Clash Verge TUN 模式详解与配置方法

TUN 模式是 Clash Verge 最具特色的功能之一，它能在操作系统层面接管网络流量，让所有应用程序无需单独配置即可走代理通道。本文将介绍 TUN 模式的工作机制，以及在不同系统上的启用方法。

TUN 模式是什么

TUN（网络隧道）是一种虚拟网络接口技术。启用后，Clash Verge 会在系统中创建一个虚拟网卡，所有出站流量先经过这个网卡，再由 Clash Meta 内核根据规则决定直连或转发至代理节点。与仅支持浏览器插件或手动设置系统代理的方式相比，TUN 模式能覆盖命令行工具、游戏客户端、即时通讯软件等所有网络应用。

适用场景

• 需要代理的应用不支持手动配置 SOCKS5/HTTP 代理
• 希望实现真正的全局代理，同时保留精细的分流规则
• 开发调试时需要让终端命令（如 git、npm、curl）也走代理通道
• 在虚拟机或 Docker 容器中共享宿主机的代理连接

Windows 启用 TUN 模式

在 Clash Verge 主界面，进入「设置 → 连接」页面，找到 TUN 模式开关并打开。首次启用时，系统会请求管理员权限以安装虚拟网卡驱动，请点击确认授权。

启用成功后，您可以在「控制面板 → 网络连接」中看到新增的虚拟适配器。此时即使不配置系统代理，所有应用的流量也会按规则自动分流。若遇到驱动冲突，可尝试以管理员身份运行 Clash Verge 后重新开关 TUN 模式。

macOS 启用 TUN 模式

macOS 上的 TUN 模式需要额外的系统扩展支持。打开 TUN 开关后，Clash Verge 会引导您前往「系统偏好设置 → 安全性与隐私 → 通用」页面，点击允许加载系统扩展。完成后重启应用即可生效。

Apple Silicon 芯片的 Mac 上，TUN 模式运行稳定且资源占用极低。建议在「设置」中同时开启「增强模式」，以获得更完善的 DNS 劫持与流量处理能力。

Linux 启用 TUN 模式

Linux 系统需要确保已安装 TUN 内核模块。可通过以下命令检查：

lsmod | grep tun

如果无输出，执行 sudo modprobe tun 加载模块。此外，Clash Verge 进程需要 CAP_NET_ADMIN 权限才能创建虚拟接口。使用 AppImage 版本时，建议通过 pkexec 或 sudo 启动；使用 deb/rpm 包安装时，安装脚本通常已自动配置好权限。

TUN 与系统代理的区别

系统代理模式仅修改操作系统的 HTTP/SOCKS 代理设置，只有主动读取这一配置的应用才会走代理。而 TUN 模式在更底层拦截 IP 数据包，不依赖应用是否支持代理协议。两者可以同时开启，但一般只需启用 TUN 模式即可获得最全面的覆盖。

常见问题排查

• 开启后无法上网：检查 DNS 设置是否正确，尝试在 Clash Verge 中将 DNS 模式切换为「fake-ip」或「redir-host」。
• 部分应用仍不走代理：确认规则配置中是否将该应用的域名或 IP 段设为 DIRECT，必要时添加相应规则。
• 网速明显下降：TUN 模式会增加少量处理开销，可尝试关闭「统一延迟」等实验性功能，或切换到延迟更低的节点。

合理配置 TUN 模式后，Clash Verge 将成为系统级的网络调度中心，为所有应用提供透明、稳定的代理服务。