只开 TUN 就能接管 DNS 吗？

不能。TUN 接管的是流量入口，DNS 还要看 hijack、dns.listen 和浏览器 DoH。

fake-ip 会影响局域网设备吗？

配置不当会。需要把局域网域名和内网网段加入排除或直连规则。

浏览器 DoH 一定要关吗？

如果你希望规则由 Mihomo 统一判断，就应关闭浏览器内置 DoH，或明确把它纳入规则。

Clash Verge TUN DNS 分流 | 配置排查 2026

TL;DR：Clash Verge 的 TUN 模式不是一个万能开关。要让 DNS 分流稳定，必须同时检查虚拟网卡权限、DNS hijack、fake-ip、路由排除和浏览器 DoH；少一环，就会出现「应用走了，域名没按规则走」。

Clash Verge Rev 使用 Mihomo 内核时，TUN 模式会创建虚拟网卡，让不支持系统代理的应用也进入规则引擎。但 DNS 是另一条链路：应用先问域名，拿到 IP 后才建立连接。如果 DNS 没进入 Mihomo，后面的分流就可能只看到 IP，看不到原始域名。

配置检查表

环节	目标	常见问题
TUN 权限	虚拟网卡正常创建	驱动缺失、系统授权未给
DNS hijack	53 端口请求交给 Mihomo	只改了系统代理，DNS 仍外走
fake-ip	用虚拟 IP 绑定域名	fake-ip-filter 过宽或过窄
route exclusions	内网不进 TUN	NAS、打印机、公司网段异常
浏览器 DoH	DNS 由同一套规则处理	Chrome/Firefox 自己发 DoH

TUN 先看系统层

Windows 上要确认服务和驱动已安装，必要时以管理员身份启动；macOS 要在系统设置里允许网络扩展；Linux 则看 tun 设备权限。若 TUN 没创建成功，后续 DNS 配置都只是纸面设置。

启动后先访问局域网网关、NAS 或打印机。如果这些都异常，先写 route exclusions，把 192.168.0.0/16、10.0.0.0/8、172.16.0.0/12 以及公司内网段排除，再继续调 DNS。

DNS hijack 与 fake-ip 配套使用

Mihomo 的 DNS hijack 常用于接收系统发往 53 端口的查询。fake-ip 则给域名分配一个虚拟地址，连接回来时内核能知道它原本对应哪个域名。这样规则里写 DOMAIN-SUFFIX 才有意义。

不要把 fake-ip-filter 写得太随意。内网域名、路由器管理域名、局域网发现服务可以过滤；常见网站全塞进过滤列表，反而会让分流退化成按 IP 猜测。

浏览器 DoH 是最后一公里

Chrome、Firefox、Edge 都可能启用安全 DNS。开启后，浏览器不再问系统 DNS，而是直接连 DoH resolver。此时 Mihomo 只能看到一条 HTTPS 连接，看不到原始查询。想统一分流，就关闭浏览器 DoH；如果必须保留，就把 DoH 目标写入明确规则。

订阅侧也要干净。若配置里 rule-providers 与 DNS 策略混乱，可以换成兼容 Clash / Singbox / V2Ray 的订阅后再对比。

验证不要只靠检测网站

检测网站只能告诉你它看到的出口和 DNS，不知道你本机的规则命中过程。更可靠的做法是同时看三处：Clash Verge 的连接面板、Mihomo 日志、系统 DNS 结果。访问一个你明确写了规则的域名，确认日志里命中了同一条规则；再访问局域网设备，确认它没有进入 TUN。

Windows 可以用 nslookup 对比系统 resolver，macOS 可以用 scutil --dns 看当前 DNS 配置。浏览器测试时要新开无痕窗口，避免旧 DNS 缓存影响判断。若结果前后不一致，先清浏览器缓存和系统 DNS 缓存，再重启 Verge 内核，不要立刻改大段配置。

可回滚配置更重要

TUN、DNS、规则、订阅最好分层保存。先导出当前可用配置，再改 TUN；TUN 稳定后再改 DNS；最后才调整规则集。这样出问题时只回滚一层。把所有开关一次性打开，看似快，实际最容易得到一个无法解释的故障现场。

常见误区

第一个误区是把系统代理和 TUN 混为一谈。系统代理只影响遵守代理设置的应用，TUN 处理的是更底层的流量；两者同时开启时，部分应用可能先走系统代理，再被 TUN 捕获，日志里会出现重复连接。排查阶段可以先关系统代理，只保留 TUN。

第二个误区是把所有 DNS 都写成同一个公共 resolver。这样配置简单，但规则引擎会失去上下文，内网域名、公司域名和本地发现服务容易出问题。更稳的做法是让 Mihomo 统一接收查询，再按域名类别分给不同 resolver。

第三个误区是忽略 IPv6。系统拿到 IPv6 DNS 后，浏览器可能直接用 IPv6 路径查询。若你还没设计 IPv6 分流，就先在测试配置里明确关闭或排除，等 IPv4 链路稳定后再加。第四个误区是只看网页能不能打开，不看连接面板；页面正常加载，也可能是命中了兜底规则。真正验收要看规则名、出口组和 DNS 查询是否一致。每次改完只测一个变量，保留截图或日志片段，方便回滚复盘留痕。

FAQ

TUN 开启后网速变慢正常吗？ 轻微下降正常；明显变慢多半是 DNS 重试、路由回环或 MTU 不合适。

route exclusions 写太多好吗？ 不好。只排除你确定不应进入 TUN 的网段，避免把需要规则处理的流量放出去。

fake-ip 和 redir-host 选哪个？ 桌面 TUN 场景优先 fake-ip；需要极简排错时可临时切 redir-host 对照。