UKI-代理网络故障排除指南

Surge 客户端(旁路由模式)

当您在公司网络中通过旁路由无法正常使用代理网络时,请查看本部分

Clash Verge 客户端(居家或本地单独代理)

当您使用此客户端无法正常使用代理网络或需要切换配置时,请查看本部分

Surge 客户端(旁路由模式)

Surge 客户端首页

首页上方需要关注:网络、配置、出站模式、外部 IP,以及右上角的增强模式状态。

适用场景

当您在公司网络内使用这台 Mac 上的 Surge 作为旁路由或透明网关时,如果其他设备出现网页无法打开、软件无法通过代理访问、只有部分设备异常、请求列表没有记录等情况,请您按下面顺序逐步排查。

请您先不要急着重新下载配置。建议您先判断问题属于“流量没有进入 Surge”还是“流量已进入 Surge 但转发失败”,这样可以显著缩小排查范围。

本页排查主线:先确认被接管设备是否已接入旁路由;如果流量已经进入 Surge 但仍无法访问目标网站,再处理策略组、节点、DNS 上游或目标网络问题。

  1. 第一大步:确认被接管设备的流量是否进入 Surge,也就是访问网页时 Surge 请求列表是否出现对应记录。
  2. 第二大步:如果流量已经进入 Surge 但仍无法访问,重点检查策略组延迟、节点可用性和 DNS。

开始前:检查 Mac 本机是否正确接入网络

  1. 请您确认运行 Surge 的 Mac 已连接公司网络,建议优先使用有线网络或稳定 Wi-Fi。
  2. 请您在这台 Mac 上打开浏览器,确认能访问公司内网资源或常见公网网站;如果 Mac 本机无法正常访问网络,请先修复 Mac 网络。
  3. 确认 Mac 当前局域网地址仍为 192.168.110.76。如果地址变化,被接管设备的网关也需要同步修改。
  4. 这里只检查 Mac 是否正确接入网络,不以 Mac 本机软件是否走代理作为判断标准。

先看首页状态

配置

请您确认配置文件已经加载,且不是空配置、旧配置或临时测试配置。

出站模式

正常情况下建议保持为“规则判定”(Rule-based)。如果被切到“直接连接”(Direct),所有代理规则不会生效。

增强模式 / 网关

旁路由场景重点看增强模式是否开启,以及被接管设备的网关是否指向这台 Mac。

活动连接

在被接管设备上访问网站时,活动连接数量应有变化;完全没有变化通常说明流量没有进入 Surge。

Surge顶部状态检查区域

顶部状态区可以快速确认配置、出站模式、外部 IP 和增强模式是否处于预期状态。

第一大步:被接管设备是否已接入旁路由

这一步的目标是确认其他设备的流量是否进入了 Surge。判断标准很简单:被接管设备访问网页后,Surge 请求列表里应出现对应的新访问记录。

  1. 打开 Surge 的请求列表或 Dashboard。
  2. 在被接管设备上用浏览器访问一个常见网站,例如 https://bing.com
  3. 观察请求列表是否出现新的访问记录。
Surge活动连接统计区域

被接管设备访问网页或启动软件后,活动连接数量应有变化;没有变化时优先按“接管失败”处理。

看不到请求:优先排查接管问题,也就是增强模式、网关、DNS 或设备网络设置没有把流量交给 Surge。

能看到请求但目标无法访问:优先排查转发问题,也就是规则、策略组、节点、DNS 上游或目标网络不可达。

如果请求没有出现

  1. 请您确认右上角 增强模式 已开启。旁路由场景主要依赖增强模式接管其他设备转来的流量。
  2. 请您确认被接管设备的网关指向运行 Surge 的 Mac,当前 Mac 局域网地址为 192.168.110.76
  3. 请您确认被接管设备的 DNS 服务器地址为 198.18.0.2,不要填成 Mac 的局域网 IP;如设备支持手动配置,建议您不要保留其他备用 DNS。
  4. 前往 macOS 系统设置 > 网络 > VPN 与过滤器(或 VPN),确认 Surge 相关 VPN / 网络扩展处于启用状态;如果其他 VPN 软件正在接管系统 VPN,请先关闭后再测试。
  5. 如果增强模式无法开启,或开启后请求仍未出现,请在 Surge 的 更多 > 设置 > 系统权限概览 中移除网络扩展和 VPN 配置,重启 Mac 后再重新开启。
Surge 增强模式开关

此场景下 Mac 是旁路由,重点确认“增强模式”开启,以及其他设备是否把流量交给 Surge。

第二大步:流量已进入 Surge 但仍无法访问

如果 Surge 请求列表已经能看到被接管设备的访问记录,说明旁路由接入基本成立。接下来优先判断当前使用的节点是否正常。

到策略页面检测节点联通性

当请求已经进入 Surge,但网页仍打不开或速度异常时,优先去 策略 页面检查当前策略组内的节点是否可用。

  1. 点击左侧栏的 策略
  2. 确认顶部出站模式仍为 规则判定,不要误切到“直接连接”。
  3. 优先检查红框标注的核心策略组:花云订阅全自动测速ProxiesFinal。这些组决定大多数代理流量最终走哪个节点或自动组。
  4. 如果是指定地区或 AI 服务异常,再检查橙框标注的地区 / AI 自动组,确认它们能选到可用节点。
  5. 策略组 区域点击 花云订阅,或点击您需要使用的单独策略组(如 AI 地区可用自动测速组)。
  6. 在弹出的菜单中选择 延迟测试,Surge 会开始检测该策略组内节点的联通性和延迟。
  7. 等待测试完成后查看延迟结果:能显示毫秒数,代表节点至少可完成测试 URL 的连通性检测;如果长时间无结果、超时或延迟异常高,请切换到其他低延迟节点再测试。
  8. 切换节点后回到目标网页或软件重新刷新。如果恢复访问,问题基本可以判定为原节点不可用或质量不稳定。
Surge关键策略组标注

红框为优先检查的核心策略组;橙框为地区 / AI 自动组,单个地区、AI 或特殊服务异常时再重点检查。

注意:不要只点上方“代理”区域的测试按钮。如果上方代理区为空,Surge 可能会提示“无代理”。实际排查时应测试下面正在使用的具体策略组。
Surge策略页面延迟测试入口

进入策略页后,点击“花云订阅”或点击您需要使用的单独策略组(如 AI 地区可用自动测速组)并执行“延迟测试”。

Surge网络诊断入口

网络连通性异常时,可以先使用首页 Internet 延迟卡片右上角的“网络诊断”。

旁路由设备网络检查

以下信息与上方“如果请求没有出现”部分一致,汇总在此方便您快速核对:

  1. 建议您确保运行 Surge 的 Mac 使用有线网络,并固定本机 IP,避免 IP 变化导致其他设备网关失效。
  2. 被接管设备的网关应指向运行 Surge 的 Mac,当前 Mac 局域网地址为 192.168.110.76
  3. 被接管设备的 DNS 服务器地址应指向 198.18.0.2,请勿填写 Mac 的局域网 IP(如 192.168.x.x);如设备支持手动配置,建议您不要保留其他备用 DNS。
  4. 如果设备无法手动修改 DNS,建议您先换一台可手动设置网关和 DNS 的设备验证,不要把问题混在一起排查。

常见冲突

遇到下面情况时优先排除冲突
  • 同时开启其他 VPN、网络过滤、广告拦截、防火墙类软件时,可能会和 Surge 增强模式冲突,例如 AdGuard、Viscosity、Little Snitch。
  • 如果 Surge 提示 Helper 或网络扩展异常,可能导致增强模式无法开启或流量无法接管。建议您在系统权限概览中移除相关组件,重启后重新授权安装。
  • 如果被接管设备正在运行 BT、下载器、游戏更新器等高并发流量程序,旁路由模式可能出现卡顿或中断。建议您仅将需要代理的设备接入旁路由。

建议上报的信息

如果您按以上步骤排查后仍无法恢复,请您截图或记录以下信息,以便我们进一步协助判断:

  1. Surge 首页状态:网络、配置、出站模式、增强模式、外部 IP。
  2. 请求列表里是否能看到访问记录。
  3. 策略页当前策略组的延迟测试结果,以及是否尝试过切换低延迟节点。
  4. 被接管设备的 IP、网关、DNS 设置。
  5. 当前是否同时开启 VPN、防火墙、广告拦截或其他代理软件。
仍无法恢复时的临时处理

如果以上排查后仍无法恢复,请先将该电脑取消接入旁路由,恢复原网关和 DNS 设置,再使用 Clash Verge 客户端(居家或本地单独代理) 进行代理,避免继续影响正常办公。

Clash Verge 客户端(居家或本地单独代理)

本页主要面向 Windows 用户,适用于离开公司旁路由环境后,在家中或本地电脑上单独使用 Clash Verge 客户端代理的场景。

适用场景

如果您曾经为了使用公司旁路由手动修改过电脑的 IP、网关或 DNS,或居家时为了使用 Synology Chat 等软件开启过 Clash Verge 的虚拟网卡模式(TUN),现在出现无法联网、无法代理、订阅无法更新、节点全部超时、无法添加新订阅源、Synology Chat 无法连接等情况,请您按下面顺序逐步排查。

本页排查主线:先完全退出公司旁路由环境,再检查 Clash Verge 订阅源和节点是否可用;如果不可用,改用您自行准备并自行负责的额外订阅源;如果连新订阅源都无法添加,先处理 TUN、系统代理、DNS 和虚拟网卡残留问题,再重新添加订阅源。

  1. 第一大步:完全退出公司旁路由环境。
  2. 第二大步:检查 Clash Verge 订阅源 / 节点是否可用。
  3. 第三大步:不可用时,更换额外订阅源。
  4. 第四大步:无法添加订阅源时,先恢复直连网络。
  5. 第五大步:重新添加新的订阅源并验证。

第一大步:完全退出公司旁路由环境

居家或本地单独代理时,电脑不应继续使用公司旁路由的手动 IP、网关或 DNS。请您先把 Windows 网络设置恢复为系统自动分配,再检查 Clash Verge。

  1. 请您先关闭 Clash Verge 的 系统代理TUN 模式,然后完全退出 Clash Verge。 关闭系统代理指示 关闭 TUN 模式指示
  2. 请您退出其他 VPN、加速器、广告拦截、防火墙增强或网络过滤软件。
  3. 请您打开 Windows 设置 > 网络和 Internet,进入当前正在使用的 Wi-Fi以太网 连接。 Windows 网络设置指示
  4. IP 分配 改为 自动(DHCP)
  5. 请您将 DNS 服务器分配 改为 自动(DHCP),不要保留公司旁路由、手动 DNS 或其他备用 DNS。 编辑 IP 和 DNS 设置指示 选择自动 DHCP 指示
  6. 请您断开并重新连接网络,或重启电脑。确认不打开 Clash Verge 时,电脑能访问常见国内网站或当前路由器管理页面。
这里是最优先检查项

如果 IP、网关或 DNS 仍停留在公司旁路由配置,Clash Verge 本身即使设置正确,也可能表现为订阅更新失败、节点全部超时、网页无法打开或无法添加新订阅源。

第二大步:检查订阅源 / 节点是否可用

确认电脑已经恢复直连网络后,请您再打开 Clash Verge。此时先不要开启 TUN 模式,优先检查当前订阅源、配置和节点。

订阅更新

进入配置页面,尝试更新当前订阅。更新失败时,先不要急着反复切换节点或开关代理。

配置选择

确认当前使用的是正确配置,不是空配置、旧配置或临时测试配置。

节点延迟

进入代理页面,对策略组或节点执行延迟测试,观察是否能测出毫秒数。

访问测试

开启系统代理,代理模式选择规则(Rule),再用浏览器访问需要代理的网站。

  1. 进入 配置 页面,确认当前正在使用的是正确配置。
  2. 点击更新订阅或刷新配置。如果更新失败,请先回到第一大步确认直连网络正常。
  3. 进入 代理 页面,找到当前正在使用的策略组。
  4. 对策略组或节点执行延迟测试。能显示毫秒数,通常表示该节点至少可以完成测试 URL 的连通性检测。
  5. 如果节点全部超时、无结果或延迟异常高,请切换其他节点、其他地区或其他策略组后再测。
  6. 开启 系统代理,代理模式选择 规则(Rule),用浏览器访问目标网站验证。

判断结果:如果订阅能更新、节点能测出延迟、浏览器代理访问正常,说明 Clash Verge 基础链路基本可用;如果订阅无法更新或节点全部失败,继续下一步。

第三大步:更换额外订阅源

如果当前订阅源失效、节点长期不可用,或重新更新订阅仍无效,请您更换自行准备并自行负责的额外订阅源。

  1. 请您确认旧订阅源已经多次更新失败,或节点延迟测试长期不可用。
  2. 请您准备新的订阅链接,并自行确认来源、有效期、账号状态和使用责任。
  3. 在 Clash Verge 的 配置 页面添加新的 Remote(远程)订阅。
  4. 添加成功后更新订阅,进入代理页面重新执行延迟测试。
  5. 如果新订阅可用,请切换到低延迟节点后再测试目标网站或 Synology Chat。
当前订阅源异常的常见表现
  • 配置更新失败,或一直停留在旧节点列表。
  • 重新添加订阅后仍无法生成可用配置。
  • 代理页面没有节点,或所有节点延迟测试都失败。

第四大步:无法添加订阅源时先恢复直连

如果旧订阅已经不可用,但关闭代理后仍无法添加新的订阅源,通常不是“新订阅一定有问题”,而是电脑还没有真正恢复直连网络。最常见原因是 TUN、系统代理、DNS 缓存、残留路由或虚拟网卡仍在影响整机上网。

TUN 模式会影响整台电脑

Clash Verge 的 TUN 模式会创建虚拟网卡,在网络层接管整机流量。即使没有开启“系统代理”,只要 TUN 仍在工作,也可能影响浏览器、Synology Chat、命令行工具、游戏、订阅更新和其他软件联网。

使用建议:普通浏览器代理优先使用系统代理;只有 Synology Chat 等软件不走系统代理时,再开启 TUN 模式。开启 TUN 后建议不要同时开启系统代理,避免冲突、延迟增加或双重代理。

开启前提:如确实需要使用 TUN 模式,请先确认 Clash Verge 的 Service Mode(服务模式)已正确安装,或客户端已授予管理员权限。

可能后遗症:关闭 TUN 或退出 Clash Verge 后,Fake-IP DNS 缓存、残留路由、虚拟网卡、防火墙规则或系统代理设置可能没有立即清空,导致电脑仍然无法联网或无法拉取新订阅。

  1. 关闭 Clash Verge 的 系统代理TUN 模式
  2. 完全退出 Clash Verge,不要只最小化到托盘。
  3. 再次确认 Windows 的 IP 分配DNS 服务器分配 均为自动。
  4. 以管理员身份打开命令提示符(CMD)或 PowerShell,依次执行 ipconfig /flushdnsnetsh winsock resetnetsh int ip reset
  5. 重启电脑后,不打开 Clash Verge,先确认浏览器能访问常见国内网站。
  6. 如果仍无法联网,请检查 hosts 文件、防火墙、虚拟网卡、VPN 或安全软件是否仍在接管网络。
不要陷入“订阅坏了但无法添加新订阅”的循环

旧订阅或节点故障时,不要依赖 Clash Verge 自身继续自救。解决关键是先恢复电脑直连网络,再添加新的订阅源。

第五大步:重新添加新的订阅源

确认电脑已经恢复直连网络后,请您再重新打开 Clash Verge 添加新的订阅源。

  1. 保持 TUN 模式关闭,先不要开启系统代理。
  2. 用浏览器直接打开或访问新订阅地址,确认当前网络至少可以正常访问该地址或其服务页面。
  3. 在 Clash Verge 的 配置 页面新建 Remote(远程)订阅,粘贴新的订阅链接并保存。
  4. 如果订阅服务器必须通过代理才能访问,且旧配置仍有部分可用节点,可在客户端设置中开启“通过代理更新”(通过系统代理或现有节点拉取订阅)。
  5. 如果浏览器也无法访问订阅地址,请联系订阅提供方确认链接是否失效、账号是否过期,或改用其他网络重新获取订阅文件后本地导入。
  6. 新订阅添加成功后,执行订阅更新、节点延迟测试,并切换到低延迟节点验证目标网站和 Synology Chat。

常见冲突

遇到下面情况时优先排除冲突
  • 同时开启其他 VPN、加速器、防火墙、广告拦截或网络过滤软件时,可能影响 Clash Verge 接管流量。
  • TUN 模式会创建虚拟网卡,可能影响局域网访问、DNS 解析、公司 VPN、远程桌面或部分安全软件。
  • 开启 TUN 后如果出现完全无法联网,请您先关闭 TUN 并完全退出 Clash Verge,再按第四大步重置网络。

建议上报的信息

如果您按以上步骤排查后仍无法恢复,请您截图或记录以下信息,以便我们进一步协助判断:

  1. Windows 当前网络是否已改为自动获取 IP 和 DNS。
  2. Clash Verge 首页状态:当前配置、系统代理、TUN 模式、代理模式。
  3. 当前使用的配置名称,以及订阅更新是否成功;如重新添加订阅无效,也请说明。
  4. 代理页面当前策略组和节点的延迟测试结果。
  5. 无法访问的是浏览器、Synology Chat、指定软件,还是所有网络请求。
  6. 是否已通过管理员权限执行过 ipconfig /flushdnsnetsh winsock resetnetsh int ip reset 并重启电脑。
  7. 当前是否同时开启其他 VPN、防火墙、广告拦截、加速器、TUN 模式或旁路由设置。
仍无法恢复时

请确保电脑已按第四大步恢复直连网络,然后将上方"建议上报的信息"截图发送给网络管理员,以便进一步排查。在问题解决前,请保持 Clash Verge 完全退出,避免残留配置持续影响正常办公网络。