Clash使用教程：从安装到配置的完整指南（2026）

引言：Clash不是VPN，但可能比VPN更好用

如果你在寻找翻墙工具，一定听说过"Clash"这个名字。但与ExpressVPN、NordVPN这类商业VPN不同，Clash是一个规则代理工具——它不提供代理服务器，而是帮你管理和使用代理节点的一个"客户端"。

打个比方：如果代理节点是"高速公路"，那么Clash就是"智能导航系统"。它能根据你访问的网站，自动判断是走高速（代理）还是走普通公路（直连），实现智能分流。

这种模式的优势显而易见：

• 访问国内网站时直连，速度不受影响
• 只有需要翻墙的流量才走代理，节省流量和带宽
• 可以自定义规则，精细控制哪些应用、哪些域名走代理
• 支持多个代理节点的负载均衡和自动切换

本文将手把手教你如何安装、配置和使用Clash，从零基础到日常使用没有障碍。

Clash生态概览

在开始之前，你需要了解Clash的"家族成员"。由于Clash原始内核作者在2023年删除了仓库，社区已经分化出多个分支项目：

2026年推荐组合：

• 桌面端：Clash Verge Rev（内置mihomo内核）
• Android：FlClash 或 Clash Meta for Android
• iOS：Stash 或 Shadowrocket（均需非中国区Apple ID购买）

各平台安装方法

Windows

macOS

也可以使用Homebrew安装：

brew install --cask clash-verge-rev

Linux

# Debian/Ubuntu - 下载.deb包
sudo dpkg -i clash-verge-rev_*.deb

# Arch Linux
yay -S clash-verge-rev-bin

# 或者使用AppImage
chmod +x Clash_Verge_Rev-*.AppImage
./Clash_Verge_Rev-*.AppImage

Android

由于原版Clash for Android已停止维护，推荐使用替代客户端：

1. FlClash：从GitHub Releases下载APK安装
2. Clash Meta for Android：从GitHub下载APK
3. 安装后，在设置中允许"安装未知来源应用"

iOS

iOS端没有免费的Clash客户端。以下是推荐的付费替代品：

1. Stash（约$3.99）：Clash规则完全兼容，功能强大
2. Shadowrocket（约$2.99）：支持Clash订阅导入

两者都需要非中国区Apple ID才能在App Store中搜索和购买。

获取订阅链接

安装好客户端后，你需要一个"订阅链接"来导入代理节点。订阅链接是机场服务商提供的一个URL，客户端通过这个URL自动获取和更新节点配置。

从机场获取

1. 注册并登录你的机场服务商网站
2. 在用户面板中找到"订阅链接"或"Clash订阅"
3. 复制该链接（通常以https://开头，可能包含token参数）
4. 将链接粘贴到Clash客户端的"配置"或"Profiles"页面

注意事项：

• 订阅链接包含你的身份信息，切勿分享给他人
• 大多数机场支持Clash订阅格式，部分可能需要在面板中选择"Clash"格式
• 如果机场只提供V2Ray/SS链接，可以使用订阅转换工具转换为Clash格式

自建节点

如果你有自己的海外服务器，可以手动编写配置文件或使用自建节点管理面板（如x-ui）生成订阅链接。自建方案的详细教程超出本文范围，但核心流程是：

1. 在海外VPS上部署代理服务（如Xray、Sing-box）
2. 将节点信息写入Clash配置文件
3. 在客户端中导入配置文件

配置文件核心字段详解

Clash的配置文件采用YAML格式。理解核心字段，能帮你排查问题和进行个性化定制。以下是最重要的几个部分：

基础设置

# 代理端口
port: 7890          # HTTP代理端口
socks-port: 7891    # SOCKS5代理端口
mixed-port: 7893    # 混合端口（同时支持HTTP和SOCKS5）
allow-lan: false    # 是否允许局域网设备使用代理
mode: rule           # 运行模式：rule(规则)/global(全局)/direct(直连)
log-level: info     # 日志级别

# DNS设置
dns:
  enable: true
  listen: 0.0.0.0:53
  enhanced-mode: fake-ip  # 推荐使用fake-ip模式
  nameserver:
    - 223.5.5.5         # 阿里DNS
    - 119.29.29.29      # 腾讯DNS
  fallback:
    - tls://8.8.8.8:853   # Google DNS over TLS
    - https://1.1.1.1/dns-query  # Cloudflare DoH

代理节点（proxies）

proxies:
  - name: "香港节点1"
    type: trojan
    server: hk1.example.com
    port: 443
    password: your-password
    sni: hk1.example.com

  - name: "日本节点1"
    type: vmess
    server: jp1.example.com
    port: 443
    uuid: your-uuid
    alterId: 0
    cipher: auto
    tls: true
    network: ws
    ws-opts:
      path: /ws

代理组（proxy-groups）

代理组是Clash的核心特色，允许你组织和管理多个节点：

proxy-groups:
  - name: "代理选择"
    type: select           # 手动选择
    proxies:
      - "自动选择"
      - "香港节点1"
      - "日本节点1"
      - DIRECT

  - name: "自动选择"
    type: url-test          # 自动选择延迟最低的节点
    proxies:
      - "香港节点1"
      - "日本节点1"
    url: http://www.gstatic.com/generate_204
    interval: 300           # 每300秒测试一次

  - name: "负载均衡"
    type: load-balance      # 负载均衡，分散流量
    proxies:
      - "香港节点1"
      - "日本节点1"
    strategy: round-robin

代理组类型说明：

分流规则（rules）

规则决定了每个连接走代理还是直连：

rules:
  # 域名规则
  - DOMAIN-SUFFIX,google.com,代理选择
  - DOMAIN-SUFFIX,youtube.com,代理选择
  - DOMAIN-SUFFIX,github.com,代理选择
  - DOMAIN-SUFFIX,baidu.com,DIRECT
  - DOMAIN-SUFFIX,bilibili.com,DIRECT

  # IP规则
  - IP-CIDR,192.168.0.0/16,DIRECT
  - IP-CIDR,10.0.0.0/8,DIRECT

  # GeoIP规则（中国IP直连）
  - GEOIP,CN,DIRECT

  # 兜底规则（没匹配到任何规则的流量）
  - MATCH,代理选择

通常你不需要手动编写规则——机场提供的订阅链接已经包含了完善的分流规则。但理解规则的结构，有助于你排查"某个网站走了直连导致无法访问"等问题。

三种运行模式

Clash有三种运行模式，可以在客户端界面中一键切换：

推荐始终使用规则模式。全局模式会让所有流量（包括访问国内网站）都走代理，不仅浪费代理流量，还会降低访问国内网站的速度。

系统代理与TUN模式

Clash有两种接管系统流量的方式：

系统代理

设置系统的HTTP/SOCKS5代理，让浏览器和支持代理设置的应用走Clash。大多数情况下够用，但有局限：

• 只能代理支持系统代理设置的应用
• 某些应用（如命令行工具、游戏）可能不走系统代理
• UDP流量通常无法代理

TUN模式（推荐）

TUN模式通过创建虚拟网卡来接管所有网络流量，包括不支持代理设置的应用：

• 在Clash Verge Rev中，点击设置 > 开启"TUN模式"
• 首次开启可能需要管理员权限
• 开启后，所有应用的流量都会经过Clash处理

TUN模式的优势：

• 真正的全局代理，不遗漏任何应用
• 支持UDP流量（对游戏和视频通话很重要）
• 命令行工具无需单独配置代理

常见问题排错

连不上节点

可能原因与解决方案：

1. 节点已失效：尝试更新订阅链接（右键订阅 > 更新）
2. 端口被占用：检查7890/7891端口是否被其他程序占用
3. 系统时间不正确：VMess协议对系统时间敏感，确保时间误差在90秒内
4. 防火墙拦截：检查系统防火墙是否放行了Clash
5. DNS解析失败：尝试在Clash的DNS设置中更换nameserver

DNS泄漏

DNS泄漏会导致你的真实DNS请求暴露给ISP。解决方法：

1. 在Clash中开启DNS功能（dns.enable: true）
2. 使用fake-ip模式替代redir-host
3. 开启TUN模式确保所有DNS请求都经过Clash
4. 使用我们的DNS泄漏检测工具验证是否存在泄漏

速度慢

1. 切换节点：使用延迟测试功能，选择延迟最低的节点
2. 更换协议：如果可选，尝试Trojan或VLESS+Reality
3. 调整DNS：确保DNS设置中使用了国内和国外双DNS
4. 关闭不必要的规则：过多的规则会增加处理延迟
5. 检查带宽：确认你的机场套餐带宽是否充足

进阶技巧

自定义分流规则

你可以在Clash Verge Rev的"规则"页面添加自定义规则。例如：

• 让特定应用走特定节点（如Netflix走美国节点）
• 让开发工具（如GitHub、Docker）走专用节点
• 屏蔽广告域名（规则指向REJECT）

订阅转换

如果你的机场不提供Clash订阅格式，可以使用订阅转换工具：

• subconverter：开源的订阅转换后端，可自建
• 在线转换：搜索"Clash订阅转换"可找到多个在线工具

配置文件预处理

Clash Verge Rev支持配置文件预处理（Script），你可以用JavaScript脚本在订阅更新后自动修改配置，如添加自定义规则、修改DNS设置等。

安全注意事项

1. 只从官方渠道下载：从GitHub官方仓库下载Clash客户端，避免使用搜索引擎找到的"破解版"或"修改版"
2. 保护订阅链接：订阅链接等同于你的账号凭证，不要截图分享或发布到公开平台
3. 注意日志信息：Clash的日志可能包含你访问的域名信息，分享日志排错时注意脱敏
4. 定期更新：保持客户端和内核的更新，修复已知安全漏洞
5. 配合浏览器使用：建议搭配注重隐私的浏览器使用，防止WebRTC等泄漏

常见问题

Clash和VPN有什么区别？

VPN（虚拟私人网络）会创建一条加密隧道，将你的所有网络流量都转发到VPN服务器。而Clash是一个规则代理工具，它可以根据你配置的规则，智能分流——需要翻墙的流量走代理，不需要的流量直接连接。这意味着使用Clash时，你访问国内网站的速度不会受到影响。另外，VPN是一个完整的服务（包含客户端和服务器），而Clash只是客户端，你需要自备代理节点（通常来自机场订阅）。

Clash安全吗？

Clash核心项目（包括mihomo和Clash Verge Rev）都是开源软件，代码公开接受社区审查，本身是安全的。但需要注意两点：第一，一定要从GitHub官方仓库下载，第三方下载站提供的版本可能被植入恶意代码；第二，你的网络安全最终取决于代理节点的提供者，如果使用不可信的免费节点，你的流量仍可能被监控或记录。

Clash Core停止维护了，现在用什么？

2023年11月，Clash原始内核作者删除了GitHub仓库。但开源社区迅速fork并继续维护。目前最主流的替代方案是mihomo（原名Clash Meta），它不仅完全兼容原版Clash的配置，还增加了VLESS、Reality、Hysteria2等新协议的支持。桌面端推荐使用Clash Verge Rev，它内置mihomo内核，提供了友好的图形界面。移动端可以选择FlClash（Android）或Stash（iOS）。

相关阅读

• Shadowsocks vs V2Ray vs Trojan：我应该如何选择？ — 了解Clash背后运行的代理协议
• 翻墙浏览器推荐：最佳隐私浏览器 — 配合Clash使用，进一步保护隐私
• DNS泄漏检测工具 — 验证你的Clash配置是否存在DNS泄漏
• Cloudflare WARP中国实测 — 另一种免费的网络加速方案