service(若介面提供 Uninstall Service),重開機後重試。
安全界線
Service 安裝會改寫系統服務登錄,請確認客戶端來自可信發布頁。若載點要求你先全面關閉防護,請停止並回到可追溯來源。
第三步:管理員權限、UAC 與防火牆
管理員權限在 TUN 路徑上會出現不止一次:Service 安裝是一次,首次建立虛擬介面或載入 TUN 驅動時可能再次詢問;Windows Defender 防火牆也可能跳出「是否允許私人/公用網路存取」。家用或信任的 Wi‑Fi 環境,一般勾選私人網路即可;公共熱點請審慎評估。
部分防毒或「網路最佳化」套件會攔截虛擬網卡驅動,表現為 TUN 開關可點但日誌立刻報錯。若你已比對發布資料且來源可信,可在理解風險下為 Verge Rev 程式目錄設定排除項目;企業環境請遵循資安規範。另請留意:同時運行的其他 VPN(含公司 GlobalProtect、舊版 OpenVPN TAP 等)常與 TUN 互斥,建議在測試 TUN 時先完全退出,避免路由表被兩套軟體來回改寫。
第四步:首次啟用 Clash Verge Rev TUN 模式
Service 就緒後,回到主畫面或設定中的TUN 模式開關(部分版本寫作 Tun Mode、虛擬介面、Enhanced Mode 等)。開啟時請確認:
- 目前設定檔仍為使用中,模式建議維持
Rule。 - 點開 TUN 後,介面無持續性紅色錯誤;若提示需重載核心,執行一次 Reload。
- 在 Windows「網路和網際網路 → 進階網路設定 → 更多網路介面卡選項」中,應能看到新增的虛擬介面(名稱因驅動而異,如 Meta、Wintun 等)。
- 開啟連線日誌,隨意載入一個網頁,確認有流量進入核心而非完全空白。
若 TUN 開關呈灰色,九成是 Service 未安裝成功或核心未以服務模式執行;回到上一節重裝 Service。若一開 TUN 就全機無法解析域名,優先懷疑 DNS 與 TUN 的 dns-hijack 互動,可對照《連上卻上不了網?DNS 與 fake-ip》,一次只調一個參數。
第五步:Mihomo TUN 配置對齊
Verge Rev 會把圖形介面上的 TUN 選項寫入送給 Mihomo 核心的設定。進階使用者可在合併後的 Profile YAML 或 Verge Rev 的 TUN/Mixin 面板中檢視下列常見欄位(名稱隨核心版本可能略有出入):
tun:
enable: true
stack: system
auto-route: true
auto-detect-interface: true
dns-hijack:
- any:53
Mihomo TUN 配置重點不在背誦每一行,而在理解語意:auto-route 決定是否自動寫入系統路由;stack 影響 TCP/UDP 處理方式(system 與 gvisor 在部分遊戲或語音場景表現不同);dns-hijack 則與訂閱裡的 dns、fake-ip 區塊共同決定解析行為。若你從未改過 YAML,維持 Verge Rev 預設通常即可;只有在「TUN 已開但特定 App 仍異常」時,才建議對照日誌逐項微調。
與規則模式的關係
TUN 只改變「流量如何進核心」,不改變規則本身。請確認 Rule 下目標域名仍命中預期策略組;若需針對特定程式分流,可延伸閱讀《Telegram Desktop TUN 與進程規則》中的 PROCESS-NAME 思路。
第六步:驗證 TUN 是否真的生效
下列檢查刻意維持可操作,協助你區分「TUN 沒起來」與「TUN 起了但規則沒命中」:
- 日誌有無 UWP 連線:開啟 Microsoft Store 或先前失效的 App,日誌應出現對應流程;若完全無紀錄,封包仍未進核心。
- 策略命中是否正確:日誌中應顯示規則名稱與出口節點,而非全部
DIRECT卻仍無法連線。 - 關閉 TUN 可回退:關 TUN 後系統代理路徑仍可用,代表虛擬介面層可獨立開關,排錯空間充足。
- 退出客戶端後代理還原:若曾遇關閉後全機無網,請保留《關閉 Clash 後恢復系統代理》的操作筆記。
常見故障與處置方向
TUN 開關灰色或點了沒反應
優先確認 Service 已安裝且 Running;其次以系統管理員身分重開 Verge Rev;再檢查是否與其他 VPN 共存。企業裝置若 MDM 禁止安裝服務,TUN 可能永久不可用,此時只能退回系統代理或 CheckNetIsolation 回環豁免路徑。
一開 TUN 全機斷網
立即關閉 TUN。檢查 DNS/fake-ip、auto-route 是否與公司 VPN 路由衝突、以及訂閱 MATCH 是否將所有流量誤送失效節點。用「關 TUN → 只開系統代理 → 再逐項打開 TUN 相關選項」的方式縮小變因。
TUN 已開,僅部分 App 仍直連
可能是該 App 使用硬編碼 DNS、QUIC 或進程未被 TUN 路由規則涵蓋。查日誌中的實際域名與進程名,必要時加進程規則或暫時用 Global 對照是否為規則順序問題——對照完記得切回 Rule。
常見問題
不裝 Service 能不能開 TUN?
少數環境下以系統管理員身分直接執行客戶端也能暫時啟用 TUN,但重開機或 UAC 降權後容易失效。長期使用 Windows 仍建議完成Service 安裝,這也是 Verge Rev 官方路徑上較穩定的做法。
TUN 和系統代理要同時開嗎?
TUN 啟用後,多數 IP 流量已由虛擬介面承接,通常不必再依賴系統代理;但保留系統代理作為瀏覽器備援並不罕見。請避免多套代理軟體同時改寫 Windows Proxy 設定,以免部分 App 走 TUN、部分走本機埠,造成「模式壞了」的錯覺。
Windows 10 與 11 有差嗎?
TUN 與 Service 主流程一致;Win11 可能在 SmartScreen 與設定 App 文案上不同,但不改變「先 Service、再 TUN、再驗證日誌」的順序。安裝細節可分別參考 Win10 與 Win11 安裝專文。
延伸閱讀
UWP 仍異常但不想動路由表時,可讀《Microsoft Store 回環豁免》;要理解 Verge Rev 整體設定節奏,請開《設定檔、訂閱與代理模式》。遊戲或語音場景的 UDP 議題可對照《TUN 與 UDP 延遲》。
總結:Verge Rev Windows TUN 最短路徑
- 以
Rule+系統代理確認訂閱與節點基線可用。 - 在設定頁完成 Clash Verge Rev Service 安裝,通過 UAC 與防火牆。
- 開啟 TUN 模式,必要時對齊 Mihomo TUN 配置與 DNS 策略。
- 以連線日誌與 UWP/桌面 App 交叉驗證,故障時先關 TUN 再逐層排查。
市面上不少圖形客戶端把 TUN 藏在一個開關後面,卻少說清楚 Service、驅動與 DNS 三者的依存關係;使用者往往在「開了 TUN 反而全機斷線」時,只能反覆重裝而無法分層診斷。也有工具仍停留在「只靠系統代理」的心智模型,對 UWP 與不讀 Proxy 的程式束手無策,逼得使用者去搜零散指令卻對不上自家介面。
Clash 與 Mihomo 生態的優勢在於:TUN、規則、DNS 與連線日誌可在同一套 YAML 語意下對齊觀察,Verge Rev 則把 Service 安裝與虛擬介面開關收成可重複的操作路徑。當你希望 Windows 上的分流覆蓋面從「只有瀏覽器」擴展到整機 App,這正是 TUN 要解決的核心問題;若你也想建立在可核對設定上的長期工作流,不妨從本站聚合的下載入口取得客戶端,再依本篇步驟完成首次啟用。
在 Windows 把 Verge Rev TUN 一次設定到位
從 Service 安裝到 Mihomo 虛擬介面啟用,讓 UWP 與桌面程式共用同一套分流規則。
免費下載 Clash(Windows)