未找到与""相关的问题,请尝试其他关键词。
基础入门
7 个问题-
Clash 是什么?它和 VPN 有什么区别?
Clash 是一款基于规则的开源网络代理客户端,支持 Shadowsocks、VMess、Trojan、VLESS、Hysteria2 等多种主流加密协议。它不直接提供节点,而是作为本地流量路由中心,将您的网络请求按规则分发到不同出口。
与传统 VPN 最核心的区别在于智能分流:Clash 可以让国内网站(如百度、淘宝)直连,境外网站(如 Google、GitHub)才走代理节点,两边均保持最优速度;而传统 VPN 通常是全局流量劫持,所有流量强制绕经境外服务器,导致国内访问严重变慢。
-
Clash 客户端是完全免费的吗?
是的,Clash 核心及绝大多数由社区维护的图形化客户端均遵循 GPL-3.0 等开源协议,完全免费,可免费下载并使用全部功能,无任何内置订阅付费或广告。
常见免费客户端包括:Clash for Windows、ClashX(macOS)、Clash for Android、Clash Verge Rev、FlClash、OpenClash(路由器)等。
注意:Clash 本身免费,但使用代理需要自行购买机场服务商的节点订阅,节点订阅是第三方收费服务,与 Clash 无关。 -
为什么安装完 Clash 后仍然无法访问境外网站?
Clash 本身不包含任何内置节点或服务器,它只是一个客户端工具。要正常使用,您还需要完成以下步骤:
- 从机场服务商获取订阅链接,或自行搭建服务器节点
- 在 Clash 客户端中导入订阅链接或 YAML 配置文件
- 选择一个可用节点
- 开启「系统代理」(System Proxy) 开关
完成以上步骤后即可正常使用。如仍无法访问,请参阅下方故障排查章节。
-
Clash 支持哪些操作系统和设备?
Clash 生态支持几乎所有主流平台:
前往支持平台页面可查看各平台对应的推荐客户端与下载链接。
-
Clash Meta(Mihomo)和原版 Clash Core 有什么区别,该选哪个?
原版 Clash Core 已于 2023 年停止维护;Clash Meta(由社区继续维护,现更名为 Mihomo)是目前官方推荐的活跃分支。
Mihomo 相比原版的主要改进:
推荐:目前主流客户端(Clash Verge Rev、FlClash、Stash、Shadowrocket 等)均已内置 Meta/Mihomo 内核,直接使用即可,无需手动切换。 -
什么是「机场」?使用 Clash 一定要购买机场吗?
「机场」是指提供代理节点订阅服务的服务商,通常提供多个地区的服务器节点,并以 YAML 订阅链接的形式供用户导入 Clash 使用。
使用 Clash 需要两部分:① 客户端(Clash,免费) + ② 节点/订阅(机场,需购买或自建)。若您有技术能力,也可以自行在境外 VPS 上搭建服务器节点,无需购买机场。
-
Clash for Windows 已停更,现在推荐用哪个客户端?
Clash for Windows(CFW)原作者已于 2023 年停止维护。目前推荐的替代客户端:
以上客户端均内置 Mihomo 内核,功能更完整,持续更新维护。
配置与订阅
7 个问题-
如何导入订阅链接?
以 Clash Verge Rev 为例(其他客户端操作类似):
- 打开客户端,点击左侧「订阅」或「Profiles」菜单
- 点击「新建」或「+」按钮
- 在 URL 输入框中粘贴您从机场获取的订阅链接
- 点击「保存」后等待下载完成
- 点击该订阅卡片将其激活(高亮选中)
- 回到主界面开启「系统代理」
提示:订阅链接通常以https://开头,由机场服务商在用户后台提供,请勿将其泄露给他人。 -
Clash 配置文件(YAML)的基本结构是怎样的?
Clash 配置文件使用 YAML 格式,主要由以下几个顶级字段组成:
大多数用户通过机场提供的订阅链接自动获取完整配置,无需手动编写。如需深度自定义,可参阅 Mihomo 官方 Wiki。
-
订阅链接下载失败或无法更新怎么办?
订阅链接下载失败通常有以下几种原因:
- 订阅链接本身已失效或过期,请到机场后台重新获取
- 网络问题导致无法访问订阅服务器,可尝试先临时开启旧的可用节点,再更新订阅
- 客户端版本过旧,尝试升级到最新版本
- 订阅链接包含特殊字符,确保粘贴时没有多余空格或换行
-
什么是代理组(Proxy Group)?有哪些类型?
代理组是对多个节点进行分组管理的策略配置,常见类型包括:
机场提供的订阅通常已预配置好常用代理组,大多数用户无需手动修改。
-
如何设置让某个应用(如游戏)不走代理直连?
可以通过在配置文件
rules部分添加PROCESS-NAME规则实现按进程分流,例如:示例规则:- PROCESS-NAME,game.exe,DIRECT— 让名为 game.exe 的进程直连不走代理此外,也可以使用
IP-CIDR(按 IP 段)、DOMAIN-SUFFIX(按域名后缀)等规则类型进行精细控制。规则优先级按从上到下顺序匹配,先匹配的规则优先生效。 -
如何自动定期更新订阅?
大多数图形化客户端支持设置订阅自动更新间隔。以 Clash Verge Rev 为例:在订阅卡片的设置中,找到「自动更新」选项,设置更新间隔(如每 24 小时)即可。机场节点信息变动时,客户端会自动拉取最新配置,无需手动操作。
建议将自动更新间隔设为 12~24 小时,过于频繁的更新可能消耗流量并触发机场的频率限制。
-
什么是「混合代理端口」(mixed-port)?
mixed-port是 Mihomo/Clash Meta 提供的混合监听端口,同时支持 HTTP 和 SOCKS5 代理协议,使用一个端口即可满足所有代理需求(默认通常为 7890)。旧版 Clash 需要分别设置
port(HTTP)和socks-port(SOCKS5),而mixed-port将两者合并,配置更简洁。如无特殊需求,使用mixed-port即可。
协议与功能
6 个问题-
Clash 支持哪些代理协议?
基于 Mihomo(Clash Meta)内核,支持以下主流协议:
所有协议支持以客户端实际版本为准,新兴协议持续跟进更新。
-
TUN 模式是什么?什么时候需要开启?
TUN(Virtual Network Card)模式通过创建虚拟网卡,在操作系统底层强制接管设备所有网络流量,包括那些不支持设置系统代理的应用程序(如大多数游戏客户端、部分命令行工具、UWP 应用等)。
与之对比,普通「系统代理」只对主动读取系统代理设置的应用(通常是浏览器)生效。
建议开启 TUN 的场景:游戏加速、终端/命令行工具访问境外服务、需要真正「全局代理」时。开启 TUN 模式通常需要管理员权限。 -
什么是 Fake-IP DNS 模式?与 Redir-Host 有何区别?
Fake-IP:Clash 收到 DNS 查询后,立即返回一个伪造的内部 IP(如 198.18.x.x),同时将域名信息随请求一起转发给代理节点进行远端解析。优势是极快的连接速度,避免 DNS 污染,绝大多数场景推荐使用此模式。
Redir-Host:真实解析 DNS 后再决定走直连或代理。兼容性略好,但速度较慢,且仍有 DNS 泄露风险。
推荐:新手用户建议选择 Fake-IP 模式,速度更快且防 DNS 污染效果更好。 -
Hysteria2 和 Shadowsocks 相比有什么优势?该如何选择?
Shadowsocks:基于 TCP,协议成熟、兼容性广,适合大多数日常场景,延迟稳定。
Hysteria2:基于 QUIC(UDP)协议,专为高丢包、高延迟网络环境优化,在网络质量较差时大文件下载速度显著优于 TCP 协议。
选择建议:网络质量好时两者差异不大,若经常遇到网络波动、速度慢,可优先尝试 Hysteria2 节点(需机场提供此类型节点)。
-
什么是「全局模式」「规则模式」「直连模式」?如何选择?
日常使用推荐「规则模式」,国内直连国外走代理,速度最优。当需要测试节点连通性时可临时切换「全局模式」,排查问题时可用「直连模式」对比。
-
什么是 RESTful API 控制面板?如何使用?
Clash/Mihomo 内置 RESTful API,可通过 Web 面板(如 MetaCubeXD)或第三方工具在浏览器中可视化管理节点切换、流量统计、日志查看等。
默认访问地址为
http://127.0.0.1:9090/ui(端口可在配置文件中通过external-controller字段修改)。大多数图形化客户端已将此面板集成到应用内,无需手动操作。
故障排查
7 个问题-
开启系统代理后浏览器无法访问任何网站怎么办?
- 确认已选中并激活一个有效的订阅配置
- 在节点列表中选择一个节点,点击「测速」确认延迟正常(非超时)
- 检查端口是否被占用:确保 7890 端口没有其他程序占用
- 尝试切换到「全局模式」测试是否有特定规则导致问题
- 临时关闭系统防火墙或杀毒软件测试是否存在拦截
- 在客户端日志中查看是否有报错信息
-
节点显示延迟正常,但实际访问速度很慢?
延迟(Ping)低不等于速度快,速度还取决于节点带宽与服务器负载。可尝试以下排查步骤:
- 切换到同地区其他节点,比较实际下载速度
- 更换代理组策略为 url-test(自动选最快节点)
- 若使用 TCP 协议(SS/VMess/Trojan)速度慢,可尝试 Hysteria2 节点(基于 UDP,对弱网更友好)
- 检查本地网络质量,排除宽带本身限速问题
-
关闭 Clash 后浏览器仍然无法上网?
这是最常见的问题之一。关闭 Clash 前,若未正确关闭「系统代理」开关,系统代理设置仍指向本地端口,但 Clash 已不再监听,导致所有流量被阻断。
- 重新启动 Clash 客户端
- 手动关闭「系统代理」开关后再退出程序
- 或手动进入系统网络设置,关闭代理设置
预防:大多数客户端支持「退出时自动关闭系统代理」,建议在设置中开启此选项。 -
某些国内网站开启代理后访问变慢,怎么解决?
这通常是规则配置问题,该网站被错误地分配到了代理线路。解决方法:
- 确认代理模式为「规则模式」而非「全局模式」
- 在规则文件或订阅中检查该域名/IP 是否被误判为境外流量
- 手动在 rules 中添加
DOMAIN-SUFFIX,example.com,DIRECT强制直连 - 订阅使用社区维护的规则集(如 ACL4SSR),这类规则集覆盖率更高且更新及时
-
Windows 上 TUN 模式提示权限不足怎么办?
TUN 模式需要创建虚拟网卡,必须以管理员权限运行。解决方法:
- 右键点击 Clash 客户端图标,选择「以管理员身份运行」
- 或在客户端设置中开启「以服务模式运行」(Service Mode),安装服务后可自动获取所需权限
macOS 用户:首次开启 TUN 会弹出系统授权提示,输入系统密码授权即可。 -
Android 手机上 Clash 耗电异常高怎么解决?
- 开启「省电模式」或降低代理日志记录级别(改为 Warning 或 Error)
- 关闭不必要的「流量统计」实时图表
- 检查是否有规则配置过于复杂(规则数量过多会增加 CPU 匹配消耗)
- 将 DNS 查询缓存调大,减少频繁 DNS 请求
- 在手机系统设置中,允许 Clash 后台运行并排除电池优化限制
-
如何查看 Clash 运行日志来定位问题?
大多数 Clash 图形化客户端都提供实时日志面板(通常在「日志」或「Logs」标签页),显示每条请求的处理结果(DIRECT/PROXY/REJECT)及错误信息。
排查时建议将日志级别设为
debug,重现问题后查看对应请求的匹配规则和报错内容,即可快速定位问题所在。排查完成后建议将日志级别恢复为info以节省性能。
隐私与安全
5 个问题-
使用 Clash 安全吗?会收集我的数据吗?
Clash 核心及 Mihomo 均为完全开源项目,所有代码托管于 GitHub,全球开发者均可审计,无任何隐藏后门,无数据收集行为。您的流量仅在本地处理后转发到您所选择的代理节点,不经过任何第三方服务器。
注意:您的数据安全性还取决于您所使用的机场服务商的可信度,建议选择口碑良好、运营透明的服务商。 -
如何防止 DNS 泄露,确保匿名性?
推荐以下配置来防止 DNS 泄露:
- 使用 Fake-IP DNS 模式(域名由节点远端解析,本地不发出真实 DNS 请求)
- 在 DNS 配置中使用加密 DNS(DoH/DoT),如
https://1.1.1.1/dns-query - 配置
enhanced-mode: fake-ip并设置合理的fake-ip-filter白名单(避免局域网服务被 Fake-IP 误代理) - 开启 TUN 模式以接管所有流量,彻底避免应用绕过代理直连
-
订阅链接泄露后有什么风险?如何处理?
订阅链接包含您的机场账号认证信息,一旦泄露他人可以使用您的订阅流量,导致流量超额或账号被封。
- 立即登录机场后台,重置订阅链接(生成新 Token)
- 在所有设备上更新为新的订阅链接
- 不要将订阅链接分享到公开的截图、论坛帖子或 GitHub 仓库中
-
Clash 客户端会被杀毒软件误报怎么办?
由于 Clash 涉及网络流量拦截和虚拟网卡创建等底层操作,部分杀毒软件可能会将其误判为恶意软件。这属于正常的误报(False Positive)现象。
建议处理方式:
- 仅从 GitHub 官方 Release 页面或本站下载,确认文件来源可信
- 在杀毒软件中添加 Clash 安装目录为信任白名单
- 通过 VirusTotal 上传安装包验证文件哈希,确认与官方发布一致
-
在公共 Wi-Fi 上使用 Clash 是否安全?
在公共 Wi-Fi 上使用 Clash 实际上比不使用更安全:所有流量在离开您的设备前均已加密(通过 Shadowsocks/VMess/Trojan 等协议),公共网络上的其他人无法截获您的明文数据。
此外,Clash 使用加密 DNS(DoH)后,同一网络中的嗅探者也无法通过 DNS 请求判断您的访问目标,进一步保护隐私。