《Clash Verge 中 Sys 与 TUN 模式的本质区别记录》

最近重新梳理了一下 Clash Verge 里的 System Proxy（sys）模式 和 TUN 模式 的真正区别，做个简单记录，防止以后自己忘。

很多人会误以为：TUN = 全局强制代理，sys = 普通代理，其实核心区别不在“是否全局”，而在于流量从哪一层被接管。

一、Sys 模式（System Proxy）

本质：sys 模式只是修改了系统的“代理设置”。

系统告诉应用：代理服务器在 127.0.0.1，会按照系统代理规则把流量交给 Clash，不符合规则的直接不走clash。

流程大概是：

应用（支持系统代理）
↓
系统代理设置
↓
Clash
↓
真实网卡出网

特点
工作在应用层，不创建虚拟网卡，不接管 UDP，有些软件（游戏、某些客户端）不会走代理，占用低，稳定。

简单理解：Sys 模式是“应用自愿把流量交给 Clash”，符合规则匹配的流量才会走代理线路。

二、TUN 模式

TUN 模式会创建一个虚拟网卡。系统的所有网络流量，都会先经过这张虚拟网卡，再进入 Clash。

流程大概是：

应用
↓
虚拟网卡（TUN）
↓
Clash 规则匹配
↓
真实网卡出网

特点
工作在 网络层（IP 层），所有流量先被clash接管，。支持 UDP。更全能更底层的代理上网工作方式。

简单理解：TUN 模式是“强制所有流量先经过 Clash”，然后根据规则来决定是否走代理线路，分流逻辑始终是 Clash 决定。属于“强制接管再分流”。

三、关键澄清

很多人会问：

TUN 下是不是所有流量都走代理？

不是。无论是 sys 还是 TUN，最终是否走代理节点，是由规则决定的。即使在 TUN 模式下：国内流量仍然直连，国外流量才走代理。

核心区别只是：Sys 模式：在应用层接管流量。TUN 模式：在网络层接管流量。

支持tun模式接管代理得更加彻底，有一些网页和应用不允许使用vpn代理的情况下，开启Tun模式，立刻能将代理变为原生，这些网页和应用将无法检测到是否在使用VPN。