官方常见问题解答

遇到问题?
这里有答案。

Clash / Mihomo 官方 FAQ,覆盖安装失败、连接超时、订阅导入报错、TUN 模式不生效、规则不匹配等高频问题,免费获取权威解决方案。

安装与启动 连接与代理 订阅管理 TUN 模式 性能与速度 高级配置

安装与启动

客户端下载、运行环境与首次启动相关问题

Windows 安装时杀毒软件报毒,是病毒吗?

这是误报,不是病毒。Clash Verge Rev、FlClash 等开源客户端未购买昂贵的代码签名证书,导致部分杀软将其标记为"未知来源"。

解决方法:将安装目录加入杀软白名单,或前往 Windows 安全中心 → 病毒和威胁防护 → 排除项 → 添加文件夹。

建议只从本站下载页获取安装包,避免下载来路不明的二次打包版本。
双击安装包后没有任何反应,程序打不开?

常见原因及对应解法:

  • 缺少 WebView2 Runtime(Windows 10 用户):前往微软官网下载安装 Microsoft Edge WebView2 Runtime。
  • 被杀软静默拦截:检查杀软隔离区,恢复文件后添加白名单。
  • 路径含中文或特殊字符:将安装包移动到纯英文路径(如 C:\Apps)再运行。
  • 已有旧版本残留进程:打开任务管理器,结束所有 Clash 相关进程后重试。
macOS 提示"无法打开,因为无法验证开发者"?

这是 macOS Gatekeeper 的安全提示。临时解除方法:

  • 在 Finder 中找到应用,右键 → 打开(不要双击),点击弹窗中的「打开」。
  • 或前往 系统偏好设置 → 隐私与安全性,找到被阻止的应用,点击「仍要打开」
Apple Silicon(M 系列芯片)用户请下载 ARM64 版本,Intel 用户选 x64 版本,混用会导致性能下降或无法启动。
Android 安装提示"未知来源"或安装被拦截?

Android 默认不允许安装非应用市场的 APK。需在手机设置 → 安全 → 未知来源(或「安装未知应用」)中允许对应浏览器 / 文件管理器的安装权限,安装完成后可关闭此选项。

部分国产 ROM(MIUI / ColorOS 等)有独立的安全中心拦截,在其中找到"纯净模式"或"病毒扫描"临时关闭即可。

iOS 如何安装?App Store 搜不到 Clash?

Clash 系列应用因政策原因在中国区 App Store 下架,需切换非大陆区 Apple ID(如港区、美区)下载 Shadowrocket 或 Stash。

  • 在「设置 → 你的姓名 → 媒体与购买项目」中退出当前 Apple ID。
  • 打开 App Store,点击右上角头像,用境外区 Apple ID 登录。
  • 搜索并购买 Shadowrocket($2.99)或 Stash(订阅制)。
  • 下载完成后可切换回国区 ID,已购应用不受影响。

连接与代理

节点连接失败、网速慢、浏览器代理等问题

客户端显示已连接,但浏览器访问不了外网?

最常见的原因是代理模式未正确设置为系统代理。检查步骤:

  • 确认客户端的「系统代理」开关已打开,而不仅仅是内核在运行。
  • 检查代理模式是否为「规则」或「全局」,Direct(直连)模式不走代理。
  • 在客户端的「代理」或「节点」面板确认已选择可用节点,延迟为具体数字而非 timeout
  • 尝试用客户端内置的「测试连接」功能(通常 ping google.com),确认节点可达。
所有节点延迟都显示 timeout,无法连接?

节点全部超时通常是以下原因之一:

  • 订阅过期或节点失效:联系服务提供商更新订阅。
  • 本地防火墙拦截:Windows Defender 防火墙或第三方安全软件阻断了出站连接,将 Clash 进程加入允许列表。
  • 端口被运营商封锁:尝试切换节点协议或端口(如 443、8443)。
  • 系统时间偏差:部分协议(如 VMess)要求系统时间误差 < 90 秒,校准系统时间后重试。
切换节点后网速依然没变化,还走的旧节点?

已建立的 TCP 连接不会因切换节点而立即中断,需等待旧连接自然关闭(通常几秒内)。若需立刻生效:

在客户端的「连接」页面(Connections),点击「关闭所有连接」,新请求将使用新节点。

关闭客户端后浏览器仍无法正常访问国内网站?

客户端异常退出时可能未清理系统代理设置,导致系统代理仍指向一个已关闭的端口。

  • 重新打开 Clash 客户端,关闭「系统代理」开关,再正常退出。
  • 或手动清除:Windows → 设置 → 网络和 Internet → 代理 → 关闭「使用代理服务器」。macOS → 系统偏好设置 → 网络 → 高级 → 代理,取消所有勾选。
为什么开启代理后游戏 / 命令行工具不走代理?

系统代理(HTTP/HTTPS/SOCKS5)只影响能读取系统代理设置的程序,如浏览器。大多数游戏、命令行工具(git、curl、pip)和 UDP 流量不走系统代理。

解决方案:开启 TUN 模式,将所有流量(包括 TCP/UDP)在网络层面接管,游戏和命令行工具均可代理。详见 TUN 模式教程

订阅管理

订阅链接导入、更新失败、格式兼容等问题

订阅链接导入后显示"解析失败"或节点为空?

常见原因:

  • 订阅格式不兼容:部分机场提供的是 V2Ray / Surge 格式,Clash 需要 YAML 格式。可通过 订阅转换工具(Sub-Converter)将其转为 Clash 格式。
  • 链接已过期:订阅 URL 有时限,在机场控制面板重新生成订阅链接。
  • 网络无法访问订阅地址:订阅服务器在境外,更新时需先临时使用直连或其他代理,或使用「代理更新」功能。
订阅可以手动更新,但自动更新不工作?

自动更新需要客户端在后台持续运行。检查以下设置:

  • 确认客户端设置了「开机自启」,且未被系统关闭后台进程。
  • Android 需关闭系统的「省电优化」(电池 → 针对 Clash 应用 → 不限制后台),防止被系统杀进程。
  • iOS 系统限制后台更新,建议每次使用前手动拉取一次最新订阅。
多个机场订阅如何合并到一个配置文件?

Clash 支持通过订阅合并功能(Profile Merge)将多个订阅整合:

  • 使用订阅转换工具(如 sub-web),将多个订阅 URL 同时填入,输出合并后的 Clash YAML。
  • 或在客户端「覆写(Override)」功能中,引用多个远程配置片段(YAML Merge)。
合并节点数量过多(>300)会导致延迟测试缓慢,建议按需保留常用节点。

TUN 模式

全局流量接管、虚拟网卡、权限与冲突问题

开启 TUN 模式需要什么权限?

TUN 模式需要管理员 / root 权限才能创建虚拟网卡:

  • Windows:右键 Clash Verge Rev 图标 → 以管理员身份运行,或在设置中启用「管理员模式」自动提权。
  • macOS:首次开启会弹出系统权限请求,点击允许并输入开机密码。
  • Android / iOS:App 会请求 VPN 权限,允许后系统自动处理,无需 root。
  • Linux:使用 sudo 运行内核,或配置 setcap cap_net_admin+ep
开启 TUN 后网络完全断开,无法上网?

TUN 会接管所有网络流量,配置不当会导致回路或 DNS 死循环。

  • 确认配置文件中 dns.enable: truedns.enhanced-mode 设为 fake-ipredir-host
  • 检查 tun.dns-hijack 是否包含 any:53,避免 DNS 不被接管而解析失败。
  • 临时关闭 TUN 模式:在客户端关闭开关后网络应立即恢复。若仍不通,重启网络适配器或重启设备。
建议先在「规则模式」下稳定运行后再开启 TUN,确认基础配置无误。
TUN 模式与其他 VPN 软件冲突怎么办?

TUN 和 VPN 均通过虚拟网卡接管系统流量,同时开启必然冲突,只能二选一。

如果需要同时使用企业 VPN(如 Cisco AnyConnect),建议:将企业 VPN 地址段加入 Clash 的规则直连RULE-SETIP-CIDRDIRECT),关闭 TUN,用系统代理模式代替。

性能与速度

延迟高、速度慢、CPU 占用过高等问题

节点延迟很低但实际网速很慢?

延迟(Latency)≠ 速度(Throughput)。延迟低只代表握手快,实际带宽受以下因素影响:

  • 服务商限速:流量超出套餐额度后被限速,联系机场处理。
  • 节点超载:高峰期节点同时连接人数过多,换一个同地区的低负载节点。
  • 本地网络瓶颈:WiFi 信号差或宽带本身带宽不足,切换到有线网络测试。
  • 协议开销:部分协议(如 trojan-go)比 VMess 效率更高,可尝试切换。
Clash 进程 CPU 占用很高,设备发热明显?

高 CPU 占用通常由以下原因导致:

  • 规则集过大:订阅包含数万条规则时匹配效率下降,精简规则集或使用 rule-providers 懒加载。
  • DNS 请求风暴:配置了多个 DNS 服务器且超时较长,减少 nameserver 数量或开启 dns.cache
  • TUN 模式 + 大量 UDP:视频会议或游戏产生大量 UDP,正常现象,可适当降低 TUN MTU。
  • 日志级别过高:将日志级别从 debug 改为 infowarning
如何选择最快的节点?有没有自动测速?

Clash 内置多种自动选择策略:

  • url-test:定期对所有节点测速,自动选择延迟最低的节点。在策略组中设置 type: url-test
  • fallback:主节点不可用时自动切换到备用节点。
  • load-balance:多个节点间负载均衡,适合需要大带宽的场景。

建议在「代理」面板手动触发「测速」确认节点可用后,再配置 url-test 自动选择。

高级配置

YAML 配置、规则、DNS、覆写等进阶问题

配置文件提示 YAML 解析错误,如何排查?

YAML 对缩进极为敏感,常见错误:

  • 使用了制表符(Tab)代替空格缩进——YAML 只允许空格。
  • 中文冒号 代替英文冒号 :,或引号使用了全角。
  • 字符串值包含特殊字符(: # @)未加引号包裹。
  • 列表项的 - 与父级字段缩进不一致。

推荐使用 VS Code + YAML 插件或在线 YAML 校验工具(yaml.lint)检查配置。

如何让特定应用或域名走直连,不经过代理?

在配置文件的 rules 段中添加直连规则,规则优先级从上到下,需写在通用规则之前:

按域名直连:DOMAIN-SUFFIX,example.com,DIRECT
按 IP 段直连:IP-CIDR,192.168.0.0/16,DIRECT
按进程名直连(仅桌面端):PROCESS-NAME,WeChat,DIRECT

也可在客户端的「覆写」功能中图形化添加规则,无需手动编辑 YAML。

fake-ip 模式与 redir-host 模式有什么区别?

fake-ip DNS 返回一个假 IP(198.18.x.x),域名信息直接随连接发往远端解析,延迟更低、DNS 泄漏更少,是推荐模式

redir-host 先在本地真实解析 DNS,再根据 IP 匹配规则转发,兼容性更好但会有 DNS 泄漏风险,适合需要 IP 规则精确匹配的场景。

fake-ip 模式下,某些依赖真实本地 DNS 的应用(如部分企业 SSO)可能无法正常解析,需将其域名加入 fake-ip-filter 列表。
怎么通过外部 Dashboard(如 Yacd / MetaCubeX)管理 Clash?

Clash 内核提供 RESTful API,在配置文件中启用后,任何兼容面板均可接管控制:

config.yaml 中添加:

external-controller: 127.0.0.1:9090
secret: your_password(可选)
external-ui: /path/to/dashboard(本地 UI 目录,可选)

然后访问 http://127.0.0.1:9090/ui 即可打开 Dashboard,或使用在线版 Yacd(http://yacd.haishan.me)填入 API 地址连接。

没找到你的问题?

查阅完整配置文档,或前往社区寻求帮助。

查看配置教程 下载客户端