Clash 常见问题全解答

本站提供全平台安装包，可直接在 下载中心 按系统选择，无需访问 GitHub，中国大陆用户直接下载：

• Windows：推荐 Clash Verge Rev（持续维护的 Verge 社区版）
• macOS：推荐 Clash Verge Rev 或 FlClash
• Android：推荐 Clash Meta for Android（CMFA）
• iOS / iPadOS：App Store 搜索 Stash 或 Shadowrocket（需海外账号）
• Linux：提供 Mihomo 核心二进制及 deb/rpm 包

所有安装包均本站托管，版本说明以各下载条目为准。

这三者都是 Windows 上常见的 Clash 图形客户端，差别在于维护状态：

• Clash for Windows（CFW）：最早广为流传的版本，目前原仓库已存档，不再更新。功能完整，适合有旧版使用习惯的用户，但安全补丁不再跟进。
• Clash Verge：基于 Tauri 重写的新一代客户端，原仓库一度停更。
• Clash Verge Rev：社区接续维护的 Verge 分支，当前仍活跃更新，内置 Mihomo 内核，对 Hysteria2、TUIC 等新协议有完整支持，新用户首选。

如果你是第一次使用，直接选 Clash Verge Rev 即可。

这是 Windows SmartScreen 对未签名或签名证书较新的应用发出的警告，并非病毒提示。处理方式：

1. 在弹出窗口点击「更多信息」；
2. 出现「仍要运行」按钮后点击即可。

建议始终从本站或项目 GitHub Releases 页面下载，避免从第三方渠道获取安装包，以降低风险。

macOS 的 Gatekeeper 机制会拦截未经 Apple 公证的应用。常见解决方式：

1. 在「系统设置 → 隐私与安全性」找到被拦截的应用，点击「仍要打开」；
2. 或在终端执行：xattr -cr /Applications/ClashVerge.app（将路径替换为实际安装位置），移除隔离属性后重新打开。

Apple Silicon（M 系列芯片）用户需确保下载的是 arm64 版本，避免在 Rosetta 下运行带来的网络权限兼容问题。

Android 默认只允许从 Google Play 安装应用，安装第三方 APK 需手动开启权限：

1. 前往「设置 → 安全」（不同品牌路径略有差异，部分在「隐私」下）；
2. 开启「安装未知来源应用」，或在系统弹窗中允许对应浏览器/文件管理器安装；
3. 重新点击 APK 文件安装。

若设备为 ARM64 架构（大多数 2019 年后的手机），请下载 arm64-v8a 版本；32 位旧设备选 armeabi-v7a。

由于政策限制，iOS 上没有名为「Clash」的应用直接在国区 App Store 上架，常见替代方案：

• Stash：支持 Clash YAML 配置，体验接近 Clash，需付费购买；
• Shadowrocket（俗称「小火箭」）：兼容订阅格式，价格较低，海外账号可购；
• Quantumult X：功能强大，配置略复杂，适合有一定基础的用户。

上述应用均需使用非中国大陆区 Apple ID 购买，请到对应地区 App Store 搜索下载。

订阅链接是一个 URL，访问后返回包含节点列表的 YAML 或 Base64 编码配置文件。导入步骤：

1. 打开客户端，找到「配置」或「订阅」入口；
2. 粘贴订阅 URL，点击「更新」或「下载」；
3. 切换到该配置后，选择规则模式（Rule）即可使用。

建议开启定时更新（如每 24 小时），避免因节点信息过期导致全部失效。订阅链接由服务提供方生成，Clash 本身不提供节点。

常见原因与对应处理方法：

• URL 已过期：联系服务提供方获取最新订阅地址；
• 系统时间误差过大：打开系统设置，同步网络时间（NTP）后重试；
• 出站规则拦截：临时将 Clash 切换为 Direct 模式，更新成功后再恢复 Rule 模式；
• 所在网络屏蔽：使用手机热点或其他网络尝试；
• 订阅服务器故障：稍后重试，或在浏览器中直接访问订阅 URL 确认是否可达。

解析失败通常说明返回的内容不是合法的 Clash YAML 配置。可能的原因：

• 服务提供方仅支持 V2Ray/ShadowsocksR 格式，与 Clash 不兼容——需要让对方提供 Clash 专属订阅链接；
• 返回的是 HTML 页面（如登录页），说明订阅 URL 需要鉴权或已失效；
• YAML 文件中存在中文冒号「：」等全角字符，YAML 格式严格要求英文标点；
• 部分客户端版本与内核版本不匹配，可尝试更新客户端或手动指定内核版本。

不同客户端的配置文件路径略有差异：

• Windows（Clash Verge Rev）：%APPDATA%\io.github.clash-verge-rev\profiles\
• macOS（Clash Verge Rev）：~/Library/Application Support/io.github.clash-verge-rev/profiles/
• Linux：~/.config/mihomo/config.yaml
• Android（CMFA）：应用内「配置」→「编辑」可直接查看和修改

手动编辑时，推荐使用支持 YAML 语法高亮的编辑器（如 VS Code），修改后重启客户端或重载配置方可生效。

覆写（有些客户端叫「Mixin」或「Override」）允许你在不修改订阅配置本身的情况下，追加或替换其中的部分字段，例如 DNS 配置、TUN 设置、额外规则等。

优势在于：更新订阅不会覆盖你自己的自定义设置，适合需要长期保持个人配置的用户。Clash Verge Rev 的「覆写」功能（Merge）支持 YAML 和 JavaScript 两种脚本格式，灵活度较高。

• Rule（规则）模式：按配置中的规则逐条匹配流量，通常国内 IP/域名直连、境外走代理。日常推荐此模式，兼顾速度与节点带宽。
• Global（全局）模式：所有流量都通过选定节点转发，适合临时需要让全部软件走代理的场景，但会消耗更多节点流量。
• Direct（直连）模式：所有流量绕开代理直接连接，等同于关闭代理，适合只是想暂时停用的情况。

Country.mmdb 是 IP 地址归属数据库，Clash 通过它判断某个 IP 属于哪个国家，从而决定是直连还是代理（即 GEOIP,CN,DIRECT 规则的依据）。

更新方式：

• 多数客户端（Clash Verge Rev 等）在设置中提供「更新 GeoIP 数据库」按钮，点击即可在线更新；
• 也可手动下载最新的 Country.mmdb（如 MaxMind 或 Loyalsoldier 社区维护版本），替换到客户端的数据目录后重启。

数据库过期会导致部分 IP 归属判断不准确，建议每隔 1~3 个月更新一次。

TUN（虚拟网卡）模式让 Clash 在系统层面接管全部网络流量，而不仅限于 HTTP/SOCKS 代理所能覆盖的范围。

适合开启 TUN 的场景：

• 游戏、UDP 应用或不走系统代理的软件（如某些终端工具、P2P 应用）；
• 需要「透明代理」——让整台设备所有流量无感知地走 Clash；
• 路由器/软路由作为网关使用时。

注意：开启 TUN 通常需要管理员/root 权限，且与部分 VPN 客户端存在冲突，普通浏览场景不需要开启。

普通规则是直接写在配置文件 rules: 字段中的单条匹配项；RULE-SET 则是引用一个外部规则列表文件（通常为 .yaml 或 .mrs 格式），可以包含成千上万条规则，减少主配置体积。

常见的社区维护规则集（如 Loyalsoldier 的 clash-rules）涵盖了主流广告域名、流媒体平台、国内直连等场景，通过订阅 URL 引用，客户端会定期自动更新。

使用方法：在 rule-providers: 中声明规则集来源，再在 rules: 中用 RULE-SET,规则集名称,策略组 引用即可。

• URL-Test：定期对所有节点测速，自动选择延迟最低的节点。适合追求低延迟、不想手动挑节点的场景。
• Fallback：优先使用第一个节点；若该节点不可用，顺序切换到下一个。适合保证可用性的场景。
• Load-Balance：将流量均匀分散到多个节点，适合需要同时跑多个任务、分摊带宽的场景。
• Select：手动选择，不自动切换，适合精确控制出口的高级用户。

经典 Clash 内核原生支持：Shadowsocks、VMess、Trojan、SNELL、SOCKS5、HTTP/HTTPS、ShadowsocksR 等。

若使用基于 Mihomo（Clash Meta） 内核的客户端（如 Clash Verge Rev、CMFA），还可支持：

• VLESS（含 Reality）
• Hysteria2（高速 UDP 协议）
• TUIC v5
• WireGuard（点对点加密隧道）
• 以及更多 TLS 传输组合。

具体支持范围以你实际使用的客户端版本和内核版本为准，详见 核心原理页。

Mihomo（前身为 Clash.Meta，由 MetaCubeX 维护）是在经典 Clash 基础上持续演进的社区分支，主要扩展：

• 支持 Hysteria2、TUIC、VLESS Reality 等新一代协议；
• 引入 rule-providers 中的 .mrs 二进制规则集，加载速度更快；
• 更完整的 TUN 栈与 DNS 配置选项；
• RESTful API 扩展，方便外部控制。

目前绝大多数活跃维护的图形客户端（Clash Verge Rev、FlClash、CMFA 等）均已内置 Mihomo 内核，对普通用户而言无需手动区分，直接使用最新客户端即可获得全部能力。

• Shadowsocks：轻量、历史悠久，兼容性最好，适合大多数常规场景；
• VMess：V2Ray 核心协议，支持多种传输层（WebSocket、gRPC 等），抗检测性较强；
• Trojan：将流量伪装成 HTTPS，对 TLS 嗅探友好，适合对混淆要求较高的环境；
• Hysteria2：基于 QUIC/UDP，在高延迟、高丢包网络（如跨洋链路）下性能显著优于 TCP 协议，适合追求高速体验的用户；
• VLESS + Reality：无状态设计，几乎无流量特征，适合对隐蔽性要求最高的场景。

实际选择取决于你的服务提供方支持的协议，并非自行选定；以上信息供参考。

三者都是客户端侧的代理工具，功能有重叠但定位不同：

• Clash / Mihomo：强于规则分流、策略组管理和多协议聚合，配置文件为 YAML，适合需要精细流量分流的用户；
• V2Ray / Xray：协议扩展丰富（VMess、VLESS、XTLS 等），配置为 JSON 格式，在服务端部署和底层协议研究上更常用；

二者不能直接互换配置文件，但 Clash（Mihomo）已原生支持 VMess、VLESS 等协议，订阅链接格式互相转换需借助第三方转换工具（如 subconverter）。

按以下顺序自查：

1. 确认当前模式：是否处于 Rule 模式，且规则没有误将目标流量判定为直连；
2. 检查系统代理是否生效：部分浏览器有独立代理设置，需在客户端中开启「系统代理」或手动配置浏览器代理（127.0.0.1:7890 或实际端口）；
3. 测试节点延迟：在策略组界面手动测速，确认所选节点实际可用而非全部超时；
4. DNS 问题：尝试切换 DNS 模式（Fake-IP ↔ Redir-Host），或检查客户端日志是否出现 DNS 解析失败；
5. 防火墙/安全软件：部分杀毒软件、Windows Defender 防火墙会拦截 Clash 的出站连接，临时关闭后再测试。

常见原因：

• 界面上显示的是 Rule 但实际配置仍为 Global 或 Direct，重新点击切换确认生效；
• Country.mmdb 文件缺失或损坏，导致 GEOIP 规则无法执行，更新数据库后重试；
• 规则顺序有误：MATCH,DIRECT 或 MATCH,PROXY 放在列表最前面会导致所有流量提前被一条规则匹配，后续规则形同虚设——检查 MATCH 规则应放在最后；
• 配置文件中 mode: global 写死，即使界面切换也不生效——删除或改为 rule。

DNS 泄漏是指你的 DNS 查询请求绕过代理、直接发送到 ISP（运营商）的 DNS 服务器，暴露了你正在访问的域名。

检测：访问 dnsleaktest.com 或 browserleaks.com/dns，若显示的 DNS 服务器是你的运营商，则存在泄漏。

修复思路：

• 在 Clash 配置中将 dns.enable 设为 true，并设置可信的上游 DNS（如 8.8.8.8、1.1.1.1）；
• 使用 Fake-IP 模式可有效防止 DNS 泄漏——Clash 为域名分配虚假 IP，实际解析在代理侧完成；
• 开启 TUN 模式可让 Clash 接管系统层面的 DNS，避免其他软件绕过客户端发送查询。

端口冲突是 Clash 启动失败最常见的原因。排查步骤：

1. 检查是否已有其他 Clash 进程（或 V2Ray、Trojan 等代理工具）在后台运行，先关闭再启动；
2. 在配置文件中修改端口号：mixed-port: 7890（默认），可改为 7891 等未被占用的端口；
3. Windows 下可在命令提示符执行 netstat -ano | findstr 7890 查看占用该端口的进程 PID，再结束对应进程；
4. macOS / Linux 下使用 lsof -i :7890 查找占用进程。

速度问题需要逐层排查：

• 节点延迟：在策略组界面对所有节点测速，换用延迟更低的节点；
• 协议选择：如果服务提供方支持 Hysteria2，高丢包线路下可显著提升速度；
• DNS 慢：检查是否 DNS 解析耗时过长，Fake-IP 模式下几乎无解析等待；
• 规则过多：数千条规则的匹配会增加每次请求的处理时间，考虑使用 RULE-SET 并启用缓存；
• 本地网络：确认本地 Wi-Fi 信号良好，或换用有线连接；
• 节点本身带宽瓶颈：属于服务提供方问题，与 Clash 配置无关。

在 Clash 客户端打开日志面板（通常在「日志」或「Log」标签页），将日志级别调整为 debug 或 info，然后复现问题，重点观察：

• 规则命中：每条请求命中了哪个规则、走了哪个策略组，判断规则是否按预期工作；
• DNS 解析：域名解析到的 IP 是否正确；
• 连接失败：出现 dial tcp ... connection refused 说明节点不可用，context deadline exceeded 说明超时；
• TUN 初始化错误：若开启了 TUN，权限不足或驱动缺失会在此显示。

将相关日志截图或粘贴后，可在社区（如 GitHub Issues）中获得更精准的帮助。

Clash 内核与 Mihomo（Clash Meta）均在 MIT 开源协议下发布，永久免费使用，无任何隐藏收费。

各平台图形客户端（Clash Verge Rev、FlClash、CMFA 等）也基本免费开源。iOS 上的 Stash、Shadowrocket 等第三方兼容客户端属于独立商业应用，需在 App Store 付费购买，但它们并非 Clash 官方出品。

Clash 本身不提供节点，使用任何节点服务均需自行评估相关费用与合规性。

Clash 内核采用零日志策略，所有流量调度与转发均在本机完成，不经过任何第三方服务器，也不会将流量记录上传。

源代码托管于 GitHub，任何人均可审计，不存在后门或暗中收集数据的风险。

使用图形客户端时，建议始终从官方 GitHub Releases 或本站托管地址下载，避免第三方篡改版本。

可通过以下方式验证安装包完整性：

• 校验哈希值：部分 GitHub Releases 页面提供 SHA256 或 MD5 哈希文件，下载后对比本地文件的哈希值是否一致；
• 仅从可信来源下载：官方 GitHub 仓库（Releases 页面）或本站托管地址，不使用来路不明的网盘链接；
• 检查签名：Windows 上右键安装包 → 属性 → 数字签名，确认签名主体与预期一致；
• 使用杀毒软件扫描：安装前用 Windows Defender 或第三方杀软扫描，部分开源工具因签名问题有误报，可提交样本至 VirusTotal 进行多引擎比对。