Fake-IP 的价值是让域名和连接保持可追踪,但内网设备不该拿到虚拟地址。OpenClash 里最常见的现象是外部网站正常,NAS 后台、打印机页面和路由器管理页随机打不开。
这类问题的共同点是:界面上看起来已经开启,真正的入口却可能在另一个端口、另一个服务或另一个配置段。排查时不要同时改三处。先找一个可重复的失败样本,再把日志、字段和验证命令对上。
##判断你是哪一种故障?
| 故障表现 | 更可能原因 | 现场先看 |
|---|---|---|
| NAS 域名打不开,IP 能打开 | 域名被 Fake-IP 接管 | nslookup nas.lan 返回 198.18 段 |
| 打印机页面偶发超时 | mDNS/local 域名没过滤 | *.local 是否在过滤列表 |
| 路由器后台跳转异常 | router.lan 被代理规则处理 | OpenClash DNS 日志 |
| 加过滤后仍异常 | dnsmasq 缓存未刷新 | 重启 dnsmasq 与 OpenClash |
如果表里有两项同时命中,处理更靠近系统入口的那一项。端口、服务、VPN 权限、DNS 监听都属于入口层;订阅、规则、策略组属于配置层。入口没通时,配置层再正确也看不出效果。
为什么不要一上来重装客户端?
重装会清掉一部分状态,也会把证据一起清掉。很多用户重装后短时间恢复,是因为旧服务、DNS 缓存或监听端口被重启释放了,并不代表根因消失。下一次更新、重启或切换网络后,问题可能原样回来。
更稳妥的办法是保留现状,做最小化测试。只开一个入口,只用一个测试域名,只改一个字段。每次改动后都记录现象,这比反复导入新配置更快。
现场定位:看哪条日志和哪个字段?
- UI 路径:OpenClash → 插件设置 → DNS 设置 → Fake-IP 过滤。
- 配置字段:
dns.enhanced-mode: fake-ip与fake-ip-filter。 - 日志关键词:
fake-ip、dns query、198.18。 - 验证命令:
nslookup nas.lan 路由器IP。
可以直接执行或在 UI 里完成这些检查:
nslookup nas.lan 192.168.1.1
nslookup router.lan 192.168.1.1
/etc/init.d/dnsmasq restart
logread -e openclash | grep -i fake日志里如果同时出现端口占用和 DNS 失败,处理端口。DNS 组件起不来时,后面的规则命中、策略选择和连接测速都会失真。
字段和客户端兼容表
| 字段或组件 | 适用客户端/平台 | 作用 | 兼容提醒 |
|---|---|---|---|
fake-ip-filter | Mihomo/OpenClash | 排除不该 Fake-IP 的域名 | 支持通配符 |
*.lan | OpenWrt 常见后缀 | 局域网主机名 | 建议加入 |
*.local | mDNS 常见后缀 | 打印机和 Apple 设备 | 部分场景不经 dnsmasq |
home.arpa | 家庭网络保留域 | 局域网命名 | 建议加入 |
| 198.18.0.0/16 | Fake-IP 池 | 虚拟地址段 | 不应给内网域名 |
兼容表的用法不是照抄字段,而是确认「谁负责入口,谁负责规则,谁负责 DNS」。一个字段在桌面客户端里只是本机设置,放到 OpenWrt 上就可能影响整段局域网。
修复步骤怎么排?
- 列出所有内网域名后缀,例如 lan、local、home.arpa。
- 在 OpenClash Fake-IP 过滤里加入通配符和固定设备名。
- 保存配置并重启 OpenClash 与 dnsmasq。
- 用 nslookup 确认内网域名返回 192.168 或 10 段真实地址。
- 打开 NAS、打印机和路由器后台,看连接是否还进入代理日志。
如果你维护多台设备,最好先拿一台测试机做验证。确认核心链路恢复后,再把同一套配置同步到手机、平板或软路由。多端共用订阅时,可以准备一份配套订阅线路作为基线输入,但排错仍要从本机日志开始。
哪些情况不该继续改配置?
出现下面几种情况,先停手:第一,日志已经提示文件缺失或权限不足,却还在改规则;第二,同一台设备上同时开了两个 DNS 接管组件;第三,服务重启后错误字符串变化很大,说明你一次改了太多变量。
还有一种常见误区是把「测速失败」当成所有问题的根因。测速只是客户端发起的一次请求,不能证明 DNS、TUN、Rewrite 或策略组都正常。要用真实 App 或浏览器请求补一次验证。
怎么验证已经恢复?
- 同一个测试域名连续打开 3 次,结果一致。
- 日志里不再出现本篇 TL;DR 提到的错误字符串。
- 连接记录进入预期策略组或出站,而不是落到兜底项。
- DNS 返回值、监听端口和 UI 状态三者能互相对应。
验证要回到最初的失败样本。不要换一个网站就宣布修好,也不要只看 UI 绿色状态。能复现同一个动作,并在日志里看到清晰命中,才算完整链路。
记录哪些证据才有用?
处理「OpenClash fake-ip-filter 怎么处理局域网域名」这类问题时,建议把证据写成一行,而不是只截一张失败截图。可记录客户端版本、系统版本、当前入口端口、DNS 监听地址、失败域名、日志关键词和最后一次改动时间。以后同一个配置换到另一台设备上,能直接判断是环境差异还是配置差异。
如果团队里有多人维护配置,变更前后最好各保留一份导出的配置。不要只说「我改了 DNS」或「我开了 TUN」,而是写清具体字段,例如端口从 7890 改到 7897,Fake-IP 过滤新增了 *.lan,或 Script 里新增了一个策略组。这样的记录能减少重复试错,也方便回滚。