Clash 已开但浏览器仍直连？在 Windows 上关闭安全 DNS 并校准系统代理

1. 为什么 Clash 已开，浏览器却像「没走代理」

在 Windows 上，系统代理通常只告诉应用程序「把 HTTP(S) 流量送到本机某端口（例如 127.0.0.1:7890）」由 Clash 的 mixed-port 或等价入站再二次分流。但 解析域名 可以走另一条路：当 Chrome 或 Edge 启用了「使用安全 DNS」时，查询往往直接发往浏览器内置列表中的 DoH 服务器，不经过 你期望由 mihomo 接管的 dns 段。于是会出现「出口 IP 显示走了节点，但规则依赖的域名解析却来自境外公共 DNS、或被解析到与 Fake-IP 策略不一致的结果」，表现为网页行为怪异、或 代理不生效 的错觉。

另一个常见层是 Windows 设置里单独的加密 DNS：从系统层面为某块网卡或「全局」指定 DoH/DoT，其优先级与 Clash 的 dns.enable、TUN 栈交互复杂。读者若同时开着安全 DNS、系统加密 DNS 与 Clash的内置 DNS，就像三路方向盘各转一角，排查时自然觉得「我明明都开了，怎么还不对」。

所以本文的 核心动作 是：在确认 系统代理 与客户端端口无误会的前提下，先消除浏览器与系统对 DoH 的「抢答」，让解析路径尽可能回到可观测、可配置的同一套 mihomo 规则里；再决定是否需要为个别域名加 fake-ip-filter、nameserver-policy 或改用 TUN。与单纯「规则写错」相比，这种 DoH 造成的分叉更容易被忽视，也最值得单独成文。

2. Chrome 与 Edge：关闭「使用安全 DNS」

以下路径以 2026 年前后的 Chromium 系界面为参考，各版本菜单位置可能略有平移，但关键词一致。建议先用无扩展、无隐身以外的配置文件测试，避免被第三方扩展再次改写 DNS。

2.1 Google Chrome

打开 Chrome，在地址栏输入 chrome://settings/security 并回车。在「安全」或「高级」相关区域找到「使用安全 DNS」选项，将其改为关闭或选择「使用您当前服务提供商的 DNS」（表述因语言包略有不同）。不要选择「安全」供应商列表中的云厂商 DoH，否则浏览器仍会直接对外发起 HTTPS 形式的 DNS 查询。若你曾通过策略或企业组策略下发过 安全 DNS，还需要在 chrome://policy中确认是否仍强制启用。

2.2 Microsoft Edge

Edge基于 Chromium，路径类似：打开 edge://settings/privacy，在「安全性」下找到「使用安全的 DNS 指定如何查找网站的网络地址」开关，将其关闭；或把「请选择服务提供商」从自定义 DoH 改为系统默认。若你登录了组织账号，注意组织策略可能覆盖本机设置。完成后完全退出浏览器（包括驻留的后台与「登录以同步」相关进程）再重开，避免缓存的策略继续生效。

对「只想临时验证」的读者，可用无痕窗口配合上述关闭操作做一次 ipip.net或自建的出口查询页面对比；若无痕与常规模块结果一致、且与 Clash 连接日志中选用节点相符，再回头清理常驻扩展与启动参数。

3. Windows 11/10：系统「加密 DNS」与网卡设置

在 Windows 11中，进入 设置 → 网络和 Internet → WLAN（或以太网）→ 硬件属性 / 已连接网络的 DNS 服务器分配，检查是否开启了「DNS 通过 HTTPS 发布」或「编辑 DNS 设置」中的 加密首选/备用。若你本地希望统一走 Clash内置解析，可在此先关闭系统的加密 DNS，让系统层回退为常规 UDP/TCP 查询，再交由 TUN 或本机 redir拦截（视你的客户端模式而定）。Windows 10用户路径略有差异，但「加密」「HTTPS」「DNS over TLS」等字样一般在「更改适配器选项」所打开的网卡属性里能找到。

同时建议在「设置 → 网络和 Internet → 高级网络设置 → 其他网络设置 → 更多网络适配器选项」中，确认没有为虚拟网卡或 VPN 网卡误配了固定到公共 DoH 的仅 IPv4 DNS。部分校园网或企业会下发 强制代理，也会与 系统代理表现叠加，此时若只改浏览器可能仍部分异常，需要与网管策略一并考虑。

4. 对照 Clash：系统代理、DNS 模式与 DoH 分叉

在 mihomo / Clash Meta系内核中，dns段与 tun、redir-host、fake-ip等组合会决定「谁最后看见真实 IP、谁只看见 198.18.x.x」。当你关闭 Chrome与 Edge的 安全 DNS后，浏览器的 DoH竞争减轻，Clash DNS更容易成为单一真相来源；若仍出现解析与分流不符，再检查 dns.enhanced-mode、fake-ip-filter以及是否对特定域名需要 nameserver-policy。

系统代理侧请核对：GUI 是否指向与配置一致的 mixed-port（或 HTTP/SOCKS 分层端口），以及 「仅 PAC」与「系统代理开/关」是否被其它软件抢占。可对照 Clash 使用教程中关于入站与出站的说明，把「本机谁监听、谁发起」理清，避免把「代理不生效」误判成 DNS 问题。

若你主要依赖 TUN模式接管，某些仅遵循系统环境变量、却不读系统代理的终端或 UWP 应用，行为会与浏览器仍不一致——那是另一类场景，可结合上文的 TUN 与 UWP 专文；而本文所强调的，是「浏览器自身 DoH」在未开 TUN 或仅系统代理时对分流可观测性的破坏。

5. 快速验证：你看到的是直连还是「解析没进内核」

关完 安全 DNS后，用同一条测试域名做三步对照：① 打开客户端连接日志，看该域名被匹配到的策略与出口；② 在浏览器访问 https://1.1.1.1/help 这类页面时，先确认你没有在浏览器里继续强制使用 Cloudflare 的 DoH；③ 用 ipconfig /flushdns（以管理员身份打开命令提示符或 PowerShell）清一次系统 DNS 缓存，再重复测试，排除旧缓存与策略延迟。

若日志里能稳定看到目标域名、且策略与预期一致，但页面仍「像直连」，再向前排查扩展广告拦截、公司 SSL 检查、或 HTTP/3/QUIC 与 Sniffer 组合——这些已超出纯 DNS 范畴，但许多读者在关掉 DoH后，症状会已经缓解大半。

6. 可勾选排查清单与何时考虑 TUN

下表把「安全 DNS / DoH」与「系统代理、内核 DNS」放在同一行思考，避免单点修修补补。

当「关 安全 DNS、对齐 系统代理、校准内核 dns」三步做完后，Windows 上 Clash 与 Chrome / Edge 的表现通常会回到 同一套 可解释的分流叙事里。若你仍遇到订阅或 TLS 类报错，可继续对照 订阅与日志专文；那边侧重「拉取配置」，本文侧重「浏览网页时代理不生效的表象与 DoH」。