TUN проводит через ядро трафик всех приложений — независимо от того, уважают ли они системный прокси. Теория — в сравнении с системным прокси; здесь только включение и настройка.

Предпосылка: сервисный режим

Создание виртуального адаптера требует системных прав. Clash Verge держит их через небольшой фоновый сервис — так не приходится подтверждать UAC при каждом запуске.

В «Настройках» найдите «Сервисный режим» и нажмите «Установить». Windows покажет запрос UAC, macOS и Linux спросят пароль. Статус должен смениться на «активен».

Сервис не ставится? Обычные причины: вмешался антивирус (временно разрешите) или остался сервис от старой установки (удалите его и поставьте заново). Хроническая неудача — в разбор проблем.

Сам переключатель

Настройки Clash Verge с включённым TUN и схема прохождения пакетов через виртуальный адаптер
Когда сервис активен, TUN включается одним тумблером

Вернитесь в настройки и включите «Режим TUN». В системе появится сетевой адаптер Mihomo или utun, и трафик потечёт через него. Откройте любую страницу — связь должна быть.

При включённом TUN переключатель системного прокси становится необязательным: покрытие TUN — надмножество. Держать оба включёнными не вредно.

Три параметра, которые стоит знать

  • Stack: по умолчанию Mixed — верный выбор. Если конкретное приложение чудит под TUN, сравните с gVisor и System.
  • DNS hijack: по умолчанию any:53 — перехватывает все открытые DNS-запросы в ядро; главный заслон от утечек. Не выключайте; подробности в статье про DNS.
  • Strict Route: не даёт трафику проскочить мимо TUN. Покрытие полнее, но локальные сервисы (принтеры, трансляция экрана) могут пострадать — выключайте только если сломались.

Платформенные заметки

  • Windows: сервисный режим обязателен. Виртуальные адаптеры VPN-программ дерутся за маршруты — при конфликте отключите одну из сторон.
  • macOS: при первом включении подтвердите добавление сетевой конфигурации. Пропала сеть — проверьте порядок служб интерфейса utun в «Системные настройки» → «Сеть».
  • Linux: сервис опирается на systemd; на других init-системах выдайте права вручную: setcap cap_net_admin+ep на бинарник ядра.

Проверяем, что TUN действительно работает

  1. На странице «Подключения» появились процессы помимо браузера — игры, терминалы, службы;
  2. curl ip.sb в терминале (без переменных прокси) возвращает IP выходного узла;
  3. Тест на утечку DNS показывает резолверы туннеля, а не вашего провайдера — метод в статье про DNS.

Игровая настройка TUN (UDP, джиттер) вынесена в отдельную статью.