macOS 安装 Clash Verge Rev：系统代理与 TUN 模式首次配置完整步骤

1. 系统代理与 TUN：你在 macOS 上到底在选什么

系统代理的本质，是让 macOS 把「支持读取系统代理设置」的应用的 HTTP/HTTPS（以及部分场景下的 SOCKS）流量，导向本机上的 Clash 监听端口。Safari、Chrome、多数图形界面软件会尊重系统代理；但不读系统代理的程序——例如某些命令行工具默认直连、个别游戏启动器、或自己指定了 DNS/链路的应用——就会表现得像「没开代理」。

TUN 模式则在系统里挂上一块虚拟网卡（常见为 utun 系列设备），由内核把符合策略的流量送进 Clash 处理，更接近常说的透明代理思路：对「不认系统代理」的应用也更友好。代价是步骤更多——往往需要你在「系统设置」里批准 VPN/网络扩展类配置，有时还要处理Helper安装或管理员密码，且与路由表、其他 VPN 客户端更容易产生冲突。

因此第一次上手的推荐顺序通常是：先保证订阅与规则正常、用系统代理在浏览器里验证出口；确认无误后，再按需打开 TUN 解决「只有部分 App 不走代理」这类问题。Clash Verge Rev 基于 Tauri，内核侧常见为 mihomo（Clash Meta），与你在 Linux 或 Windows 上用的 YAML 心智模型一致，只是 macOS 的授权链路更啰嗦。

2. 安装与首次打开：签名、目录与订阅导入

建议从本站 下载页获取适合你芯片架构的安装包（Apple Silicon 与 Intel 需区分），将应用拖入「应用程序」文件夹。若首次打开提示「无法验证开发者」，可在访达中右键应用选择「打开」，或在系统设置的安全隐私里手动放行——这是 macOS 对未公证或未熟悉开发者的常规流程，与代理本身无关。

启动后先做两件事：导入订阅或配置，并确认内核已加载成功。若你还不熟悉远程配置 URL 的导入方式，可先阅读站内 订阅导入教程，避免在「没节点」的情况下反复折腾模式开关。导入后等待订阅更新完成，再在界面中选择一个可用的出站或策略组，最后才打开系统代理或 TUN——顺序错了容易误判为「模式坏了」。

部分版本在首次启用增强能力时会提示安装 Helper 或输入管理员密码，用于向系统注册服务、写入网络配置。若你跳过这一步，后续 TUN 或自动设置系统代理可能静默失败，表现为开关亮了但流量没变化。遇到弹窗时建议一次性完成授权，再在本文第三节、第四节分别验证。

3. 系统代理模式：适合谁、如何验证已生效

在 Clash Verge Rev 中开启系统代理后，请到 系统设置 → 网络中查看当前活跃网络（Wi‑Fi 或以太网）的「详细信息 → 代理」，确认 HTTP/HTTPS（以及 SOCKS，若客户端写入）是否指向本机地址与混合端口。不同版本写入的端口可能略有差异，以界面显示的 mixed-port 或说明为准。

验证建议用两步：其一，用 Safari 或 Chrome 打开任意 IP 查询站，看出口是否与所选节点一致；其二，在终端执行显式走代理的命令（例如为 curl 指定 -x http://127.0.0.1:端口）对比直连结果。注意：终端默认并不自动使用系统代理，这是 macOS 的常见误区——终端「不通」不等于系统代理没开，除非你在 shell 里配置了 http_proxy 或使用封装好的工具。

系统代理的优点是侵入性低、与其他 VPN 并存时冲突较少；缺点是对「不读系统代理」的应用覆盖不全。若你主要需求是浏览器、办公软件与多数 GUI 应用跨境访问，系统代理往往足够；若你发现某款游戏、IDE 内置下载器或自建脚本始终直连，再考虑第四节 TUN。

4. TUN 模式：何时更值得开、与「透明代理」的关系

打开 TUN 模式后，macOS 通常会弹出与 VPN 配置或网络扩展相关的授权，有时还会在「系统设置 → 隐私与安全性」或「通用 → 登录项与扩展」里出现待批准项。请按系统引导点「允许」，必要时输入密码；若你使用公司 MDM 管控设备，策略可能禁止第三方网络扩展，此时只能退回系统代理或联系管理员。

TUN 生效后，可在终端用 ifconfig 观察是否出现新的 utun 接口，并结合 Clash 日志判断流量是否进入内核。需要强调的是：TUN 解决的是流量是否进入 Clash，并不自动保证「一定出国」——若规则把目标域名判为直连、或 DNS 解析走了意外路径，你仍会看到「开了 TUN 也没用」的假象。更底层的 TUN 行为也可对照站内 TUN 模式说明 做交叉理解。

若你本机还运行其他 VPN（企业隧道、全局加速类客户端），建议不要同时开两套全量接管：很容易出现路由互相覆盖、DNS 劫持顺序混乱。临时做法是只保留其一为「全局」，另一完全退出；长期做法则是理清谁的 TUN 优先级更高，并在规则里显式绕过内网与公司域名。

5. macOS 权限与辅助功能：分别在什么场景出现

除网络扩展外，部分功能会请求辅助功能（Accessibility）权限，用于在系统层模拟按键、辅助切换代理状态或与系统集成。若你未使用相关自动化特性，可在「系统设置 → 隐私与安全性 → 辅助功能」中保持关闭，直到客户端明确提示某功能必须开启。不要盲目全开权限，以免扩大攻击面；仅在你理解用途后再授权。

本地网络权限在较新的 macOS 上也可能影响局域网设备发现或局域网直连类特性；若你使用局域网共享、或规则涉及内网地址，可在弹窗时选择允许。与「文件与文件夹」相关的权限多出现在日志导出、配置备份等场景，与代理连通性无直接关系，可按需授予。

若你在升级系统大版本后突然无法连接，可优先检查「系统设置 → 通用 → 登录项与扩展」里是否残留未启用的网络扩展，或重置一次网络权限后再启动 Clash Verge Rev。Apple 在 Sonoma 及后续版本对扩展签名与权限提示更严格，界面文案可能与旧教程截图不一致，以当前系统为准即可。

6. 常见故障：连不上、只有浏览器能用、游戏或终端不走代理

「开关开了但完全上不了网」：先关闭 TUN，仅保留系统代理或全部关闭，确认能否恢复访问；若恢复，说明问题在虚拟网卡或路由，检查是否与其他 VPN 冲突、是否缺少网络扩展授权。再核对混合端口是否被占用、订阅是否过期、系统时间是否严重偏移（TLS 握手会失败）。

「只有浏览器正常，别的软件不行」：多数是应用不读系统代理——请尝试开启 TUN，并在规则中确保该进程的流量被正确匹配到代理策略组。若开了 TUN 仍不行，可能是应用使用硬编码 DNS、私有协议或 QUIC，需要结合分流规则与是否关闭 HTTP/3 做对照测试。

「终端里 git、npm、pip 不走代理」：为终端配置环境变量 HTTPS_PROXY / HTTP_PROXY，或使用工具链自带的 proxy 配置；不要期待终端自动继承 macOS 系统代理。若你在 Docker 或虚拟机里开发，宿主机 Clash 与容器网络的配合又是另一套话题，可参考站内其他专栏。

7. 别急着换模式：规则、DNS 与策略组也要看一眼

很多「模式对了但仍异常」的案例，根因在规则顺序或DNS：例如 Fake-IP 与直连域名冲突、Geo 数据过旧导致误判、策略组默认落在 DIRECT。建议在确认系统代理或 TUN 已生效后，打开日志观察域名命中了哪条规则，再对照 高级规则分流指南 调整。

对首次配置用户，优先保持订阅提供商的默认规则集可用，再逐步做自定义；一次改太多变量（同时换节点、改 DNS、开 TUN、改 YAML）会让排错非常困难。建议每次只动一项，复测通过后再继续。

8. 首次配置排查清单