在 Clash Verge 里启用 TUN 模式 只做两件事:
1,让 GUI 帮你装好内核驱动;2,在配置里把 TUN 开关和相关参数一次性写对。
下面给出「最小可用配置」+「高阶调优配置」两段 YAML,复制即用。
一、最小可用配置(90 % 场景 5 行搞定)
# 在 Profiles → 选中配置 → Edit → 追加/修改下面字段即可
tun:
enable: true # 开关
stack: system # 用操作系统自带网络栈,兼容最好
dns-hijack: # 劫持 53 端口,防止 DNS 泄漏
- 8.8.8.8:53
- 1.1.1.1:53
保存 → Settings → Network → TUN Mode ON,Clash Verge 会自动安装/启动 TUN 驱动(Windows 需一次 Wintun 弹窗授权)。
验证:
Windows:ipconfig 能看到 Meta 网卡;
macOS:ifconfig 出现 utun 接口;
打开浏览器访问 https://ip.skk.moe 显示节点 IP 即成功。
- Windows:ipconfig 能看到 Meta 网卡;
- macOS:ifconfig 出现 utun 接口;
打开浏览器访问 https://ip.skk.moe 显示节点 IP 即成功。
二、高阶调优配置(游戏 / Docker / 虚拟机场景)
tun:
enable: true
stack: gvisor # 性能更好,延迟低;遇到兼容问题再改回 system
dns-hijack:
- any:53 # 劫持所有 53 端口请求,防泄漏更彻底
auto-route: true # 自动写入系统路由表(Windows/macOS 可用)
auto-detect-interface: true# 自动绑定出口网卡,避免多网卡冲突
endpoint-independent-nat: true # 打洞成功率更高,适合 P2P/游戏
mtu: 9000 # 物理网卡 > 1500 时提高 MTU 降低分片
三、系统级注意事项(一次设置永久生效)
| 系统 | 额外步骤 | 备注 |
|---|---|---|
| Windows | 首次启用 TUN 会弹出 Wintun 驱动安装 → 允许即可;若杀软拦截需放行 clash-meta.exe。 | 如仍失败,手动安装 wintun-0.14.1.zip 的 .dll 到 C:\Windows\System32\ |
| macOS | 需授权 “系统扩展” → 设置 → 隐私与安全 → 允许 clash-verge-rev 网络扩展;重启生效。 | macOS 14 以上若提示“需要开发者模式”,终端执行 sudo systemextensionsctl developer on |
| Linux | 需要 CAP_NET_ADMIN 权限: sudo setcap cap_net_admin,cap_net_raw+ep /opt/clash-meta | 或直接用 root 启动 |
- TUN 开关灰色点不了
→ 没装驱动:Windows 看设备管理器是否缺失 Wintun Adapter;macOS 检查系统扩展是否被阻止。 - 启动后断网 / 无法解析域名
→ 确认 YAML 里dns.enable: true且dns-hijack已写;再检查系统 DNS 是否被清掉(Clash 日志里应有dns server). - 游戏延迟高
→ 把stack: gvisor改system,或把mtu调回 1500。