这是正常现象,因为客户端未经微软签名认证。操作步骤:点击弹窗中的「更多信息」→ 再点击「仍要运行」。若 Windows Defender 将安装包隔离,请在 Defender 的「威胁历史记录」中找到该文件,选择「允许在设备上运行」,或将安装目录加入排除列表。
不要双击打开,改为:右键点击应用图标 → 选择「打开」→ 再点击弹窗里的「打开」按钮。若仍不行,前往「系统设置 → 隐私与安全性」,在页面底部找到被阻止的应用,点击「仍然打开」。
或者在终端执行:xattr -cr /Applications/ClashVerge.app(将路径替换为实际安装路径)。
7890 是 Clash 默认 Mixed Port,若本地已有其他进程占用该端口,需修改:
在客户端「
设置 → 端口」中将 Mixed Port 改为未被占用的值,如
17890 或
17891。修改后重启客户端即可。
可在终端执行 lsof -i :7890(macOS/Linux)或 netstat -aon | findstr 7890(Windows)查找占用进程。
可能原因:下载过程中文件被网络工具修改,或下载不完整。建议:
- 重新下载安装包,确保下载时关闭了其他代理工具
- 比对安装包文件大小是否与发布页一致
- 尝试在浏览器无痕模式下直接下载,避免缓存问题
在客户端「设置」页面,找到「开机自启」选项并开启。Windows 上该功能通过写入注册表启动项实现;macOS 通过 LaunchAgent 实现。若自启不生效,可手动将客户端添加至系统启动项:
· Windows:Win + R 输入 shell:startup,将客户端快捷方式放入该文件夹。
· macOS:「系统设置 → 通用 → 登录项」手动添加。
大多数客户端支持覆盖安装,直接下载新版安装包并安装即可,无需先卸载旧版,订阅和配置数据会保留。若客户端内置了「检查更新」功能,直接点击更新更方便。
若升级后出现异常,可尝试先卸载旧版(不要勾选删除配置文件),再全新安装新版本。
卸载前若没有关闭系统代理,代理设置会残留在系统中。修复方法:
· Windows:「设置 → 网络和 Internet → 代理」,关闭「使用代理服务器」开关。
· macOS:「系统设置 → 网络 → 选择当前网络 → 详细信息 → 代理」,取消所有代理勾选并点击「好」。
日后卸载时,请务必先在客户端内关闭系统代理,再执行卸载程序。
按以下顺序排查:
- 重新复制订阅链接,注意去掉首尾空格和换行符
- 在浏览器直接访问订阅链接,确认能下载到 YAML 文件(内容以
proxies: 或 proxy-providers: 开头)
- 若链接返回的是 Base64 字符串,说明是旧版 SSR/V2Ray 格式,需要客户端支持自动转换,或向服务商索取 Clash 专用链接
- 临时关闭客户端「SSL 证书验证」后重试(用完记得开回)
可能原因及处理方式:
- 账户到期:登录服务提供商后台确认是否已续费
- 订阅链接被重置:后台通常有「重置订阅链接」功能,重置后重新复制新链接到客户端
- 网络问题:链接服务器本身可能暂时不可访问,稍后重试
- 流量耗尽:部分服务按流量计费,用完后订阅 URL 会返回空内容
切换订阅:在客户端「订阅 / Profiles」页面,点击想要激活的配置右侧的「使用」或直接单击,使其变为高亮选中状态即可。
合并多个订阅:使用「Override / 覆写」功能,在覆写脚本中用 proxy-providers 引入多个订阅 URL,从而在一个配置文件里合并多家服务商的节点。具体写法可参考 Mihomo Wiki 的 Proxy Providers 文档。
可以。Clash 配置文件是标准 YAML 格式,你可以手写或使用内置编辑器编辑 config.yaml。基本结构包含 port、proxies(节点列表)、proxy-groups(策略组)和 rules(规则列表)四个核心字段。
配置文件路径:
· Windows / macOS:客户端内「打开配置文件夹」
· Linux:~/.config/mihomo/config.yaml
使用客户端的「Override(覆写)」功能。在覆写脚本中,你可以在订阅的规则列表最前面追加自定义规则,例如:
rules.unshift('DOMAIN-SUFFIX,example.com,DIRECT')
这样每次订阅更新后,覆写脚本会自动重新应用你的自定义规则,不会被订阅内容覆盖。Clash Verge Rev 和 FlClash 均支持此功能。
立即前往服务提供商后台,找到「
重置订阅链接」功能,生成新链接后,旧链接会立即失效。再将新链接更新到你的所有设备。
订阅链接等同于账户凭据,请勿在任何公开场合分享,包括截图、粘贴到聊天群组等。
按顺序排查:
- 确认本机网络正常(能访问国内网站如百度)
- 点击「更新订阅」获取最新节点,旧节点可能已被服务商下线
- 在节点列表点击「全部测速」,等待数值刷新(通常 10–30 秒)
- 检查防火墙或安全软件是否拦截了 Clash 进程的出站连接
- 若部分节点可用但延迟高,尝试切换不同地区节点
- 联系订阅服务商确认账户状态和节点可用性
系统代理模式仅对支持读取系统代理设置的程序有效(主要是浏览器)。其他程序需要:
- 推荐:开启 TUN 模式,通过虚拟网卡接管全部系统流量,无需程序单独支持
- 程序自带代理设置:将 HTTP 代理设为
127.0.0.1:7890
- 命令行工具:设置环境变量
HTTP_PROXY=http://127.0.0.1:7890
手动修复代理设置:
· Windows:「设置 → 网络和 Internet → 代理」→ 关闭「使用代理服务器」
· macOS:「系统设置 → 网络 → 当前网络 → 详细信息 → 代理」→ 取消所有勾选并应用
预防措施:始终通过客户端界面的「退出」按钮正常关闭程序,而非直接强制终止进程(任务管理器结束任务)。
TUN 模式需要安装虚拟网卡驱动(Windows 上为 WinTun 或 WinDivert):
- 以管理员身份运行 Clash 客户端后再开启 TUN
- Windows 可能需要先安装 Microsoft Visual C++ 运行库
- 若安全软件阻止驱动安装,暂时关闭安全软件后重试,安装完成再开启
- macOS 会弹出系统授权弹窗,输入密码允许即可
三种验证方法:
- 浏览器访问 google.com,能正常加载则代理工作
- 访问
https://ipinfo.io,查看显示的 IP 是否为节点所在地而非本机 IP
- Clash 客户端的「连接 / Connections」页面可实时看到经过代理的流量条目
- 切换延迟更低的节点:在代理列表点击测速,选择延迟 <100ms 的节点
- 尝试不同地区节点,选择离目标服务器近的区域(如访问美国网站选美国节点)
- 使用「自动选择」策略组,自动切到最快节点
- UDP 协议(如 QUIC/HTTP3)在部分网络下速度更好,可在客户端设置中开启 UDP
- 若本机网络本身带宽受限,代理无法提升超出宽带上限的速度
在 Clash 客户端「
设置 → 允许局域网连接(Allow LAN)」开关打开。然后在需要代理的设备上手动配置 Wi-Fi 代理:
· 代理地址:电脑的局域网 IP(如
192.168.1.100)
· 端口:
7890(Mixed Port)
确保电脑防火墙允许 7890 端口的入站连接,否则其他设备无法连接。
· 规则模式(日常推荐):按订阅内置规则自动判断,国内直连、国外走代理,速度快、流量省
· 全局模式:所有流量都走代理,适合临时测试节点连通性、访问对国内 IP 有限制的服务,或规则模式下某个网站判断有误时
· 直连模式:完全不走代理,等同于未开启 Clash,用于临时关闭代理或排查网络问题
确认当前处于「
规则模式」而非全局模式。若是规则模式下国内仍慢,可能是规则集不够完整:
- 更新订阅,获取最新规则集
- 使用 Override 在规则列表最前追加
DOMAIN-SUFFIX,taobao.com,DIRECT
- 确认策略组「国内」或「DIRECT」分组配置正确
GeoIP 数据库(
Country.mmdb)需要定期更新。在客户端「设置 → GeoIP 数据库」中点击「更新」,或手动从
Loyalsoldier/geoip 下载最新版
Country.mmdb 替换。
建议每 1–2 个月更新一次 GeoIP 数据库,以保证 IP 归属判断准确。
可能是该域名未被规则集收录,命中了兜底规则 MATCH,DIRECT。解决方法:
使用 Override 在规则列表最前面追加该域名的代理规则,例如:
DOMAIN-SUFFIX,example.com,PROXY
或者临时切换到「全局模式」确认节点本身是否正常,再排查规则问题。
DNS 泄漏指代理开启后,DNS 查询仍通过本地运营商 DNS 发出,导致 ISP 可看到你访问了哪些域名,也可能导致规则判断不准。
预防方法:在 Clash 配置中将 dns.enable 设为 true,并配置使用 DoH 或 DoT 加密 DNS 服务器,如:
nameserver: ['https://doh.pub/dns-query', 'https://dns.alidns.com/dns-query']
大多数订阅已内置合理的 DNS 配置,无需手动修改。
这类 App 在中国大陆区 App Store 已下架,需要切换到
美区或其他非大陆区 Apple ID 才能搜索和购买。步骤:
- 注册一个美区 Apple ID(或通过正规渠道购买已购账号中的 App 兑换码)
- 在 App Store 右上角头像 → 退出 → 用美区账号登录
- 搜索并购买 App(美区支持国际信用卡或礼品卡充值)
- 购买后可切回国区 ID,App 不会被删除,也可正常更新
不要将美区 Apple ID 登录至 iCloud,仅在 App Store 使用即可,以免数据混乱。
Android 系统省电策略会限制后台应用。保活方法:
- 「设置 → 应用 → FlClash → 电池」→ 选择「无限制」
- 关闭「后台应用限制」或将 FlClash 加入省电白名单
- 开启「常驻通知」,通知存在时系统不会主动杀掉进程
- 部分国产 ROM(小米/华为/OPPO)需在「锁屏清理」中解锁该 App
创建服务文件 /etc/systemd/system/mihomo.service:
[Unit]
Description=Mihomo Proxy
After=network.target
[Service]
ExecStart=/usr/local/bin/mihomo -d /etc/mihomo
Restart=always
[Install]
WantedBy=multi-user.target
然后执行:sudo systemctl enable --now mihomo
- macOS Sonoma 及以上版本对菜单栏空间有限制,可在「系统设置 → 控制中心 → 菜单栏」中调整显示项目,或使用 Bartender 等工具管理
- 系统代理不生效时,在客户端中先关闭再重新开启「系统代理」开关
- 若仍不生效,检查「系统设置 → 隐私与安全性 → 网络扩展」中 Clash Verge 的权限是否已允许
- 重启客户端通常可解决大多数 macOS 上的状态异常问题
Clash 客户端本身是完全开源的本地程序,不会主动收集或上传用户数据。本地日志仅保存在你自己的设备上,可在客户端「日志」页面查看,也可在设置中调整日志级别或关闭。
需要注意的是:你的流量会经过代理节点服务器,节点所有者(服务提供商)在技术上有能力记录元数据(连接目标、时间戳等,但无法看到 HTTPS 加密内容)。建议选择有良好信誉和明确隐私政策的服务提供商。
MITM(中间人)是 Clash 的可选功能,用于开发调试——在本地对 HTTPS 流量进行解密以便抓包分析。这需要用户
主动:
- 在配置中开启
tls.enable: true
- 手动安装并信任由 Clash 生成的本地 CA 证书
普通用户无需关心此功能,默认不开启。不安装 CA 证书,HTTPS 流量对 Clash 来说是加密不可读的。
- 始终从 GitHub 官方 Releases 页面或本站下载,避免第三方渠道
- 下载后对比安装包的 SHA256 校验值与 Release 页面标注的值是否一致
- 所有推荐客户端(Clash Verge Rev、FlClash、Mihomo 等)均为开源项目,可在 GitHub 查看完整源代码
- 如安全软件报警,先在 VirusTotal 上传文件多引擎扫描,误报率极高的情况通常是正常程序
没找到你的问题?
查看完整使用教程,获取从安装到进阶配置的详细步骤说明
查看使用教程