Windows 11 安装 Clash Verge Rev：系统代理与 TUN 模式首次配置步骤

1. 系统代理与 TUN：在 Windows 11 上你在选什么

系统代理的含义，是让 Windows 把「会读取系统代理设置」的应用的 HTTP/HTTPS（以及部分场景下的 SOCKS）流量，导向本机上 Clash 监听的端口。Microsoft Edge、Chrome、Firefox 以及多数尊重 WinINet/系统代理的桌面程序，通常会跟着系统走；但不读系统代理的程序——例如默认直连的 PowerShell/curl、不少游戏与启动器、或自行指定链路的软件——就会表现得像「代理没开」。

TUN 模式会在系统里挂上一块虚拟网卡（在 Windows 生态里常见实现与 Wintun 相关），由内核把符合策略的流量交给 Clash 处理，更接近常说的透明代理思路：对「不认系统代理」的应用也更友好。代价是步骤更多——往往需要管理员权限安装或更新驱动、可能与其他 VPN或企业隧道争抢默认路由，排错时也要多看一眼路由表与防火墙。

第一次上手的推荐顺序通常是：先完成订阅导入并选出可用节点，用系统代理在浏览器里验证出口；确认订阅与规则没有明显问题后，再按需打开 TUN，解决「只有部分程序不走代理」这类死角。Clash Verge Rev 内核侧常见为 mihomo（Clash Meta），与你在 macOS 或 Linux 上的 YAML 心智模型一致；本站也有 macOS 同主题图文，便于跨平台对照权限与验证差异。

2. 安装与首次打开：SmartScreen、架构与权限基础

建议从本站 下载页获取与你设备匹配的 Windows 安装包，注意区分 x64 与 ARM64（骁龙本或部分平板形态设备）。安装完成后若出现「已阻止不安全的应用」或 SmartScreen 蓝色提示，通常是未广泛累积信誉的安装包触发了默认策略：在确认来源可信的前提下，可按系统提示选择「仍要运行」或到「应用的信誉设置」里临时放行——这与代理连通性无关，但会决定你能不能顺利打开主程序。

首次启动后，建议先确认软件能正常驻留托盘、设置页能打开，再进入订阅步骤。部分环境会默认以标准用户运行，而 TUN 或安装 Wintun 时需要提升权限：届时会出现 UAC 弹窗，这是 Windows 的正常机制，并不是「中毒」信号。若你在公司设备上遇到策略禁止安装虚拟网卡驱动，只能退回系统代理或联系管理员放行。

若你习惯把可执行文件放在含非 ASCII 字符或过深的路径，偶尔会遇到权限或服务注册异常；尽量使用默认安装目录或简短的英文路径，能减少与 Helper/服务模式相关的玄学问题。升级 Windows 大版本后也建议重新打开一次客户端，让网络组件按新系统完成自检。

3. 订阅与内核：先保证有节点，再动模式开关

在折腾系统代理或 TUN 之前，请先完成订阅或配置导入，并等待更新成功。若你不熟悉远程配置 URL 的导入方式，可先阅读站内 订阅导入教程，避免在「没有可用节点」的情况下反复切换模式，把问题误判成「TUN 坏了」或「Win11 网络坏了」。

导入后在界面中选择一个可用的策略组或出站，确认日志里没有持续的 TLS/握手失败。若订阅侧要求特定 User-Agent 或需要手动刷新，也请先处理完毕。顺序上建议：内核已加载 → 节点可选 → 再开系统代理 → 验证浏览器 → 最后才开 TUN。这样一旦异常，你能快速判断是「订阅/规则」还是「模式/驱动」层的问题。

部分发行版提供「服务模式」或常驻组件，用于在开机后自动拉起内核；若你启用后遇到端口占用或旧进程残留，可在任务管理器中结束相关进程后重试，并核对是否与过往其他 Clash 衍生客户端的自动启动项冲突。

4. 系统代理模式：如何确认已写入 Win11

在 Clash Verge Rev 中开启系统代理后，请到 设置 → 网络和 Internet → 代理（或旧版路径下的「代理」页）查看是否出现本机地址与端口。不同版本写入的端口可能对应 mixed-port 或分项 HTTP/HTTPS/SOCKS，以客户端界面展示为准。若此处始终为空，说明系统代理没有真正写入，需要回头检查客户端是否报错、是否被杀软拦截修改系统设置，或是否缺少提权组件。

验证建议分两步：其一，用 Edge 或 Chrome 打开任意 IP 查询站，看出口是否与所选节点一致；其二，在 PowerShell 里对 Invoke-WebRequest 或 curl.exe 显式指定代理参数做对比，避免把「默认不走系统代理的命令行」误判成故障。需要强调的是：Windows 终端默认并不会自动继承系统代理，这与 macOS 上的常见误区同类；命令行要通，要么配置环境变量（如 HTTPS_PROXY），要么改用 TUN 覆盖。

系统代理的优点是侵入性较低，与许多仅做「应用层代理」的场景兼容更好；缺点是对不读系统代理的程序覆盖不全。若你主要需求是浏览器、办公软件与多数桌面应用跨境访问，系统代理往往足够；若你发现某款游戏、IDE 内置更新器或脚本始终直连，再进入下一节的 TUN。

5. TUN 模式与 Wintun：首次开启时的驱动与 UAC

第一次打开 TUN 模式时，Windows 往往会弹出 用户帐户控制（UAC），用于允许安装或加载 Wintun 这类虚拟网卡组件。请仔细阅读弹窗来源，在确认是 Clash Verge Rev 或其官方组件后选择「是」。若你点「否」或直接关闭，TUN 可能表现为开关已开但流量未进内核，这时应关闭 TUN、重新触发安装流程，而不是反复重启电脑碰运气。

可在「设备管理器 → 网络适配器」中观察是否出现与 Wintun 或 Meta 相关的虚拟适配器；不同版本命名可能略有差异。若驱动安装失败，可检查是否被组策略禁止、是否缺少证书信任、或是否存在旧版本 Wintun 残留冲突。卸载过往第三方 VPN 的虚拟网卡后重启，再尝试安装，往往能排除一类「驱动占用」问题。

TUN 解决的是流量是否进入 Clash，并不自动保证「一定走代理出口」：若规则把目标判为直连、或 DNS 解析走了意外路径，你仍会看到「开了 TUN 也没用」的假象。更底层的 TUN 行为也可对照站内 TUN 模式说明 做交叉理解。若你同时需要局域网其他设备连本机代理，这与 TUN 是不同话题，可参考 局域网共享与防火墙放行 一文。

若本机还运行其他全局 VPN（含部分「加速器」），建议不要同时开两套全量接管：很容易出现默认网关互相覆盖、DNS 顺序混乱、或表现为「偶发能上、多数应用不行」。临时处理是只保留其一为全局，另一完全退出；长期处理则是在规则里显式分流内网、公司域名，并固定只使用一种 TUN 栈。

6. 常见报错：驱动失败、仅浏览器通、与别的 VPN 抢路由

「TUN 打开后整机上不了网」：先关闭 TUN，仅保留系统代理或全部关闭，看访问是否恢复。若恢复，重点查虚拟网卡、路由与其他 VPN 冲突；同时核对订阅是否过期、系统时间是否严重偏移（会导致 TLS 失败）。也可在管理员 PowerShell 中用 route print 粗看默认路由是否异常，但修改路由前请确保你理解每条改动。

「只有浏览器正常，游戏或启动器仍直连」：多数是应用不读系统代理——尝试开启 TUN，并在日志中确认相关进程的连接是否进入 Clash。若仍不行，可能是硬编码 DNS、私有协议或 QUIC/HTTP3 绕开常见劫持路径，需要结合分流规则与客户端是否允许关闭 HTTP/3 做对照测试。

「提示 Wintun 安装失败 / 找不到适配器」：先完整退出客户端与其他 VPN，删除冲突虚拟网卡后重启；再以管理员身份启动客户端重试。若机器上有严格安全软件，检查是否拦截了驱动安装目录。企业环境若禁止 TUN，只能使用系统代理或在合规前提下申请放行。

「PowerShell、Git、npm 仍不走代理」：为当前用户或会话设置 HTTP_PROXY/HTTPS_PROXY，或使用工具链自带的代理配置；不要期待它们自动继承 Win11 系统代理。若你在 WSL 或容器里开发，宿主机 Clash 与虚拟网络的配合请参考站内 Docker 相关专栏，不在此重复展开。

7. 模式之外：规则、DNS 与策略组也别忽略

很多「模式对了但仍异常」的案例，根因在规则顺序或DNS：例如 Fake-IP 与直连域名冲突、Geo 数据过旧、策略组默认落在 DIRECT。建议在确认系统代理或 TUN 已生效后，打开连接日志观察域名命中了哪条规则，再对照 高级规则分流指南 调整。

对首次配置用户，优先保持订阅提供商的默认规则集可用，再逐步自定义；不要同时改动过多变量（换节点、改 DNS、开 TUN、手改 YAML 大块），否则排错会呈指数变难。建议每次只动一项，复测通过后再继续。

8. 首次配置排查清单