先確認:您遇到的是哪一種「不生效」?
在開始動系統設定前,建議先用兩句話描述現象,避免把不同問題混在同一鍋裡煮。第一種是客戶端顯示已開啟系統代理,但瀏覽器造訪測試站仍顯示本機電信或家裡 IP,看起來像完全沒走節點。第二種是介面上怎麼切換都沒有變化,或一開啟就跳回關閉,這通常指向權限或背景服務沒有成功安裝。第三種則是只有特定 App 不走代理,其餘正常,那就要同時懷疑該 App 是否忽略系統代理、或您是否仍在規則模式下把目標域名送到了 DIRECT。
接下來的流程假設您已能更新訂閱、選擇節點,且在其他裝置或同一台機器改用 TUN 時行為會改變。若連訂閱都無法更新,請先排除網路與訂閱連結本身,再回來看系統代理鏈路。
釐清:系統代理、規則模式與 TUN 的關係
系統代理做的是把 macOS「系統設定 → 網路 →(您的介面)→ 詳細資訊 → 代理伺服器」裡的 HTTP/HTTPS 代理欄位,寫成 Clash 在監聽的位址(常見為 127.0.0.1 加連接埠)。會跟隨這份設定的,多半是 Safari、部分 macOS 內建服務,以及願意讀取系統代理的第三方瀏覽器。相對地,許多命令列工具預設不讀系統代理,除非您另外設定環境變數或開啟 TUN。
規則模式決定的是「流量進入核心之後要往哪個策略組走」,與「流量有沒有進核心」是兩件事。若您看到規則寫得很漂亮,但連線日誌裡根本沒有對應域名,代表問題在入口而不是規則本身。需要全系統、含不聽系統代理的程式都經過 Clash 時,可改走 TUN 模式;完整啟用步驟可對照 Clash Verge Rev TUN 模式完整開啟教程,與本文的系統代理鏈路互補。
實務建議:排查時一次只改一個開關。先確認「系統代理是否真的寫進 macOS」,再談規則與節點,否則很容易在設定檔與系統權限之間來回空轉。
1客戶端側:系統代理開關、連接埠與「有沒有在聽」
開啟 Clash Verge Rev,確認目前不是純粹的「僅本機 SOCKS/HTTP 手動模式」卻沒有同步到系統。多數版本會在設定或首頁提供「設定系統代理」「System Proxy」之類的選項;請確認它處於開啟,且顯示的連接埠與您在「連接埠設定」或進階設定中看到的一致(常見為 Mixed 埠,實際數字以介面為準)。
接著用「連線」或日誌頁面做一次簡單測試:在開啟系統代理的情況下用瀏覽器打開一個會回傳出口 IP 的 HTTPS 頁面。若日誌完全沒有新增條目,優先懷疑流量沒進 Clash。若日誌有條目但 IP 仍像直連,再回頭檢查規則是否把該域名送到直連,或 DNS 是否繞過了核心(可延伸閱讀 Meta 核心 DNS 防洩漏終極指南)。
2macOS 系統設定:代理欄位是否真的被寫入
打開系統設定 → 網路,選取您目前正在上網的介面(Wi-Fi 或乙太網路),進入詳細資訊,左側選代理伺服器。在「已開啟系統代理」的前提下,這裡應出現有效的網頁代理伺服器(HTTP)與安全網頁代理伺服器(HTTPS),伺服器位址多半是 127.0.0.1,連接埠與客戶端一致。
若您明明在 Clash Verge Rev 裡開了系統代理,這裡卻仍是空白或舊的數值,代表寫入失敗。此時請不要手動亂填,先回到下一節處理 Helper 與延伸功能權限,因為自動寫入通常需要這些元件處於「已允許」狀態。若您曾安裝其他代理或 VPN 工具,也要留意是否被別的程式覆寫了同一份系統代理設定。
3鑰匙圈:密碼拒絕、憑證與「永遠允許」
Clash Verge Rev 在 macOS 上要修改系統層級的網路設定、或安裝/更新 Helper 時,常會跳出鑰匙圈相關提示,要求輸入登入鑰匙圈密碼。若您按到拒絕、或輸入錯誤多次,後續就可能出現「以為開了代理、其實沒寫進系統」的半套狀態。建議在提示出現時選擇允許或永遠允許(用語依系統版本略有差異),並確認您輸入的是目前這個 macOS 使用者帳號的登入密碼,而不是 Apple ID。
若曾經拒絕過,可到「應用程式 → 工具程式」開啟鑰匙圈存取,在登入鑰匙圈中搜尋與 Clash/Verge 相關的項目,檢查是否有明顯異常;更務實的做法則是在客戶端內找重新安裝服務/Helper或解除安裝後再安裝一次(不同版本選單名稱可能不同),讓系統重新彈出授權對話框。切勿從不明來源下載所謂「修復腳本」去刪除鑰匙圈項目,以免影響其他安全元件。
4Helper(輔助工具)與服務模式:背景程式有沒有站穩
許多圖形客戶端會把「需要管理者權限」的操作拆成主程式與Helper:前者負責介面,後者負責在背景套用網路設定、掛載 TUN、或維持常駐。若 Helper 沒裝成功,典型現象是每次開機都要手動點一次才短暫有效,或系統代理開關顯示開啟卻無法持續寫入。
請在 Clash Verge Rev 的設定 → 系統設定(或相近名稱)區塊,查看服務模式/Helper是否顯示已安裝。若提供「安裝」按鈕,請在準備好管理者密碼的情況下重跑一次;完成後完全結束 App 再重開,避免舊行程仍握著過期狀態。若您使用公司配發的 Mac,MDM 政策有時會限制安裝系統延伸或背景服務,這種情況需要與 IT 確認是否允許 Network Extension 類元件。
5網路延伸功能(Network Extension):登入項目與延伸功能
從 macOS Big Sur 以後,Apple 把許多與封包處理、虛擬介面相關的能力收斂到系統延伸功能與網路延伸功能框架下。Clash Verge Rev 若要穩定使用 TUN、或部分版本在套用系統代理時依賴延伸功能,您必須在系統設定 → 一般 → 登入項目與延伸功能 → 網路延伸功能(路徑用語隨版本略有調整)中,找到對應開發者或 App 名稱的項目並設為允許。
若曾看到「系統阻擋了來自開發者的延伸功能」之類提示,請到隱私權與安全性中檢查是否有仍要允許的按鈕需要按下。完成後通常需要重新開機或至少登出再登入一次,延伸功能才會穩定載入。若您同時安裝了企業 VPN、防火牆或流量監控工具,它們也可能註冊網路延伸功能,彼此搶佔順位時會表現為「隨機失效」,可嘗試暫時關閉其他同類軟體後再驗收 Clash。
提醒:在學校、公司或特定地區網路,繞過管控的代理行為可能違反規定。請僅在合規前提下進行設定與排查。
6與其他 VPN、防火牆及「乾淨的網路堆疊」
macOS 上很常見的另一個坑,是同時開著兩套全流量方案:例如系統內建的 iCloud 私密轉送、商業 VPN、公司 Zero Trust 客戶端,與 Clash 的 TUN 或系統代理並存。此時即使 Clash 介面一切正常,實際封包可能仍被另一層介面優先帶走。建議排查時先關閉其他 VPN 與類似功能,只保留 Clash,再重複第二節的「系統設定 → 代理伺服器」檢查。
Little Snitch、LuLu 等應用程式防火牆若規則過嚴,也可能攔截 Helper 與核心之間的本機通訊,表現為「偶發無法套用代理」。可暫時調整規則或進入學習模式觀察;重點仍是搭配連線日誌看請求有沒有進核心,而不是只猜測 UI 狀態。
7瀏覽器層:是否覆寫了系統代理
Safari 預設跟隨 macOS 系統代理,但若您曾用外掛或描述檔做過特殊設定,仍建議以私密視窗再測一次。Chrome/Edge/Brave 等 Chromium 系列在「系統設定使用您的電腦代理設定」開啟時,理論上會讀取 macOS 代理;若您曾設定過固定代理伺服器或安裝會改動代理的外掛,請到瀏覽器的網路設定頁還原為使用系統代理後再測。
Firefox 預設使用自己的代理設定,與 macOS 系統代理分離。若您主要用 Firefox 上網,請在其設定 → 網路設定中改為「使用系統 Proxy 設定」或手動填入與 Clash 相同的本機位址與連接埠,否則會出現「其他瀏覽器都正常、只有 Firefox 直連」的誤判。
8仍無法接受時:用 TUN 與 DNS 做「對照實驗」
當系統代理鏈路始終不穩,但您確認節點與訂閱正常,可以開啟TUN 模式做對照:若 TUN 一切正常而系統代理仍異常,問題幾乎可收斂在「系統代理寫入/瀏覽器遵循度」這一段;若 TUN 也不正常,就要往網路延伸功能、路由與 DNS 深挖。TUN 與 DNS 劫持的搭配請仍以前述 TUN 教程與 DNS 指南為主軸,避免在 fake-ip 與規則順序未對齊時過早歸咎於節點品質。
下列片段僅示意如何在設定檔中確認 TUN 與 DNS 已啟用,實際鍵名與預設值請以您使用的訂閱與核心版本為準;修改後請在客戶端執行重新載入設定。
# Example sketch — align with your profile and core version
tun:
enable: true
stack: mixed
dns:
enable: true
enhanced-mode: fake-ip開源資訊與安裝包取得方式
Clash 生態的核心與圖形介面多為開源專案,若您需要查閱授權條款、原始碼或提交議題,GitHub 仍是合適的資訊來源。日常安裝或更新 macOS 客戶端,建議優先使用 本站 Clash 下載頁,並搭配 設定說明文件 理解各模式差異;將「取得安裝包」與「閱讀開源倉庫」分開,可避免誤以為必須從第三方 Release 頁面才能安裝軟體。
結語
macOS 上Clash Verge Rev 系統代理不生效,多數不是單一開關的錯,而是客戶端 → Helper/鑰匙圈 → 網路延伸功能 → 系統設定中的代理欄位 → 瀏覽器是否遵循這條鏈路上某處斷線。依本文順序逐項驗收,通常能比盲目改規則更快定位問題;當系統代理路徑確實受限時,改用TUN並把 DNS 一併對齊,往往能得到更一致的全系統行為。相較於僅在 Windows 上討論 UWP 與 Loopback,Mac 使用者更需要習慣 Apple 的權限模型——把延伸功能與鑰匙圈對話框當成設定的一部分,而不是「偶發跳出的干擾」。
若您希望長期維持可預測的連線品質,建議固定一套「開啟系統代理 → 檢查系統設定 → 看連線日誌」的習慣;當需要涵蓋終端機與不遵循系統代理的 App 時,再把 TUN 納入標準流程。整體而言,Clash 在規則表達與多平台客戶端支援上,仍較容易讓進階使用者把複雜路由收斂成可維護的設定。