為什麼「會用 Clash」仍卡在 DNS 模式?
許多使用者已能順利匯入訂閱、切換節點、甚至寫好境內直連/境外代理的分層規則,卻在進階選項裡撞上 fake-ip(俗稱假 IP、虛擬解析)與 redir-host(以真實解析配合重新導向)兩種 DNS 模式。介面上名詞相近,實際上卻會改變「應用程式先拿到哪一種位址」「核心稍後如何還原網域名稱以套用規則」,進而影響你看到的遊戲延遲、語音通話品質,以及網路銀行、報稅或政務網站是否突然無法載入。
這篇文章刻意與站內單純講 TUN、分流清單或連線日誌欄位的文章分工:這裡只處理一件事——在 Clash Meta(Mihomo)架構下,如何依你的主要場景選擇解析模式,並把配套 DNS 一併對齊。若你尚未建立「規則由上而下匹配、MATCH 兜底」的基本架構,建議先閱讀 Clash 分流規則配置教學,再回到本文調整 DNS 區塊。
fake-ip 與 redir-host:在核心裡各扮演什麼角色?
簡化來說,兩者差在「應用程式向 DNS 要答案時,Clash 先回什麼」以及「後續連線建立時,核心如何取得真實主機名與位址以匹配規則」。在 fake-ip 模式下,對被納入管理的查詢,核心常回一個落在 fake-ip-range(例如慣用的 198.18.0.0/15)內的位址,讓連線先進入核心,再由內部機制(含 Sniffer 等)還原域名並走規則。好處是規則匹配時機集中、對部分依賴域名的應用較容易「統一出口」;但若應用程式或系統快取了與真實世界不一致的解析結果,或某些軟體堅持自行驗證 TLS/憑證與 IP 對應,就可能出現難以重現的錯誤頁。
redir-host 則傾向讓客戶端拿到「由你指定的上游 DNS 回覆的真實 IP」,核心再以重新導向方式把流量納管。對需要嚴格對齊「瀏覽器看到的憑證主體與連線目的地」的場景(部分金融與政府網站、或企業 VPN 並存)有時較直觀;但若上游 DNS 與規則假設不一致,或境內/境外解析路徑分裂,也可能表現成「規則看起來對,連線卻繞遠路」。
請記得:沒有放諸四海皆準的「永遠開 fake-ip」或「永遠 redir-host」。實務上是依裝置上同時跑的應用組合取捨,並在變更後給程式足夠時間重建連線與快取。
遊戲與即時連線:為何常聽說 fake-ip「比較順」?
競技類遊戲、語音與部分 P2P 場景對往返延遲與連線路徑一致性很敏感。當所有域名查詢與 TCP/UDP 連線都先進入 Clash Meta,再由規則決定直連或代理時,fake-ip 能減少「系統解析與核心分流各自解讀」的落差:較容易讓遊戲用戶端、反作弊模組與核心看到同一套決策結果。若你搭配 TUN 模式 讓 UDP 與非 HTTP 流量也納入同一條管線,體感上常比只開系統代理、但 DNS 仍散在路由器或系統設定裡更穩定。
但若症狀是「延遲數值忽高忽低、斷線重連頻繁」,不要急著把鍋全甩給 DNS 模式:請同時檢查節點品質、是否誤把遊戲伺服器網段代理到高延遲出口、以及 Windows/路由器是否還有另一套 DNS 在搶答。此時可開啟連線紀錄,對照 規則命中與日誌教學,先看命中規則類型與策略群組落點是否與預期一致,再回頭調整 DNS 模式。
網銀、政務與相容性:何時優先考慮 redir-host 或「真實解析路徑」?
部分金融與政府網站會在校驗流程中假設「使用者取得的解析結果與實際連線位址相符」,或依賴多段跳轉、內容傳遞網路與防詐騙偵測;當瀏覽器、外掛程式與核心對同一網域的「可見 IP」不一致時,可能出現白屏、反覆導向、或安全元件無法啟動。這類問題不一定在 fake-ip 下必然發生,但若你已排除節點與規則順序,仍只在切換 DNS 模式前後才穩定重現,就可以優先嘗試 redir-host,並確保境內站點走可信的本地或電信 DNS,境外再走加密 DNS 或訂閱提供的伺服器。
另一常見情境是與公司 VPN、校園網或零信任用戶端並存:此時「誰負責解析、誰負責送封包」的優先順序比單一模式口訣更重要。可先在問題網站測試:暫時對該網域使用直連規則、關閉會衝突的攔截外掛,再觀察是否仍與 fake-ip 有關;若只在假 IP 環境下失敗,將模式改為 redir-host 並重啟瀏覽器後再驗證一次。
可照做的選擇步驟(建議順序)
- 寫下你的主訴:是「遊戲 ping 高/掉包」為主,還是「特定網站打不開/憑證錯誤」為主?兩者優先處理的杠杆不同。
- 確認覆蓋面:若大量程式不跟系統代理,優先完成 TUN 或類似全域管線,再談 fake-ip/redir-host;否則你只會在「瀏覽器正常、遊戲仍繞路」裡打轉。
- 固定一組上游 DNS:為境內與境外分別指定清楚的上游,並避免路由器、系統與核心三邊各用各的;變更模式後清一次系統 DNS 快取再測。
- 小步實驗:同一台機器上先只改
enhanced-mode與對應模式,其他區塊維持不變,觀察 10~15 分鐘內遊戲與網銀是否同時可接受。 - 用日誌驗證假設:目標主機名、規則類型、策略落點是否在同一條敘事裡?若否,先修規則與群組,不要堆疊更多 DNS 特例。
設定檔裡可參考的 DNS 區塊思路(請依核心版本調整)
下列為示意用片段,欄位名稱請對照你的 Clash Meta 版本與訂閱模板;註解一律使用英文以利日後 diff 與分享。重點是讓 enhanced-mode 與你選的模式一致,並為境內/境外準備分流解析,而不是只抄一組 public DNS。
dns:
enable: true
# fake-ip | redir-host — pick ONE mental model for your apps
enhanced-mode: fake-ip
fake-ip-range: 198.18.0.0/16
nameserver:
- https://dns.alidns.com/dns-query
fallback:
- https://1.1.1.1/dns-query
fallback-filter:
geoip: true
geoip-code: CN
若改為 redir-host,將 enhanced-mode 改為 redir-host,並重新檢查 nameserver 與 fallback 的觸發條件是否符合你對「境內站直連、境外站走代理」的預期。不同發行版對欄位預設值略有差異,匯入後務必在圖形介面或日誌中確認已實際載入,而不是僅存檔。
後台報錯或異常時的排查清單
- 變更 DNS 模式後,先完全結束遊戲/瀏覽器行程再重開,避免舊連線與舊快取干擾判斷。
- 若只有特定域名異常,優先用
DOMAIN-SUFFIX或規則集精準指向直連或代理,而不是全域切換模式。 - 同時開啟 Sniffer 與日誌時,注意「還原到的主機名」是否與你規則表裡寫的一致;不一致時常是規則順序或 Sniffer 設定問題,而非單純假 IP 本身。
- 若懷疑 MTU、IPv6 或分流外仍有一股 DNS 搶答,請在路由器與系統網路設定中逐一排除,再回來微調 Clash。
結語:先對齊場景,再決定 fake-ip 或 redir-host
Clash Meta 的強項在於把出口選擇與規則命中攤在可觀測的日誌裡;fake-ip 與 redir-host 則決定「解析與連線」這條故事線是否從頭到尾說同一種語言。以遊戲與低延遲為優先時,常見做法是在全域管線與 DNS 一併對齊的前提下採用 fake-ip,並用日誌確認規則與延遲來源;以網銀、政務與憑證敏感站為優先時,則可優先嘗試 redir-host 與更保守的上游解析路徑,再必要時為少數網域做規則例外。
相較於四處搜尋來路不明的安裝包,先從本站取得對應平台的用戶端與更新節奏,再回頭完成訂閱與 DNS 微調,通常更利於長期安全與除錯。延伸概念也可參考 Clash 說明與教學文件。→ 立即免費下載 Clash,開啟流暢上網新體驗