Windows 10 安装 Clash Verge Rev：系统代理与 TUN 模式首次配置完整步骤

1. 系统代理与 TUN：在 Windows 10 上你在选什么

系统代理的含义，是让 Windows 把「会读取系统代理设置」的应用的 HTTP/HTTPS（以及部分场景下的 SOCKS）流量，导向本机 Clash 监听的端口。Microsoft Edge、Chrome、Firefox 以及多数遵守 WinINet/系统代理的桌面程序，通常会跟着系统走；但不读系统代理的程序——例如默认直连的 Windows PowerShell 里的部分命令、不少游戏与启动器、硬编码链路的更新器——就会表现得像「代理没开」。在 Win10 上这与 Win11 的心智一致，区别更多在设置页排版与组策略环境，而不是原理。

TUN 模式会在系统里挂上一块虚拟网卡（在 Windows 上常见实现与 Wintun 相关），由内核把符合策略的流量交给 Clash 处理，更接近常说的透明代理：对不认系统代理的应用也更友好。代价是需要管理员权限完成驱动侧安装或更新，并可能与其他 VPN或企业隧道争抢默认路由；排错时除了客户端日志，还要多看一眼路由表与防火墙规则。对「机房、公司机」这类受限环境，TUN 有时会被策略层直接否定，这时应优先验证系统代理是否足以覆盖你的主要软件栈。

第一次上手的推荐顺序通常是：先完成订阅导入并选出可用节点，用系统代理在浏览器里验证出口，确认订阅、证书时间与规则没有明显硬错误后，再按需打开 TUN，处理「只有部分程序不走代理」这类死角。与 Windows 11 专篇相比，本篇更强调老版本累积更新、学校与企业镜像常见的拦截面；与 macOS 专篇对照，有助于你在多平台统一「先代理后 TUN」的排错习惯。

2. Clash Verge Rev 安装与首启：SmartScreen、架构与路径

Clash Verge 怎么安装才不埋雷？建议从本站 下载页获取与你设备匹配的 Windows 安装包，并注意区分 x64 与 ARM64。安装完成后若出现 SmartScreen「已保护你的电脑」或类似蓝色提示，多半是安装包尚未积累足够信誉触发了默认策略：在确认来源可信的前提下，按提示选择「仍要运行」或进入「Windows 安全中心 → 应用和浏览器控制」相关页面做一次性放行。这与出口连通性无关，但会决定你能不能稳定打开主界面与后续更新通道。

Win10 长期处于多版本并存：家庭版、专业版、教育版与企业 LTSC 的更新节奏不同；若机器长期脱管，可能缺少新根证书或 TLS 库更新，后面会在「订阅更新失败」里放大成握手错误。能联网的前提下，建议至少把系统维持在你所在组织仍受支持的分支持平上，再谈客户端体验。首次启动后，确认程序能常驻托盘、设置页能打开，再进入订阅步骤。部分发行会以标准用户运行主界面，而真正安装 Wintun 或调整路由时需要提升权限：届时出现 UAC 是正常机制，应核对签名与路径后再点「是」，而不是习惯性全部拒绝。

路径与字符集方面，尽量避免把便携版或可执行文件放在过深的目录、或包含复杂非 ASCII 字符的路径里——这在 Win10 上偶尔会放大「Helper 注册失败」「服务拉起异常」等难以复现的问题；默认安装到 Program Files 一类标准位置通常更省心。若你使用机械硬盘或极老旧机型，第一次展开资源与生成配置缓存会慢一些，耐心等待日志开始输出，不要把「界面暂时空白」误判为安装损坏。

3. 订阅导入与内核：先有节点，再动模式开关

在折腾系统代理或 TUN 之前，请先完成订阅或配置导入，并等待客户端显示更新成功。若你不熟悉远程配置 URL 的导入方式，可先阅读站内 订阅导入教程，避免在「没有可用节点」或规则整体报错时反复切换模式，把问题误判成「Win10 网络坏了」或「TUN 驱动必坏」。导入后选一个延迟正常的出站，观察日志中是否仍有持续的 TLS 失败、证书校验失败或 DNS 超时。

顺序上建议：内核已加载 → 节点可选 → 再开系统代理 → 用浏览器验证 → 最后才开 TUN。这样一旦异常，你能快速判断是「订阅或远程规则仓库不可达」还是「本机模式/驱动」层的问题。Clash Verge Rev 依托的 mihomo 行为与你在其他平台使用的 Meta 特性大体一致；如果你在 Win10 上叠加了公司根证书解密，偶尔需要把公司内网域名写进直连或单独策略组，以免被错误地送去外部节点。

当订阅怎么都拉不下来时，不要立刻开 TUN「碰运气」；更常见根因是系统时间偏移、DNS 被劫持到异常解析、或出口被限制访问订阅 CDN。可以对照站内 订阅失败与 TLS/DNS 日志排查，用日志把问题钉死在一两层原因上，再回到本文继续完成模式配置。

4. 系统代理：如何在 Win10「代理」页核对写入

在 Clash Verge Rev 中开启系统代理后，请到 Windows 设置 → 网络和 Internet → 代理（不同小版本入口文案可能略有差异）核对「使用代理服务器」是否打开，以及地址是否指向本机、端口是否与客户端显示一致。不同发行写入的端口可能对应 mixed-port 或分项 HTTP/HTTPS/SOCKS，以界面展示为准。若该页始终显示关闭或地址为空，说明系统代理没有真正写入，需要回头检查客户端是否报错、是否被杀软或策略禁止改写系统设置、是否需要先启动提权组件。

验证建议分两层：其一，用浏览器打开任意 IP 或地理位置检测页，确认出口与所选节点一致；其二，在终端里记住默认不会自动继承系统代理——对 curl.exe 或 Invoke-WebRequest 显式加上本机代理参数做对比，避免把「命令行没配代理」误判成「Clash 坏了」。如果你主要痛点是 Git、npm 或容器构建，长期更合理的做法是为工具链配置 HTTP_PROXY/HTTPS_PROXY，或直接用 TUN 让流量按规则进入 mihomo，而不是期待所有 CLI 都会读 Win10 系统代理。

系统代理的优点是侵入性较低，与许多只做应用层代理的旧业务系统更兼容；缺点是对不读系统代理的程序覆盖不全。若你的使用场景以浏览器、Office 套件与多数尊重系统的桌面应用为主，系统代理往往足够；当你确认「某游戏、IDE 内置更新器、私有协议客户端」始终直连，再进入下一节的 TUN。与浏览器仍像直连相关的话题，也可以对照 关闭安全 DNS 与系统代理校准，排除 DoH 与系统代理抢解析链的情况。

5. TUN 模式与 Wintun：提权、驱动与路由注意点

第一次打开 TUN 模式时，Windows 10 往往会弹出 用户帐户控制（UAC），用于允许安装或加载 Wintun 相关组件。请核对可执行文件路径与签名描述，在确认是 Clash Verge Rev 或其发行所需组件后选择「是」。若习惯性点「否」，你可能会看到「开关显示开启但内核没有对应连接」的半成功状态——这时应先在客户端关闭 TUN，再重新触发安装流程，而不是反复重启机器。

可在「设备管理器 → 网络适配器」中观察与 Wintun 或 Meta 相关的虚拟适配器命名；不同版本会有差异。若安装失败，先检查是否被组策略禁止、是否存在旧版虚拟网卡残留冲突、是否被第三方安全软件拦截驱动文件落盘。卸载过往全局 VPN 的冲突适配器后重启，再尝试安装，往往能解决一类「占用型」故障。更底层的 TUN 行为也可读 站内 TUN 模式说明 建立概念坐标；需要把局域网其他设备指向本机代理时，那是 allow-lan 与防火墙话题，见 局域网共享与防火墙放行，与是否开 TUN 不是同一条线索。

需要反复强调：TUN 解决的是「流量有没有进入 Clash」，并不会自动保证「一定从你期望的节点出去」。若规则把目标判成 DIRECT、DNS 解析走了意外跳点、或策略组本身卡在无节点状态，你会看到「TUN 开了也像没开」。若本机还跑着另一套全局 VPN/加速器，尽量不要让两套栈同时抢夺默认路由与 DNS 顺序；临时方案是完全退出其一，长期方案是在规则中显式分流内网与公司域名，并固定只使用一种全局接管方式。

6. 常见现象：仅浏览器通、整机上不去、与 VPN 抢默认路由

「只有浏览器能用，游戏/启动器仍直连」：高概率是应用不读系统代理。先开 TUN 并在连接日志里观察相关进程是否进入 mihomo；若仍不行，接下来要怀疑硬编码 DNS、私有协议、QUIC/HTTP3，以及规则是否早先把相关域名送去直连。不要一上来就反复重装客户端，先把问题分层。

「打开 TUN 后整机访问异常」：先在客户端关闭 TUN，仅保留系统代理或全部关闭，看是否恢复。若恢复，重点查虚拟网卡、默认路由被覆盖、与其他 VPN 冲突、以及订阅是否过期。可在管理员权限的 PowerShell 中运行 route print 粗看默认路由，但不要随意删除不明条目。若你刚刚更新过月度累积补丁，偶发需要重启后再加载驱动一次，这是 Win10 上比 Win11 更常见的老问题形态。

「提示 Wintun 安装失败 / 适配器缺失」：完整退出所有同类客户端与 VPN，删除冲突虚拟网卡后重启，再以管理员身份启动 Clash Verge Rev 重试。企业环境里若策略层面禁止非授权网卡驱动，只能退回系统代理或走合规流程。对安全软件-heavy 的个人机器，检查隔离区是否误杀驱动文件。

「命令行工具始终不走代理」：为当前会话或用户配置明确的环境变量，或使用工具自己的代理开关；Win10 不会因为你开了系统代理就让所有 CLI 自动跟随。若你在 WSL1/WSL2 或 Docker Desktop 环境里开发，宿主机与虚拟机网络的组合更复杂，需要单独对照 WSL2 镜像网络文档，不在此展开全部命令。

「感觉不如在 Win11 上顺滑」：更多来自硬件代际与系统长期叠补丁后的「陈旧度」，而不是 Verge 刻意区分版本。你能做的是保持 TLS 与证书信任链可用、避免超老版本停止支持的分支留在公网、以及用本篇顺序做最小复现，把「系统层面」和「配置层面」剥离开。

7. 规则、DNS 与策略组：模式正确仍异常时的第二战场

很多「模式对了但仍异常」的案例，根因在规则顺序、DNS 模式或策略组默认值：例如 Fake-IP 与直连域名冲突、Geo 数据过旧、默认策略指向错误分组。建议在系统代理或 TUN 已按前文验证后，打开连接/解析日志看域名命中了哪条规则，再对照 高级规则分流指南 做有依据的修改。

首次配置阶段最忌讳同时改动太多变量：换节点、改 DNS、开 TUN、手搓大段覆写一起上，排错难度会指数级上升。建议每次只动一项，复测通过后再继续。对于绝大多数提供商自带的默认配置，先以「能稳定更新订阅、能在系统代理下浏览器出访」为第一阶段目标，再逐步个性化分流。

8. Windows 10 常见问题（简答）

下面是正文版速查，结构化问答已同步到页面 JSON-LD 供检索展示。

9. 首次配置排查清单