Clash 节点全红?延迟测试、UDP 与 DNS 逐项排查步骤

「全红」先看含义:不一定是线路集体失效

在 Clash、Clash Meta 以及各类图形前端里打开节点列表,你常会看到延迟数字、颜色条或「超时」字样。许多用户把节点全红直接等同于「机场挂了」或「订阅废了」,然后频繁刷新订阅、重装客户端,反而忽略了更常见的一类问题:测速链路根本没有走通,或DNS 与本地网络环境让「看起来像全死」。

本文聚焦跨平台共通的排查思路:先说明Clash 延迟测试与策略组里的 url-test健康检查分别在测什么;再单独展开 DNS(含 fake-ip 思路)与 UDP / STUN 在什么场景会拖后腿;最后给出推荐顺序,帮助你在「测速全失败」时快速区分是远端节点问题,还是本机代理、分流或解析问题。若你尚未理清订阅如何进入客户端,可先对照 Clash 订阅导入教程;需要区分规则与全局、TUN 时,可结合 TUN 模式与全局代理指南

Clash 延迟测试与健康检查:到底在测什么?

界面上的「测延迟」或自动刷新出来的毫秒数,本质是客户端向每个节点发起一组探测:常见实现会走代理通道尝试连接某个 HTTP(S) 目标或内置探测 URL,再统计耗时。它与你在终端里 ping 公网 IP 不是一回事——很多环境下 ICMP 被丢弃,而 Clash 延迟测试通常依赖 TCP 连接或 HTTP 层,因此「ping 不通」不代表 Clash 一定红,反之亦然。

订阅配置里若包含 proxy-groups 类型为 url-test 或带 health-check 的策略组,核心逻辑类似:按间隔对组内节点做探测,选出延迟较低或可用的成员。若探测 URL 本身被墙、被 DNS 污染、或在你当前规则下没有走代理,就会出现整组不可用或全部显示超时——这与「节点物理全断」是两种不同层级的问题。

实用结论:当你看到节点全红时,先问一句:是「列表里手工点的测速」失败,还是「url-test 自动健康检查」全挂?前者多与当前系统代理、内核模式、防火墙有关;后者还要核对策略组里配置的 urlinterval 是否合理。

DNS:fake-ip、解析失败与「全红」的隐蔽关联

DNS 往往是Clash 延迟测试链条里最容易被低估的一环。Clash 系内核通常会在本地提供 DNS 监听或配合 fake-ip 模式:应用先拿到一个「看似已解析」的地址,再由内核在真正发起连接时做域名与策略匹配。若这一阶段出现解析异常循环查询、或上游 DoH/DoT 在当前网络下不可达,表现可能就是所有依赖域名的探测都超时,节点行清一色红色或「timeout」。

排查时建议分步验证:在开启代理的前提下,用浏览器访问一个纯 IP 的测试页(若你有合法测试目标)与访问一个依赖域名的站点对比;或在客户端日志里观察 DNS 查询是否被正确转发。若你混用了系统「私人 DNS」、路由器广告屏蔽与 Clash 的 DNS 设置,可能出现重复解析或策略不一致。此时不必先动节点,先把 DNS 与分流规则对齐——规则层面的系统方法可参考 Clash 规则分流入门

运营商劫持与污染的对照思路

部分网络环境会对 53 端口做劫持或返回错误结果,导致 Clash 即使监听在本地,上游仍然拿不到可信解析。可尝试在配置中指定可靠的远程 DNS、或为敏感域名使用 DoH;同时确认没有形成 DNS 环路(例如本机 DNS 请求又被错误地送去需要代理才能访问的上游)。这类问题在表面上与「节点全红」一模一样,但根因在解析层。

UDP 与 STUN:什么时候会拖累「可用性」观感?

日常网页与多数 API 以 TCP 为主;UDP 更多出现在游戏、实时语音、QUIC 部分场景以及某些测速工具中。STUN(用于 NAT 穿透会话)依赖 UDP 与特定端口行为。若你仅看到 Clash 界面里 TCP 类延迟测试失败,不必第一时间怀疑 UDP;但若业务本身是 UDP 密集型,而客户端或系统防火墙对 UDP 转发不完整(尤其在未开 TUN、仅系统代理时部分程序仍直连),就会出现「网页能开、游戏或语音异常」的错位感。

在排障顺序上:先确认内核是否支持并启用了你需要的 UDP 转发路径(与 TUN、策略路由相关),再检查是否有安全软件按进程拦截 UDP。对纯「节点列表测速全红」而言,UDP 往往不是第一嫌疑,但若延迟测试实现恰好使用了依赖 UDP 的探测方式,或探测目标在 UDP 路径上被拦截,仍可能放大「全失败」现象。保持「先 TCP/DNS,后 UDP」的顺序通常更省时间。

系统代理、TUN、端口与健康检查联动

健康检查要生效,前提是探测流量真的按你预期进入 Clash。仅开启「系统代理」时,部分应用不会走代理;开启 TUN 后流量更可能被统一接管,但也会引入权限、路由表与 MTU 等新变量。若 mixed-port、HTTP 端口被占用,或本机防火墙未放行 Clash 进程,测速可能在第一步就失败,表现为所有节点同时不可用

建议核对:当前是否为规则模式下误把探测域名配成直连、而直连出口当前不可达;或 Global 模式下全局走代理却遇到 DNS 仍走系统。对桌面与移动端的差异,也可对照 Android 端连接排障 中的「模式与权限」段落,思路是相通的。

推荐排查顺序(建议收藏)

下面是一套可打印的对照清单,按从上到下顺序执行,能系统化缩小Clash 延迟测试失败原因,避免在「节点全红」时无序试错。

  1. 确认本地网络本身可用:先关闭 Clash,用同一网络访问常规网站,排除宽带欠费、路由器断网、Captive Portal 等底层问题。
  2. 确认订阅与配置已加载:节点列表非空、当前配置已激活;必要时在浏览器直接打开订阅 URL 核对是否返回有效配置文本。
  3. 区分测速失败与真实业务:选一两个节点手动用于浏览器访问测试目标;若业务可通而仅列表测速红,优先查探测 URL、DNS 与防火墙。
  4. 检查 DNS 与 fake-ip:日志中 DNS 是否报错;尝试调整上游 DNS 或暂时简化 DNS 规则做对照。
  5. 核对系统代理 / TUN:是否仅 half-open 代理;TUN 是否成功创建;与其他 VPN 是否冲突。
  6. 再看 UDP / STUN:在 TCP 与 DNS 正常后,若仍有特定应用异常,再针对 UDP 路径与安全软件策略深入。
  7. 最后怀疑线路或订阅:多节点、多地区仍全部超时,且对照网络下其他工具同样不可用,再联系服务方或更换订阅。

合规提示:请在你所在地法律允许的范围内使用网络代理工具。本文仅作技术排障说明,不涉及具体线路或服务推荐,亦请勿在公开场合泄露订阅鉴权信息。

小结

节点全红Clash 延迟测试全军覆没,最常见的原因并不是「所有服务器同一秒宕机」,而是探测路径DNS / 代理模式没有对齐。理解健康检查与界面测速的差异,把 DNS 放在显要位置,再按需处理 UDPSTUN,你能显著减少无效重装与盲目换订阅的时间。

相比在论坛碎片化翻帖,固定一套顺序、配合日志与对照实验,往往更快定位问题。若你需要安装或更新图形客户端,建议优先通过本站 下载页面 获取对应平台版本。成熟 Clash 系工具在规则与可预期行为上通常更省心;把本文清单与日常订阅维护结合起来,遇到「全超时」时也能冷静拆招。→ 立即免费下载 Clash,开启流畅上网新体验

想深入规则写法与分流顺序,可继续阅读 Clash 规则分流指南;移动端专项问题可参考 Android 连接排障