Clash 已開但瀏覽器仍直連？在 Windows 上關閉安全 DNS 並校準系統代理（2026）

1. 先辨識：為什麼「只瀏覽器」容易假裝沒代理

代理不生效這句話，實務上要先拆成兩件事：連線有沒有經過你指定的出站，以及網域名稱是在哪一層被解析的。Windows 上若只開 系統代理，理論上支援系統 Proxy 的應用程式會把 HTTP(S) 交給本機的 127.0.0.1 之類位址；但 Chrome 與 Edge 若另外啟用了 安全 DNS，解析會直接對公共 DoH 供應商發起 HTTPS 查詢，等於在「網址列還沒交給系統堆疊」之前就先決定了目標 IP 與部分路徑特性。

這會造成兩種典型困擾。第一種是看起來像直連：例如 IP 查詢網站顯示仍是自家 ISP，因為部分測試頁主要量到 DNS 或 QUIC 路徑，與你以為的 HTTP 代理鏈不一致。第二種是規則明明寫了，網站行為却像沒分流：因為解析結果與 Clash 內的 fake-ip／fallback 預期不同，後續連線雖然仍可能走代理，但應用程式看到的「終點」與日誌對不起來，讓人誤以為 Clash 沒吃到規則。

若你同時遇到下載類工具正常、只有瀏覽器怪，優先懷疑瀏覽器安全 DNS，而不是急著重裝核心。接下來兩節把 Chrome 與 Edge 的關閉路徑寫成可照抄的順序，避免版本選單改名後找不到。

2. Google Chrome：關閉「使用安全 DNS」

在 Chrome 網址列輸入 chrome://settings/security 進入「隱私權和安全性」底下的安全設定頁。找到「使用安全 DNS」區塊，改選關閉（或你的版本顯示為「使用您目前的服務供應商」這類等同於交還系統解析的選項，仍以實際介面為準）。若你曾安裝會注入 Proxy 的擴充功能，建議在無痕視窗重測一次，排除擴充套件另行指定 Proxy。

企業環境若由群組原則鎖定了 DNS，一般使用者可能無法改此開關；此時需要與管理單位確認是否強制 DoH。家用電腦則多半可自由關閉。完成後請完整結束 Chrome 再開（必要時從工作管理員結束背景程序），避免舊的 DNS 快取會話殘留。

為什麼這一步會影響 Clash

Clash 的規則與策略很多時候依賴「由誰來解析這個網域」。當 Chrome 自行對公共 DoH 解析，等於繞過了你在 YAML 裡為 mihomo 設定的 dns 區段與本機回圈行為，與「全系統交給 Clash 處理 DNS」的架構不一致。先把瀏覽器拉回與系統一致，後面校準核心設定才有意義。

3. Microsoft Edge：關閉安全 DNS 與相關開關

Edge 同樣基於 Chromium，路徑大致平行。開啟「設定」→「隱私權、搜尋與服務」，在「安全性」區段找到「使用安全的 DNS」或相近名稱，改為關閉或改交還系統。部分版本會把選項放在「隱私權、搜尋與服務」底下的子面板，若找不到，可在設定內建搜尋框輸入「DNS」快速定位。

若你啟用了「在 Microsoft Edge 中提高線上安全性」這類進階保護，有時會一併影響連線路徑與憑證行為；排查 代理不生效時，可暫時關閉該類實驗性防護、確認症狀是否消失，再決定長期設定。與 Windows Copilot 或公司政策相關的瀏覽器外殼功能，若與站內 Copilot／微軟網域分流專文 疊加，也建議分開變因測試。

4. Windows 系統層：加密 DNS 與介面優先順序

除了瀏覽器，Windows 10／11 本身也有「使用加密 DNS」或「DNS over HTTPS」類選項，路徑通常在「設定」→「網路和網際網路」→ 你的介面（Wi-Fi 或乙太網路）→「DNS 伺服器指派」進階選項。若此處指定了第三方 DoH，即使瀏覽器關閉安全 DNS，部分系統解析仍可能與 Clash 的期望不同。

實務建議是：排查期間先把系統加密 DNS 改回自動或由路由器／ISP 指派，讓「誰負責解析」收斂到你能從 Clash 日誌觀察到的路徑。若你使用 TUN 並希望由核心接管 DNS，更要避免 OS 與瀏覽器雙重 DoH 疊加，否則日誌裡會出現「以為走了 fake-ip，實際對外仍是公開解析商」的錯覺。

多網卡環境（Wi-Fi 與有線同時存在、或虛擬機橋接）時，也請確認網路介面優先順序沒有讓流量從非預期的介面出去；這類問題較少見，但在筆電塢接與 VPN 並存時值得順手檢查。

5. 核對系統代理是否真的指向 Clash

關閉 安全 DNS 後，第二步是確認 系統代理 與客戶端寫入一致。開啟 Windows「設定」→「網路和網際網路」→「Proxy」，看「使用 Proxy 伺服器」是否指向你 Clash／Verge 顯示的本機位址與埠號（常見為 127.0.0.1 加 HTTP 埠）。若此處為關閉，但客戶端宣稱已開系統代理，可能是權限不足未寫入、或被其他軟體還原。

圖形客戶端使用者可對照 Windows 11 Verge Rev 系統代理與 TUN 設定，確認「系統代理」與「TUN」不要在不理解回環的前提下亂疊加。若你只用系統代理、未開 TUN，某些不依賴系統 Proxy 的程式仍會直連——那是另一條題目；本篇聚焦瀏覽器因 DoH 造成的假像。

快速嗅測方式：在關閉安全 DNS 後，用開發者工具看請求是否仍大量走 QUIC／HTTP3 直連；若策略需要強制走本機代理，有時還要在瀏覽器實驗旗標或企業政策層面限制 QUIC。這屬進階話題，多數家用情境先把 DoH 與 系統代理 對齊即可大幅改善。

6. Clash／mihomo DNS：避免與瀏覽器 DoH 打架

當瀏覽器不再強制 DoH，Clash 的 dns.enable、nameserver、fallback 與 fake-ip 設定才容易和日誌對齊。若你使用 fake-ip，請理解應用程式看到的 IP 可能與公開 DNS 不同，這是設計行為；先前若因瀏覽器自行解析導致「規則看起來失效」，在關閉安全 DNS 後應會改善。

需要對照「只有訂閱／核心更新失敗」與「只有網頁怪」時，可參考 訂閱更新與 TLS、DNS 日誌排查 的方法論：那篇偏客戶端拉 YAML，本篇偏瀏覽器會話；兩者合起來可覆蓋大半 Windows 新手踩雷點。

若你開啟 TUN 並希望連 UWP 一併納管，請注意 Microsoft Store 類應用另有回環議題，與本篇瀏覽器 DNS 不同層次，可延伸閱讀 TUN 與 UWP 回環豁免，避免把兩種問題混在同一鍋裡修。

7. 可重現的驗證與檢查清單

步驟 A：關閉 Chrome／Edge 的「使用安全 DNS」，並將 Windows 加密 DNS 設回自動或由路由器管理。

步驟 B：確認系統 Proxy 指向執行中的 Clash 本機埠，與客戶端 UI 一致；變更後若瀏覽器已開啟，請重啟瀏覽器。

步驟 C：在 Clash 日誌觀察同一網域的解析與連線標籤，確認不再出現「瀏覽器與核心各解析一套」的跡象；必要時暫時關閉 fake-ip 對照差異（僅作診斷，長期仍應理解 fake-ip 與規則的關係）。

步驟 D：若仍異常，再檢查第三方防毒、HTTPS 掃描、或其他會注入 LSP 的「網路加速」軟體，這類程式有時只影響瀏覽器行程。

Optional: list system DNS servers (admin PowerShell example)
Get-DnsClientServerAddress -AddressFamily IPv4 | Format-Table

以上指令僅協助你看 OS 介面當下的 DNS 伺服器列表，與 mihomo 內部 dns 日誌仍需分開解讀；巨大差異通常代表你找對方向了。

8. 延伸閱讀與開源資訊

想了解核心行為與上游 Issue 流程，可參考 MetaCubeX／mihomo 公開儲存庫；與「安裝套件下載」分開，一般使用者取得用戶端仍建議優先使用本站 下載頁，並搭配 使用教學總覽 完成匯入與第一次連線。