為什麼「只有 UWP 不聽話」?
Clash 在 Windows 上最常見的兩種接管方式,是系統代理(System Proxy)與TUN 虛擬網卡。前者讓支援讀取 Windows「網際網路選項」或 WinHTTP 設定的程式走 HTTP/HTTPS 代理;後者則在較底層改寫路由,讓更多流量(含不讀系統代理的程式)進入核心。然而,通用 Windows 平台(UWP)應用程式在網路行為上與傳統桌面程式不同:它們受到 AppContainer 沙盒限制,對於連回本機位址(127.0.0.1 或 localhost)的連線預設更嚴格,且部分應用對系統代理的遵循度與 Win32 不一致。
因此,當您看到「Clash 已開、Chrome 正常,但 Store 下載卡住或 Xbox 相關功能異常」時,請先不要急著改訂閱或節點,而是區分問題類型:是「完全沒走代理」、還是「必須連 localhost 的元件被擋」、或是「規則把某域名導成直連」。接下來各節會依序說明如何判斷。
若您尚未完成 Windows 端基礎安裝,建議先對照 Clash Verge Rev Windows 完整安裝與設定教學,確認訂閱、系統代理與 Service Mode 已就緒;本文假設您已能讓瀏覽器穩定走代理。
症狀分類:先對症再下藥
實務上可將常見情境粗分為三類,方便對照後續步驟:
- 類型 A:僅 Store/部分 UWP 無法連線或更新極慢,但 Edge 與其他 Win32 正常。此時優先檢查系統代理是否生效、規則是否將 Microsoft 相關域名導向直連,以及是否需要TUN。
- 類型 B:應用程式或外掛需要連到本機上的服務(例如本機 API、代理埠、開發伺服器),在 UWP 內失敗,但在傳統程式內正常。這類多半與 Loopback 限制有關,需透過 Loopback 豁免或改為非 UWP 版本測試。
- 類型 C:已開 TUN 仍無法覆蓋特定 App。請檢查 Service Mode/驅動、防火牆、其他 VPN 或過濾驅動是否衝突,並用連線日誌確認流量是否進入 Clash。
安全提醒:為 Loopback 豁免時會放寬 UWP 對本機的連線限制,請只對您信任的應用程式操作,並在排查結束後再評估是否維持豁免。
1理解 Loopback 與「為何要豁免」
Windows 預設會限制 UWP 應用程式對回環介面(loopback)的存取,以減少惡意程式在沙盒內探測本機服務的風險。當某個 UWP 需要連到 127.0.0.1、localhost,或本機電腦名稱上的服務時,若未經豁免,連線可能會失敗或行為異常。
若您的 Clash 或依賴本機埠轉發的應用(例如某些遊戲外掛、本機代理鏈)需要被 UWP 存取,就必須讓該套件取得 Loopback 豁免(loopback exemption)。這與「有沒有開系統代理」是兩件事:代理開了,但若 UWP 連線目標是本機,仍可能先被 Loopback 規則擋下。
常見工具思路:使用 Windows 內建的 CheckNetIsolation 命令列,針對特定 App 套件的 SID 設定 Loopback。取得套件名稱的方式,可透過「設定 → 應用程式」中該應用程式的「進階選項」或開發者文件查詢;實際指令格式(以系統管理員身分執行)如下:
CheckNetIsolation LoopbackExempt -a -n=<PackageFamilyName>
若要解除豁免,可對應使用 -d 參數。若您不確定套件名稱,可先以傳統 Win32 版本或網頁版交叉驗證,縮小問題範圍。
2確認系統代理是否真實生效
在 Clash Verge Rev 等客戶端中開啟系統代理後,Windows 會將代理位址寫入系統設定。請先確認:代理模式是否為「規則」且未誤將目標域名規則匹配到直連;全域/直連是否與預期一致。
接著在 Clash 的連線(Connections)或日誌(Logs)中觀察:當您操作 UWP 應用程式時,是否出現對應網域的連線紀錄。若完全沒有記錄,代表流量可能未進入 Clash(常見於僅依賴系統代理但該應用不遵循系統代理的情況)。此時可考慮:
- 安裝並啟用Service Mode後,再開啟TUN 模式,讓更多流量被網路層接管(需依客戶端與核心支援)。
- 檢查是否有企業政策、第三方防火牆、安全軟體攔截虛擬網卡或本機服務。
TUN 的啟用條件與介面位置,可延伸閱讀 Clash Verge Rev TUN 模式完整教學,與本文的「系統代理」段落互相補強。
3規則與 DNS:別讓 Microsoft 流量被誤導直連
部分規則集或自訂規則會將 microsoft.com、windowsupdate.com、Xbox 相關域名設為直連(DIRECT),以避免更新走代理造成延遲或相容性問題。若您的需求是讓 Store 或某些微軟服務經過代理,請在設定檔中檢查規則順序與策略組,確認該域名未被更上層的規則提前匹配為直連。
若您使用 Fake-IP 或自訂 DNS,請一併確認 UWP 解析與 Clash 規則所見的域名一致;若 DNS 解析繞過本機或與核心設定不一致,可能出現「連線看似成功但實際繞過代理」的難查現象。建議對照 Meta 核心 DNS 防洩漏指南,將 DNS 與 TUN/規則串成同一套邏輯。
4TUN 與系統代理:何時該用哪一種?
簡單說:系統代理對「會主動讀取系統代理設定的程式」最省事;TUN則適合「不讀系統代理、或需要完整流量導向核心」的情境。UWP 商店、部分內建元件對系統代理的支援度不一,因此當您已確認 Loopback 無關、規則無誤,仍無法讓流量進入 Clash 時,啟用 TUN往往是下一步。
若同時啟用多種虛擬網路卡、其他 VPN 或「網路加速器」,請注意路由表衝突與指標(metric)優先順序,必要時暫停其他工具後再單獨測試 Clash。
可複現排查檢查清單
建議依序勾選,並在每一步記錄「連線日誌有無變化」:
- Clash 與 系統代理已開啟;瀏覽器出口 IP 符合預期。
- 問題應用是否涉及 localhost?若是,先處理 Loopback 豁免。
- 在連線日誌中是否出現該應用相關域名;若無,嘗試 TUN。
- 檢查規則是否將目標域名導向直連;調整順序或策略組。
- 確認DNS與 Fake-IP 設定與規則一致。
- 排除防火牆/其他 VPN與 Service Mode 衝突。
與安裝教學的銜接:若 Service Mode 未正確安裝,TUN 可能無法穩定;請先完成 Windows 安裝教學中的服務模式步驟,再回來驗證 UWP。
開源專案與下載來源
Clash 生態的核心與圖形介面多為開源專案,您可在公開程式庫查閱授權與更新紀錄。客戶端安裝檔請優先以 本站下載頁 取得,與自行從 Release 挑檔案分開看待;日常更新與安裝以本站流程為主即可。
結語
相較於「把所有問題都歸咎於節點或訂閱」,Windows 上 UWP 與 Clash 的摩擦,多半來自沙盒限制(Loopback)、系統代理是否被該類應用遵循,以及規則與 DNS 是否一致。先分類症狀、再用連線日誌驗證,通常能避免反覆重裝與無效切換節點。若您已掌握系統代理與 TUN 的差異,並在必要時為信任的套件設定 Loopback 豁免,Microsoft Store 與 Xbox 相關體驗會明顯好排查許多。
若您希望從一開始就建立穩定的 Windows 桌面環境,再依序疊加 TUN 與 DNS 進階設定,整體維護成本會比較低,也比較不會在升級系統後找不到問題根源。