Clash 開全域後只有瀏覽器通？Windows 與 macOS 上系統代理和 TUN 逐步排查

現象：為何「看起來開了全域」，卻好像只有瀏覽器有代理？

許多使用者在 Clash 或相容用戶端（例如 Clash Verge Rev）裡選了全域模式（Global），或已勾選設為系統代理（Set as system proxy），甚至也試過TUN 模式。此時Chrome、Edge、Safari往往能開海外網站，但若用 Steam、Epic、部分更新器、公司 VPN 用戶端、或 Windows 市集類應用，卻出現無法連線、速度異常、或仍顯示本地 IP。這種「瀏覽器正常、其他程式異常」的落差，常被誤判成Clash 全域模式失效；實務上多半不是單一開關壞掉，而是不同程式讀取網路設定的方式本来就有差。

先把目標說清楚：我們要判斷的是代理有沒有送到該程式的網路堆疊，以及該程式是否理會系統代理／是否被沙箱或 UWP 規則擋住。下面依作業系統拆開說明，最後給一份建議排查順序。若您尚未確認訂閱與基礎連線，可先完成 訂閱匯入與節點連通性，再回來對照本文。

先懂兩條路：系統代理與 TUN 分別「管到哪裡」

系統代理（System proxy）通常指把 HTTP／HTTPS 代理位址寫入作業系統（或寫入「會讀系統設定的那一類 API」）。好處是很多桌面程式會自動沿用；限制是完全不讀系統代理的程式仍然會直連，例如部分遊戲、自架網路堆疊、或用 raw socket／自帶 TLS 函式庫而忽略系統設定的軟體。

TUN 模式則是在較底層透過虛擬網路介面把符合條件的流量導向本機代理程式（細節依核心與規則而異）。一般而言，它比「只設 HTTP 代理」更容易涵蓋不聽系統代理的 TCP 連線，但仍可能受防火牆權限、WFP／系統延伸、DNS 策略與規則匹配影響，並非按了「TUN」兩字就保證每一個行程都完全相同行為。

因此，當您看到瀏覽器「正常」時，請先自問兩題：（1）瀏覽器是走系統代理、擴充功能、還是自己填了代理？ （2）出問題的程式屬於一般 Win32、UWP、遊戲反作弊環境、還是沙箱化應用？答案不同，對應修法就不同。關於 TUN 觀念與常見設定，可延伸閱讀 Clash TUN 模式完全指南。

Windows（一）：系統代理、混合埠與「有設≠全域實際生效」

在 Windows 上，Clash 用戶端若開啟設為系統代理，通常會把 HTTP 代理指向本機某個埠（常見如 127.0.0.1:7890）。Edge／Chrome 預設會尊重此設定，所以看起來像「全家都好了」。但有些程式會：

• 改走 WinHTTP 代理，與您在「設定」裡看到的介面不完全同步，需以系統工具或官方文件核對。
• 內建硬編碼直連或自有憑證鏈，在更新、授權或 P2P 時不經由 HTTP 代理。
• 以服務或高權限行程執行，與當前使用者工作階段的代理設定脫鉤。

建議做法：先在同一台機器用兩種不同類型的程式對照──例如瀏覽器與命令列工具（若您熟悉）──確認「系統代理」確實指向 Clash 監聽埠，再測目標程式。若只有特定軟體異常，優先懷疑該軟體不吃系統代理，而不是懷疑 Clash 沒開全域模式。

Windows（二）：UWP 與回環（Loopback）——市集應用常見坑

來自 Microsoft Store 的 UWP 應用對本機回環（localhost）有預設限制：基於安全模型，部分 UWP 預設無法連到本機代理服務，外觀就像「沒代理、一直連不上」或更新卡住。此情況與您是否選Clash 全域模式無關，而是UWP 是否允許存取本機回環。

實務上社群常透過解除回環限制或逐一為應用放行相關機制處理（具體指令與介面依 Windows 版本而異）。若您發現只有市集 App 異常、傳統 exe 卻正常，請把疑點放在UWP 回環，而不是急著改 DNS 或重新匯入訂閱。

Windows（三）：遊戲啟動器、反作弊與「自己的一條路」

Steam、Epic、Battle.net等啟動器常混合了CDN、P2P、HTTPS API。它們未必全程走系統 HTTP 代理；有的下載通道會直連或走獨立設定。此時即使瀏覽器顯示 IP 已變，啟動器仍可能顯示不同結果──這不一定是TUN 模式沒開，而是該下載路徑沒被您目前的規則或模式覆蓋。

您可以從兩個方向收斂：一是檢視 Clash 日誌中該網域實際命中哪條規則、是否被DIRECT帶走；二是在確認合法合規前提下，評估是否需改規則置前或改策略群組。單純在介面上切換全域模式若仍漏流量，多半要回頭看規則與 DNS／fake-ip是否一致。

Windows（四）：TUN、防火牆與管理者權限

開啟 TUN 模式時，通常會安裝或啟用虛擬介面，並可能跳出防火牆允許提示。若使用者拒絕、或企業政策鎖死，可能出現部分程式斷線、DNS 異常、或只有瀏覽器仍因挑了 DoH 而看似正常。建議確認：

• Clash／核心是以足夠權限執行且TUN 元件已成功載入（不同用戶端提示方式不同）。
• 本機防火牆與協力廠商安全軟體是否擋下虛擬介面或本機轉送埠。
• 是否同時開多個會搶路由的虛擬網卡（其他 VPN、實驗性驅動程式），導致分流混亂。

若您同時使用 WSL2 與 Clash，還可能遇到路由或 MTU 議題；此時症狀常橫跨多子系統，可與 WSL2 路由與 MTU 排查專文對照閱讀。

macOS（一）：系統網路設定與略過清單

在 macOS 上，許多應用會讀取「系統設定」中的網路代理。若 Clash 用戶端已寫入HTTP／HTTPS／SOCKS代理，瀏覽器常常立刻生效。但若您曾手動加過略過代理的網域／子網，或企業 MDM 下發了設定檔，可能造成部分服務仍直連，看起來像Clash 全域模式「對一半」。

建議核對：代理埠是否與用戶端顯示一致、是否有重複的代理設定檔（不同網路位置各一份）、以及 VPN／其他過濾工具是否與 Clash 彼此覆寫。

macOS（二）：網路延伸、TUN 與沙箱權限

在 macOS 上使用 TUN 或類似網路延伸（Network Extension）能力時，系統可能要求使用者授權與系統延伸啟用。若授權不完整，常見現象是少數 App 仍走舊路徑、或 DNS 解析與預期不符。與 Windows 類似，這不一定是規則寫錯，而是流量根本沒進到您以為的那一層。

若您使用沙箱化 App Store 應用、或帶有自家憑證與連線白名單的協作軟體，也請一併留意應用程式自身的代理設定：macOS 系統代理並非萬靈丹，某些程式仍要在偏好設定內手動指定 SOCKS／HTTP。

交叉驗證：您以為的「全域」可能不是程式的「全域」

綜合來說，Clash 全域模式在設定檔語意上是指規則預設走哪個策略，不一定等同「作業系統上每一個位元組都經過 Clash」。瀏覽器因為原生支援系統代理而最先反映出「代理有效」；其他程式要分三類看：

1. 會讀系統代理：多半能跟著 HTTP／HTTPS 代理走，除非另有略過清單。
2. 不讀系統代理：需改走 TUN、或在程式內填代理、或用專用規則／透明轉發等進階做法。
3. 有特殊限制：UWP 回環、反作弊、企業 MDM、或其他過濾驅動，需要對症處理而非只重開軟體。

實務檢查清單（建議順序）

• 確認單一真相來源：用 Clash 日誌看異常程式實際連線目的與命中規則，避免只看瀏覽器外掛面板。
• 區分系統代理與 TUN：若只有 HTTP 類型程式正常，優先補齊 TUN／或接受「部分程式不聽 HTTP 代理」的事實。
• Windows：排查 UWP 是否疑似回環問題；遊戲／啟動器改看規則與日誌，不盲切全域模式。
• Windows：TUN 確認防火牆、權限、虛擬介面是否建立成功。
• macOS：網路設定是否被多份描述檔覆寫；網路延伸是否已授權。
• 最後才懷疑節點或訂閱：若瀏覽器長時間穩定而僅特定類別失敗，通常仍是接管範圍問題。

結語

Clash 全域模式、系統代理與 TUN 模式三者在實務上分屬不同層級：全域影響規則預設走向，系統代理服務「願意跟著作業系統走」的程式，TUN 則更貼近底層轉送。當僅瀏覽器能穩定上網時，先別急著否定節點品質──多半是流量沒有以您想像的方式經過代理，或遭 UWP／權限／程式行為攔在半路。

相較於零散文與過時截圖，使用介面清楚、更新穩定的用戶端更能長期降低除錯成本。若您希望自本站一次取得適用平台的 Clash 系列用戶端與後續設定起點，建議先開啟下載頁選擇系統，再依序對照系統代理與TUN是否與本篇情境相符。