1. 시스템 프록시와 TUN, Windows에서 왜 둘 다 있나
Windows 데스크톱에서 많은 앱은 OS가 내려 주는 WinHTTP·WinINet 계열 프록시 설정을 따릅니다. Edge를 비롯해 시스템 설정을 존중하는 브라우저·일부 스토어 앱·많은 사무용 클라이언트는 이 경로로 HTTP·HTTPS 트래픽을 Clash 쪽 로컬 포트에 넘기기 쉽습니다. Clash Verge Rev의 시스템 프록시 토글은 이 레이어를 켜고 끄는 스위치에 가깝고, mixed-port나 별도로 열어 둔 SOCKS·HTTP 포트가 실제로 리슨 중인지와 맞물립니다.
반면 TUN 모드는 가상 네트워크 어댑터를 통해 IP 계층에서 트래픽을 Clash(mihomo) 코어로 끌어오는 방식입니다. 시스템 프록시를 무시하는 프로그램, 직접 소켓을 여는 CLI, 일부 게임·런처, DNS·UDP 경로가 꼬인 경우에도 라우팅 테이블과 규칙을 한 번에 맞추기 좋습니다. 대신 커널 드라이버(Wintun)·관리자 승인·다른 VPN과의 충돌 가능성이 따라오므로 첫 설정 부담은 시스템 프록시보다 큽니다. 원리를 더 깊게 보고 싶다면 TUN 모드 상세 가이드를 함께 두면 흐름이 잡힙니다.
2. 설치·첫 실행: 아키텍처, 스마트스크린, 방화벽
설치 전에 CPU 아키텍처를 맞춥니다. 일반 데스크톱·노트북은 x64, 일부 Copilot+ PC·ARM 기기는 arm64 빌드를 고릅니다. 잘못 고르면 설치 자체가 되지 않거나 실행 직후 종료되므로, 설정 앱의 시스템 > 정보에서 시스템 종류를 한 번 확인하는 편이 안전합니다. 설치 파일은 공식 다운로드 페이지에서 받는 것을 권장합니다. 버전이 올라가면 UI 문구는 조금씩 달라져도, 권한·드라이버·프록시라는 큰 줄기는 같습니다.
첫 실행에서 Microsoft Defender 스마트스크린이 막으면, 발행자 정보를 확인한 뒤 「추가 정보」에서 실행을 허용하는 절차를 밟습니다. 회사 PC는 MDM이나 보안 에이전트가 가상 어댑터·드라이버 설치를 막는 경우가 있어, 그런 환경에서는 TUN까지 요구하기 전에 IT 정책을 먼저 확인하는 것이 시간을 아낍니다. Windows Defender 방화벽이 Clash 실행 파일이나 코어 프로세스의 아웃바운드를 묻는 대화상자를 띄우면, 로컬 루프백과 구독 갱신이 막히지 않도록 프라이빗 네트워크 기준으로 허용하는 쪽이 일반적입니다.
3. 프로필·구독 반영과 규칙 모드 전제
시스템 프록시든 TUN이든 살아 있는 노드와 유효한 프로필이 전제입니다. 구독 URL을 넣고 갱신한 뒤, 정책 그룹에서 실제로 연결되는 아웃바운드를 고릅니다. 구독 가져오기 튜토리얼에서 다룬 것처럼 프로필을 활성화하고 지연 테스트·로그를 한 번 확인하세요. 특정 사이트만 우회하려면 고급 라우팅 가이드의 도메인·정책 그룹 개념을 맞춰야 「켰는데도 안 된다」가 줄어듭니다.
처음에는 글로벌이나 단순한 프록시 모드로 경로가 통하는지 확인한 뒤, 규칙 모드로 되돌리는 순서가 디버깅에 유리합니다. DNS가 fake-ip·DoH·로컬 DNS와 섞이면 증상이 비슷해 보이므로, 로그에 찍힌 도메인과 매칭된 규칙을 함께 봅니다. CFW에서 설정 폴더를 그대로 가져온 경우에도 코어 버전과 호환되지 않는 키가 있으면 조용히 무시되거나 오류가 날 수 있으니, 마이그레이션 가이드의 백업·검증 단계를 건너뛰지 않는 편이 좋습니다.
4. 시스템 프록시: 잘 타는 앱과 빠지는 트래픽
시스템 프록시를 켜면 Windows의 인터넷 설정에 HTTP·HTTPS·SOCKS 프록시 서버와 포트가 채워지는 그림에 가깝습니다. Edge·많은 Chromium 기반 브라우저·시스템 API를 통하는 클라이언트는 이 설정을 따라가기 쉽습니다. Verge Rev에서 mixed-port가 실제로 열려 있는지, 다른 보안 제품이 해당 포트를 가로채지 않는지도 함께 봅니다.
한계도 분명합니다. 프록시 환경 변수를 읽지 않는 PowerShell·cmd 세션, 직접 연결을 시도하는 개발 도구, 자체 네트워크 스택을 쓰는 게임은 시스템 프록시만으로는 그대로 직통할 수 있습니다. 「브라우저만 된다」가 나오면 TUN을 검토하거나, 터미널별로 setx HTTPS_PROXY·세션 단위 $env:HTTPS_PROXY 같은 보조 수단을 씁니다.
한 줄 정리
시스템 프록시는 Windows가 프록시를 존중하는 앱에 가장 빠르게 효과가 있고, 설정 부담이 가장 적습니다.
5. TUN 모드: Wintun·UAC·서비스와 흔한 오류
TUN을 처음 켤 때는 Wintun 드라이버 설치나 갱신, 사용자 계정 컨트롤(UAC) 상승, 백그라운드 서비스 등록을 묻는 흐름이 이어지는 경우가 많습니다. 여기서 대화상자를 닫아 버리면 이후에도 같은 증상이 반복되므로, 신뢰할 수 있는 설치본인지 확인한 뒤 한 번에 끝까지 허용하는 편이 낫습니다. 장치 관리자에 가상 어댑터가 생겼는지, 네트워크 어댑터 목록에 Clash·TUN 관련 항목이 비정상(느낌표)으로 잡히지 않았는지도 같이 봅니다.
흔한 메시지로는 드라이버 설치 실패, 이미 다른 VPN이 TUN 슬롯을 잡고 있음, 권한 부족, 바이러스 백신이 드라이버 로드를 차단함 등이 있습니다. 다른 상용 VPN을 동시에 켜 두면 라우팅이 이중으로 겹쳐 패킷이 엉키기 쉬우니, 테스트할 때는 한쪽만 전역으로 켜는 습관을 권합니다. 스택 옵션이 UI에 있다면 환경마다 호환성이 달라, 한쪽에서만 끊기면 다른 스택으로 바꿔 보는 것이 실무에서 자주 쓰는 시도입니다. DNS 가로채기·스니핑 계열 옵션은 프로필과 충돌할 수 있으니 제공자 문서와 로그를 보며 단계적으로 켭니다.
# Example: quick connectivity check in PowerShell (adjust if needed) curl.exe -sI --connect-timeout 8 https://www.google.com | Select-Object -First 3
TUN을 켠 상태에서 위 검사가 기대대로면 IP 계층 경로는 대체로 Clash를 타고 있습니다. 시스템 프록시만 켠 상태에서만 성공한다면 원인은 앱별 프록시 준수 쪽에 더 가깝습니다.
6. 첫 설정 권장 순서
Windows 11에 처음 올릴 때는 다음 순서를 권합니다. 먼저 설치·스마트스크린·방화벽 프롬프트를 처리하고, 구독·프로필을 활성화합니다. 다음으로 시스템 프록시만 켜서 브라우저와 일상 앱이 규칙을 타는지 확인합니다. 여기까지 안정적이면 당분간 시스템 프록시만으로도 충분한 경우가 많습니다.
PowerShell·WSL·특정 게임·스토어 UWP처럼 시스템 프록시를 무시하는 트래픽이 보이면 그때 TUN을 켜고 Wintun·UAC 흐름을 끝까지 밟습니다. 회사 보안 정책·다른 VPN과의 공존을 먼저 확인하는 편이 안전합니다. Hyper-V·가상 스위치·Docker Desktop이 붙은 환경에서는 가상 어댑터 순서가 바뀌어 증상이 달라질 수 있으니, 변경 후에는 라우팅과 DNS를 다시 한 번만 훑어 주면 좋습니다.
7. UWP·CLI·게임 런처만 예외일 때
Microsoft Store 기반 앱은 네트워크 격리와 루프백 정책 때문에 시스템 프록시만으로는 부족한 경우가 있습니다. TUN을 켠 뒤에도 특정 UWP만 직통한다면 TUN·UWP·루프백 가이드의 체크리스트를 함께 보세요. loopback exemption이나 프로세스 규칙이 실제 증상과 맞는지 로그로 확인하는 것이 빠릅니다.
CLI는 세션마다 프록시 변수가 비어 있을 수 있습니다. 시스 프록시만 켠 상태에서 curl.exe가 직접 연결을 시도하면 타임아웃이 납니다. 해결은 (1) TUN으로 경로를 맞추거나, (2) 해당 셸 프로필에 프록시 변수를 넣거나, (3) 도구별 설정(git config http.proxy 등)을 쓰는 방식 중에서 고릅니다.
게임 런처·안티치트는 가상 어댑터를 비정상으로 간주하거나, 특정 포트만 허용하는 경우가 있습니다. 그럴 때는 TUN 대신 시스템 프록시와 게임 내 프록시 설정을 조합하거나, 공식 문서가 허용하는 범위 안에서만 실험해야 합니다. 계정 정지 위험이 있는 온라인 게임은 특히 보수적으로 접근하는 것이 좋습니다.
8. 연결 실패 시 점검 체크리스트
아래를 위에서부터 차례로 확인합니다. 첫째, Verge Rev에서 시스템 프록시·TUN 스위치가 의도한 조합인지 봅니다. 둘째, 활성 프로필과 선택된 노드가 실패 상태가 아닌지, 구독 만료·차단 여부를 봅니다. 셋째, Windows 설정 > 네트워크 및 인터넷 > 프록시에서 시스템 프록시가 기대대로 켜져 있는지 확인합니다.
넷째, TUN 사용 시 Wintun·가상 어댑터가 정상인지, 장치 관리자에 경고 아이콘이 없는지 봅니다. 다섯째, 다른 VPN·필터 드라이버·광고 차단이 패킷을 가로채지 않는지 확인합니다. 여섯째, Clash 로그에서 해당 도메인이 어떤 규칙에 매칭됐는지, DNS 응답이 기대와 다른지 봅니다. 이 순서를 지키면 「한 군데만 고치다가 다른 쪽이 원인이었던」 경우를 줄일 수 있습니다.
시스템 프록시 쪽 의심
브라우저는 되는데 특정 앱만 안 되면, 그 앱이 시스템 프록시를 무시하는지부터 의심합니다.
TUN·Wintun 쪽 의심
대부분의 앱이 동시에 실패하거나 CLI가 공통으로 막히면 드라이버·라우팅·다른 VPN 충돌을 우선 봅니다.
보안: Allow LAN을 켜거나 mixed-port를 넓게 열면 같은 네트워크의 다른 기기에서도 접속할 수 있습니다. 자세한 방화벽·LAN 설정은 LAN 공유 가이드를 참고하되, 공용 Wi-Fi에서는 범위를 제한하세요.
정리하면, Windows 11에서 Clash Verge Rev를 처음 쓸 때는 시스템 프록시로 빠르게 경로를 검증하고, CLI·UWP·게임처럼 프록시를 무시하는 트래픽이 보일 때 TUN 모드와 Wintun 설치를 추가하는 순서가 가장 부담이 적습니다. UAC·드라이버 프롬프트를 건너뛰면 나중에 같은 증상이 반복되므로, 첫 실행 때 허용 흐름을 끝까지 밟아 두는 것이 좋습니다. 규칙·DNS·노드 품질은 환경마다 다르지만, 모드 선택과 Windows 네트워크 스택 이해만 맞춰도 검색으로 자주 나오는 「연결됐는데 일부만 안 된다」류 문제를 크게 줄일 수 있습니다.
상용 VPN 앱에 비해 Clash 계열은 프로필·규칙·로그로 원인을 분해하기 쉬워, 개발자와 파워 유저에게 특히 잘 맞습니다. 브라우저만 쓸 때와 터미널·스토어 앱까지 쓸 때 요구가 다르다는 점만 기억하면, 시스템 프록시와 TUN을 번갈아 실험하는 부담도 줄어듭니다.
→ Clash를 무료로 내려받아 최신 Clash Verge Rev로 Windows 11 환경을 맞춘 뒤, 시스템 프록시부터 켜고 필요할 때만 TUN과 Wintun 설치를 추가해 보세요.
관련 읽기 · 같은 주제
주제 관련도가 높은 읽을거리 — 같은 카테고리의 Clash 실전 가이드.
Clash 구독 갱신이 Windows에서만 실패할 때: TLS handshake·DNS·로그로 원인 분기하고 mixed-port까지 맞추기 (2026)
브라우저에선 구독 URL이 열리는데 클라이언트만 타임아웃·TLS·DNS 오류로 갱신이 안 될 때, mihomo 로그로 DNS·다이얼·HTTP 단계를 가르고 fake-ip·DoH·회사망 인증서·mixed-port·방화벽·구독판 403까지 단계별로 고치는 순서를 정리했습니다.
자세히 보기Clash는 켰는데 브라우저만 직접 연결? Windows에서 보안 DNS(DoH) 끄고 시스템 프록시 맞추기 (2026)
Clash·시스템 프록시는 켰는데 Chrome·Edge만 국선·이상한 DNS처럼 보일 때, Windows 10/11·브라우저의 보안 DNS(DoH)를 끄고 mihomo의 fake-ip·로컬 DNS 흐름과 충돌을 푸는 절차입니다. Verge Rev 시스템 프록시·TUN·구독 TLS 글과…
자세히 보기이중 스택 네트워크에서 Clash TUN을 켜도 IPv6·DNS가 어긋날 때: 누수를 막고 mihomo 규칙을 교정하는 실측 (2026)
TUN을 켰는데도 실제 IP 노출·지역 판정 불일치가 날 때 이중 스택·AAAA·DNS 누수를 OS 제약과 mihomo DNS·fake-ip·GEOIP·Sniffer 교차 검증으로 좁히고, Windows·macOS·Verge Rev 글과 역할을 나눠 점검 순서를 정리했습니다.
자세히 보기